Penilaian Risiko vs. Audit Internal
Cukup sering, saya melihat orang mencari daftar periksa ISO 27001 untuk melakukan audit internal; namun, mereka mengharapkan daftar periksa tersebut untuk membantu mereka, misalnya, informasi apa yang dimiliki organisasi, siapa yang memiliki akses ke sana, bagaimana informasi itu dilindungi, seberapa rahasianya, dll.
Masalahnya adalah – hal-hal semacam ini bukan bagian dari audit internal; Ini adalah bagian dari penilaian risiko.
Perbedaan waktu
Tujuan penilaian risiko adalah untuk mengetahui masalah mana yang dapat timbul dengan informasi dan / atau operasi Anda – yaitu, apa yang dapat membahayakan kerahasiaan, integritas, dan ketersediaan informasi Anda, atau apa yang dapat mengancam kelangsungan operasi Anda.
Oleh karena itu, penilaian risiko perlu dilakukan pada awal proyek ISO 27001, sedangkan audit internal dilakukan hanya setelah implementasi selesai.
Bagaimana audit internal dilakukan?
Audit internal tidak lebih dari mencantumkan semua aturan dan persyaratan, dan kemudian mencari tahu apakah aturan dan persyaratan tersebut dipatuhi.
Biasanya, aturan dan persyaratan adalah sebagai berikut:
- Persyaratan ISO 27001, ISO 22301 (atau standar ISO lainnya)
- Persyaratan pihak yang berkepentingan (lihat: Siapa pihak yang berkepentingan, dan bagaimana Anda dapat mengidentifikasi mereka menurut ISO 27001 dan ISO 22301?)
- Aturan yang ditetapkan oleh kebijakan dan prosedur perusahaan sendiri
Saat melakukan audit internal, Anda perlu memeriksa apakah setiap aturan dan persyaratan dipatuhi, di seluruh ruang lingkup Sistem Manajemen Keamanan Informasi atau Sistem Manajemen Kelangsungan Bisnis Anda.
Ini dilakukan dengan menggunakan berbagai teknik:
- Memeriksa semua dokumentasi dan catatan
- Mewawancarai karyawan
- Pengamatan pribadi (misalnya, berjalan di sekitar lokasi)
Perbedaan utama antara keduanya
Jadi, saya akan mengatakan bahwa salah satu perbedaan utama adalah dalam pola pikir: penilaian risiko adalah memikirkan hal-hal (potensial) yang dapat terjadi di masa depan, sementara audit internal berurusan dengan bagaimana hal-hal dilakukan di masa lalu.
Perbedaan utama kedua adalah bahwa audit internal berfokus pada kepatuhan terhadap berbagai aturan dan persyaratan, sedangkan penilaian risiko tidak lain adalah analisis yang memberikan dasar untuk membangun aturan tertentu.
Perbedaan ketiga adalah bahwa penilaian risiko dilakukan sebelum Anda mulai menerapkan kontrol keamanan, sementara audit internal dilakukan setelah ini sudah diterapkan.
Namun, mereka (sayangnya) memiliki satu kesamaan: mereka berdua sangat sering diabaikan di perusahaan karena mereka dianggap hanya sebagai latihan birokrasi tanpa nilai nyata. Namun, orang-orang yang berpikir ini tidak menyadari bahwa mereka berdua sangat penting untuk membangun keamanan informasi Anda.
Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.
Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.
Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.
