Standar Audit Sistem Informasi

TUGAS INDIVIDU

ISO 27001:2013

Audit adalah memperoleh bukti dan mengevaluasi secara objektif untuk menentukan kriteria audit dengan melakukan sebuah proses yang sistematis dan terdokumendasi. Didalam sebuah organisasi atau perusahaan perlu dilakukan audit untuk mengetahui kekurangan atau kelemahan yang ada sehinggan dapat menyusun, dan melaksanakan rencana perbakan dari problem yang ada. Penerapan beberapa metode audit dapat mengoptimalkan sebuah proses audit dan hasil yang didapat. Audit dapat dilakukan dengan berberapa metode seperti melalui kuesioner, wawancara, pemeriksaan dokumen atau contoh(sampling), dan menganalisis data.  ISO 27001 adalah Standar Manajemen Keamanan Informasi (SMKI) yang biasa dikenal sebagai rumpun standar ISO 27000. Penggunaan ISO 27000 dapat digunakan atau diterapkan oleh berbagai jenis organisasi, baik perusahaan maupun Lembaga nirlaba. ISO 27001 terdiri dari beberapa standar seperti ISO 27000, ISO 27001, ISO 27002, ISO 27003, sampai ISO 27016. ISO 27001 digunakan untuk fokus pada melindungi kerahasiaan, integritas, informasi sebuah perusahaan, serta menerapkan, menganalis, memelihara, dan mengdokumentasikan sistem manajemen keamanan informasi dalam bisnis organisasi. Penggunaan ISO 27001 dapat mengurangi resiko kerugian dan gangguan yang mempengaruhi bisnis.

          Salah satu framework audit IT yang saya gunakan apabila sebagai auditor IT adalah ISO 27001:2013. ISO 27001:2013 merupakan revisi dari standari ISO 27001:2005. ISO 27001:2013 adalah framework information system yang terstruktur dan fokus pada tujuan pada penilaian resiko sebuah organisi, selanjutnya memberikan fokus yang lebih pada komunikasi. Struktur penulisan ISO 27001:2013 mengikuti Annex SL. Annex SL merupakan pedoman yang digunakan untuk menghasilkan standar ISO. Penggunaan Annex SL memudahkan sebuah organisasi untuk menerapkan sistem manajemen tunggal untuk memenuhi persyaratan pada dua atau lebih standar sistem manajemen.

Beberapa struktur ISO 27001:2013 sebagai berikut :

0.     Introduction

1.     Scope

2.     Normative reference

3.     Terms and definition

4.     Context of the organization

5.     Leadership

6.     Planning

7.     Support

8.     Operation

9.     Performance evaluation

10. Improvement

          Salah satu pemetaan area dan tujuan control ISO 27001 memberikan support dan arahan manajemen terhadap keamanan informasi sesuai dengan kebutuhan bisnis, kebijakan atau peraturan hukum dan regulasi yang berlaku. Selain itu juga mengidentikasi asset organisasi dan menentukan tanggung jawab perlindungan yang tepat serta memastikan bahwa asset informasi menerima perlindungan sesuai dengan tangkat kepentingan nya bagi organisasi.