Apakah Neksus bisa langsung menerbitkan sertifikat ISO 27001?

Tidak. Sertifikat ISO/IEC 27001 hanya dapat diterbitkan badan sertifikasi terakreditasi (KAN di Indonesia, diakui internasional via IAF MLA). Neksus melatih hingga ISMS Anda siap diaudit; Anda memilih badan sertifikasi sendiri.

Apa beda ISO 27001:2013 dan 27001:2022?

Struktur klausul 4–10 (Annex SL) sama. Perubahan terbesar di Annex A: dari 114 kontrol di 14 domain menjadi 93 kontrol di 4 tema (Organizational, People, Physical, Technological). Ada 11 kontrol baru, mis. threat intelligence, secure coding, web filtering, data masking. Per IAF, sertifikat 27001:2013 berakhir setelah 31 Oktober 2025; transisi wajib sebelum tanggal tersebut.

Berapa lama persiapan dari nol hingga sertifikat?

Untuk organisasi mulai dari nol, 9–18 bulan adalah rentang realistis. Variabel utama: ruang lingkup ISMS, kompleksitas teknologi, dan kematangan kontrol existing. SaaS kecil dengan tim engineering yang sudah disiplin: 6–9 bulan. Organisasi besar dengan banyak vendor & legacy system: 12–18 bulan.

Apakah ISO 27001 wajib untuk fintech OJK?

ISO 27001 belum jadi mandatory di setiap kategori fintech, tetapi banyak POJK (mis. POJK 11/2022 manajemen risiko TI dan POJK Keamanan Siber) mensyaratkan kontrol yang ekivalen dengan banyak kontrol Annex A. Memiliki ISO 27001 sering jadi cara efisien membuktikan kepatuhan POJK terkait.

Apakah ISO 27001 cukup untuk compliance UU PDP?

ISO 27001 jadi fondasi yang sangat kuat, sebagian besar kontrol Annex A relevan dengan kewajiban UU 27/2022 PDP (mis. kontrol akses, enkripsi, retensi data, vendor management). Namun UU PDP punya kewajiban hukum tambahan: penunjukan DPO (untuk kondisi tertentu), DPIA, notifikasi insiden ke Otoritas dalam 3x24 jam, dan hak subjek data. Banyak organisasi membangun program PDP di atas fondasi ISMS.

Berapa biaya audit sertifikasi ISO 27001?

Ditentukan badan sertifikasi berdasarkan mandays IAF MD 5. Variabel utama: jumlah karyawan dalam scope (bukan total karyawan organisasi), jumlah site dalam scope, dan kompleksitas teknologi. Untuk SaaS 50–100 karyawan single-site, biaya cenderung lebih ringan dibanding BUMN multi-site. Minta penawaran 2–3 badan sertifikasi.

Apa itu Statement of Applicability (SoA) dan kenapa penting?

SoA adalah dokumen wajib yang mendaftarkan ke-93 kontrol Annex A dengan status applicable atau excluded, justifikasi, dan referensi ke implementasi. SoA adalah dokumen pertama yang dibuka auditor di Stage 1, kualitas SoA jadi indikator kematangan ISMS. SoA yang dangkal (mis. justifikasi exclusion tidak spesifik) langsung jadi temuan.

Berapa auditor internal SMKI yang ideal?

Untuk ISMS skala SaaS/menengah, 4–6 auditor internal cukup. Idealnya gabungan: 2 dari fungsi GRC/security, 2 dari fungsi IT, 1 dari HR, 1 dari business operations, untuk perspektif lintas-fungsi. Tim ini menjalankan audit internal tahunan dengan rotasi area audit.

Apakah audit internal SMKI bisa di-outsource?

Bisa, dan banyak organisasi kecil melakukannya. Namun ISO 27001 tetap menuntut bukti bahwa fungsi audit internal independent dan kompeten dijalankan. Kombinasi yang efektif: tim auditor internal organisasi (untuk audit reguler) + auditor eksternal independen untuk audit khusus (mis. menjelang resertifikasi).

Awareness + Internal Auditor

Siapkan ISMS Anda menuju sertifikasi ISO/IEC 27001:2022

Pelatihan untuk CISO, IT Manager, GRC officer, tim auditor internal, dan pemilik proses bisnis, memahami klausul SMKI 4–10, menerapkan 93 kontrol Annex A, dan menjalankan audit internal sesuai ISO 19011 sebelum badan sertifikasi datang.

