Coba bayangkan ini. Seseorang mengajukan pinjaman secara online. Dalam hitungan detik, sistem sudah memutuskan: disetujui atau ditolak. Tidak ada manusia yang membaca berkasnya. Tidak ada yang menimbang konteksnya. Dan yang lebih menggelisahkan, tidak ada penjelasan yang bisa diminta.
Ini bukan cerita fiksi ilmiah. Ini sudah terjadi di ribuan platform fintech dan perbankan digital di Indonesia hari ini.
AI sudah menyusup ke hampir seluruh lapisan layanan keuangan. Credit scoring, fraud detection, AML monitoring, chatbot nasabah, underwriting otomatis, predictive analytics, semuanya kini berjalan dengan keterlibatan algoritma yang semakin dalam. Dan efisiensinya memang luar biasa. Tapi di balik itu semua, ada pertanyaan yang sering luput dari perhatian: kalau AI-nya salah, siapa yang bertanggung jawab?
Semakin besar ketergantungan pada AI, semakin besar pula paparan risikonya, bias yang tidak disadari, keputusan otomatis yang merugikan nasabah, privasi data yang bocor karena pipeline yang tidak terjaga, hingga model yang bahkan pengembangnya sendiri sulit menjelaskan cara kerjanya. Regulator global mulai bergerak merespons itu semua. Dan Indonesia tidak terkecuali.
Di sinilah ISO/IEC 42001 mulai relevan. Bukan sebagai syarat formalitas, tapi sebagai kerangka kerja yang semakin dibutuhkan oleh organisasi yang ingin selangkah lebih siap, sebelum regulasi AI formal di Indonesia benar-benar berlaku dan memaksa semua orang bergerak serentak.
Apa Itu ISO 42001?
| Nama Lengkap | ISO/IEC 42001:2023 – Artificial Intelligence Management System (AIMS) |
| Diterbitkan oleh | International Organization for Standardization (ISO) & IEC |
| Tahun Terbit | 2023 |
| Fokus Utama | Tata kelola, risiko, transparansi, dan akuntabilitas penggunaan AI |
| Relevan untuk | Bank, fintech, insurtech, payment gateway, lending platform, AI developer |
ISO/IEC 42001 adalah standar internasional pertama yang dirancang khusus untuk mengelola sistem AI secara menyeluruh. Yang membedakannya dari standar manajemen lain seperti ISO 27001 adalah cakupannya yang spesifik pada siklus hidup AI, mulai dari bagaimana model dirancang, dilatih, dan di-deploy, sampai bagaimana model itu dipantau, dievaluasi, dan akhirnya dinonaktifkan.
Standar ini bukan hanya relevan bagi perusahaan yang membangun AI. Organisasi yang sekadar menggunakan AI dari vendor pihak ketiga pun masuk dalam lingkup pemangku kepentingan yang perlu mempertimbangkan standar ini, karena tanggung jawab atas risiko AI tidak bisa begitu saja dilimpahkan ke vendor.
Baca juga : Roadmap Praktis Implementasi ISO/IEC 42001 & 42005 untuk Organisasi AI
Mengapa Bank & Fintech Menjadi Sorotan Utama dalam Regulasi AI?
Tidak semua sektor mendapat perhatian yang sama dari regulator ketika bicara soal AI. Industri keuangan selalu ada di urutan teratas. Alasannya sederhana: keputusan yang dibuat di sini berdampak langsung pada kehidupan jutaan orang.
Credit scoring adalah contoh paling konkret. Algoritma ini menentukan apakah seseorang bisa mendapat pinjaman, berapa bunganya, dan berapa limitnya. Kalau model yang digunakan dilatih dengan data yang tidak representatif, misalnya mayoritas data historis berasal dari satu segmen demografis tertentu, maka kelompok lain bisa terus-menerus mendapat penilaian yang tidak adil, bukan karena kondisi keuangan mereka buruk, tapi karena bias yang tertanam dalam sistemnya.
Fraud detection punya dinamika yang berbeda. Sistem ini bekerja keras menjaga keamanan transaksi nasabah, tapi kalau threshold-nya terlalu agresif atau modelnya kurang akurat, transaksi yang sah pun ikut terblokir. Nasabah yang tiba-tiba tidak bisa bertransaksi di tengah malam karena sistem salah mendeteksi anomali, dan tidak ada satu pun staf yang bisa dihubungi segera, itu pengalaman yang sangat tidak menyenangkan.
