Di lapangan, bahkan penawaran jasa implementasi ISO 27001 pun sering dibedakan berdasarkan tujuannya.
Sebagian konsultan secara terbuka memisahkan dua pendekatan sejak awal penawaran.
Pertama, implementasi untuk sekadar mendapatkan sertifikat. Fokusnya jelas: dokumen cepat lengkap, scope dipersempit, kontrol dipilih seminimal mungkin agar lolos audit. Cocok untuk kebutuhan marketing jangka pendek.
Kedua, implementasi untuk full penerapan ISMS. Pendekatannya lebih dalam dan biasanya lebih menantang. Risiko dibedah, proses bisnis disesuaikan, peran manajemen dilibatkan, dan perubahan perilaku menjadi bagian dari pekerjaan.
Keduanya sah sebagai pilihan bisnis, selama organisasi sadar betul konsekuensinya. Implementasi yang berorientasi sertifikat memang bisa lebih cepat dan murah, tetapi risikonya sering muncul di tahap surveilance dan resertifikasi.
Sementara itu, implementasi yang dijalankan sebagai sistem biasanya terasa berat di awal, namun jauh lebih stabil dalam jangka panjang—baik dari sisi audit maupun kepercayaan customer.
Pada akhirnya, konsultan hanya memfasilitasi. Arah dan niat tetap ditentukan oleh organisasi:
apakah ISO 27001 diperlakukan sebagai simbol, atau sebagai amanah.
ISO27001
ISMS
InformationSecurity
ITGovernance
AuditTI
RiskManagement