Bayangkan skenario ini: manajemen meminta tim IT menyiapkan seluruh dokumen kebijakan keamanan informasi untuk sertifikasi ISO 27001 ÔÇö dan deadline-nya hanya 3 bulan. Anda membuka standar ISO 27001:2022, melihat Annex A dengan 93 kontrol, dan bertanya: harus mulai dari mana?
Bagi banyak organisasi di Indonesia, tantangan terbesar bukan memahami konsep keamanan informasi ÔÇö melainkan mendokumentasikannya dalam bentuk kebijakan yang memenuhi persyaratan ISO 27001. Artikel ini menyediakan template siap pakai yang bisa Anda adaptasi untuk organisasi Anda.
Daftar Isi
- Apa Itu ISMS Policy?
- 10 Dokumen Wajib ISO 27001
- Contoh 1: Information Security Policy
- Contoh 2: Acceptable Use Policy
- Contoh 3: Access Control Policy
- Contoh Statement of Applicability (SoA)
- Tips Implementasi: Dari Template ke Living Policy
- Timeline Implementasi ISMS 12 Bulan
- FAQ
Apa Itu ISMS Policy?
ISMS Policy (Information Security Management System Policy) adalah dokumen tingkat tertinggi yang menetapkan komitmen, arah, dan prinsip organisasi dalam mengelola keamanan informasi. Policy ini menjadi fondasi dari seluruh sistem manajemen keamanan informasi berdasarkan standar ISO/IEC 27001:2022.
Hubungan ISMS Policy dengan ISO 27001
ISO 27001 mensyaratkan organisasi untuk menetapkan kebijakan keamanan informasi sebagai bagian dari klausul 5.2 ÔÇö Policy. Kebijakan ini harus:
- Sesuai dengan tujuan organisasi
- Mencakup sasaran keamanan informasi atau kerangka kerja untuk menetapkan sasaran
- Mencakup komitmen untuk memenuhi persyaratan yang berlaku
- Mencakup komitmen untuk perbaikan berkelanjutan (continual improvement)
Di bawah ISMS policy utama, terdapat hierarki dokumen pendukung:
- Policy ÔÇö Pernyataan niat dan arah dari manajemen puncak ("apa" dan "mengapa")
- Standard ÔÇö Persyaratan spesifik yang wajib dipenuhi ("apa yang harus dilakukan")
- Procedure ÔÇö Langkah-langkah detail pelaksanaan ("bagaimana melakukannya")
- Guideline ÔÇö Rekomendasi praktik terbaik ("sebaiknya bagaimana")
Annex A: 93 Kontrol dalam 4 Kategori
ISO 27001:2022 (versi terbaru) menyederhanakan Annex A menjadi 4 kategori dengan total 93 kontrol:
| Kategori | Jumlah Kontrol | Contoh |
|---|---|---|
| A.5 Organizational | 37 | Kebijakan keamanan informasi, manajemen aset, akses kontrol |
| A.6 People | 8 | Screening, awareness, tanggung jawab saat terminasi |
| A.7 Physical | 14 | Perimeter fisik, clear desk, pengelolaan media |
| A.8 Technological | 34 | Endpoint, privileged access, kriptografi, backup |
Catatan: Jumlah dokumen wajib bervariasi tergantung interpretasi dan badan sertifikasi. Daftar di atas mencakup dokumen yang paling umum diminta oleh auditor.
Setiap kontrol yang relevan harus didukung oleh kebijakan, prosedur, atau panduan tertulis ÔÇö inilah mengapa dokumentasi menjadi bagian paling memakan waktu dalam implementasi ISO 27001.
Ingin Memimpin Implementasi ISO 27001 di Organisasi Anda?
Pelatihan ISO 27001 Lead Implementer memberikan kompetensi lengkap untuk merencanakan, menerapkan, dan memelihara ISMS sesuai standar internasional.
