
Jika kita berkecimpung didalam penerapan ISO/IEC 27001, tentu yg menjadi salah satu dokumen penting yg harus dipersiapkan adalah SOA (Statement of Applicability). Apakah SOA itu sendiri? Jika merujuk kepada dokumen ISO/IEC 27001 pada bagian requirement 6.1.3, SOA merupakan kumpulan dari beberapa kontrol yg terdapat pada bagian Annex yg akan diterapkan dan yg tidak akan diterapkan dalam rangka menerapkan risk treatment.
Untuk mengetahui kontrol mana aja yg dapat diterapkan dan yg tidak dapat diterapkan, diperlukan analisa mendalam mengenai kesesuaian antara lain bisnis proses, kontrol yg terdapat dibagian Annex dan ruang lingkup sertifikasi.
Selanjutnya, untuk bisa mengetahui kesesuaian sebuah kontrol, bagaimana caranya? Mari ambil contoh pada Annex 6.2.2 mengenai teleworking yg digunakan sebagai kontrol akses remote / teleworking terhadap sistem yg masuk ke dalam kategori ruang lingkup. Yg dimaksud dengan akses remote / teleworking adalah akses ke dalam sistem Perusahaan melalui koneksi internet / menggunakan jalur komunikasi publik. Jika untuk mengakses sistem yg masuk didalam ruang lingkup tidak diperbolehkan melalui akses remote, maka kontrol pada Annex ini tidak digunakan. Namun perlu diingat, hal tersebut harus dapat dibuktikan melalui serangkaian barang bukti (evidence), misalnya rule di Firewall, akses VPN (Virtual Private Network), topologi jaringan, dll. Aktifitas yang serupa seperti hal ini dilakukan juga terhadap diseluruh kontrol yang terdapat dibagian Annex.
Kemudian, seluruh aktifitas analisa tersebut harus dituangkan ke dalam bentuk dokumen yg akan menampilkan kontrol-kontrol apa aja yg dapat diterapkan / tidak diterapkan, beserta penjelasan singkat mengenai kontrol tersebut didalam sistem.
Agar penyusunan dan analisa ini berjalan dengan baik, perlu dilakukannya kolaborasi dengan tim lain dari lintas departemen untuk mengetahui end to endsistem yg termasuk dalam ruang lingkup yg perlu didukung oleh berbagai dokumentasi yg tersedia, seperti topologi jaringan, DFD (Data Flow Diagram), User Access Matrix, dll. Oleh karena itu, sangat diharapkan dokumentasi-dokumentasi tersebut selalu diperbaharui setiap saat oleh seluruh pihak yg terlibat.
Agar penyusunan dan analisa ini berjalan dengan baik, perlu dilakukannya kolaborasi dengan tim lain dari lintas departemen…
Yg perlu diperhatikan juga bahwa dokumen SOA merupakan salah satu dokumen yg wajib tersedia dalam rangka pemenuhan sertifikasi ISO/IEC 27001, dimana jika tidak ditemukannya dokumen ini dapat berdampak terhadap proses pengurusan sertifikasi. Repot sekali jika hal ini terjadi. Tidak mau kan proses sertifikasi terhambat karena tidak tersedianya dokumen ini?