Audit internal ISO adalah proses menganalisa Sistem Manajemen Keamanan Informasi (SMKI) organisasi secara internal sebelum audit eksternal dilakukan. Tujuan utama internal audit ISO 27001 adalah untuk mengidentifikasi dan menyelesaikan kesenjangan atau kekurangan pada ISMS yang bisa berdampak pada audit sertifikasi ISO 27001 tahunan perusahaan.
Audit internal merupakan persyaratan dalam ISO 27001. Perusahaan bisa memilih untuk melakukan audit dengan anggota tim internal perusahaan atau menyewa perusahaan konsultan dari luar. Tujuan audit internal ISO 27001 diantaranya untuk:
- Mengidentifikasi kelemahan pada ISMS sebelum audit eksternal.
- Memastikan kepatuhan terhadap persyaratan ISO 27001.
- Menyiapkan organisasi untuk audit sertifikasi ISO 27001 tahunan.
Contents
Cara Melakukan Audit Internal ISO 27001
Ada banyak aspek yang harus dipertimbangkan ketika menyusun rencana audit internal 27001. Para pemangku kepentingan audit harus memastikan bahwa semua orang memiliki pemahaman yang sama sejak awal, agar proses audit berjalan dengan lancar dan efisien.
Langkah-Langkah Persiapan Audit Internal:
- Menentukan Auditor
Pilih auditor internal yang objektif dan tidak memihak, atau sewa konsultan eksternal. Auditor harus memiliki keahlian dalam standar ISO 27001 dan proses audit. - Tinjauan dokumen
Tinjau dokumen yang menjelaskan kebijakan dan kontrol keamanan SMKI, seperti:- Pernyataan Cakupan SMKI
- Pernyataan Penerapan SMKI
- Kebijakan Keamanan Informasi
- Penilaian Risiko ISO 27001 dan Rencana Penanganan Risiko
- Laporan tindakan perbaikan SMKI
- Notulen rapat tinjauan manajemen SMKI
- Kebijakan keberlanjutan bisnis
- Penetapan jadwal dan alokasi sumber daya
Tetapkan pencapaian proyek dan waktu kapan semua Stakeholder akan menerima informasi terbaru, dan pastikan para manajer tim berpartisipasi.
Pelaksanaan Audit Internal:
- Pemantauan terhadap implementasi SMKI
Amati cara kerja SMKI dan membicarakan dengan karyawan mengenai masalah yang dihadapi. - Melakukan tes audit
Memvalidasi bukti yang dikumpulkan melalui tes audit. - Laporan hasil pengujian
Buat laporan audit lengkap yang mendokumentasikan hasil dari setiap pengujian audit.
Penyelesaian Audit:
- Analisis
Lakukan tinjuan terhadap bukti yang dikumpulkan melalui audit, khususnya yang berkaitan dengan rencana dan tujuan penilaian risiko organisasi. - Presentasi laporan audit
Bagikan hasil audit kepada manajemen dan pemangku kepentingan.
Membuat Laporan Audit Internal ISO 27001
Jika sudah melakukan audit internal ISO 27001, laporan harus disusun dan dipresentasikan kepada stakeholder untuk memprioritaskan penyelesaian masalah yang teridentifikasi. Laporan audit harus mencakup:
- Pendahuluan
Menguraikan tentang laporan audit, tujuan, jadwal, dan pekerjaan yang dilakukan. - Ringkasan eksekutif
Berisikan ringkasan tingkat tinggi, temuan-temuan utama, dan langkah-langkah selanjutnya. - Analisis
Berisi analisis mendalam atas temuan audit dan tindakan yang direkomendasikan. - Nama penerima laporan
Berisi pedoman tentang sirkulasi dan distribusi laporan.
Dengan mengikuti panduan ini, perusahaan dapat memastikan bahwa audit internal ISO 27001 dilakukan dengan efisien dan efektif, sehingga meminimalkan risiko dan meningkatkan kepatuhan terhadap standar keamanan informasi internasional.