10 Dokumen Wajib ISO 27001
Berikut adalah dokumen-dokumen yang wajib ada (mandatory) untuk memenuhi persyaratan sertifikasi ISO 27001:2022:
| No | Dokumen | Klausul ISO | Deskripsi |
|---|---|---|---|
| 1 | Scope of the ISMS | 4.3 | Mendefinisikan batas dan penerapan ISMS ÔÇö unit bisnis, lokasi, aset, dan teknologi yang tercakup |
| 2 | Information Security Policy | 5.2 | Kebijakan tingkat tertinggi yang menyatakan komitmen manajemen terhadap keamanan informasi |
| 3 | Risk Assessment Process | 6.1.2 | Metodologi penilaian risiko: kriteria risiko, identifikasi, analisis, dan evaluasi |
| 4 | Risk Treatment Plan | 6.1.3 | Rencana penanganan risiko beserta kontrol yang dipilih untuk mitigasi |
| 5 | Statement of Applicability (SoA) | 6.1.3 d) | Daftar seluruh 93 kontrol Annex A beserta justifikasi penerapan atau pengecualiannya |
| 6 | Information Security Objectives | 6.2 | Sasaran keamanan informasi yang terukur dan konsisten dengan kebijakan |
| 7 | Evidence of Competence | 7.2 | Bukti kompetensi personel yang berperan dalam ISMS (sertifikasi, pelatihan, pengalaman) |
| 8 | Documented Operating Procedures | 8.1 | Prosedur operasional untuk proses yang diperlukan ISMS |
| 9 | Results of Risk Assessment | 8.2 | Hasil penilaian risiko yang terdokumentasi dan terpelihara |
| 10 | Internal Audit Program & Results | 9.2 | Program audit internal, bukti pelaksanaan, dan temuan audit |
Catatan: Selain dokumen wajib di atas, organisasi juga perlu menyiapkan prosedur pendukung seperti Access Control Policy, Acceptable Use Policy, Incident Management Procedure, Business Continuity Plan, dan lainnya tergantung kontrol Annex A yang diterapkan.
Contoh 1: Information Security Policy
Berikut adalah template Information Security Policy yang dapat diadaptasi. Dokumen ini memenuhi persyaratan klausul 5.2 ISO 27001:2022.
1. Tujuan
Kebijakan ini bertujuan untuk:
- Menetapkan arah dan prinsip pengelolaan keamanan informasi di [Nama Organisasi]
- Melindungi kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability) seluruh aset informasi
- Memastikan kepatuhan terhadap peraturan perundang-undangan yang berlaku, termasuk UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi dan PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik
2. Ruang Lingkup
Kebijakan ini berlaku untuk:
- Seluruh karyawan, kontraktor, dan pihak ketiga yang mengakses aset informasi [Nama Organisasi]
- Seluruh aset informasi dalam bentuk apapun (digital, cetak, verbal)
- Seluruh sistem informasi, jaringan, dan infrastruktur TI yang dikelola atau digunakan oleh [Nama Organisasi]
- Seluruh lokasi operasional: kantor pusat Jakarta, kantor cabang, dan lingkungan kerja jarak jauh
3. Komitmen Manajemen
Manajemen puncak [Nama Organisasi] berkomitmen untuk:
- Menyediakan sumber daya yang memadai untuk implementasi dan pemeliharaan ISMS
- Menetapkan sasaran keamanan informasi yang terukur dan relevan dengan strategi bisnis
- Memastikan keamanan informasi terintegrasi dalam seluruh proses bisnis
- Melakukan tinjauan berkala terhadap efektivitas ISMS
- Mendukung perbaikan berkelanjutan (continual improvement) terhadap ISMS
4. Prinsip Keamanan Informasi
- Risk-based approach ÔÇö Penerapan kontrol keamanan didasarkan pada hasil penilaian risiko
- Defense in depth ÔÇö Perlindungan berlapis di setiap level (fisik, jaringan, aplikasi, data)
- Least privilege ÔÇö Akses diberikan seminimal mungkin sesuai kebutuhan tugas
- Segregation of duties ÔÇö Pemisahan tugas untuk mencegah penyalahgunaan wewenang
- Security by design ÔÇö Keamanan dipertimbangkan sejak tahap perencanaan sistem
5. Peran dan Tanggung Jawab
| Peran | Tanggung Jawab |
|---|---|
| Direksi | Menetapkan kebijakan, menyediakan sumber daya, melakukan management review |
