1. Tujuan

Tujuan prosedur ini untuk memeriksa efektivitas sistem manajemen keamanan informasi yang diterapkan PT Metalogix infolink Persada.

2. Ruang lingkup

Ruang lingkup prosedur ini mulai dari membuat rencana audit, mempersiapkan audit, melaksanakan audit sampai dengan verifikasi perbaikan audit.

3. Tanggung jawab

3.1. Management representative bertanggung jawab untuk:

3.1.1. membantu dalam pemilihan tim audit;

3.1.2. menyiapkan rencana pelaksanaan audit;

3.1.3. mengelola dan mengendalikan proses pelaksanaan audit;

3.1.4. menyerahkan laporan audit kepada pimpinan perusahaan.

3.2. Auditor Internal bertanggung jawab untuk:

3.2.1. merencanakan dan melaksanakan tugas-tugas audit yang diberikan;

3.2.2. mendokumentasikan hasil-hasil temuan audit ke dalam laporan audit;

3.2.3. memverifikasi efektifitas tindakan perbaikan yang dilakukan;

3.2.4. membantu Management representative dalam kegiatan audit;

3.2.5. menjaga kerahasiaan dokumen-dokumen yang telah diaudit.

3.3. Auditee bertanggung jawab untuk:

3.3.1. Berkoordinasi dengan auditor atas pelaksanaan audit internal;

3.3.2. Melakukan perbaikan atas penyimpangan audit.

4. Definisi

4.1. Temuan major merupakan penyimpangan standar ISO/IEC 27001:2022 Persyaratan ini tidak didokumentasikan dan tidak diterapkan.

4.2. Temuan minor merupakan penyimpangan terhadap persyaratan standar ISO/IEC 27001:2022. Persyaratan ini telah didokumentasikan, tetapi tidak diterapkan secara konsisten atau persyaratan tidak didokumentasikan, meski sudah diterapkan.

4.3. Temuan observasi merupakan temuan yang bersifat saran. Penyimpangan ini bukan penyimpangan persyaratan ISO/IEC 27001:2022. Temuan ini memberikan nilai tambah penerapan sistem manajemen di lingkungan PT Metalogix infolink Persada.

4.4. Auditor Internal adalah personil yang berkompeten melaksanakan audit. Kriteria auditor internal adalah personil yang telah:

4.4.1. Telah mengikuti pelatihan awareness ISO/IEC 27001:2022 dan teknik-teknik audit internal Base on ISO 19011:2018

4.4.2. Telah bekerja di PT Metalogix infolink Persada minimal tiga bulan.

4.5. Auditee adalah pihak yang diaudit

5. Referensi

5.1. ISO/IEC 27001:2022: Klausul 9.2 Audit internal

5.2. ISO/IEC 27001:2022, A.5.35 Reviu independen terhadap keamanan informasi.

5.3. ISO/IEC 27001:2022, A.5.36 Kepatuhan terhadap kebijakan, aturan, dan standar keamanan informasi.

6. Prosedur

6.1. Membuat Program Audit

Management Representative menyusun program audit tahunan. Program audit memuat unit yang akan diaudit berikut bulan pelaksanaan audit, mulai Januari hingga Desember.

6.2. Membuat Jadwal Audit

Mengacu program audit, Management representative membuat jadwal audit yang harus disahkan oleh Direksi perusahaan. Jadwal audit dituangkan ke dalam Form Jadwal Audit. Kegiatan audit internal di PT Metalogix infolink Persada dilaksanakan satu kali dalam satu tahun.

Management representative harus memastikan bahwa auditor yang ditugaskan melaksanakan audit tidak melakukan audit di unit kerjanya, melainkan unit kerja yang bukan menjadi tanggung jawabnya.

6.3. Mempersiapkan Audit

Auditor Internal mempersiapkan kegiatan audit berdasarkan jadwal audit yang telah disahkan.

6.4. Melaksanakan Audit

Auditor Internal bertanggung jawab atas pelaksanaan audit sesuai dengan jadwal audit dan membuat checklist audit berdasarkan Manual, Prosedur (SOP) atau Instruksi Kerja (IK).

6.5. Membuat Laporan Audit

Auditor Internal membuat laporan audit yang harus disetujui oleh Auditee. Laporan audit dituangkan ke dalam Form Laporan Tindakan Koreksi & Perbaikan.

6.6. Merencanakan Tindakan Koreksi

Auditor bersama Auditee merencanakan tindakan koreksi. Auditee mengambil tindakan perbaikan atas temuan audit. Perbaikan audit harus dilaksanakan sesuai batas waktu perbaikan yang tercantum dalam form Laporan Tindakan Koreksi & Perbaikan.

6.7. Membuat Meninjau Tindakan

Auditor Internal melakukan evaluasi terhadap keefektifan tindakan perbaikan yang dilakukan.

6.8. Sesuai ?

Jika sesuai, maka proses selesai.

Jika tidak, kembali ke proses 6.6 Merencanakan Tindakan Koreksi.