Blog Single

ISO 27001 merupakan standar untuk sistem manajemen keamanan informasi dengan beberapa proses yang diterapkan perusahaan untuk mengelola teknik pemilihan dan penerapan langkah-langkah keamanan informasi. Dalam proses implementasinya sangat penting bagi perusahaan untuk melakukan evaluasi melalui internal audit. Proses ini juga merupakan persiapan organisasi sebelum akhirnya melaksanakan audit sertifikasi oleh pihak eksternal atau dikenal juga audit eksternal.

Standar ISO 27001 mengharuskan organisasi untuk merencanakan dan melaksanakan jadwal audit internal agar bisa mengklaim kepatuhan terhadap standar tersebut. Selain itu, jika suatu organisasi ingin mendapatkan sertifikasi, maka diperlukan audit eksternal yang dilakukan oleh Badan Sertifikasi sebagai organisasi dengan sumber daya audit yang kompeten terhadap ISO 27001.

Baca juga : Apakah Penetration Testing Wajib dalam ISO 27001?

Manfaat Audit ISO 27001

Perusahaan bisa mengetahui pentingnya audit dengan melihat berbagai manfaat berikut ini:

• Perusahaan bisa mematuhi hukum dan aturan yang berlaku. 
• Dapat mengembangkan proses pemantauan dan pemeliharaan yang tepat. 
• Membantu merancang dan menerapkan kebijakan keamanan informasi sesuai standar ISO 27001. 
• Memastikan sistem keamanan berjalan dengan baik setelah mendapat sertifikasi. 
• Mengidentifikasi kerentanan, potensi ancaman pada bisnis, dan area di mana perusahaan harus melakukan perbaikan, lalu membuat strategi untuk mengurangi risiko

Baca juga : Pengelolaan Identifikasi Akses Pengguna dalam ISO 27001:2022

Jenis-Jenis Audit

• Audit Internal 

Audit internal merupakan audit yang dilakukan oleh sumber daya organisasi itu sendiri. Jika organisasi tidak memiliki auditor yang kompeten dalam stafnya, audit ini bisa dilakukan oleh auditor yang di kontrak. Hal ini sering disebut dengan auditor pihak kedua, karena auditor bertindak sebagai sumber daya internal. 

• Audit eksternal 

Audit eksternal ini biasa diterapkan pada audit yang dilakukan oleh lembaga sertifikasi untuk memperoleh dan mempertahankan sertifikasi. Istilah ini juga bisa digunakan untuk mengarah pada audit yang dilakukan oleh pihak berkepentingan lainnya yang ingin mendapatkan keyakinan atas SMKI organisasi. 

Baca juga : Strategi Migrasi dari ISO 27001:2013 ke ISO 27001:2022

Internal Audit 27001 Checklist

Internal audit 27001 checklist merupakan kerangka kerja, tetapi proses sertifikasi terlihat berbeda untuk setiap perusahaan teknologi yang berbeda. Beberapa perbedaan dalam proses sertifikasi muncul berdasarkan ukuran perusahaan, dokumentasi yang ada, dan sistem manajemen keamanan informasi (ISMS). Berikut beberapa Internal audit 27001 checklist.

• Menetapkan peran 

Langkah pertama dalam internal audit 27001 checklist adalah membuat keputusan penting berdasarkan keahlian karyawan dan kapasitas perusahaan untuk mengalihkan tim dari prioritas yang ada untuk pekerjaan keamanan yang panjang dan mendalam.

• Melakukan analisis kesenjangan 

Analisis kesenjangan dilakukan dengan melihat ISMS dan dokumentasi yang ada kemudian membandingkannya dengan standar ISO 27001. Dalam hal ini Perusahaan bisa memperoleh pemahaman yang lebih baik tentang apa yang harus dicari jika melakukan analisis sendiri, yaitu dengan daftar periksa analisis kesenjangan ISO 27001.

• Mengembangkan dan mendokumentasikan bagian dari SMM

Perusahaan yang baru melakukan sertifikasi untuk pertama kalinya harus menyiapkan bagian-bagian dari ISMS dan mengidentifikasi area yang memerlukan perlindungan. ISMS harus mencakupi semua kebijakan dan prosedur internal ISO 27001 yang berlaku untuk keamanan siber. ISMS terdiri dari orang, proses, dan teknologi, sehingga perlu melihat bagaimana informasi diakses, kapan, dan oleh siapa. 

• Menulis Pernyataan Penerapan (SoA)

Di dalam Annex A terdapat 114 kontrol yang memungkinkan untuk diterapkan. Perusahaan bisa memilahnya yang sesuai dengan risiko identifikasi dalam penilaian risiko. Lalu tulis pernyataan tentang risiko kontrol mana yang ingin diterapkan melalui Pernyataan Penerapan/ Statement of Applicability (SoA). 

• Implementasikan kontrol 

Jika sudah membandingkan kebijakan dan sistem dengan kontrol ISO 27001 dan menerapkan kontrol pada SMKI, sistem di Perusahaan sudah bisa merefleksikan apa saja yang sudah di dokumentasikan.

• Melatih tim internal tentang ISMS 

Pelatihan rutin merupakan salah satu cara untuk menunjukkan komitmen Perusahaan pada keamanan siber dan menumbuhkan budaya keamanan informasi di Perusahaan.

• Melakukan audit internal

Audit internal mempersiapkan Perusahaan untuk menghadapi audit resmi dan menguji sistem baru. Hal ini bisa dilakukan oleh tim internal yang bukan merupakan bagian dari penyiapan dan pendokumentasian SMM atau oleh peninjau eksternal yang independen.

Baca juga : Mengenal 11 Kontrol Baru Annex-A ISO 27001:2022

Proses Internal Audit ISO 27001

Setelah melengkapi persyaratan dan checklist internal audit ISO 27001, langkah berikutnya Perusahaan dapat melaksanakan proses audit dengan langkah sebagai berikut:

• Menentukan ruang lingkup audit internal 

Perusahaan harus menetapkan sistem informasi dan aset mana yang harus disertakan dalam penilaian. Konfirmasikan klausul ISO 27001 dan kontrol annex A mana yang relevan dengan audit sertifikasi. 

• Pengumpulan bukti & tinjauan dokumen

Auditor internal harus meninjau kebijakan keamanan informasi dan kontrol yang telah diterapkan untuk melindungi SMKI di Perusahaan.

• Membuat laporan audit internal

Sama dengan halnya audit eksternal, audit internal juga akan menghasilkan laporan akhir. Laporan ini yang akan menunjukkan bagian mana saja dalam sistem perusahaan yang perlu disesuaikan, diperbaiki, dan dilakukan peningkatan. 

• Tinjauan management

Auditor internal akan mempresentasikan temuan audit kepada manajemen dan pihak-pihak yang berkepentingan, menyampaikan ketidaksesuaian besar atau kecil yang mereka identifikasi, dan mendiskusikan peluang untuk meningkatkan SMM. Tinjauan manajemen ini juga akan menginformasikan apakah organisasi siap untuk audit sertifikasi ISO 27001 tahap 2.

Baca juga : Peran Analisa Risiko Keamanan Informasi ISO 27001 Dalam Menjaga Keamanan Data Perusahaan