E. Internal Audit.
Tujuan dari tahapan ini adalah melakukan internal assessment sehingga dapat diketahui progres implementasi yang sudah dilakukan serta menentukan tindakan perbaikan yang perlu dilakukan.
F. Persiapan Audit Sertifikasi.
Tujuan dari tahapan ini adalah melakukan persiapan secara mental dan teknis untuk menghadapi audit sertifikasi.
G. Audit Sertifikasi.
Tujuan dari kegiatan ini adalah terujinya implementasi sistem manajemen keamanan informasi, baik efektifitasnya maupun kesesuaiannya terhadap persyaratan ISO 27001.
Total waktu secara keseluruhan sampai siap diaudit adalah 5 sampai 7 bulan.
Kendala apa saja yang biasa dihadapi oleh perusahaan dalam mendapatkan sertifikasi ISO 27001?
a. ISO 27001 merupakan salah satu sistem manajemen yang agak sulit untuk diimplementasikan, dimana secara struktur ada ratusan kontrol yang harus diadopsi dan harus diimplementasikan.
b. Kita harus melakukan risk assessment, namun risk assessment ini berdasarkan aset dan bukan berdasarkan proses bisnis.
Misalnya didalam perusahaan asetnya ada ratusan ribu aset maka bisa dibayangkan berapa banyak daftar risiko yang harus dibuat serta berapa banyak mitigasi yang harus dilakukan. Rata-rata awareness dari sistem manajemen keamanan informasi ini yang masih relatif kurang. Tingkat pengetahuan dari staf-staf IT yang ada terkait dengan pengelolaan keamanan untuk perangkat IT dari mulai server, perangkat network, sistem basis data, dan aplikasi. Sehingga ada tiga hal tadi yaitu : Banyaknya control, Risiko berbasis asset, Awareness dan kompetensi yang dikombinasikan menjadi keunikan tersendiri yang mana kerumitannya diatas sistem manajemen lainnya.
Apa saja tips bagi perusahaan yang saat ini ingin mendapatkan sertifikasi ISO 27001?
Tentunya harus ada komitmen bersama dari manajemen sampai staf yang mana keamanan informasi ini menjadi visi manajemen atas sampai yang rendah, dan itu harus memiliki kesadaran itu terlebih dahulu. Dimana itu bisa dikatakan sebagai modal dasar dimana tanpa itu akan menjadi beban. Contohnya, sebelumnya kita sangat bebas men-share informasi dengan flashdisk dan pada saat implementasi ISO 27001 ini penggunaaan flashdisk dikendalikan, misalnya hanya melalui komputer-komputer tertentu saja.
Untuk pengiriman file-file rahasia via e-mail harus menggunakan password di mana password-nya diberikan melalui media lain, dan masih banyak lagi aturan-aturan yang diberlakukan yang seolah-olah “membatasi” gerak kita. Bukan hanya untuk persiapan menuju sertifikasinya saja tetapi hal ini berlaku untuk diimplementasikan sesudah sertifikasi ini didapat.
