Analisis Kepatuhan ISO 27001 Annex A pada Perusahaan Keamanan Siber

Adelia Cristyana Dewanti(1),Halim Budi Santoso(2),Jong Jek Siang(3*)
(1) Universitas Kristen Duta Wacana
(2) Universitas Kristen Duta Wacana
(3) Universitas Kristen Duta Wacana
(*) Corresponding Author
DOI : 10.35889/jutisi.v15i3.3696

Abstract

Information Security Management System  is an important aspect for cybersecurity companies in maintaining the confidentiality, integrity, and availability of information. This study evaluates the implementation of ISO 27001:2022 Annex A controls in the Compliance and IT Security divisions of a cybersecurity company using the Gap Analysis method. The evaluation covered 12 controls clusters, including security policies, compliance audits, access management, incident handling, and third party management through observation, semi structured interviews, and document analysis. Assessment results showed an actual score of 33 out of 48, indicating a compliance level of 68.75% categorized as compliant. Technical controls had generally been implemented well. However, gaps remained in compliance audits, third party management, security documentation, and employee security awareness. Recommendations include documentation standardization, stronger compliance monitoring, periodic evaluations, and formal incident handling procedures to improve ISMS implementation continuously.

Keywords: ISO 27001:2022; Annex A; Gap Analysis; Compliance; Information Security.

 

Abstrak

Sistem Manajemen Keamanan Informasi menjadi aspek penting bagi perusahaan keamanan siber dalam menjaga kerahasiaan, integritas, dan ketersediaan informasi. Penelitian ini mengevaluasi implementasi kontrol ISO 27001:2022 Annex A pada divisi Compliance dan IT Security menggunakan metode Gap Analysis. Evaluasi dilakukan terhadap 12 cluster kontrol keamanan informasi melalui observasi, wawancara semi terstruktur, dan analisis dokumen perusahaan. Hasil penilaian menunjukkan skor aktual sebesar 33 dari skor maksimal 48 dengan tingkat kepatuhan 68,75% yang termasuk kategori patuh. Implementasi kontrol pada aspek teknis telah berjalan cukup baik, namun masih ditemukan kesenjangan pada audit kepatuhan, pengelolaan pihak ketiga, dokumentasi keamanan informasi, dan kesadaran keamanan SDM. Rekomendasi yang diusulkan meliputi standarisasi dokumentasi, penguatan pemantauan kepatuhan, evaluasi berkala, dan penyusunan prosedur formal penanganan insiden guna meningkatkan implementasi SMKI secara berkelanjutan.

 

Keywords


ISO 27001:2022; Annex A; Analisis GAP; Kepatuhan; Keamanan Informasi.

References


R. Vansuri et al., “Peran CIA (Confidentiality, Integrity, Availability) Terhadap Manajemen Keamanan Informasi,” JIM: Jurnal Ilmu Multidisiplin, vol. 2, no. 1, pp. 106–113, Jun. 2023, doi: 10.38035/jim.v2i1.

A. D. Saputra, F. Dione, and I. Uluputty, “Pengelolaan Keamanan Informasi dan Persandian di Dinas Komunikasi dan Informatika Provinsi Kalimantan Timur,” Jurnal Teknologi dan Komunikasi Pemerintahan, vol. 5, no. 2, pp. 159–187, Dec. 2023, doi: 10.33701/jtkp.v5i2.3735.

G. H. Wicaksana and E. Maria, “Penerapan ISO 31000:2018 dalam Mitigasi Risiko Sistem Visual Hotel Program di Hotel Griya Persada,” Jutisi : Jurnal Ilmiah Teknik Informatika dan Sistem Informasi, vol. 14, no. 3, p. 2328, Mar. 2026, doi: 10.35889/jutisi.v14i3.3270.

L. D. A. Jelita, M. N. Al Azam, and A. Nugroho, “Evaluasi Keamanan Teknologi Informasi Menggunakan Indeks Keamanan Informasi 5.0 dan ISO/IEC 27001:2022,” Jurnal SAINTEKOM, vol. 14, no. 1, pp. 84–94, Mar. 2024, doi: 10.33020/saintekom.v14i1.623.

I. Suryono, “Evaluasi Penilaian Mandiri Penerapan SMKI di Salah Satu Lingkungan K/L,” JUPIK: Jurnal Penelitian Ilmu Komputer, vol. 1, pp. 1–7, Mar. 2023, doi: 10.5281/zenodo.7720440.

F. Cahya Arumdiya and C. Rudianto, “Implementasi ISO 27001:2022 dalam Manajemen Risiko Keamanan Informasi,” Jurnal PETISI, vol. 06, no. 02, pp. 143–155, Jul. 2025.