| Chief Information Security Officer (CISO) | Mengelola program ISMS, melaporkan kinerja keamanan ke direksi, mengkoordinasikan respons insiden |
| Information Security Committee | Meninjau risiko, menyetujui risk treatment plan, memantau pelaksanaan kontrol |
| IT Department | Mengimplementasikan kontrol teknis, mengelola infrastruktur keamanan, memantau log dan alert |
| Department Heads | Mengidentifikasi aset informasi di unit masing-masing, memastikan kepatuhan staf |
| Seluruh Karyawan | Mematuhi kebijakan, melaporkan insiden keamanan, mengikuti program awareness |
| Internal Audit | Melakukan audit berkala terhadap implementasi ISMS |
6. Siklus Review
- Review berkala: Minimal 1 kali per tahun atau saat terjadi perubahan signifikan
- Trigger review luar biasa: Insiden keamanan besar, perubahan regulasi, perubahan struktur organisasi, atau hasil audit yang menunjukkan ketidaksesuaian mayor
- Approval: Setiap revisi harus disetujui oleh Direksi
- Distribusi: Versi terbaru dikomunikasikan ke seluruh pihak terkait dalam 5 hari kerja setelah approval
Contoh 2: Acceptable Use Policy
Acceptable Use Policy (AUP) mengatur bagaimana karyawan boleh menggunakan aset teknologi informasi milik organisasi. Dokumen ini mendukung kontrol A.5.10 ÔÇö Acceptable use of information and other associated assets.
Penggunaan Email dan Internet
- Email perusahaan hanya untuk keperluan bisnis. Penggunaan pribadi diperbolehkan secara terbatas selama tidak mengganggu produktivitas dan tidak melanggar hukum
- Dilarang mengirim informasi rahasia (confidential atau restricted) melalui email tanpa enkripsi
- Dilarang mengakses, mengunduh, atau menyebarkan konten ilegal, pornografi, atau materi yang melanggar SARA
- Penggunaan layanan cloud storage pribadi (Google Drive pribadi, Dropbox) untuk menyimpan data perusahaan dilarang ÔÇö gunakan layanan yang disetujui oleh IT
- Seluruh aktivitas internet dapat dimonitor oleh tim IT Security untuk keperluan keamanan
Kebijakan BYOD (Bring Your Own Device)
- Perangkat pribadi yang mengakses data perusahaan wajib didaftarkan ke sistem MDM (Mobile Device Management)
- Sistem operasi dan aplikasi harus selalu diperbarui ke versi terbaru
- Perangkat wajib dilengkapi dengan screen lock (PIN minimal 6 digit atau biometrik)
- Tim IT berhak melakukan remote wipe terhadap data perusahaan pada perangkat yang hilang atau saat karyawan resign
- Dilarang melakukan jailbreak atau root pada perangkat yang terdaftar di MDM
Kebijakan Password
- Panjang minimal 12 karakter, kombinasi huruf besar, huruf kecil, angka, dan simbol
- Password tidak boleh digunakan ulang untuk 12 password terakhir
- Perubahan password wajib setiap 90 hari untuk akun standar, 60 hari untuk akun privileged
- Penggunaan password manager yang disetujui (contoh: Bitwarden Enterprise) diwajibkan
- Multi-Factor Authentication (MFA) wajib untuk seluruh akses ke sistem kritis, VPN, dan email
- Dilarang keras membagikan password kepada siapapun termasuk atasan dan tim IT
Clean Desk dan Clear Screen
- Dokumen rahasia dan restricted tidak boleh ditinggalkan di meja saat meninggalkan area kerja
- Layar komputer harus dikunci (Win+L atau Ctrl+Cmd+Q) saat meninggalkan workstation, meskipun hanya sebentar
- Whiteboard berisi informasi sensitif harus dihapus setelah meeting
- Dokumen rahasia yang tidak diperlukan harus dihancurkan menggunakan cross-cut shredder
- USB drive dan media penyimpanan portabel harus disimpan dalam laci terkunci saat tidak digunakan
Pelanggaran
Pelanggaran terhadap Acceptable Use Policy akan ditangani sesuai tingkat keparahan:
Catatan: NIST SP 800-63B merekomendasikan rotasi berbasis insiden (bukan periodik) jika MFA sudah diterapkan. Kebijakan rotasi periodik masih umum di Indonesia dan diharapkan oleh banyak auditor, namun organisasi yang mature dapat mempertimbangkan pendekatan berbasis risiko.
