Apakah Anda siap untuk mengembangkan bisnis Anda?

Hubungi Kami

Tahapan Internal Audit ISO 27001 Lengkap dengan Persyaratannya

internal audit iso

Munculnya kasus kejahatan siber yang terus meningkat dengan beragam jenisnya mulai dari hacking, cracking, phising, carding, pengrusakan sistem, dan virus komputer menuntut organisasi untuk meningkatkan keamanan sistemnya. Semua bentuk kejahatan siber harus diwaspadai oleh perusahaan dan diharapkan terus berupaya melakukan peningkatan secara berkala pada sistem keamanannya supaya tetap terhindar dari risiko serangan siber. Untuk itu, dalam penerapan ISO 27001 internal audit sangat direkomendasikan untuk dilaksanakan secara konsisten demi lancarnya keberlangsungan bisnis perusahaan.

Internal audit adalah proses peninjauan sistem manajemen yang bertujuan untuk menilai apakah perusahaan sudah memenuhi semua persyaratan atau belum. Proses audit ini dilaksanakan terhadap keseluruhan sistem yang diterapkan di organisasi, salah satunya ISO 27001. Perusahaan yang telah menerapkan ISO 27001 harus melakukan audit secara berkala agar dapat meningkatkan sistem keamanan informasinya secara berkelanjutan berdasarkan prinsip kerahasiaan, integritas, dan ketersediaan informasi secara efektif dan efisien. Internal audit juga sangat berguna untuk mengukur kesiapan perusahaan dalam menghadapi audit sertifikasi oleh Lembaga yang berwenang.

Baca juga: Daftar kontrol annex A pada ISO 27001

Persyaratan internal audit ISO 27001

Berdasarkan klausul 9.2 ISO/IEC 27001 berikut adalah persyaratan dalam melakukan audit internal. 

  1. Menentukan kriteria dan ruang lingkup audit.
  2. Memilih auditor yang tepat dan sesuai agar objektivitas dan ketidakberpihakan proses audit tetap terjaga.
  3. Memastikan hasil audit dan observasi dilaporkan kepada manajemen terkait
  4. Menyimpan dokumentasi audit

Baca juga: Menerapkan pengendalian keamanan teknis sesuai ISO 27001

Tahapan pelaksanaan  internal audit 

Berikut ini 5 tahapan dalam melaksanakan internal audit. 

  1. Menentukan ruang lingkup ISO 27001

Langkah pertama dalam audit internal Anda adalah membuat rencana audit serta  menetapkan sistem informasi dan aset apa saja yang harus dimasukkan dalam penilaian. Kemudian lakukan konfirmasi klausul ISO 27001:2013 dan kontrol Lampiran A yang relevan dengan audit sertifikasi melalui pernyataan penerapan. Kemudian, organisasi perlu melakukan penunjukkan auditor internal untuk melakukan penilaian yang umumnya dilakukan oleh manajemen atau dewan direksi. ISO 27001 mengharuskan auditor internal untuk bersikap netral. Dalam hal ini, auditor internal tidak boleh terlibat dalam pembuatan, penerapan, atau penerapan SMKI.

  1. Peninjauan dokumen dan bukti audit

Auditor internal perlu melakukan peninjauan terhadap kebijakan keamanan informasi dan kontrol yang diterapkan pada SMKI organisasi. Beberapa contoh dokumentasi yang diperlukan yaitu: 

  • Pernyataan ruang lingkup ISMS
  • Pernyataan penerapan ISMS (SoA -Statement of Applicability) 
  • Kebijakan keamanan informasi
  • Penilaian risiko dan rencana penanganan risiko ISO 27001
  • Hasil rapat tinjauan manajemen SMKI
  • Laporan perbaikan SMKI dan analisis kesenjangan.
  • Kebijakan keberlanjutan bisnis 
  1. Pelaksanaan internal audit

Dalam pelaksanaan internal audit, auditor akan meninjau seluruh dokumentasi, melakukan wawancara dengan penanggung jawab proses serta  melakukan pengecekan terhadap prosedur operasional. Melalui proses tersebut auditor akan memberikan penilaian apakah tujuan organisasi terpenuhi dan sejalan dengan persyaratan ISO 27001 atau tidak. Hal ini juga akan membantu dalam mengidentifikasi kesenjangan dan melakukan tindakan perbaikan sebelum audit sertifikasi berikutnya dilakukan.

  1. Membuat laporan audit 

Dalam hal ini auditor internal akan merangkum temuan audit yang mencakup setiap ketidaksesuaian dan tindakannya. Laporan audit internal ISO 27001 harus mencakup:

  • Ruang lingkup audit, tujuan, jangka waktu, dan penilaian audit.
  • Ringkasan yang menjelaskan temuan-temuan utama audit.
  • Panduan mengenai siapa yang harus meninjau laporan dan apakah informasi yang terkandung di dalamnya harus diklasifikasikan.
  • Rincian temuan audit termasuk rekomendasi dan tindakan perbaikan.
  • Pernyataan yang menjelaskan batasan ruang lingkup audit..
  1. Tinjauan manajemen

Auditor internal akan menyajikan temuan audit kepada manajemen dan pihak-pihak yang berkepentingan, menyampaikan ketidaksesuaian besar dan/atau kecil yang teridentifikasi, dan mendiskusikan peluang untuk meningkatkan SMKI. Tinjauan manajemen ini juga akan menginformasikan apakah organisasi siap untuk audit sertifikasi ISO 27001 tahap 2.

Baca juga: Daftar checklist ISO 27001:2022

PT Solusi Pintar Prima (Solusmart Consulting) adalah konsultan sistem manajemen yang berdedikasi untuk membantu organisasi mencapai keunggulan operasional dan keberlanjutan melalui implementasi sistem manajemen yang efektif. Kami memiliki tenaga ahli profesional yang dapat membantu Anda dalam mencapai tujuan bisnis.

Diskusikan kebutuhan Anda

Kami siap memberikan konsultasi dan pendampingan sertifikasi

Hubungi kami sekarang

+62-821-7777-6119
Kirim Email
Tags:
×

Halo!

Klik untuk mengobrol di WhatsApp atau kirim email ke [email protected]

Hubungi Kami ke  +62-821-7777-6119
dari 09.00 WIB  - 17.00 WIB

× Layanan Konsultasi