S. R. Musyarofah and R. Bisma, “Analisis Kesenjangan Sistem Manajemen Keamanan Informasi (SMKI) sebagai Persiapan Sertifikasi ISO/IEC 27001:2013 pada Institusi Pemerintah,” Teknologi, vol. 11, no. 1, pp. 1–15, Jan. 2021, doi: 10.26594/teknologi.v11i1.2152.

R. Rizky Junior, R. Guntur Utomo, and D. Oktaria, “Information Security Analysis in PT. XYZ Using ISO/IEC 27001:2013,” Jutisi: Jurnal Ilmiah Teknik Informatika dan Sistem Informasi, vol. 12, No. 1, pp. 220–231, Apr. 2023.

N. Nurbojatmiko, M. S. K. Karimiyah, N. M. Asnadi, and R. Anisyah, “ISO 27001 As Information Security Solution In Society 5.0 Era: Systematic Literature Review,” Sinkron, vol. 9, no. 1, pp. 484–492, Feb. 2025, doi: 10.33395/sinkron.v9i1.14448.

B. Aurabillah, L. Aprillia Putri, N. Citra Fadhlilla, and A. Wulansari, “Implementasi Framework ISO 27001 sebagai Proteksi Keamanan Informasi dalam Pemerintahan (Systematic Literature Review),” JATI (Jurnal Mahasiswa Teknik Informatika), vol. 8, no.1, pp. 454-460. Feb. 2024.

Setiawan and I. P. Wardhani, “Evaluasi Efektivitas Pemetaan Keamanan Siber dalam Penerapan Sistem Keamanan Informasi Berbasis ISO/IEC 27001:2022 PT Jasa Raharja,” JATI (Jurnal Mahasiswa Teknik Informatika), vol. 10, no. 1, pp. 27887–2794, Apr. 2026.

Bimantoro, “Rekomendasi Implementasi 11 Kontrol keamanan informasi baru ISO 27001:2022 di Perusahaan HealthTech XYZ,” The Indonesian Journal of Computer Science, vol. 13, no. 4, pp. 6398–6410, Jul. 2024, doi: 10.33022/ijcs.v13i4.4166.

M. Hafidz Bahaudin and A. Wasiur Rizqi, “Evaluasi Kesesuaian Penerapan Sistem Manajemen Keselamatan dan Kesehatan Kerja (SMK3) Berdasarkan ISO 45001:2018 Menggunakan Metode Gap Analysis dan PDCA (Studi kasus: PT Swabina Gatra),” Jurnal Teknologi dan Manajemen Industri Terapan (JTMIT), vol. 5, no. 2, pp. 766–773, 2026.

R. Umar, I. Riadi, M. Ihya, and A. Elfatiha, “Analisis Keamanan Sistem Informasi Akademik Berbasis Web Menggunakan Framework ISSAF,” Jutisi: Jurnal Ilmiah Teknik Informatika dan Sistem Informasi, vol. 12, no. 1, pp. 280–292, Apr. 2023.

H. Zaenul Rahmat, F. Nurapriani, and B. Huda, “Penerapan Tata Kelola Audit Sistem Informasi Pada Shen Coffee Space Menggunakan Framework COBIT 2019,” Tugas Akhir, UBP Karawang, 2025

E. Riana, M. E. S. Sulistyawati, and O. P. Putra, “Analisis Tingkat Kematangan (Maturity Level) Dan PDCA (Plan-Do-Check-Act) Dalam Penerapan Audit Sistem Manajemen Keamanan Informasi Pada PT Indonesia Game Menggunakan Metode ISO 27001:2013,” Journal of Information System Research (JOSH), vol. 4, no. 2, pp. 632–640, Jan. 2023, doi: 10.47065/josh.v4i2.2552.

A. Budiyantara, P. Sita Witari, T. Marpaung, G. Jordana, and M. Hamka, “Analisis Kebijakan Keamanan Informasi di Perusahaan Distributor Mobile Phone,” Jurnal of Business and Audit Information System (JBASE), vol. 8, no. 2, pp. 24–31, Sep. 2025, doi: 10.24105/jbase.v8i2.9061.

R. Sinaga, “Pengembangan Model Penilaian Kepatuhan Salah Satu Perguruan Tinggi Terhadap Standar ISO 27001:2022,” Jurnal Teknik Informatika dan Sistem Informasi, vol. 9, no. 3, pp. 381–394, Jan. 2024, doi: 10.28932/jutisi.v9i3.6850.