Customer service berbasis AI kini menjadi lini pertama layanan di hampir semua lembaga keuangan besar. Efisiensinya memang tidak perlu diragukan. Tapi kalau kualitas respons tidak konsisten atau chatbot memberikan informasi yang keliru soal produk keuangan, bayangkan informasi bunga yang salah, atau saran investasi yang tidak tepat, dampaknya bisa lebih dari sekadar keluhan nasabah.
Di tataran yang lebih luas, AI juga menjadi tulang punggung manajemen risiko modern. Model yang tidak tervalidasi dengan baik bisa menciptakan false sense of security, semua dashboard terlihat hijau, padahal risiko nyata justru sedang terakumulasi di bawah permukaan.
Dampak Fatal Jika AI Finansial Tidak Dikelola
Banyak eksekutif masih menganggap risiko AI sebagai domain IT semata. Tapi kalau dilihat lebih jauh, konsekuensinya menyentuh hampir semua aspek bisnis.
Bias Algoritma
Bias dalam model AI di sektor keuangan bukan isu teoretis, ini sudah terdokumentasi di berbagai negara. Model credit scoring yang dilatih dengan data historis bisa secara tidak sengaja menginternalisasi pola diskriminasi yang ada di data tersebut. Hasilnya adalah keputusan yang tampak objektif secara matematis, tapi sebenarnya merugikan kelompok tertentu secara sistematis.
Yang membuat ini lebih rumit: bias sering kali tidak terlihat dari metrik akurasi global. Model bisa menunjukkan akurasi 90% secara keseluruhan, tapi kalau ditelusuri per segmen, ada subkelompok yang konsisten mendapat prediksi yang salah.
Masalah Transparansi
Black box problem adalah istilah yang sudah familiar, tapi implikasinya sering meremehkan. Ketika seorang nasabah datang dan bertanya kenapa pengajuan kreditnya ditolak, dan tidak ada satu pun orang di organisasi yang bisa memberikan penjelasan yang memuaskan, itu bukan hanya masalah layanan nasabah yang buruk. Itu adalah sinyal bahwa organisasi sendiri tidak sepenuhnya memahami sistem yang mereka gunakan untuk membuat keputusan bisnis.
Hak atas penjelasan (right to explanation) sudah mulai masuk ke ranah regulasi di berbagai yurisdiksi. Transparansi bukan lagi value tambahan, ini akan menjadi kewajiban.
Privasi Data
Semakin canggih modelnya, semakin banyak data yang dibutuhkan. Dan di sini ketegangan mulai muncul: data apa yang boleh digunakan, untuk tujuan apa, dengan persetujuan seperti apa? Tanpa AI governance framework yang solid, pertanyaan-pertanyaan ini sering tidak pernah benar-benar dijawab, sampai ada insiden atau audit yang memaksa jawabannya diungkap.
Risiko Kepatuhan dan Reputasi
Dua risiko terakhir ini sering datang beriringan. Organisasi yang tidak memiliki dokumentasi tata kelola AI yang memadai akan kesulitan membuktikan kepatuhan ketika regulasi mulai berlaku, dan denda, sanksi, serta potensi pencabutan izin adalah konsekuensi yang nyata. Di sisi reputasi, satu kasus viral tentang AI yang salah bekerja bisa menghapus kepercayaan yang sudah dibangun bertahun-tahun.
Baca juga : ISO/IEC 42001 vs ISO/IEC 42005: Mana yang Dibutuhkan Organisasi AI?
ISO 42001 sebagai Jembatan Regulasi AI di Indonesia
Sebelum masuk ke implementasi, penting untuk melihat ISO 42001 bukan secara terisolasi, tapi dalam konteks regulasi global yang sedang bergerak cepat.
| Kerangka Regulasi | Asal | Relevansi |
| EU AI Act | Uni Eropa | Regulasi AI paling komprehensif saat ini; klasifikasi berdasarkan tingkat risiko; AI di sektor keuangan masuk kategori risiko tinggi |
| OECD AI Principles | OECD (40+ negara) | Panduan internasional tentang AI yang transparan, dapat dijelaskan, aman, dan menghormati HAM |
| NIST AI RMF | Amerika Serikat | Framework praktis manajemen risiko AI; banyak diadopsi organisasi keuangan global |
| ISO/IEC 42001 | ISO/IEC | Standar sistem manajemen AI; mendukung kepatuhan terhadap berbagai regulasi |
Semua kerangka ini punya benang merah yang sama: ekspektasi bahwa organisasi memiliki tata kelola AI yang terstruktur, terdokumentasi, dan dapat diaudit. Bukan sekadar klaim.
