Syarat dan Tahapan Internal Audit ISO 27001
Meningkatnya frekuensi berbagai jenis kejahatan dunia maya, mulai dari hacks, crack, phishing, carding, kerusakan sistem dan virus komputer, sehingga mengharuskan perusahaan untuk meningkatkan keamanan sistemnya.
Perusahaan harus mewaspadai segala bentuk kejahatan siber dan terus meningkatkan sistem keamanannya secara berkala untuk mencegah ancaman serangan siber. Oleh karena itu, dalam penerapan standar ISO 27001, sangat disarankan untuk melakukan internal audit secara sistematis untuk menjamin kelangsungan kegiatan perusahaan dengan baik.
Internal audit adalah proses pemeriksaan sistem manajemen untuk menilai apakah perusahaan telah memenuhi seluruh persyaratan atau belum. Proses audit dilakukan terhadap seluruh sistem yang diterapkan dalam organisasi, termasuk ISO 27001.
Perusahaan yang telah menerapkan standar ISO 27001 harus melakukan audit secara berkala untuk meningkatkan sistem keamanan informasinya secara terus menerus dan efektif berdasarkan prinsip kerahasiaan, integritas, dan ketersediaan informasi.
Internal audit juga sangat berguna untuk mengukur kesediaan perusahaan untuk menjalani audit sertifikasi oleh lembaga yang terakreditasi.
Persyaratan Internal Audit ISO 27001
Berdasarkan poin 9.2 ISO/IEC 27001, persyaratan untuk melakukan internal audit diuraikan di bawah ini.
- Menetapkan kriteria dan ruang lingkup peninjauan.
- Memilih auditor yang tepat dan tepat untuk memastikan objektivitas dan ketidakberpihakan proses audit.
- Memastikan bahwa hasil audit dan observasi dikomunikasikan kepada manajemen yang tepat
- Menyimpan catatan audit
Tahapan Pelaksanaan Internal Audit
Di bawah ini adalah lima langkah untuk melakukan internal audit.
- Menunjukkan ruang lingkup standar ISO 27001, Langkah pertama dalam internal audit adalah membuat rencana audit dan menentukan sistem informasi dan sumber daya mana yang harus disertakan dalam penilaian. Kemudian konfirmasikan klausul dan kontrol ISO 27001:2013 yang relevan dengan audit sertifikasi di Lampiran A dengan pernyataan implementasi. Organisasi kemudian harus menunjuk auditor internal untuk melaksanakan penilaian, yang biasanya dilakukan oleh manajemen atau dewan. ISO 27001 mengharuskan auditor internal bersikap netral. Dalam hal ini, auditor internal tidak dapat terlibat dalam pembuatan, implementasi atau penggunaan SMKI.
- Review dokumen dan bukti auditor internal harus meninjau kebijakan dan pengendalian keamanan informasi yang diterapkan dalam SMKI organisasi. Berikut beberapa contoh dokumen yang diperlukan:
- Pernyataan Ruang Lingkup ISMS
- Pernyataan Penerapan ISMS (SoA)
- Kebijakan Keamanan Informasi
- Penilaian risiko ISO 27001 dan rencana penanganan risiko Hasil Rapat Tinjauan Manajemen WSIS
- Laporan Perbaikan dan Analisis Kesenjangan ISMS.
- Kebijakan kelangsungan bisnis
- Melaksanakan internal audit saat melakukan internal audit, auditor meninjau seluruh dokumentasi, mewawancarai orang yang bertanggung jawab atas proses tersebut, dan meninjau prosedur operasional. Sebagai bagian dari proses ini, auditor menilai apakah tujuan organisasi telah tercapai dan apakah tujuan tersebut memenuhi persyaratan ISO 27001. Hal ini juga akan membantu Anda mengidentifikasi kesenjangan dan mengambil tindakan perbaikan sebelum audit sertifikasi berikutnya.
- Membuat laporan pengujian dalam hal ini, auditor internal merangkum hasil audit, yang mencakup setiap ketidaksesuaian dan tindakannya. Laporan internal audit ISO 27001 harus memuat hal-hal berikut:
- Ruang lingkup ujian, tujuan, tenggat waktu dan penilaian.
- Ringkasan yang menggambarkan temuan-temuan utama audit.
- Panduan mengenai siapa yang harus meninjau laporan dan apakah informasi yang terkandung di dalamnya harus dirahasiakan.
- Rincian temuan audit, termasuk rekomendasi dan tindakan perbaikan.
- Pernyataan yang menjelaskan ruang lingkup audit.
- Tinjauan Manajemen auditor internal akan menyajikan hasil audit kepada manajemen dan pemangku kepentingan, mengatasi ketidaksesuaian besar dan/atau kecil yang teridentifikasi, dan mendiskusikan peluang untuk meningkatkan SMKI. Tinjauan manajemen ini juga menunjukkan apakah organisasi siap untuk fase 2 audit sertifikasi ISO 27001.
Kesimpulan
Internal audit adalah proses pemeriksaan sistem manajemen untuk menilai apakah perusahaan telah memenuhi seluruh persyaratan atau belum. Proses audit dilakukan terhadap seluruh sistem yang diterapkan dalam organisasi, termasuk ISO 27001.
Perusahaan yang telah menerapkan standar ISO 27001 harus melakukan audit secara berkala untuk meningkatkan sistem keamanan informasinya secara terus menerus dan efektif berdasarkan prinsip kerahasiaan, integritas, dan ketersediaan informasi.
TruesttechID adalah perusahaan konsultan sistem manajemen yang berdedikasi untuk membantu perusahaan mencapai keunggulan operasional dan keberlanjutan melalui penerapan sistem manajemen yang efektif. Kami memiliki ahli profesional untuk membantu Anda mencapai tujuan bisnis Anda.