Dalam membangun ketahanan siber, banyak perusahaan yang fokus pada infrastruktur teknologi. Namun, secanggih apapun perangkat yang dimiliki tidak akan memberikan perlindungan optimal tanpa landasan strategi yang jelas.
Perusahaan membutuhkan Statement of Applicability (SoA) sebagai navigasi strategis yang mampu menyelaraskan investasi IT dengan risiko bisnis.
Lantas, apa sebenarnya SoA dan mengapa infrastruktur mahal tidak menjamin kepatuhan tanpa dokumen ini serta bagaimana cara menyusunnya dengan tepat? Mari kita bedah lebih dalam.
Apa Itu Statement of Applicability ?
Statement of Applicability adalah dokumen tentang rincian kontrol keamanan dari Lampiran ISO 27001. Dokumen ini juga menjelaskan alasan mengapa kontrol tersebut dipilih atau dikecualikan.
Karena sifatnya yang memuat detail konfigurasi dan strategi keamanan, maka dokumen ini bersifat confidential (rahasia). SoA hanya boleh diakses oleh tim internal yang relevan dan auditor resmi saat proses sertifikasi berlangsung.
Komponen Wajib dalam Dokumen SoA ISO 27001:2022
Menyusun SoA bukan sekadar memindahkan daftar teknis ke dalam dokumen. Terdapat empat komponen esensial yang harus tercantum agar dokumen ini sah dan kuat di mata auditor:
1. Daftar 93 Kontrol Annex A
Standar ISO 27001:2022 memiliki 93 kontrol yang dikelompokkan ke dalam empat tema:
- Organizational (37 kontrol): Berfokus pada tata kelola, kebijakan perusahaan, dan hubungan dengan pihak ketiga.
- People (8 kontrol): Mengatur aspek keamanan terkait sumber daya manusia, mulai dari penyaringan karyawan hingga kesadaran keamanan (security awareness).
- Physical (14 kontrol): Menyangkut pengamanan aset fisik, seperti ruang server, akses kantor, hingga pengamanan perangkat keras.
- Technological (34 kontrol): Mencakup kontrol teknis mutakhir seperti Threat Intelligence, Cloud Security, dan Data Masking.
Seluruh kontrol ini wajib dicantumkan dalam tabel SoA Anda, baik yang akan perusahaan terapkan maupun yang akan dikecualikan.
2. Justifikasi Pemilihan atau Pengecualian
Setiap kontrol yang dicantumkan harus disertai alasan yang kuat (justification). Komponen inilah yang paling sering diperiksa oleh auditor.
a. Justifikasi Penerapan (Kenapa Harus Ada Kontrol ini?):
Jelaskan bagaimana kontrol tersebut dapat menjawab risiko yang Anda temukan dan hubungkan dengan kondisi perusahaan.
Contohnya, Jika risiko yang ditemukan adalah “kebocoran data di server cloud,” maka tulis justifikasi “Kontrol Cloud Security diterapkan karena seluruh data operasional kami disimpan di infrastruktur AWS, sehingga memerlukan pengamanan akses khusus.”
b. Justifikasi Pengecualian (Kenapa Kontrol ini Tidak Digunakan/Absen?):
Jika ada kontrol yang tidak relevan dengan kondisi perusahaan, maka jelaskan alasannya. Contohnya jika kantor Anda tidak membuat aplikasi sendiri, maka kontrol Secure Coding boleh absen.
Anda bisa menulis “Kontrol pengembangan software dikecualikan karena perusahaan kami murni menggunakan aplikasi pihak ketiga (SaaS) dan tidak melakukan aktivitas coding sama sekali.”
Pastikan untuk menuliskan justifikasi dengan detail sesuai dengan kondisi perusahaan. Banyak perusahaan yang gagal audit karena menulis alasan yang terlalu umum seperti “Sesuai instruksi manajemen”.
Auditor membutuhkan jawaban kontekstual yang dapat menjelaskan apakah kontrol ini benar-benar mampu melindungi aset? atau apakah pengecualian kontrol tertentu tidak meninggalkan celah keamanan?
3. Status Implementasi Aktual
Komponen ini menunjukkan sejauh mana kontrol tersebut telah berjalan di dalam organisasi. Status ini harus diisi dengan jujur karena akan diverifikasi dengan bukti lapangan. Umumnya, status implementasi akan terbagi menjadi:
- Implemented: Kontrol sudah dijalankan sepenuhnya dan memiliki bukti rutin.
- In Progress: Kontrol sedang dalam tahap pengembangan atau konfigurasi.