Indonesia pun bergerak ke arah itu. Berbagai pemangku kepentingan, dari OJK hingga Kementerian Kominfo, sudah memulai inisiatif yang mengarah pada penguatan pengawasan penggunaan AI, khususnya di sektor yang dampaknya langsung menyentuh masyarakat luas.
ISO 42001, dalam konteks ini, bukan tentang mematuhi satu regulasi tertentu. Ini tentang membangun kapabilitas tata kelola yang cukup kuat dan fleksibel untuk relevan dengan berbagai regulasi, baik yang sudah berlaku maupun yang sedang disusun.
Roadmap Implementasi ISO 42001: 7 Langkah Praktis untuk Organisasi Anda
Implementasi ISO 42001 tidak harus langsung dimulai dari sertifikasi. Ada jalur bertahap yang lebih logis, dan bisa disesuaikan dengan tingkat kematangan organisasi masing-masing.
Tahap 1: Inventarisasi Sistem AI
Sebelum apa pun, organisasi perlu tahu persis apa yang mereka gunakan. Kedengarannya sederhana, tapi banyak organisasi yang benar-benar terkejut ketika mulai melakukan inventarisasi, ternyata ada jauh lebih banyak sistem AI yang beroperasi daripada yang dicatat secara resmi.
| Item Inventarisasi | Keterangan |
| Nama dan fungsi sistem AI | Apa yang dilakukan, di proses bisnis mana |
| Sumber sistem | Dikembangkan sendiri, vendor, atau open source |
| Data yang digunakan | Jenis data input, sumber data |
| Keputusan yang dihasilkan | Otomatis, semi-otomatis, atau rekomendasi |
| Proses bisnis yang terdampak | Ketergantungan operasional |
Tahap 2: Pemetaan Risiko
Setelah inventaris selesai, setiap sistem AI perlu dievaluasi risikonya. Tidak semua AI punya profil risiko yang sama. Model yang digunakan untuk segmentasi marketing punya risiko yang sangat berbeda dengan model yang menentukan kelayakan kredit. Pemetaan ini yang menentukan prioritas penanganan.
| Dimensi Risiko | Yang Dievaluasi |
| Bias dan diskriminasi | Apakah ada potensi output yang tidak adil terhadap subkelompok tertentu? |
| Privasi data | Apakah data yang digunakan sesuai tujuan pengumpulan? |
| Keamanan | Apakah pipeline AI rentan terhadap serangan atau manipulasi? |
| Kepatuhan | Apakah penggunaan AI sesuai regulasi yang berlaku? |
| Dampak operasional | Apa konsekuensinya jika model gagal atau memberikan output keliru? |
Tahap 3: Membangun AI Governance Framework
Ini bagian yang paling sering dilewati, dan paling sering menimbulkan masalah di kemudian hari. AI governance framework bukan sekadar dokumen kebijakan yang dibuat sekali dan disimpan di folder shared drive yang tidak pernah dibuka. Ini adalah sistem kerja yang harus hidup di dalam proses bisnis sehari-hari.
Yang perlu dibangun di tahap ini mencakup kebijakan AI organisasi yang mendefinisikan prinsip dan batasan penggunaan, struktur peran dan tanggung jawab yang jelas terkait siapa yang mengembangkan, menyetujui, dan mengawasi model, prosedur review sebelum deployment, serta mekanisme eskalasi ketika ada masalah.
Salah satu tantangan yang sering muncul: siapa yang memimpin inisiatif ini? Jawaban idealnya bukan hanya IT, bukan hanya compliance, dan bukan hanya risk management, tapi kolaborasi lintas fungsi yang melibatkan semua pemangku kepentingan relevan.
Tahap 4: Dokumentasi dan Kontrol
Ada prinsip tidak tertulis dalam dunia audit: kalau tidak terdokumentasi, dianggap tidak terjadi. Prinsip ini berlaku penuh dalam tata kelola AI.
