Pentingnya Pernyataan Penerapan dalam ISO 27001

November 25, 2022
| No Comments

Pernyataan Penerapan Dalam ISO 27001 – Apa Itu dan Mengapa Itu Penting?

Pentingnya Pernyataan Penerapan dalam ISO 27001 (kadang-kadang disebut sebagai SoA) biasanya disepelekan seperti Manual Kualitas dalam ISO 9001, ini adalah dokumen pusat yang mendefinisikan bagaimana Anda akan menerapkan sebagian besar keamanan informasi Anda.

Sebenarnya, Pernyataan Penerapan (ISO 27001 Klausul 6.1.3 d) adalah hubungan utama antara penilaian & perlakuan risiko dan implementasi keamanan informasi Anda. Tujuannya adalah untuk menyajikan pandangan komprehensif tentang bagaimana keamanan informasi diimplementasikan dalam organisasi.

Elemen Wajib dari Dokumen Pernyataan Penerapan:

  1. Definisi kontrol mana (langkah-langkah keamanan) yang akan diterapkan, yang mencakup kontrol yang disarankan dari ISO 27001 Lampiran klausul
  2. Pembenaran untuk penyertaan kontrol yang berlaku
  3. Status implementasi kontrol yang berlaku (yaitu, apakah diterapkan atau tidak)
  4. Pembenaran untuk pengecualian kontrol dari Lampiran klausul yang tidak berlaku

Baca juga : Bagaimana Mengelola Dokumen Menurut ISO 27001

Pernyataan Penerapan ISO 27001 – Mengapa Diperlukan

Sekarang mengapa dokumen seperti itu diperlukan ketika Anda sudah menghasilkan Laporan Penilaian Risiko (yang juga wajib), dan yang juga mendefinisikan kontrol yang diperlukan? Berikut alasannya:

  1. Pertama-tama, selama perawatan risiko Anda mengidentifikasi kontrol yang diperlukan karena Anda mengidentifikasi risiko yang perlu dikurangi; namun, di SoA Anda juga mengidentifikasi kontrol yang diperlukan karena alasan lain yaitu, karena hukum, persyaratan kontrak, karena proses lain, dll.
  2. Kedua, Pernyataan Penerapan ISO 27001 membenarkan penyertaan dan pengecualian kontrol dari Lampiran klausul, dan penyertaan kontrol dari sumber lain.
  3. Ketiga, Laporan Penilaian Risiko bisa sangat panjang beberapa organisasi mungkin mengidentifikasi beberapa ribu risiko (kadang-kadang bahkan lebih), sehingga dokumen semacam itu tidak benar-benar berguna untuk penggunaan operasional sehari hari; di sisi lain, Pernyataan Penerapan agak pendek ia memiliki baris untuk setiap kontrol (kontrol dari Lampiran klausul, ditambah yang ditambahkan), yang memungkinkan untuk menyajikannya kepada manajemen dan untuk tetap up-to-date.
  4. Keempat, dan yang paling penting, SoA mendokumentasikan status implementasi kontrol yang diusulkan. Praktik yang baik (dan sebagian besar auditor akan mencari ini) juga untuk menggambarkan bagaimana setiap kontrol yang berlaku diterapkan – misalnya, baik dengan membuat referensi ke dokumen (kebijakan / prosedur / instruksi kerja dll.), Atau dengan segera menggambarkan prosedur yang digunakan, atau peralatan yang digunakan.

Apa Saja Elemen Wajib dari SoA?

Menurut standar, ini adalah persyaratan dari klausul 6.1.3 yang harus dipenuhi oleh dokumen Pernyataan Keberlakuan:

  1. Definisi kontrol mana (langkah-langkah keamanan) yang akan diterapkan, yang mencakup kontrol yang disarankan dari ISO 27001 Lampiran Klausul dan berpotensi dari sumber lain
  2. Pembenaran untuk penyertaan kontrol yang berlaku
  3. Status implementasi kontrol yang berlaku (yaitu, apakah diterapkan atau tidak)
  4. Pembenaran untuk pengecualian kontrol dari Lampiran Klausul yang tidak berlaku

Harap dicatat bahwa Lampiran Klausul dianggap komprehensif, tetapi tidak lengkap untuk semua situasi. Itu sebabnya organisasi juga dapat mempertimbangkan sumber lain untuk kontrol (misalnya, publikasi khusus NIST, pedoman ENISA, dll.).

 

Dokumen SoA Memiliki Peran Sentral Selama Audit

Sebenarnya, jika Anda menggunakan sertifikasi ISO 27001, auditor sertifikasi akan mengambil Pernyataan Penerapan Anda dan berjalan di sekitar perusahaan Anda memeriksa apakah Anda telah menerapkan kontrol Anda dengan cara yang Anda gambarkan dalam SoA Anda. Ini adalah dokumen pusat untuk melakukan audit di tempat mereka.

Sejumlah kecil perusahaan menyadari bahwa dengan menulis Pernyataan Penerapan ISO 27001 yang baik, Anda dapat mengurangi jumlah dokumen lain – misalnya, jika Anda ingin mendokumentasikan kontrol tertentu, tetapi jika deskripsi prosedur untuk kontrol itu agak singkat, Anda dapat menjelaskannya dalam dokumen SoA. Oleh karena itu, Anda akan menghindari menulis dokumen lain.

 

Pernyataan Penerapan – Mengapa ini berguna

Biasanya, sebagian besar perusahaan yang menerapkan sistem manajemen keamanan informasi sesuai dengan ISO 27001 menghabiskan lebih banyak waktu untuk menulis dokumen ini daripada yang mereka perkirakan. Alasan untuk ini adalah mereka harus memikirkan bagaimana mereka akan menerapkan kontrol mereka: Apakah mereka akan membeli peralatan baru? Atau mengubah prosedur? Atau mempekerjakan karyawan baru? Ini adalah keputusan yang cukup penting (dan terkadang mahal), sehingga tidak mengherankan bahwa dibutuhkan cukup banyak waktu untuk mencapainya. Hal yang baik tentang SoA adalah memaksa organisasi untuk melakukan pekerjaan ini secara sistematis.

Oleh karena itu, Anda tidak boleh menganggap dokumen ini hanya sebagai salah satu dari “dokumen overhead” yang tidak ada gunanya dalam kehidupan nyata. Anggap saja sebagai pernyataan utama di mana Anda menentukan apa yang ingin Anda lakukan dengan keamanan informasi Anda. Ditulis dengan benar, SoA adalah gambaran yang sempurna (daftar, pembenaran dan deskripsi) tentang apa yang perlu dilakukan dalam keamanan informasi, mengapa itu harus dilakukan, dan bagaimana hal itu dilakukan.

Baca juga : Memahami Bahasa ISO 27001

 

Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.

Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.

Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.

Hubungi Kami untuk info lebih lanjut

 

 

Categories: Artikel, ISO 27001, Qyusi Konsultasi ISO, Sertifikasi ISO