Perkembangan teknologi memudahkan organisasi dalam mengelola dan mengakses informasi secara digital, tanpa harus menyimpan dokumen secara fisik. Namun, bukan berarti perkembangan teknologi tidak luput dari celah keamanan seperti serangan siber atau pembajakan (hacking). Oleh karena itu, organisasi disarankan untuk menerapkan Sistem Manajemen Keamanan Informasi (SMKI) dengan penerapan (SoA) ISO 27001.
Contents
Apa itu Statement of Applicability (SoA)
Statement of Applicability (SoA) atau Pernyataan Penerapan (dalam SNI/IEC ISO 27001) adalah salah satu langkah tindakan yang terdapat pada Klausa ISO 27001 Nomor 6.1.3 tentang Information Security Risk Treatment (Penanganan Risiko Keamanan Informasi). SoA bertindak sebagai pusat kontrol dan penanganan dalam mengatasi risiko keamanan informasi. Dokumen SoA merangkum bagaimana menentukan, membandingkan, membenarkan, menyertakan, serta meniadakan kontrol yang sudah dibuat berdasarkan kebutuhan yang terlampir pada Annex A (Lampiran A). Tindakan ini akan mempermudah organisasi dalam penanganan risiko keamanan informasi.
Baca juga: Implementasi ISO 27001 di Perbankan dan Pemerintahan
Langkah Efektif Menyusun Pernyataan Penerapan (SoA) ISO 27001
Pernyataan Penerapan (SoA) tercantum pada standar dokumen ISO 27001 sehingga penting bagi organisasi yang berkomitmen pada keamanan informasi untuk menyusun SoA dalam mencegah dan penanganan pada risiko keamanan informasi. Berikut beberapa langkah efektif dalam menyusun pernyataan penerapan (SoA) ISO 27001:
1. Pahami Konteks Organisasi
Hal pertama yang dapat dilakukan organisasi yaitu mengidentifikasi terkait isu internal dan eksternal yang relevan terkait dengan keamanan informasi. Selain itu, libatkan kebutuhan dan harapan dari stakeholder.
2. Lakukan Penilaian Risiko Keamanan Informasi
Langkah selanjutnya, organisasi harus memahami aset informasi, ancaman, dan kerentanannya terhadap dampak dan kemungkinan risiko terhadap bisnis. Tentukan kontrol yang diperlukan untuk menangani risiko yang tidak dapat diterima.
3. Tinjau Annex A ISO/IEC 27001:2022
Dalam ISO/IEC 27001:2022 terdapat 93 kontrol dalam 4 tema utama yaitu organisational, people, physical, technological. Kemudian lakukan tinjauan satu per satu kontrol dan tentukan, apakah relevan atau tidak. Jika tidak relevan, berikan penilaian yang logis.
4. Tentukan Status Penerapan Kontrol
Setelah kontrol dianggap relevan, nyatakan status penerapan kontrol dengan sudah diterapkan, direncanakan untuk diterapkan, atau tidak diterapkan (dengan alasan yang jelas).
5. Dokumentasikan Sumber Referensi
Hubungkan kontrol dengan kebijakan, prosedur, atau dokumen pendukung yang ada, seperti Kebijakan Akses (Access Control Policy) mengacu pada kontrol 5.1.1 Annex A.1.
6. Susun SoA secara Sistematis
Susun SoA secara sistematis dengan menyertakan:
7. Review dan Validasi Internal
Libatkan tim IT dan manajemen organisasi untuk memastikan validitas dan kelayakan penerapan kontrol apakah sesuai dengan Annex A ISO 2700 dan selaras dengan kebijakan serta kebutuhan organisasi.
8. Perbarui secara Berkala
Kemungkinan dan risiko keamanan informasi terus berkembang. Oleh karena itu, dokumen SoA akan selalu mengalami perkembangan dan wajib untuk diperbarui. Pembaharuan pada dokumen SoA secara garis besar meliputi:
- Perubahan risiko
- Revisi kebijakan atau teknologi
- Audit internal dan eksternal
- Perubahan dalam regulasi atau standar ISO
Untuk menentukan apakah risiko keamanan informasi yang dihadapi sesuai dengan kebutuhan dan selaras dengan standar dokumen ISO 27001, maka SoA dapat digunakan sebagai jembatan dalam mengontrol serta menangani risiko keamanan informasi. Anda dapat berkonsultasi dengan kami terkait SoA maupun ISO 27001 dengan mengunjungi website berikut ini madhava.id.
Kami berkomitmen dalam memenuhi kebutuhan perusahaan Anda dalam mencapai standar internasional dan regulasi seperti Peraturan Pemerintah, KOMINFO/BSSN, PBI/POJK/ BAPPEBTI, dan sebagainya melalui implementasi yang efektif dan akurat.