Setiap keputusan desain model, setiap asumsi yang dibuat saat pengembangan, setiap hasil validasi sebelum deployment, setiap perubahan yang dilakukan pada model yang sudah berjalan, semuanya harus tercatat. Ini memang membutuhkan disiplin ekstra, tapi nilainya sangat terasa ketika ada audit, insiden, atau pertanyaan dari regulator.
| Dokumen Minimum | Isi |
| Model Card | Deskripsi model, tujuan, keterbatasan, data yang digunakan |
| Data Documentation | Sumber data, proses preprocessing, potensi bias |
| Validation Report | Hasil pengujian sebelum dan sesudah deployment |
| Change Log | Riwayat perubahan model |
| Incident Log | Catatan masalah dan tindakan korektif |
Tahap 5: Monitoring Berkelanjutan
Model AI bukan sesuatu yang bisa dibiarkan berjalan sendiri tanpa pengawasan. Kondisi dunia nyata berubah, perilaku nasabah bergeser, pola transaksi berevolusi, kualitas data input fluktuatif. Semua itu bisa mempengaruhi performa model secara gradual, dan kalau tidak ada mekanisme deteksi, penurunan performa bisa berlangsung lama sebelum akhirnya terdeteksi dari dampaknya.
Model drift, istilah untuk kondisi ketika performa model menurun karena perubahan distribusi data, adalah salah satu risiko operasional AI yang paling nyata tapi paling sering diabaikan. Monitoring yang baik harus bisa mendeteksi ini sejak dini, sebelum dampaknya terasa ke nasabah.
Tahap 6: Audit Internal
Sebelum menghadapi audit eksternal, organisasi perlu memverifikasi sendiri apakah sistem tata kelola yang sudah dibangun benar-benar berjalan efektif, bukan hanya ada di atas kertas. Audit internal yang dilakukan dengan serius, oleh tim yang memahami AI governance, akan mengidentifikasi gap jauh sebelum auditor eksternal menemukannya.
Tahap 7: Persiapan Sertifikasi
Setelah enam tahap sebelumnya berjalan dengan baik, organisasi sudah berada dalam posisi yang jauh lebih kuat untuk menjalani proses sertifikasi formal ISO/IEC 42001 oleh lembaga sertifikasi terakreditasi. Persiapan terakhir mencakup gap assessment komprehensif, penyelesaian temuan, dan audit internal final sebelum menghadapi certification audit dari lembaga eksternal.
Baca juga : Perbedaan ISO/IEC 42001 dengan ISO/IEC 27001: Mana yang Wajib Diterapkan Perusahaan?
Apakah Tata Kelola AI Perusahaan Anda Sudah Aman?
Sebelum memutuskan langkah selanjutnya, jawab pertanyaan berikut ini dengan jujur. Tidak ada jawaban yang salah, ini hanya untuk memberikan gambaran kondisi saat ini.
| No | Pertanyaan | Ya | Tidak |
| 1 | Apakah ada inventaris lengkap semua sistem AI yang digunakan? | ☐ | ☐ |
| 2 | Apakah ada kebijakan AI tertulis yang sudah disetujui manajemen? | ☐ | ☐ |
| 3 | Apakah penilaian risiko sudah dilakukan untuk setiap sistem AI? | ☐ | ☐ |
| 4 | Apakah ada peran dan tanggung jawab yang jelas terkait pengelolaan AI? | ☐ | ☐ |
| 5 | Apakah model AI diuji secara berkala untuk bias dan akurasi? | ☐ | ☐ |
| 6 | Apakah ada mekanisme monitoring performa model yang berjalan? | ☐ | ☐ |
| 7 | Apakah setiap sistem AI terdokumentasi dengan memadai? | ☐ | ☐ |
| 8 | Apakah ada prosedur penanganan insiden terkait AI? | ☐ | ☐ |
| 9 | Apakah staf yang menggunakan AI sudah mendapat pelatihan yang cukup? | ☐ | ☐ |
| 10 | Apakah manajemen senior aktif terlibat dalam pengawasan tata kelola AI? | ☐ | ☐ |
| Skor | Interpretasi |
| 8–10 Ya | Fondasi sudah cukup kuat. Langkah berikutnya adalah formalisasi melalui ISO 42001 |
| 5–7 Ya | Ada kemajuan, tapi masih ada gap yang perlu diselesaikan. Pertimbangkan gap assessment profesional |
| Di bawah 5 Ya | Perlu membangun dari fondasi. Ini justru momen yang tepat untuk memulai dengan benar |
5 Kesalahan Fatal Saat Mengimplementasikan Tata Kelola AI
Memahami apa yang perlu dilakukan adalah setengah dari perjalanan. Setengah lainnya adalah memahami jebakan yang sering tidak disadari, sampai dampaknya sudah terasa.
