1. Blog »
  2. IT Consulting »
  3. audit »

Langkah-langkah Meningkatkan Keamanan Informasi Melalui Audit ISO 27001

2024-01-04T09:08:13+07:00 September 22nd, 2023|Categories: IT Consulting|Tags: |

integrasolusi.com – Dengan audit ISO 27001, perusahaan dapat memitigasi risiko keamanan yang nyata terhadap apa saja yang terlibat dengan bisnis. Nantinya perusahaan dapat menyiapkan kebijakan kuat untuk menangani potensi risiko. Setelah audit selesai, ada langkah-langkah yang dilakukan untuk meningkatkan keamanan.

Melihat Status Rekomendasi

Hasil audit terbagi menjadi tiga status, yaitu:

  1. Recommended, tidak ditemukannya nonconformity dalam audit sehingga sertifikasi ISO 27001 direkomendasikan.
  2. Recommended upon action plan development, ditemukan beberapa minor nonconformity, tetapi celah kepatuhan dapat diatasi.
  3. Not recommended, nonconformity yang ditemukan terlalu signifikan untuk diatasi di luar kontrol keamanan pemeriksaan praktik keamanan.
Baca juga:  Saatnya Lindungi Aset Teknologi Informasi Perusahaan Melalui Audit ISO 27001

Meninjau Nonconformity

Setelah mengetahui hasil audit, selanjutnya meninjau tingkat keparahannya. Tiga kategori keparahannya adalah:

  • Major Nonconformity: Ini tandanya perusahaan belum memenuhi persyaratan mitigasi risiko dan tujuan keamanan ISO 27001.
  • Minor Nonconformity: Auditor mengonfirmasi bahwa ada prosedur mitigasi risiko khusus, tetapi tidak berjalan dengan benar atau tidak efektif. Perbedaan itu tidak memengaruhi sertifikasi ISO 27001 menyeluruh.
  • Opportunity for Improvement (OFI): Pada bagian ini auditor melihat bahwa ada proses yang setelah diperbaiki akan meningkatkan efisiensi pengendalian risiko ISO 27001.

Implementasi Perbaikan

Bila perusahaan belum memenuhi standar yang disyaratkan, maka perusahaan perlu mengimplementasikan perbaikan dan tindakan korektif. Tips praktis untuk mengimplementasikannya ialah:

  • Menangani akibatnya
  • Memberikan reaksi yang tepat untuk memperbaiki dan mengontrolnya
  • Menerapkan tindakan korektif
  • Meninjau keefektifan dari tindakan korektif
  • Mengubah sistem manajemen keamanan informasi perusahaan saat diperlukan
  • Melakukan evaluasi untuk mengendalikan atau menghilangkan penyebab

Nonconformities

Karena terbagi menjadi major dan minor, penanganannya pun berbeda. Caranya bisa dilihat di:

Major

Sesudah diidentifikasi, perusahaan harus memperbaikinya sebelum audit dilanjutkan. Waktu koreksi masalah yang lama membuat diperlukannya kunjungan baru oleh auditor untuk menyelesaikan proses.

Minor

Rencana tindakan yang sederhana perlu ditetapkan dan dikirim ke auditor jika terdapat minor nonconformity. Saat rencananya sudah disetujui, auditor akan melanjutkan ke rekomendasi sertifikasi.

Opportunities for Improvement

Pada situasi ini, tidak ada tindakan yang wajib dilakukan. Perusahaan bisa meningkatkan kecukupan, kesesuaian, dan keefektifan sistem manajemen keamanan informasi sesuai dengan sudut pandang auditor, tapi jika tidak dilakukan juga tidak masalah.

Baca juga:  Apa Saja Komponen yang Perlu Disertifikasi dengan ISO 27001?

Penutup

Begitulah langkah-langkah yang dapat dilakukan setelah melihat hasil audit ISO 27001. Keamanan dapat ditingkatkan setelah perusahaan melakukan tindakan korektif sesuai dengan masalah yang muncul.

Dilihat: 842

Related Posts