- Planned: Kontrol telah direncanakan namun belum mulai dieksekusi.
4. Referensi Dokumen dan Bukti (Evidence)
SoA yang kredibel bertindak sebagai “indeks” bagi auditor sehingga Anda harus mencantumkan referensi dokumen pendukung untuk setiap kontrol yang diterapkan, seperti:
- Dokumen Kebijakan: Nama dan nomor SOP (misal: SOP Manajemen Akses).
- Bukti Teknis: Lokasi penyimpanan log audit, screenshot konfigurasi firewall, atau daftar inventaris aset.
- Rekaman Aktivitas: Hasil pelatihan karyawan atau log absensi ruang server.
Langkah Praktis Menyusun Dokumen SoA
Menyusun SoA tidak bisa dilakukan secara dadakan. Dokumen ini adalah hasil akhir (output) dari sebuah proses panjang. Berikut adalah enam langkah sistematis untuk menyusun dokumen yang sesuai dengan ketentuan audit:
1. Selesaikan Risk Assessment Terlebih Dahulu
Anda tidak bisa membuat Statement of Applicability tanpa melakukan penilaian risiko (Risk Assessment) terlebih dahulu. SoA dibuat untuk merespons risiko yang sudah teridentifikasi.
Jika Anda belum tahu di mana celah keamanan Anda, bagaimana bisa menentukan kontrol mana yang relevan?
2. Review 93 Kontrol Annex A 2022 Secara Detail
Membedah kontrol berarti menguji relevansinya terhadap operasional nyata organisasi Anda. Hindari asal mencoret; setiap pengecualian wajib memiliki alasan logis yang dapat dipertanggungjawabkan. Sebagai contoh, Kontrol 8.25 (Secure Coding) dapat dikecualikan jika perusahaan Anda murni menggunakan aplikasi pihak ketiga (SaaS) dan tidak melakukan aktivitas pengembangan perangkat lunak sendiri.
Sebaliknya, hubungkan setiap kontrol dengan aset yang ada. Jika perusahaan Anda menyimpan data sensitif di infrastruktur AWS atau Azure, maka kontrol Cloud Security wajib diterapkan guna menjamin perlindungan data yang maksimal dan audit-ready.
3. Tulis Justifikasi yang Kontekstual
Tulislah alasan yang mendalam dan spesifik, misalnya:
“Kontrol 8.11 (Data Masking) diterapkan pada database produksi untuk menyamarkan identitas nasabah, guna memitigasi risiko penyalahgunaan data oleh staf internal.” Dengan justifikasi yang jelas, Anda menunjukkan kepada auditor bahwa perusahaan benar-benar memahami risiko bisnis dan telah memilih solusi yang tepat sasaran.
4. Hubungkan ke Bukti Teknis (Evidence)
Pernyataan bahwa sebuah kontrol telah diterapkan hanyalah klaim sepihak jika tidak didukung oleh dokumen atau rekaman teknis.
Pastikan setiap kontrol yang dipilih memiliki bukti, seperti:
- Dokumen Kebijakan: Misalnya, SOP Manajemen Akses untuk membuktikan prosedur masuk-keluar sistem.
- Bukti Teknis: Screenshot konfigurasi firewall, diagram topologi jaringan, atau pengaturan enkripsi database.
- Rekaman Aktivitas: Log audit akses, formulir serah terima perangkat, atau sertifikat pelatihan keamanan karyawan.
Tanpa bukti ini, SoA Anda hanyalah dokumen di atas kertas yang tidak akan lolos verifikasi auditor.
5. Libatkan Lintas Departemen
Keamanan informasi bukan hanya tugas tim IT, libatkan departemen lainnya seperti:
- Kontrol terkait SDM butuh didiskusikan dengan HR
- Kontrol terkait kontrak butuh melibatkan tim Legal
- Kontrol keamanan fisik butuh melibatkan tim Operasional.
SoA yang disusun sendirian oleh tim IT biasanya akan pincang saat diaudit di departemen lain.
6. Lakukan Internal Review secara Berkala
Perusahaan yang berhasil mempertahankan sertifikasi ISO 27001 biasanya memperlakukan SoA sebagai dokumen yang terus diperbarui mengikuti perubahan bisnis, bukan hanya berkas yang dicari saat mendekati jadwal audit eksternal.
Sebagai tips tambahan jika bisnis Anda banyak bekerja sama dengan pihak ketiga, maka perhatikan pengisian bagian keamanan pemasok atau supplier security.