- Pelanggaran ringan (pertama kali, tidak disengaja) ÔÇö Teguran lisan dan edukasi ulang
- Pelanggaran sedang (berulang atau berpotensi merugikan) ÔÇö Surat peringatan tertulis
- Pelanggaran berat (pelanggaran yang disengaja atau mengakibatkan insiden keamanan) ÔÇö Sanksi sesuai peraturan perusahaan hingga pemutusan hubungan kerja
Contoh 3: Access Control Policy
Access Control Policy mengatur pemberian, pengelolaan, dan pencabutan hak akses terhadap sistem informasi dan data. Dokumen ini mendukung kontrol Annex A kategori A.5.15 ÔÇö Access control, A.5.16 ÔÇö Identity management, A.5.18 ÔÇö Access rights, dan A.8.2 ÔÇö Privileged access rights.
Prinsip Least Privilege
- Setiap pengguna hanya diberikan hak akses minimum yang diperlukan untuk menjalankan tugas dan tanggung jawabnya
- Hak akses default untuk karyawan baru: email, intranet, dan sistem HR ÔÇö akses tambahan hanya melalui permohonan formal
- Hak akses bukan hak permanen ÔÇö akan ditinjau dan dapat dicabut sesuai perubahan peran
- Akses ke lingkungan production hanya diberikan berdasarkan need-to-know dan need-to-use
Provisioning dan Deprovisioning
| Proses | SLA | Approval | Pelaksana |
|---|---|---|---|
| Onboarding (karyawan baru) | H-1 sebelum mulai kerja | Department Head + IT Manager | IT Operations |
| Perubahan akses (mutasi/promosi) | 3 hari kerja | Department Head baru + CISO | IT Operations |
| Akses temporary (proyek) | 1 hari kerja | Project Manager + IT Manager | IT Operations, auto-expire |
| Offboarding (resign/terminasi) | Hari yang sama (H+0) | HR + IT Manager | IT Operations |
| Offboarding (terminasi mendesak) | Dalam 1 jam | HR Director | IT Security (on-call) |
Penting: Akses lama harus dicabut terlebih dahulu sebelum akses baru diberikan saat mutasi. Tidak boleh ada akumulasi hak akses lintas departemen (privilege creep).
Privileged Access Management (PAM)
- Akun privileged (root, administrator, DBA) terpisah dari akun standar ÔÇö satu orang, dua akun
- Seluruh akses privileged harus melalui PAM tool dengan session recording
- Password akun privileged disimpan dalam password vault ÔÇö tidak boleh dihafalkan atau dicatat manual
- Akses privileged hanya digunakan saat menjalankan tugas administratif ÔÇö browsing dan email menggunakan akun standar
- Seluruh aktivitas akun privileged di-log dan direview minimal 1 kali per minggu oleh CISO
- Akses privileged ditinjau ulang setiap 3 bulan (quarterly access review)
Review Hak Akses Berkala
- Quarterly: Review akses ke sistem kritis dan akun privileged
- Semi-annually: Review seluruh hak akses karyawan
- Annually: Review kebijakan access control dan efektivitas kontrol
- Hasil review didokumentasikan dan dilaporkan ke Information Security Committee
Pelajari Best Practice Implementasi Kontrol ISO 27001
Dalam pelatihan ISO 27001 Lead Implementer, Anda akan mempraktikkan penyusunan kebijakan, risk assessment, dan Statement of Applicability dengan studi kasus nyata.