Menganggap AI hanya urusan IT. Ini mungkin kesalahan paling mahal. Ketika tata kelola AI diserahkan sepenuhnya ke departemen teknis, aspek-aspek kritis seperti etika, dampak pada nasabah, risiko reputasi, dan kepatuhan regulasi sering tidak mendapat perhatian yang cukup. AI governance yang efektif membutuhkan keterlibatan risk management, compliance, legal, operasional, dan manajemen senior, bukan hanya tim yang membangun modelnya.
Tidak melibatkan risk management sejak awal. Anehnya, ini cukup umum terjadi. Tim risk management yang justru paling terlatih dalam mengidentifikasi dan memitigasi risiko, sering kali hanya dilibatkan belakangan, atau sama sekali tidak dilibatkan dalam proses evaluasi sistem AI. Ini menciptakan blind spot yang berbahaya.
Tidak memiliki AI policy. Bayangkan sebuah organisasi yang menggunakan AI untuk membuat keputusan yang berdampak pada jutaan nasabah, tapi tidak punya satu dokumen pun yang mendefinisikan prinsip penggunaan yang boleh dan tidak boleh. Lebih umum dari yang dikira. AI policy bukan dokumen seremonial, ini panduan yang melindungi organisasi dari inkonsistensi, keputusan yang tidak etis, dan paparan regulasi.
Tidak menguji bias secara granular. “Model kami sudah diuji, akurasinya 93%.” Pernyataan seperti ini terdengar meyakinkan, tapi tidak cukup. Akurasi global yang tinggi tidak menjamin model bebas dari bias terhadap subkelompok tertentu. Pengujian bias membutuhkan analisis yang lebih dalam, melihat performa model per segmen demografis dan mengidentifikasi apakah ada disparitas yang tidak dapat dibenarkan.
Mengabaikan dokumentasi. Kalau tidak ada catatan, tidak ada yang bisa diaudit, diverifikasi, atau dijadikan dasar perbaikan. Setiap keputusan desain, setiap asumsi dalam pengembangan model, setiap trade-off yang diambil, semua itu perlu terdokumentasi. Bukan untuk memenuhi formalitas, tapi karena dokumentasi adalah memori institusional yang nilainya baru terasa ketika dibutuhkan.
Bagaimana ICICERT Membantu?
Membangun AI governance dari nol memang tidak mudah, terutama bagi organisasi yang sumber dayanya terfokus pada pertumbuhan bisnis. Di sinilah pendampingan dari pihak yang berpengalaman bisa membuat perbedaan yang signifikan.
ICICERT menyediakan layanan yang dirancang spesifik untuk membantu organisasi keuangan, dari bank konvensional hingga fintech, dalam mempersiapkan dan mengimplementasikan tata kelola AI yang solid dan berkelanjutan.
| Layanan | Deskripsi |
| Awareness Training | Program pelatihan yang disesuaikan dengan konteks industri keuangan Indonesia; membantu seluruh stakeholder memahami mengapa tata kelola AI itu penting |
| Gap Assessment | Evaluasi mendalam kondisi tata kelola AI saat ini versus persyaratan ISO 42001; hasilnya berupa peta jalan implementasi yang konkret |
| AI Governance Review | Evaluasi kebijakan, prosedur, dan kontrol yang sudah ada; identifikasi apa yang perlu diperkuat dan apa yang masih missing |
| Internal Audit | Pendampingan audit internal sebelum menghadapi sertifikasi eksternal |
| Pendampingan Sertifikasi | Dari persiapan dokumen hingga pendampingan selama certification audit |
Tidak ada pendekatan yang berlaku sama untuk semua organisasi. Ukuran, tingkat penggunaan AI, profil risiko, dan kematangan tata kelola masing-masing organisasi berbeda. Layanan ICICERT dirancang untuk mengakomodasi perbedaan itu, bukan memaksakan template yang sama ke semua orang.
Menunggu Regulasi: Strategi yang Mahal
Ada pola yang berulang dalam dunia kepatuhan. Regulasi terbit, organisasi panik, semua orang bergerak serentak dalam waktu yang sangat terbatas, dengan biaya yang jauh lebih tinggi dari seharusnya. Kita sudah melihat ini dengan GDPR, dengan regulasi perlindungan data di Indonesia, dengan berbagai ketentuan keamanan siber yang berlaku mendadak terasa mendesak.
