Statement of Applicability (SoA) adalah dokumen yang merinci kontrol keamanan informasi yang relevan yang diterapkan dalam sebuah organisasi sesuai dengan persyaratan standar ISO 27001. Dokumen ini mencakup penilaian risiko, keputusan tentang kontrol yang diterapkan, dan alasan di balik penerapan atau pengecualian dari kontrol tertentu. SoA memberikan gambaran menyeluruh tentang bagaimana organisasi mengelola risiko keamanan informasi dan bagaimana kontrol dikonfigurasi untuk melindungi aset informasi.

Baca juga: Apa itu Statement of ApplicabilityISO 27001

Untuk mendapatkan sertifikasi ISO 27001 organisasi wajib memiliki Statement of Applicability (SoA). Dokumen SoA berisikan penjelasan kontrol keamanan informasi (SMKI) pada annex A yang dinilai perlu diterapkan dan dikelola oleh organisasi dalam mengadapi risiko keamanan informasi. Karena sifatnya yang confidential, dokumen internal ini hanya boleh dibagikan di internal organisasi dan auditor yang bertugas. Kegagalan dalam SoA bisa mengakibatkan penundaan proses sertifikasi dan menghambat pencapaian sertifikasi ISO 27001.

Menurut klausul 6.1.3, SoA harus mencakup:

1. Daftar kontrol keamanan informasi yang dipilih organisasi untuk memitigasi risiko
2. Penjelasan mengapa kontrol ini dipilih untuk ISMS di Organisasi.
3. Pernyataan pengendalian yang berlaku telah diterapkan sepenuhnya.
4. Penjelasan mengapa ada kontrol yang dikecualikan.

Cara Membuat Statement of Applicability (SoA)

Berikut ini beberapa langkah untuk membuat Statement of Applicability.

• Memahami persyaratan ISO 27001

Memahami beragam persyaratan merupakan langkah penting bagi mereka yang baru mengenal keamanan informasi atau ISO 27001. Memahami persyaratan ini memastikan validitas dan kelengkapan Statement of Applicability (SoA).

• Melakukan penilaian risiko

Untuk memulai penulisan SoA langkah awal yang diperlukan adalah melakukan penilaian risiko. Tujuannya untuk mengevaluasi risiko keamanan informasi yang bisa mengancam organisasi.

• Menentukan metodologi yang sesuai

Penilaian risiko harus disesuaikan dengan lingkungan organisasi. Anda perlu memilih metodologi penilaian risiko yang dapat mengumpulkan informasi yang diperlukan mengenai risiko tertentu yang dapat mempengaruhi perusahaan.

• Mencari panduan

Jika organisasi tidak memiliki tim keamanan siber yang expert, maka perlu mempertimbangkan untuk menggunakan jasa konsultan yang dapat membantu dalam mengidentifikasi ancaman yang dapat mempengaruhi kemampuan atau keberhasilan organisasi Anda dalam mencapai tujuan.

Kenapa SoA Sangat Penting untuk Organisasi?

SoA (Statement of Applicability) sangat penting untuk organisasi karena berperan sebagai dokumen yang menyajikan informasi terkait kebijakan keamanan informasi yang telah diadopsi, serta langkah-langkah kontrol yang diterapkan oleh organisasi sesuai dengan persyaratan ISO 27001. Berikut adalah beberapa alasan mengapa SoA sangat penting:

1. Mengidentifikasi Kendala Keamanan

SoA membantu organisasi mengidentifikasi dan mengevaluasi kendala keamanan yang mungkin terjadi, termasuk ancaman dan kerentanan yang perlu ditangani.

2. Menunjukkan Kepatuhan

Dokumen SoA mencerminkan sejauh mana organisasi telah menerapkan kontrol keamanan informasi yang diperlukan sesuai dengan standar ISO 27001. Hal ini membantu dalam menunjukkan tingkat kepatuhan organisasi terhadap standar tersebut.

3. Dasar Perencanaan Keamanan

SoA memberikan dasar yang kokoh untuk merencanakan dan mengimplementasikan strategi keamanan informasi yang efektif. Dengan mengetahui kontrol apa yang diperlukan, organisasi dapat mengalokasikan sumber daya dengan lebih efisien.

4. Peningkatan Keamanan

Dengan pemahaman yang jelas tentang kontrol yang diterapkan, organisasi dapat terus memantau dan meningkatkan sistem keamanan mereka sesuai dengan kebutuhan dan perkembangan yang terjadi.

5. Kepedulian Pelanggan

SoA dapat digunakan sebagai alat komunikasi kepada pihak terkait, termasuk pelanggan dan mitra bisnis, untuk menunjukkan komitmen organisasi terhadap keamanan informasi dan perlindungan data.

6. Memandu audit internal dan sertifikasi

Selama audit sertifikasi ISO 27001, statement of applicability berperan sebagai dokumen utama bagi auditor untuk memeriksa apakah kontrol benar-benar berfungsi atau tidak.

7. Menyediakan dokumen kerja untuk memantau dan meningkatkan ISMS

Statement of applicability tidak hanya berperan untuk kepentingan auditor dalam proses audit sertifikasi saja. Nilai utamanya adalah sebagai alat bagi organisasi untuk memantau dan meningkatkan ISMS yang diterapkan.

SoA tidak hanya merupakan persyaratan penting dari ISO 27001, tetapi juga merupakan instrumen yang sangat berharga dalam memperkuat dan meningkatkan praktik keamanan informasi organisasi.