Contoh Statement of Applicability (SoA)
Statement of Applicability (SoA) adalah dokumen wajib (klausul 6.1.3 d) yang mencantumkan seluruh 93 kontrol Annex A beserta keputusan apakah kontrol tersebut diterapkan atau tidak, lengkap dengan justifikasinya. SoA sering disebut sebagai "jantung" dari ISMS karena menghubungkan hasil risk assessment dengan kontrol yang dipilih.
Berikut contoh sebagian SoA untuk kontrol kategori Organizational (A.5):
| Kontrol | Deskripsi | Applicable? | Justifikasi | Status Implementasi |
|---|---|---|---|---|
| A.5.1 | Policies for information security | Ya | Wajib ÔÇö fondasi ISMS | Implemented |
| A.5.2 | Information security roles and responsibilities | Ya | Diperlukan untuk akuntabilitas | Implemented |
| A.5.3 | Segregation of duties | Ya | Mitigasi risiko fraud dan error | Partially implemented |
| A.5.4 | Management responsibilities | Ya | Komitmen manajemen terhadap ISMS | Implemented |
| A.5.5 | Contact with authorities | Ya | Diperlukan untuk respons insiden dan kepatuhan regulasi (BSSN, Kominfo) | Implemented |
| A.5.6 | Contact with special interest groups | Ya | Untuk threat intelligence dan knowledge sharing (ID-CERT, ISACA Indonesia) | In progress |
| A.5.7 | Threat intelligence | Ya | Diperlukan untuk deteksi dini ancaman siber | Planned |
| A.5.8 | Information security in project management | Ya | Integrasi keamanan sejak fase desain proyek | Partially implemented |
| A.5.9 | Inventory of information and other associated assets | Ya | Fondasi untuk risk assessment | Implemented |
| A.5.10 | Acceptable use of information and other associated assets | Ya | Mengatur perilaku pengguna terhadap aset informasi | Implemented |
| A.5.23 | Information security for use of cloud services | Ya | Organisasi menggunakan AWS dan Google Workspace | In progress |
| A.5.30 | ICT readiness for business continuity | Ya | Diperlukan untuk menjamin RTO dan RPO | Planned |
Tips: SoA harus mencakup seluruh 93 kontrol, bukan hanya yang diterapkan. Untuk kontrol yang tidak diterapkan (Not Applicable), Anda harus memberikan justifikasi yang kuat ÔÇö misalnya: "A.7.4 Physical security monitoring ÔÇö Not Applicable: seluruh operasi dilakukan secara remote tanpa kantor fisik."
Tips Implementasi: Dari Template ke Living Policy
Memiliki template kebijakan baru langkah awal. Tantangan sesungguhnya adalah menjadikan kebijakan tersebut benar-benar diterapkan dalam operasional sehari-hari. Berikut tips agar kebijakan tidak berakhir sebagai dokumen formalitas yang mengumpulkan debu:
1. Sesuaikan dengan Konteks Organisasi
Jangan copy-paste template secara mentah. Setiap organisasi memiliki konteks unik (klausul 4.1 dan 4.2 ISO 27001). Perusahaan fintech akan memiliki penekanan berbeda dengan perusahaan manufaktur. Pastikan kebijakan mencerminkan:
- Industri dan regulasi yang berlaku (OJK, BI, Kominfo, BSSN)
- Ukuran dan struktur organisasi
- Teknologi dan infrastruktur yang digunakan
- Risk appetite manajemen
2. Gunakan Bahasa yang Dipahami Semua Pihak
Kebijakan dibaca oleh seluruh karyawan, bukan hanya tim IT. Hindari jargon teknis berlebihan. Jika harus menggunakan istilah teknis, sertakan glosarium. Gunakan contoh konkret: "Jangan gunakan WiFi publik untuk mengakses email kantor tanpa VPN" lebih efektif daripada "Transmisi data melalui jaringan tidak terpercaya harus menggunakan enkripsi transport layer."