Regulasi AI kemungkinan besar akan mengikuti pola yang sama. Bedanya, implementasi tata kelola AI jauh lebih kompleks dibandingkan kepatuhan regulasi teknis lainnya. Inventarisasi sistem, pemetaan risiko, pengembangan kebijakan, pelatihan SDM, pembangunan infrastruktur monitoring, dokumentasi yang komprehensif, semua itu tidak bisa dilakukan dalam hitungan minggu. Butuh berbulan-bulan, bahkan lebih dari setahun untuk organisasi yang memulai dari nol.
Organisasi yang mulai membangun tata kelola AI sekarang punya keunggulan nyata: mereka tidak akan terburu-buru ketika regulasi resmi terbit, biaya implementasinya lebih terkendali, posisi mereka di depan regulator lebih kredibel, dan yang paling penting, risiko AI yang sudah teridentifikasi dan dimitigasi lebih awal tidak sempat menimbulkan insiden yang merugikan.
Tata kelola AI yang baik bukan overhead, ini adalah investasi yang melindungi organisasi, nasabah, dan kepercayaan yang sudah dibangun selama bertahun-tahun.
Penutup
Penggunaan AI di sektor keuangan Indonesia tidak akan berhenti, dan tidak ada alasan untuk berharap sebaliknya. Efisiensi, skalabilitas, dan kemampuan analitik yang dibawanya terlalu besar untuk diabaikan. Tapi dengan skala penggunaan yang semakin besar, ekspektasi terhadap bagaimana AI itu dikelola juga akan terus meningkat, dari regulator, dari investor, dan dari nasabah.
Pertanyaannya bukan lagi apakah organisasi perlu serius mengelola AI. Pertanyaannya adalah: seberapa siap Anda ketika tuntutan itu datang secara resmi?
Tim ICICERT siap membantu organisasi Anda memulai perjalanan itu, dari gap assessment, AI governance review, awareness training, hingga pendampingan penuh menuju sertifikasi ISO/IEC 42001.
Mulai dari langkah pertama. Jangan tunggu sampai semua orang berlari serentak.
FAQ
- Apa itu ISO 42001?
ISO/IEC 42001:2023 adalah standar internasional untuk Artificial Intelligence Management System (AIMS). Standar ini memberikan kerangka kerja bagi organisasi untuk mengelola risiko, tata kelola, transparansi, dan akuntabilitas dalam penggunaan AI. - Apakah ISO 42001 wajib untuk bank?
Saat ini belum wajib, ini masih standar sukarela. Tapi mengingat arah regulasi global dan inisiatif domestik yang sedang berkembang, organisasi yang sudah menerapkannya akan berada dalam posisi yang jauh lebih siap ketika kewajiban formal akhirnya muncul. - Apakah fintech perlu ISO 42001?
Fintech yang menggunakan AI dalam proses bisnis inti, credit scoring, fraud detection, customer onboarding, dan sejenisnya, sangat relevan untuk mempertimbangkan standar ini. Baik dari perspektif manajemen risiko internal maupun kepercayaan regulator dan mitra bisnis. - Apa hubungan ISO 42001 dengan regulasi AI yang sedang berkembang?
ISO 42001 tidak identik dengan satu regulasi tertentu, tapi menyediakan kerangka tata kelola yang mendukung kepatuhan terhadap berbagai regulasi, termasuk EU AI Act, OECD AI Principles, dan regulasi domestik yang sedang difinalisasi. Implementasinya memperkuat posisi kepatuhan secara umum. - Berapa lama implementasi ISO 42001?
Bergantung pada kematangan tata kelola AI yang sudah ada. Untuk organisasi yang mulai dari awal, umumnya antara 9 bulan hingga lebih dari setahun untuk implementasi penuh hingga siap sertifikasi. Gap assessment di awal akan memberikan estimasi yang lebih akurat untuk situasi spesifik organisasi. - Apakah ISO 42001 bisa diintegrasikan dengan ISO 27001?
Ya. ISO 42001 menggunakan struktur High Level Structure (HLS) yang kompatibel dengan standar manajemen ISO lainnya, termasuk ISO 27001 dan ISO 9001. Organisasi yang sudah memiliki ISO 27001 akan menemukan banyak kesamaan yang bisa dimanfaatkan untuk efisiensi implementasi.