Klausul utama: Klausul 4–10Klausul utama
Kontrol Annex A: 93 kontrol (versi 2022)Kontrol Annex A
Standar pendamping: ISO/IEC 27002:2022Standar pendamping
Format: Inhouse, online, hybridFormat

Jawaban singkat

Pelatihan ISO 27001 Awareness + Internal Auditor membekali tim Anda memahami persyaratan SMKI klausul 4–10 dan 93 kontrol Annex A (versi 2022), menyusun Statement of Applicability, serta menjalankan audit internal sesuai ISO 19011. Neksus melatih hingga organisasi siap audit; badan sertifikasi terakreditasi KAN yang menyertifikasi dan menerbitkan sertifikat ISO/IEC 27001:2022.

Tentang Standar

Standar internasional untuk Sistem Manajemen Keamanan Informasi

ISO/IEC 27001:2022 adalah standar internasional untuk Information Security Management System (ISMS / SMKI), diterbitkan bersama oleh ISO dan IEC. Versi 2022 menggantikan 27001:2013, mempertahankan struktur klausul 4–10 (Annex SL) dan merampingkan Annex A dari 114 kontrol di 14 domain menjadi 93 kontrol di 4 tema: Organizational (37), People (8), Physical (14), dan Technological (34). Pendamping kontrolnya adalah ISO/IEC 27002:2022, panduan implementasi yang lebih dalam per kontrol. Neksus melatih tim Anda menyusun konteks ISMS, melakukan risk assessment, membuat Statement of Applicability, mengimplementasikan kontrol Annex A yang relevan, dan menjalankan audit internal sebelum badan sertifikasi datang.

Versi 2022 berlaku, organisasi 27001:2013 harus transisi sebelum Oktober 2025 (deadline siklus IAF)
93 kontrol Annex A, wajib evaluasi semua, tetapkan ‘applicable’ atau ‘excluded’ dengan justifikasi tertulis
Statement of Applicability (SoA) adalah dokumen wajib paling diperhatikan auditor
Selaras dengan UU 27/2022 PDP untuk komponen keamanan data pribadi

Neksus melatih, badan sertifikasi yang menyertifikasi

Sertifikat ISO/IEC 27001 hanya dapat diterbitkan badan sertifikasi terakreditasi (KAN di Indonesia, diakui IAF MLA). Neksus menyiapkan ISMS Anda hingga lulus Stage 1 dan Stage 2, tanpa janji ‘sertifikasi pasti’.

ISO 27001 ≠ UU PDP, tapi keduanya saling memperkuat

UU 27/2022 Perlindungan Data Pribadi mengatur pemrosesan data pribadi dengan kewajiban legal. ISO 27001 adalah kerangka manajemen keamanan informasi yang membantu organisasi menerapkan kontrol teknis dan organisasi pendukung UU PDP. Banyak organisasi memakai ISMS sebagai fondasi compliance PDP.

Deadline transisi 27001:2013 → 27001:2022

Per resolusi IAF, sertifikat ISO 27001:2013 berakhir efektif setelah 31 Oktober 2025. Organisasi dengan sertifikat 27001:2013 harus melakukan audit transisi ke 27001:2022 sebelum tanggal tersebut. Pelatihan transisi Internal Auditor fokus pada perubahan struktur Annex A dan 11 kontrol baru.

Ruang Lingkup

Ruang lingkup ISMS yang biasa disertifikasi

Penentuan ruang lingkup (klausul 4.3) adalah keputusan strategis yang menentukan kompleksitas audit dan biaya.

Perusahaan SaaS / B2B teknologi

Ruang lingkup: layanan SaaS dari development hingga delivery; mencakup tim engineering, infrastruktur cloud, customer support, dan vendor management. Lazim jadi syarat enterprise customer.

Lembaga jasa keuangan & fintech OJK

Ruang lingkup: layanan keuangan digital, payment processing, kredit online. Sering dipadukan dengan POJK 11/2022 manajemen risiko TI dan POJK Keamanan Siber.

