-->
LWt8LWp5NGVbNaV5MWF9NWV8LTcsynIkynwbzD1c

Statement of availability (SoA)

BLANTERLANDINGv101
8858981123184540158

Statement of availability (SoA)

10 Mei 2021


Statement of availability itu apaan sih?? Ngapain ada di ISO 27001:2013? hahaha emang nyebelin sih persyaratan satu ini. Bikin pusing dan ragu-ragu, apakah dokumen gw bener atau ga? ini model dokumennya seperti apa?? Itu sih yang pertama kali gw rasain pas pertama kali bikin dokumen ini. 

Memahami Statement of Availability

Statement of Availability adalah salah satu dokumen wajib dalam ISO 27001:2013. Dokumen ini berdasarkan annex A ISO 27001:2013 dengan ditambahkan pernyataan dari perusahaan apakah pengendalian yang disyaratkan telah dijalankan atau tidak. Seandainya dijalankan diberi alasan atau justification sedangkan bila tidak dijalankan diberi alasan mengapa tidak dijalankan 

Jadi gini prinsipnya 

  1. buka standar ISO 27001:2013
  2. lihat bagian annex 
  3. baca dan pahami setiap pengendalian yang diminta 
  4. lakukan pengendalian yang diminta oleh annex
  5. buktikan pengendalian yang diminta dengan dokumen 
  6. Nyatakan bahwa pengendalian tersebut telah tersedia (available) dalam sistem manajemen keamanan informasi perusahaan

Gampang kan? cuma 6 langkah doang, jadi deh dokumen SoA. 

Masalahnya adalah di nomor 3, 4, 5 . Karena anda harus memahami dan melaksanakan 144 pengendalian yang ada di annex. Nah pengendalian ini akan dilaksanakan semuanya seandainya anda punya resource yang full. Dijaman sekarang, model bisnis yang berlaku adalah melakukan outsource untuk sesuatu yang akan membuat operasional menjadi ribet. Sehingga bisa jadi, ada annex yang tidak bisa diterapkan dalam operasional perusahaan anda. Bukan karena tidak mau diterapkan tapi karena proses tersebut memang tidak ada dalam operasional anda. Inget yah, bukan TIDAK MAU tapi karena TIDAK ADA prosesnya. Ini penting karena kewajibannya adalah menerapkan semua pengendalian tersebut. Tapi situasi perusahaan satu dengan lainnya belum tentu sama. 

Tabel Statement of Availability 

Persyaratan Statement of Availability terdapat di klausul ISO 27001:2013 berikut

6.1.3 Information security risk treatment huruf d)

produce a Statement of Applicability that contains the necessary controls (see 6.1.3 b) and c)) and justification for inclusions, whether they are implemented or not, and the justification for exclusions of controls from Annex A;

Buat SoA yang berisi 

a. necessary control

b. justification (for inclusion) 

Untuk menunjukkan pengendalian mana yang dilakukan atau tidak dilakukan tentunya kita butuh tabel annex secara keseluruh.

Dengan hal tersebut maka apa yang harus dilakukan? 

a. copy paste tabel annex yang ada 

b. tambahkan kolom dikendalikan atau tidak 

c. tambahkan alasan pengendalian / atau tidak dikendalikan

d. tambahkan kolom pelaksanaan pengendalian bila pengendalian dilaksanakan

e. tanda tangani dan beri tanggal dokumen sehingga menajdi dokumen resmi 

Mudah kan? bikin tabelnya mudah, ngisi kolomnya susah dan membosankan hehehe Tapi memang dokumen ini butuh kehati-hatian dalam melakukan pengisian karena bisa jadi kita membayangkan hal lain eh ternyata bukan itu yang dimaksud. 

Membuat dokumen statement of availability

Tapi ingat langkah - langkah sebelumnya, bahwa ini adalah sebuah proyek. Sehingga sangat disarankan anda membuat workshop / rapat untuk membahas 1-1 semua pengendalian yang di annex serta bentuk pelaksanaannya. Dengan demikian anda dapat berdiskusi dengan beberapa orang terkait serta tentunya menghindari kejenuhan bila mengisi dokumen ini sendirian. 

memang sih namanya proyek harus dibagi-bagi tanggung jawabnya. Bisa jadi anda dapt jatah sendirian ngisi dokumen ini. Tapi sangat disarankan bila anda hanya membuat format tabelnya terus mengerjakannya bersama - sama sambil diskusi dengan teman yang lain dengan memberikan bukti pelaksanaan pada setiap persyaratan

Dengan membari bukti pelaksanaan spt diatas, maka sangat disarankan dokumen Statement of Availability di tinjau lagi pada saat menjelang tinjauan manajemen sebagai bagian dari perbaikan hasil audit internal

baca lagi : Langkah mendapatkan sertifikat ISO 27001:2013

Dengan demikian langkah - langkah membuat dokumen diatas, untuk no 3-4 dan 5 dapat dilaksanakan dengan baik dan terhindar dari jebakan - jebakan pemahaman dari pengendalian yang dilakukan. Eh ini saran untuk mereka yang baru menyusun dokumen yah, gw tau banyak yang udah hapal isi annex ini sehingga bisa ngerjain dokumen ini sendirian tanpa perlu bantuan orang lain :) 

Jadi, mari membuat dokumen SoA dengan menyenangkan, ditemani kopi dan teh serta cemilan di ruang rapat sambil sesekali menghilang dari ruang rapat untuk sebats dulu hihihi

 

Silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami

BLANTERLANDINGv101

Formulir Kontak Whatsapp×
Data Anda
Data Lainnya
Kirim Sekarang