3. Dapatkan Buy-in dari Manajemen Puncak
Kebijakan tanpa dukungan manajemen puncak tidak akan berjalan. Pastikan:
- Direksi menandatangani dan mengkomunikasikan kebijakan
- Anggaran dialokasikan untuk implementasi kontrol
- Pelanggaran ditangani secara konsisten tanpa pengecualian level jabatan
4. Bangun Program Awareness yang Berkelanjutan
Sosialisasi satu kali saat peluncuran tidak cukup. Rancang program awareness yang berkelanjutan:
- Security awareness training saat onboarding
- Refresher training tahunan
- Phishing simulation bulanan
- Newsletter keamanan informasi
- Poster dan screensaver pengingat
5. Ukur dan Perbaiki
Tetapkan KPI untuk mengukur efektivitas kebijakan:
- Jumlah insiden keamanan per kuartal
- Persentase karyawan yang lulus security awareness test
- Waktu rata-rata respons insiden
- Hasil phishing simulation (click rate)
- Jumlah temuan audit internal
Timeline Implementasi ISMS 12 Bulan
Berikut roadmap implementasi ISMS dari nol hingga siap sertifikasi dalam 12 bulan:
| Bulan | Fase | Aktivitas Utama | Output |
|---|---|---|---|
| 1-2 | Inisiasi & Gap Analysis | Gap analysis terhadap ISO 27001:2022, identifikasi scope ISMS, pembentukan tim implementasi, awareness manajemen puncak | Laporan gap analysis, dokumen scope ISMS, SK tim implementasi |
| 3-4 | Risk Assessment | Inventarisasi aset informasi, identifikasi ancaman dan kerentanan, penilaian risiko, penyusunan risk treatment plan | Asset register, risk register, risk treatment plan, draft SoA |
| 5-6 | Penyusunan Kebijakan | Menyusun seluruh kebijakan, standar, dan prosedur wajib berdasarkan risk treatment plan dan SoA | Information Security Policy, AUP, Access Control Policy, SoA final, dan 15+ prosedur pendukung |
| 7-8 | Implementasi Kontrol | Implementasi kontrol teknis (firewall, SIEM, MFA, backup, encryption), kontrol fisik (CCTV, akses kartu), kontrol organisasi | Bukti implementasi kontrol, konfigurasi sistem, laporan pengujian |
| 9 | Awareness & Training | Security awareness training seluruh karyawan, pelatihan khusus tim IT dan incident response team | Materi training, daftar hadir, hasil quiz, sertifikat awareness |
| 10 | Internal Audit | Pelaksanaan audit internal oleh auditor terlatih (atau konsultan), identifikasi ketidaksesuaian, corrective action | Laporan audit internal, corrective action plan, bukti perbaikan |
| 11 | Management Review | Presentasi hasil implementasi dan audit ke manajemen puncak, review efektivitas ISMS, keputusan perbaikan | Notulen management review, keputusan dan action item |
| 12 | Sertifikasi (Stage 1 & 2) | Stage 1: review dokumentasi oleh badan sertifikasi. Stage 2: audit on-site terhadap implementasi. Penanganan temuan minor. | Sertifikat ISO 27001:2022 |
Catatan: Timeline 12 bulan di atas berlaku untuk organisasi skala menengah (100-500 karyawan) dengan sumber daya dedicated. Organisasi yang lebih besar atau lebih kompleks mungkin memerlukan 15-18 bulan. Melibatkan konsultan berpengalaman dapat mempercepat proses secara signifikan.
