ISO 27001 merupakan bentuk pedoman yang dikeluarkan oleh organisasi internasional yaitu international organization of standardization (ISO) yang mempunyai kerangka kerja untuk membantu organisasi dalam menjaga, menerapkan, dan meningkatkan sistem manajemen keamanan informasi, selain itu standar ini juga dapat membantu organisasi dalam mengurangi risiko dan membangun kepercayaan pelanggan. Dalam penerapan ISO 27001 terdapat satu komponen utama yaitu statement of applicability (SoA). Apa itu SoA? simak penjelasan berikut ini.
Baca juga: Mengenal sistem manajemen keamanan informasi berbasis ISO 27001
Pengertian Statement of application (SoA)
Statement of Applicability (SoA) adalah persyaratan utama bagi organisasi untuk bisa mendapatkan sertifikasi ISO. Persyaratan ini menjadi salah satu poin utama auditor saat melakukan audit, dan merupakan dokumen penting untuk menunjukkan kepatuhan pada ISO 27001.
SoA harus tersedia selama fase audit ISO 27001 serta dapat mengidentifikasi kontrol dan kebijakan ISO 27001 yang digunakan perusahaan. Kontrol-kontrol tersebut dipilih berdasarkan lampiran A atau Annex A ISO 27001. Annex A adalah katalog kontrol dan tujuan keamanan informasi yang perlu dipertimbangkan organisasi selama implementasi ISO 27001.
Baca juga: Implementasi kontrol annex A ISO 27001
Karakteristik Statement of Applicability
SoA merupakan dokumen yang dapat didaftarkan sebagai persyaratan sertifikasi ISO 27001. Dokumen ini meliputi:
- Kontrol standar
- Apakah kontrol tersebut sudah diterapkan atau belum
- Status penerapan
- Dokumentasi seperti prosedur, bukti, dll
- Semua data tambahan yang penting untuk dicatat
Baca juga: CIA triad ISO 27001
Keuntungan Statement of Applicability (SoA)
Mengingat pentingnya SoA dalam penerapan ISO 27001, berikut beberapa keuntungan yang dapat diperoleh dengan memiliki dokumen SoA.
- SoA memungkinkan penelusuran antara kontrol standar dan apa yang benar-benar harus dilakukan dalam organisasi, sehingga SoA dapat memberikan visi yang luas tentang apa yang dilakukan organisasi untuk melindungi informasinya.
- SoA memungkinkan pembenaran atas penyertaan atau pengecualian setiap kontrol. Aspek ini tidak termasuk dalam laporan penilaian risiko.
- Organisasi yang mengembangkan dan menerapkan sistem manajemen keamanan informasi, dan yang ingin mendapatkan sertifikasi ISO 27001, harus memiliki dokumen SoA.
- Dokumen ini menjadi panduan utama bagi auditor internal dan eksternal saat melaksanakan proses audit. Pada umumnya, auditor akan mengakses statement of applicability (SoA) untuk mengukur sejauh mana kepatuhan organisasi terhadap standar ISO 27001.
Baca juga: Proses risk assessment ISO 27001