Data center & cloud provider

Ruang lingkup: infrastruktur dan operasi data center. Kontrol fisik (Annex A.7) dapat banyak dipilih sebagai applicable.

BUMN & Lembaga Pemerintah

Ruang lingkup: sistem informasi utama yang mengelola data pegawai/warga. Selaras dengan BSSN dan pedoman keamanan SPBE.

Rumah Sakit & Healthcare TI

Ruang lingkup: rekam medis elektronik, sistem antrian, integrasi BPJS. Sangat sensitif untuk data kesehatan.

Manufaktur dengan IoT/OT

Ruang lingkup: sistem operasional teknologi (OT/ICS) yang konvergen dengan IT. Tantangan unik di kontrol Annex A.7 (fisik) dan A.8 (teknologi).

Kesiapan Organisasi

Kesiapan organisasi sebelum mengundang badan sertifikasi

Tanpa item-item ini, Stage 1 menyatakan ‘kesiapan tidak memadai’ dan Stage 2 ditunda.

Kebijakan keamanan informasi disahkan top management
Komitmen keamanan informasi, kewajiban kepatuhan, kerangka risiko, dan tujuan keamanan.
Konteks ISMS & ruang lingkup tertulis
Klausul 4, analisis isu, pihak berkepentingan (regulator, klien, partner), interface dengan sistem di luar lingkup.
Metodologi risk assessment & risk treatment
Klausul 6.1, metode risiko terdokumentasi (mis. ISO 31000 atau OCTAVE), kriteria penerimaan risiko, register risiko terkini.
Statement of Applicability (SoA)
Wajib mencakup ke-93 kontrol Annex A: status applicable/excluded, justifikasi, dan referensi ke prosedur/kontrol teknis.
Rencana penanganan risiko (Risk Treatment Plan)
Daftar kontrol yang dipilih dengan target waktu, penanggung jawab, dan status implementasi.
Bukti implementasi kontrol Annex A yang applicable
Untuk setiap kontrol applicable, ada prosedur, log, dan/atau konfigurasi teknis yang dapat diaudit.
Satu siklus audit internal + tinjauan manajemen
Audit internal sesuai ISO 19011, evaluasi kepatuhan, dan tinjauan manajemen (klausul 9.3) dengan input/output sesuai standar.

Alur Audit Sertifikasi

Tahap audit dari kontrak hingga sertifikat

Sesuai ISO/IEC 17021-1, siklus sertifikasi 3 tahun dengan dua surveillance audit.

1
Aplikasi & kontrak
1–2 minggu
Submit ruang lingkup, jumlah karyawan dalam scope, jumlah lokasi, sektor IAF (37 untuk teknologi informasi). Badan sertifikasi menghitung mandays per IAF MD 5.
2
Stage 1, Tinjauan dokumentasi ISMS
1–2 hari
Auditor memeriksa kebijakan, ruang lingkup, register risiko, SoA, risk treatment plan, hasil audit internal, dan notulen tinjauan manajemen. Output: kesiapan dinyatakan, atau daftar pra-syarat ditutup dulu.
3
Stage 2, Audit implementasi
3–10 hari onsite
Auditor turun ke proses & sistem. Wawancara CISO, tim TI, asset owner, vendor. Pemeriksaan log akses, konfigurasi firewall, backup, manajemen patch, incident log. Temuan diklasifikasi.
4
Penutupan temuan & rekomendasi sertifikasi
30–90 hari
Major NC harus ditutup dengan bukti tindakan koreksi efektif sebelum rekomendasi sertifikat. Minor NC bisa ditutup di surveillance.
5
Penerbitan sertifikat (siklus 3 tahun)
,
Sertifikat mencantumkan ruang lingkup ISMS yang spesifik. Sering dijadikan persyaratan oleh enterprise customer dan dalam proses due diligence M&A.
6
Surveillance audit tahun 1 & 2
Tahunan, 2–5 hari
Fokus pada perubahan signifikan (mis. arsitektur baru, vendor baru, insiden besar), hasil monitoring, dan sampel kontrol kritis.
7
Recertification audit (tahun 3)
Sebelum sertifikat habis
Audit menyeluruh ulang. Bila lulus, sertifikat diperpanjang 3 tahun lagi.

