Untuk memastikan penerapan ISO 27001 sesuai dengan standar, organisasi harus melakukan audit internal. Audit internal dapat membantu organisasi mengidentifikasi kekurangan dalam implementasi ISO 27001. Maka, organisasi harus memenuhi daftar checklist ISO 27001 untuk pemeriksaan audit internal.

Daftar Checklist ISO 27001

Audit internal menjadi salah satu persyaratan dalam standar ISO 27001. Namun, berbeda dengan penilaian sertifikasi, audit internal tidak memerlukan pihak ketiga atau auditor dalam menilai kesesuaian standar ISO 27001 di dalam organisasi. Organisasi dapat menunjuk staf internal untuk melakukan audit ISO 27001 secara mandiri berdasarkan daftar checklist ISO 27001.

Baca juga: Panduan Praktis Audit Internal ISO 27001 di Perusahaan

Berikut daftar checklist ISO 27001:

1. Bentuk Tim Implementasi ISO 27001

Langkah pertama yang dapat dilakukan yakni melibatkan staf senior atau manajer untuk menguatkan kepemimpinan yang aktif. 

Setelah itu, tunjuk seorang kepala tim implementasi ISO 27001 dalam menjalankan proyek tersebut. Kepala tim implementasi harus memiliki pengetahuan yang mendalam terkait ISO 27001 dan sudah pernah menjalani pelatihan ISO 27001.

Selanjutnya, berikan tugas kepada masing-masing personil serta tanggung jawab yang diemban. Supaya setiap personel memahami perannya, maka harus dibuat jalur komunikasi yang jelas 

Jika organisasi memiliki kemampuan dalam melakukan simplifikasi implementasi ISO 27001 melalui teknologi, organisasi dalam menggunakannya untuk mengelola alur kerja dan koordinasi tim.

2. Menentukan Ruang Lingkup

Kenali fokus ruang lingkup organisasi Anda. Penting untuk mengetahui risiko keamanan informasi organisasi Anda karena setiap organisasi memiliki profil risiko keamanan informasi yang berbeda. Ruang lingkup Sistem Manajemen Keamanan Informasi (SMKI) tergantung dari skala, kompleksitas hingga jenis data yang dimiliki organisasi Anda.

3. Buat Kebijakan SMKI

Anda perlu membentuk sebuah kebijakan yang berbasis SMKI. Kebijakan ini dapat menjadi tolok ukur dalam mendefinisikan keamanan informasi di dalam organisasi. Pada fase ini, Anda dapat menyusun template dokumentasi ISO 27001 dan membagikannya kepada seluruh personel di setiap divisi.

4. Menentukan Prosedur Manajemen Risiko

Anda dapat menentukan prosedur manajemen risiko yang sesuai dengan organisasi Anda. Penentuan prosedur manajemen risiko yang dipilih tidak didikte oleh ISO 27001 secara langsung, melainkan Anda dapat menggunakan metrik numerik atau naratif. Pastikan pendekatan ini sesuai dengan kebutuhan organisasi Anda, serta seluruh personel memiliki informasi yang sama terkait protokol manajemen risiko organisasi.

5. Melakukan Penilaian Risiko

Penilaian risiko dapat memahami kelemahan dalam penerapan ISO 27001 melalui identifikasi, analisis, dan evaluasi. Pilih metode penilaian risiko yang sesuai dengan organisasi Anda. 

Setelah itu, ukur dampak risiko yang mungkin terjadi dan terapkan penanganan risiko yang tepat berdasarkan kerentanan keamanan yang Anda temui.

Berdasarkan protokol ISO 27001, terdapat empat tindakan yang dapat dilakukan untuk mengatasi kerentanan yang tidak dapat diterima yaitu kurangi risiko, hindari risko, berbagi risiko, dan pertahankan (menerima) risiko.

Kami Madhava sebagai konsultan ISO 27001 siap memberikan pendampingan dan pelatihan dalam memahami, menilai, dan mengimplementasikan ISO 27001 sesuai dengan skala, bidang, dan kompleksitas organisasi Anda. Kunjungi Madhava.id untuk informasi lebih lanjut.