ISO 27001 hadir sebagai solusi bagi perusahaan yang ingin mengamankan aset informasinya dari segala bentuk risiko yang merugikan dan menghambat operasional bisnis. Standar ISO 27001 dirancang oleh badan standarisasi internasional yang bertujuan untuk membantu perusahaan di seluruh dunia dalam menerapkan, mengelola, dan mempertahankan keamanan informasi.
Penerapan ISO 27001 sangat penting, terutama dalam perkembangan teknologi digital yang masif seperti sekarang. Hal ini karena ISO 27001 dapat membantu perusahaan dalam melindungi informasi penting, termasuk data pelanggan, informasi keuangan, dan informasi rahasia lainnya. Namun, sebelum menerapkan ISO 27001 perusahaan harus mengetahui dan memahami apa itu SoA atau Statement of Applicability yang merupakan bagian mendasar dari sistem manajemen keamanan informasi (ISMS). SoA menjadi salah satu dokumen terpenting yang perlu perusahaan siapkan untuk mendapatkan sertifikasi ISO 27001.
Baca juga : Pentingnya ISO 27001 dan ISO 27002 dalam Kepatuhan Perlindungan Data Pribadi
Statement of Applicability dalam ISO 27001
Statement of applicability (SoA) harus tersedia selama fase audit ISO 27001 karena SoA akan membantu mengidentifikasi kontrol dan kebijakan ISO 27001 yang digunakan perusahaan. Kontrol-kontrol tersebut berasal dari Lampiran A yang berisikan katalog kontrol dan tujuan keamanan informasi yang perlu dipertimbangkan perusahaan selama implementasi ISO 27001.
Menurut klausul 6.1.3, SoA harus meliputi:
- Mencantumkan kontrol keamanan informasi yang telah dipilih oleh perusahaan untuk mengurangi risiko.
- Menjelaskan mengapa kontrol ini dipilih untuk ISMS perusahaan.
- Menyatakan apakah kontrol yang berlaku telah diterapkan sepenuhnya.
- Menjelaskan mengapa ada kontrol yang dikecualikan.
Baca juga : Ini Caranya ISO 27001 Membantu Organisasi Mencegah Serangan Siber!
Cara membuat SoA (Statement of Applicability)
Berikut adalah langkah-langkah untuk membuat Statement of Applicability (SoA) dalam konteks ISO 27001.
- Identifikasi aset informasi dan risikonya
Selesaikan penilaian risiko ISO 27001 dengan membuat daftar semua aset informasi perusahaan yang perlu dilindungi dengan mengidentifikasi dan menentukan tingkat risiko untuk masing-masing aset. - Tentukan rencana penanganan risiko
Setelah memiliki daftar risiko yang teridentifikasi, perusahaan perlu memutuskan tindakan keamanan apa yang harus diambil untuk setiap risiko tersebut. Rencana penanganan risiko meliputi dokumen yang merangkum setiap risiko, menetapkan pemilik untuk setiap risiko, dan merinci bagaimana perusahaan berencana untuk mengurangi atau menerima setiap risiko. - Menentukkan kontrol keamanan
Setelah perusahaan mengidentifikasi risiko yang ingin ditangani, perusahaan bisa memilih kontrol yang diperlukan untuk mengurangi dampak yang ditimbulkan. Dalam menentukan kontrol keamanan, perusahaan dapat menggunakan kontrol pada Annex A ISO 27001 sebagai panduan. Pemilihan kontrol dilakukan berdasarkan hasil penilaian risiko dengan tujuan mengurangi risiko yang telah diidentifikasi tersebut. - Menyusun daftar kontrol yang dipilih dan yang dikecualikan
Buatlah daftar kontrol keamanan yang akan diterapkan di organisasi dan yang tidak akan diterapkan beserta alasannya. Setiap keputusan perusahaan untuk tidak menangani risiko tertentu dalam rencana penanganan risiko ISO 27001 harus didokumentasikan dengan baik. Daftar kontrol keamanan diperlukan saat Perusahaan menyusun SoA dan saat proses audit. Auditor akan melihat apakah perusahaan menyadari risiko yang dihadapi dan membuat keputusan yang tepat. - Menyusun dokumen SoA
Penyusunan dokumen SoA dilakukan dengan mencantumkan kontrol yang direkomendasikan oleh Lampiran A atau Annex A. Termasuk pernyataan tentang apakah perusahaan telah menerapkan setiap kontrol dengan baik. Perusahaan juga akan mencantumkan apakah kontrol tersebut memenuhi persyaratan hukum, kontrak, bisnis, atau kepatuhan, beserta tanggal penerapannya. - Review dan persetujuan dari manajemen
Perusahaan harus mengevaluasi, menambah, dan menyesuaikan kontrol keamanan secara berkala. Proses review terhadap SoA diperlukan untuk memastikan akurasi dan kelengkapan dokumen SoA beserta bukti pendukungnya. Selain itu, SoA juga harus mendapatkan persetujuan dari manajemen puncak untuk memastikan komitmen terhadap penerapan kontrol dan kebijakan keamanan informasi sesuai persyaratan ISO 27001.
Baca juga : ISO 27001 Bukti Integritas Perusahaan
Hubungi Kami
Diskusikan kebutuhan konsultansi dan pendampingan sertifikasi Anda bersama kami. Kami siap membantu Anda.