Internal Auditor (ISO 19011)

Apa yang dilakukan Internal Auditor ISO 27001, beyond checklist

Pelatihan Internal Auditor mengikuti pedoman ISO 19011:2018, dengan fokus tambahan kompetensi keamanan informasi.

Apa yang dilakukan

Internal Auditor ISO 27001 memverifikasi SoA bahwa setiap kontrol yang ditetapkan applicable benar-benar terimplementasi dan efektif. Mereka turun ke sistem: memeriksa log akses dengan least privilege, ujicoba prosedur incident response, evaluasi konfigurasi firewall vs baseline, audit lifecycle aset (HR onboarding/offboarding), audit kontrak vendor untuk klausul keamanan. Independensi krusial, auditor dari satu BU mengaudit BU lain. Audit internal jadi input wajib tinjauan manajemen klausul 9.3.

Kompetensi yang dibangun

Pemahaman klausul 4–10 SMKI dan struktur Annex SL
Penguasaan 93 kontrol Annex A: organizational, people, physical, technological
Risk-based thinking & metode risk assessment (ISO 31000 / OCTAVE / FAIR)
Audit SoA: justifikasi inclusion/exclusion dan konsistensi dengan kontrol terimplementasi
Audit teknis dasar: log akses, konfigurasi keamanan, backup, vulnerability management
Pemahaman regulasi pendukung: UU 27/2022 PDP, PP PDP, peraturan BSSN
ISO 19011, independensi, objektivitas, evidence-based

Kategori Temuan

Major NC
Mis. SoA tidak konsisten dengan kontrol implementasi, kontrol kritis (mis. backup) tidak berjalan, atau insiden besar tidak terkelola sesuai prosedur.
Minor NC
Mis. log akses tidak direview rutin, satu prosedur tidak update setelah perubahan, atau training awareness karyawan belum dijalankan untuk satu departemen.
OFI
Mis. usulan otomatisasi review akses, atau adopsi kerangka tambahan (mis. NIST CSF) untuk memperkuat tata kelola.
Observation
Mis. catatan tentang risiko baru muncul (vendor baru, layanan baru) yang belum tercakup risk assessment.

Hasil yang Diharapkan

Hasil yang diharapkan dari tim Anda

Pemahaman 93 kontrol Annex A

Setiap peserta mampu menjelaskan tujuan kontrol dan contoh implementasinya, tidak sekedar hafal nomor kontrol.

SoA draft siap dipertahankan

Output kelas: draft SoA dengan justifikasi inclusion/exclusion yang dapat dipertanggungjawabkan ke auditor eksternal.

Auditor internal SMKI aktif

4–8 auditor internal yang dapat menjalankan audit lintas-BU dengan independensi.

Checklist audit per kontrol

Set checklist audit untuk 4 tema Annex A, siap dipakai program audit tahunan.

Risk register hidup

Risk register yang ter-update berdasarkan asset, ancaman, dan kerentanan; bukan dokumen statis.

Alat Bantu Keputusan

Awareness vs Internal Auditor vs Persiapan Lead Auditor (Keamanan Informasi)

Kriteria	Awareness	Internal Auditor ★	Persiapan Lead Auditor
Durasi tipikal	1 hari	3 hari	5 hari (IRCA-style)
Target peserta	Semua karyawan yang akses sistem	Tim auditor internal & GRC	Calon Lead Auditor / konsultan ISMS
Output utama	Kebijakan keamanan dipahami & dijalankan	Checklist audit + SoA draft + laporan temuan	Sertifikat individual dari skema pelatihan terdaftar
Dilakukan oleh	Vendor pelatihan (mis. Neksus)	Vendor pelatihan (mis. Neksus)	Lembaga pelatihan terdaftar (mis. IRCA / PECB)