I. Mardiyana et al., “Penerapan Kerangka Kerja Keamanan Informasi di Rumah Sakit: Tinjauan Literatur Sistematis,” Jutisi: Jurnal Ilmiah Teknik Informatika dan Sistem Informasi, vol. 12, pp. 729–738, Aug. 2023.

Mardiah and M. N. H. Siregar, “Analisis Keamanan Data pada Sistem Informasi Menggunakan Metode ISO/IEC 27001,” Jurnal Ilmu Komputer dan Teknik Informatika, vol. 1, no. 2, pp. 58–64, Jul. 2025, doi: 10.64803/juikti.v1i2.52.

L. Kusnitawati and A. Kurniawati, “Analisis Kualitas Perangkat Lunak Aplikasi GT-Kalinfo pada PT. Gajah Tunggal Menggunakan ISO 25010,” Jutisi: Jurnal Ilmiah Teknik Informatika dan Sistem Informasi, vol. 12, no. 3, pp. 1319–1330, Dec. 2023.

I. Wayan, G. Adnyana, H. Syakh Alam, I. Gede, and J. E. Putra, “Tata Kelola Audit Sistem Informasi Menggunakan Framework COBIT 5 (Studi Kasus: Dinas Kependudukan & Pencatatan Sipil Kabupaten Gianyar),” Jutisi: Jurnal Ilmiah Teknik Informatika dan Sistem Informasi, Vol. 12, no. 3, pp. 1343–1354, Dec. 2023.

P.S. Lestari et al., “Implementasi ISO 27001 dalam Meningkatkan Kepercayaan Pengguna dalam Sektor Industri,” Jurnal Pengabdian Masyarakat dan Riset Pendidikan, vol. 4, no. 1, pp. 1152–1167, Jul. 2025, doi: 10.31004/jerkin.v4i1.1565.

R. N. J. Meimo Nakashita et al., “Analisis Manajemen Risiko Teknologi Informasi dengan Metode FMEA dan Kontrol ISO 27001:2013 Pada Perusahaan Kontruksi Kapal,” Jurnal Ilmiah Media Sisfo, vol. 18, no. 2, pp. 166–176, Oct. 2024, doi: 10.33998/mediasisfo.2024.18.2.1795.

C. A. Gemawaty and Y. Yuliani, “MANAJEMEN IDENTITAS DAN AKSES DALAM KEAMANAN SISTEM INFORMASI (PENDEKATAN LITERATURE REVIEW),” Jurnal Manajemen Informatika Jayakarta, vol. 4, no. 4, pp. 396–403, 2024, doi: 10.52362/jmijayakarta.v4i4.1527.

A. Fauzi, I. Nur Aprilla, N. Fauziyyah, and N. Fazriyanti Bachtiar, “Implementasi Multi-Faktor Authentication, Single Sign-on dan Role-Based Access Control dalam Keamanan Sistem Informasi (Studi Literature Review),” Fibonacci: Jurnal Ilmu Ekonomi, Manajemen, dan Keuangan, vol. 2, no. 1, pp. 33–45, 2025, doi: 10.63217/fibonacci.v2i1.256.

A. Rahmadana, R. Mulyana, and A. F. Santoso, “Pemanfaatan COBIT 2019 Information Security Dalam Merancang Manajemen Keamanan Informasi Pada Transformasi BankCo,” Jutisi: Jurnal Ilmiah Teknik Informatika dan Sistem Informasi, vol. 12, no. 3, pp. 1226–1239, 2023.

V. P. Meylani and L. A. Fransen, “Penerapan Model ISO/IEC 25010 Dalam Mengukur Kualitas Aplikasi Shafira Holiday Mobile,” Jutisi: Jurnal Ilmiah Teknik Informatika dan Sistem Informasi, vol. 15, no. 1, pp. 388–397, Feb. 2026, doi: http://dx.doi.org/10.35889/jutisi.v15i1.3437.

F. S. Mulyadi and Rizal Fathoni Aji, “Audit Keamanan Informasi Pemasok Pada Perusahaan Penyelenggara Sistem Pembayaran XYZ,” The Indonesian Journal of Computer Science, vol. 13, no. 4, pp. 6424-6439, Jul. 2024, doi: 10.33022/ijcs.v13i4.4167.


The PDF file you selected should load here if your Web browser has a PDF reader plug-in installed (for example, a recent version of Adobe Acrobat Reader).

If you would like more information about how to print, save, and work with PDFs, Highwire Press provides a helpful Frequently Asked Questions about PDFs.

Alternatively, you can download the PDF file directly to your computer, from where it can be opened using a PDF reader. To download the PDF, click the Download link above.

Fullscreen Fullscreen Off

Full Text: File PDF

How To Cite This :

Refbacks

  • There are currently no refbacks.