Siap Memulai Perjalanan Sertifikasi ISO 27001?
Pelatihan ISO 27001 Lead Implementer di Frans Training membekali Anda dengan kompetensi untuk memimpin implementasi ISMS dari tahap perencanaan hingga sertifikasi. Dapatkan pemahaman mendalam tentang penyusunan kebijakan, risk assessment, dan audit readiness melalui studi kasus dan simulasi nyata.
Sinergi dengan UU PDP: UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi memiliki tumpang tindih signifikan dengan ISO 27001, khususnya terkait klasifikasi data, kontrol akses, dan notifikasi insiden. Organisasi yang mengimplementasikan ISO 27001 secara otomatis memenuhi sebagian besar persyaratan UU PDP. Perhatikan juga kewajiban penunjukan Data Protection Officer (DPO) sesuai UU PDP.
FAQ
Apakah ISO 27001 wajib di Indonesia?
Secara umum, ISO 27001 bersifat sukarela. Namun, beberapa sektor memiliki regulasi yang mensyaratkan standar keamanan informasi setara ÔÇö misalnya POJK No. 11/POJK.03/2022 (pastikan untuk memverifikasi regulasi terbaru karena OJK aktif memperbarui regulasi TI dan keamanan siber) untuk perbankan mengacu pada standar ISO 27001, dan PP PSTE mewajibkan penyelenggara sistem elektronik menerapkan manajemen risiko keamanan informasi. Dalam praktiknya, banyak perusahaan di sektor keuangan, kesehatan, dan teknologi menjadikan ISO 27001 sebagai persyaratan tender atau kepatuhan klien.
Berapa biaya sertifikasi ISO 27001?
Biaya bervariasi tergantung ukuran organisasi dan cakupan ISMS. Untuk perusahaan skala menengah di Indonesia, estimasi biaya total meliputi: konsultan Rp150-400 juta, badan sertifikasi Rp80-200 juta, implementasi kontrol teknis Rp100-500 juta, dan training Rp50-150 juta. Total berkisar Rp380 juta hingga Rp1,25 miliar untuk siklus sertifikasi pertama (3 tahun).
Apa perbedaan ISO 27001:2013 dan ISO 27001:2022?
Versi 2022 merupakan pembaruan signifikan. Klausul utama (4-10) mengalami perubahan minor, namun Annex A direstrukturisasi total: dari 114 kontrol dalam 14 domain menjadi 93 kontrol dalam 4 kategori (Organizational, People, Physical, Technological). Terdapat juga 11 kontrol baru, termasuk threat intelligence, cloud security, dan data masking. Organisasi yang sudah tersertifikasi versi 2013 memiliki periode transisi yang telah berakhir pada 31 Oktober 2025 (periode ini telah berakhir).
Update April 2026: Periode transisi telah berakhir pada 31 Oktober 2025. Seluruh organisasi yang tersertifikasi kini harus menggunakan versi ISO 27001:2022. Sertifikasi baru hanya diterbitkan berdasarkan versi 2022.
Apakah SoA harus mencantumkan seluruh 93 kontrol?
Ya, wajib. Statement of Applicability harus mencantumkan seluruh 93 kontrol Annex A tanpa terkecuali. Untuk setiap kontrol, harus dinyatakan apakah kontrol tersebut diterapkan atau tidak, disertai justifikasi. Auditor sertifikasi akan memeriksa kelengkapan SoA dan kesesuaian justifikasi dengan hasil risk assessment.
Berapa lama sertifikat ISO 27001 berlaku?
Sertifikat ISO 27001 berlaku 3 tahun. Selama periode tersebut, badan sertifikasi akan melakukan surveillance audit tahunan (tahun ke-1 dan ke-2) untuk memastikan ISMS tetap dipelihara. Pada tahun ke-3, dilakukan recertification audit yang cakupannya mendekati audit sertifikasi awal.