Alur Kerja Sama dengan Neksus

Alur kerja sama dengan Neksus untuk ISO 27001

1
Kickoff & gap analysis
Minggu 1
Workshop 2 jam dengan CISO/IT Lead: pemetaan scope ISMS, identifikasi gap utama vs 93 kontrol Annex A, target jadwal sertifikasi.
2
Awareness 1 hari
Minggu 2
Untuk seluruh karyawan dalam scope (engineering, customer support, HR, finance). Tujuan: budaya keamanan informasi tertanam.
3
Workshop Internal Auditor 3 hari
Minggu 3–4
Klausul 4–10, 93 kontrol Annex A, metode risk assessment, audit SoA, teknik audit ISO 19011, dan latihan menyusun temuan.
4
Mock audit di area kritis
Minggu 5
Fasilitator mendampingi audit di satu BU (mis. engineering / data center). Peserta mempraktikkan teknik wawancara & verifikasi log.
5
Tinjauan kesiapan & rekomendasi closure
Minggu 6
Laporan: gap yang tersisa, daftar tindakan prioritas, kesiapan dokumen untuk Stage 1.
6
Handoff ke badan sertifikasi
Minggu 7+
Paket dokumen Stage 1 siap. Pemilihan badan sertifikasi sepenuhnya keputusan organisasi.

Peran Sasaran

Peran sasaran

CISO / Information Security Manager

Senior

Pemilik ISMS, kontak utama dengan badan sertifikasi.

IT Manager / Head of Infrastructure

Bertanggung jawab implementasi kontrol teknis Annex A.8 (technological).

GRC Officer

Memelihara SoA, risk register, dan dokumentasi ISMS.

Tim Auditor Internal

4–8 orang lintas-BU untuk independensi.

DPO (Data Protection Officer)

Penyelarasan ISMS dengan UU 27/2022 PDP.

Process Owner / Asset Owner

Pemilik aset informasi yang harus mendemonstrasikan kontrol saat audit.

HR (Human Resources)

Kontrol Annex A.6 (people), screening, training, disciplinary process.

Top Management

Mengarahkan kebijakan keamanan informasi dan memimpin tinjauan manajemen.

Contoh Badan Sertifikasi Terakreditasi

Contoh badan sertifikasi terakreditasi untuk ISO 27001 di Indonesia

Daftar berikut bukan rujukan resmi Neksus. Pilihan badan sertifikasi sepenuhnya keputusan organisasi Anda.

BSI (British Standards Institution)

UKAS + KAN

Lembaga asal Inggris; pengarang awal banyak standar ISO/IEC keamanan informasi.

BSI Group ANZ / SGS

UKAS / ANAB + KAN

Pengalaman luas audit ISMS untuk SaaS, fintech, dan data center.

TÜV Rheinland

DAkkS + KAN

Banyak dipakai untuk kombinasi 27001 dengan 27017/27018 (cloud).

TÜV SÜD

DAkkS + KAN

Pengalaman audit ISMS multi-site dan layanan cloud lintas-yurisdiksi.

Bureau Veritas

COFRAC + KAN

Pengalaman audit ISMS di sektor keuangan dan energi.

Sucofindo / TUV NORD Indonesia

KAN

Sering dipakai dalam tender BUMN/pemerintah dan ekosistem fintech OJK.

Penting — Transparansi

Badan-badan di atas adalah contoh organisasi terakreditasi (umumnya melalui KAN dan jaringan IAF MLA) yang dapat melakukan audit sertifikasi. Mereka bukan mitra resmi Neksus dan tidak menerima rujukan dari Neksus. Pemilihan badan sertifikasi sepenuhnya keputusan organisasi Anda berdasarkan ruang lingkup, sektor, dan ketentuan procurement internal.

Pola Hasil Tipikal

Pola hasil tipikal dari klien serupa

Konteks

SaaS B2B 80 karyawan, sertifikasi pertama untuk syarat enterprise customer.

Intervensi

Awareness untuk seluruh tim (1 hari) + Internal Auditor 3 hari untuk 5 orang lintas-fungsi + mock audit fokus pada engineering & vendor management.

Hasil indikatif

Stage 1 lulus tanpa temuan kritis; Stage 2 menghasilkan 2 Minor NC (review akses & vendor security clause) ditutup dalam 45 hari. Sertifikat membuka pipeline enterprise customer berikutnya.

Konteks

Fintech OJK 150 karyawan, transisi dari 27001:2013 ke 27001:2022.

Intervensi

Pelatihan transisi Internal Auditor (2 hari) fokus pada 11 kontrol baru + update SoA + mock audit transisi.

Hasil indikatif

Audit transisi lulus dalam siklus surveillance reguler tanpa biaya tambahan.