Pada perusahaan berskala besar, area ini sering menjadi fokus utama auditor. Tujuannya untuk memastikan bahwa mitra kerja Anda juga memiliki standar keamanan yang setara dan tidak menjadi celah kebocoran data perusahaan.
3 Kesalahan Fatal saat Menyusun SoA
Berdasarkan pengalaman kami ketika mendampingi berbagai perusahaan, terdapat tiga kesalahan yang paling sering ditemui ketika proses sertifikasi:
1. Mengecualikan Kontrol Tanpa Dasar Risiko
Penyebab paling umum munculnya temuan Major Non-Conformity (NC).
Auditor tidak melarang Anda mengecualikan suatu kontrol, selama memiliki dasar penilaian risiko yang kuat. Jangan sampai mengecualikan kontrol hanya karena alasan “terlalu sulit untuk dijalankan.”
2. Menggunakan Template Tanpa Disesuaikan dengan Kondisi Perusahaan
Template Statement of Applicability banyak ditemukan di internet dan bisa digunakan sebagai panduan.
Namun Anda harus membuat SoA yang mampu mencerminkan kondisi infrastruktur, ruang lingkup, dan proses bisnis yang unik.
3. Menganggap SoA sebagai Dokumen Statis
Jika perusahaan Anda melakukan migrasi ke cloud atau melakukan ekspansi ke layanan baru, maka SoA wajib ditinjau ulang agar selalu sinkron dengan kondisi aktual di lapangan.
Statement of Applicability sebagai Aset Bisnis yang Strategis
Sering kali, dokumen ini hanya dipandang sebagai pelengkap compliance, padahal sebenarnya dokumen ini memiliki nilai ekonomi dan posisi tawar yang sangat tinggi bagi perusahaan.
1. Meningkatkan Kepercayaan dalam Proses Vendor Due Diligence
Saat ini, klien dari skala enterprise, lembaga keuangan, hingga instansi pemerintah mulai memasukkan peninjauan SoA ke dalam proses pemeriksaan vendor atau Vendor Due Diligence.
Mereka tidak lagi hanya menanyakan apakah Anda memiliki sertifikat ISO 27001, tetapi ingin melihat secara spesifik bagaimana data mereka akan dikelola.
Dengan memiliki SoA, perusahaan Anda memiliki keunggulan saat mengikuti tender atau negosiasi kontrak besar karena mampu membuktikan transparansi kontrol keamanan secara sistematis.
2. Memenuhi Standar Regulasi Keamanan Informasi di Indonesia
Peran SoA menjadi bukti bahwa manajemen telah melakukan upaya maksimal atau due diligence dalam melindungi data sensitif sesuai standar internasional.
Dokumen ini selaras dengan mandat yang ditekankan oleh Badan Siber dan Sandi Negara (BSSN) serta berbagai Peraturan OJK (POJK) yang mewajibkan ketahanan siber.
3. Kesiapan Menghadapi Undang-Undang Pelindungan Data Pribadi (UU PDP)
Kehadiran UU PDP menuntut tanggung jawab besar bagi setiap pengelola data pribadi. Melalui SoA, perusahaan menunjukkan kepatuhan hukum yang kuat dalam memitigasi risiko keamanan informasi.
Hal ini tidak hanya melindungi perusahaan dari potensi sanksi regulasi, tetapi juga memberikan jaminan keamanan bagi investor dan mitra bisnis bahwa aset informasi mereka berada di tangan yang tepat.
Bangun Fondasi Keamanan Informasi yang Tangguh Bersama DSG
Statement of Applicability adalah dokumen strategis yang menghubungkan manajemen risiko dengan operasional teknis. Selain itu juga sebagai bukti profesionalisme dan keseriusan perusahaan dalam menjaga aset informasi.
Menyusun SoA yang akurat sesuai dengan standar ISO 27001:2022 dan siap menghadapi audit eksternal membutuhkan ketelitian dan pemahaman mendalam. Salah langkah dalam dokumen ini bisa berarti mengulang kembali proses audit yang memakan waktu dan biaya.
Ingin memastikan proses sertifikasi ISO 27001 Anda berjalan mulus tanpa kendala administrasi?
Tim konsultan DSG siap menjadi mitra strategis Anda. Kami telah mendampingi berbagai perusahaan mulai dari tahap gap Assessment, pemetaan risiko, penyusunan dokumen SoA yang komprehensif, hingga pendampingan penuh saat audit sertifikasi.
Jangan biarkan celah kecil di SoA menghambat kemajuan bisnis Anda. Jadwalkan konsultasi gratis bersama tim DSG terkait kebutuhan pendampingan ISO 27001 sekarang!