Konteks

BUMN sektor utilitas, ingin sertifikasi sistem SCADA-IT.

Intervensi

Pelatihan untuk tim IT, OT, dan vendor management; pendampingan menentukan ruang lingkup yang feasible vs ambisius.

Hasil indikatif

Sertifikat ISO 27001 lingkup terbatas (control room + SCADA-IT) berhasil sebagai pondasi roadmap perluasan scope tahun berikutnya.

Informasi Procurement

Informasi procurement

Format kontrak
Inhouse training, program berkelanjutan, atau paket terintegrasi awareness + Internal Auditor + mock audit.
Lokasi
Onsite di lokasi klien (Jabodetabek tanpa biaya transport tambahan), regional onsite, atau live online.
Bahasa pengantar
Bahasa Indonesia atau bilingual ID/EN (banyak tim engineering pakai EN).
Materi & sertifikat peserta
Modul, handout, template SoA, checklist audit Annex A, sertifikat partisipasi Neksus.
Dokumentasi pajak
Faktur pajak PPN, kwitansi, BAST. Dukungan e-procurement BUMN/pemerintah tersedia.
Termin pembayaran
DP 30% saat kontrak, pelunasan 70% setelah pelatihan.
Pendampingan implementasi opsional
Konsultasi terpisah berbasis manday: pendampingan implementasi kontrol Annex A, pendampingan menjelang Stage 1.

Pertanyaan Umum

Diskusikan kesiapan ISO/IEC 27001:2022 untuk organisasi Anda

Kirim ruang lingkup ISMS Anda dan target jadwal sertifikasi. Tim Neksus mempelajari konteks Anda dan menyiapkan rancangan program dalam 2 hari kerja.

Awareness, Internal Auditor, dan mock audit terfokus pada area kritis
Fasilitator dengan latar belakang CISO/security architect & audit ISMS
Materi mencakup transisi 27001:2013 → 27001:2022 dan penyelarasan UU PDP
Handoff terstruktur ke badan sertifikasi pilihan Anda

Siapkan ISMS Anda menuju sertifikasi ISO/IEC 27001:2022

Standar internasional untuk Sistem Manajemen Keamanan Informasi

Ruang lingkup ISMS yang biasa disertifikasi

Kesiapan organisasi sebelum mengundang badan sertifikasi

Tahap audit dari kontrak hingga sertifikat

Aplikasi & kontrak

Stage 1, Tinjauan dokumentasi ISMS

Stage 2, Audit implementasi

Penutupan temuan & rekomendasi sertifikasi

Penerbitan sertifikat (siklus 3 tahun)

Surveillance audit tahun 1 & 2

Recertification audit (tahun 3)

Apa yang dilakukan Internal Auditor ISO 27001, beyond checklist

Hasil yang diharapkan dari tim Anda

Awareness vs Internal Auditor vs Persiapan Lead Auditor (Keamanan Informasi)

Alur kerja sama dengan Neksus untuk ISO 27001

Kickoff & gap analysis

Awareness 1 hari

Workshop Internal Auditor 3 hari

Mock audit di area kritis

Tinjauan kesiapan & rekomendasi closure

Handoff ke badan sertifikasi

Peran sasaran

Contoh badan sertifikasi terakreditasi untuk ISO 27001 di Indonesia

Topik pelatihan Neksus yang menguatkan SMKI ISO 27001

Kesadaran Keamanan Siber Karyawan

Literasi Data & Analitik Bisnis

Manajemen Perubahan Organisasi

Pola hasil tipikal dari klien serupa

Informasi procurement

Pertanyaan Umum

Apakah Neksus bisa langsung menerbitkan sertifikat ISO 27001?

Apa beda ISO 27001:2013 dan 27001:2022?

Berapa lama persiapan dari nol hingga sertifikat?

Apakah ISO 27001 wajib untuk fintech OJK?

Apakah ISO 27001 cukup untuk compliance UU PDP?

Berapa biaya audit sertifikasi ISO 27001?

Apa itu Statement of Applicability (SoA) dan kenapa penting?

Berapa auditor internal SMKI yang ideal?

Apakah audit internal SMKI bisa di-outsource?

Diskusikan kesiapan ISO/IEC 27001:2022 untuk organisasi Anda