ISO/IEC 27007:2011

GUIDELINES FOR INFORMATION SECURITY

MANAGEMENT SYSTEMS AUDITING
RIYAN AMANDA

SAYFUDIN

BIMA
PENDAHULUAN

Standar Internasional ini memberikan panduan tentang pengelolaan program audit sistem manajemen
keamanan informasi / Information System Managemen Security (ISMS) dan pelaksanaan audit internal atau
eksternal sesuai dengan ISO / IEC 27001: 2005, serta pedoman tentang kompetensi dan evaluasi auditor
ISMS , yang harus digunakan bersama dengan panduan yang terkandung dalam ISO 19011. Standar
Internasional ini tidak menyatakan persyaratan.
Panduan ini ditujukan untuk semua pengguna, termasuk organisasi kecil dan menengah.
ISO 19011, Pedoman untuk sistem manajemen audit memberikan panduan tentang manajemen program
audit, pelaksanaan audit internal atau eksternal sistem manajemen, serta pada kompetensi dan evaluasi
auditor sistem manajemen.
Teks dalam Standar Internasional ini mengikuti struktur ISO 19011, dan pedoman khusus ISMS tambahan
tentang penerapan ISO 19011 untuk audit ISMS diidentifikasi dengan huruf "IS".
STRUKTUR

Standar ini mencakup aspek spesifik ISMS dari audit kepatuhan:

• Mengelola program audit ISMS (menentukan apa yang akan diaudit, kapan dan bagaimana;
menugaskan auditor yang tepat; mengelola risiko audit; memelihara catatan audit;
perbaikan proses yang berkelanjutan).
• Melakukan audit ISMS (proses audit - perencanaan, pelaksanaan, kegiatan audit utama
termasuk kerja lapangan, analisis, pelaporan, dan tindak lanjut);
• Mengelola auditor ISMS (kompetensi, keterampilan, atribut, evaluasi).
PANDUAN PENGGUNAAN
• A.1 Lingkup ISMS, pendekatan penilaian kebijakan dan risiko (ISO / IEC 27001 4.1 & 4.2.1a)
hingga c))
• A.2 Identifikasi risiko, analisis dan evaluasi, serta identifikasi dan evaluasi opsi perawatan risiko
(ISO / IEC 27001 4.2.1d) ～ f))
• A.3 Pemilihan tujuan dan kontrol kontrol, persetujuan risiko residu yang diusulkan, otorisasi
manajemen, dan Pernyataan Keberlakuan (ISO / IEC 27001 4.2.1g) untuk j))
• A.4 Implementasi dan operasi SMKI (4.2.2)
• A.5 Pemantauan dan peninjauan ISMS (ISO / IEC 27001 4.2.3)
• A.6 Pemeliharaan dan peningkatan ISMS (ISO / IEC 27001 4.2.4 dan 8)
• A.7 dokumentasi ISMS (ISO / IEC 27001 4.3)
• A.8 Tanggung jawab manajemen (ISO / IEC 27001 5)
• A.9 Audit ISMS internal dan tinjauan manajemen ISMS (ISO / IEC 27001 6 dan 7)
STATUS STANDARD

Ada 2 edisi pada panduan ini, yaitu:

• ISO/IEC 27007:2011 dan
• ISO/IEC 27007:2017 yang merupakan revisi dari edisi sebelumnya.
DAFTAR PUSTAKA

International Organization for Standardization, https://www.iso.org/standard/67398.html

ISO27k Information Security, https://www.iso27001security.com/index.html
[1] ISO/IEC 17021:2011, Conformity assessment — Requirements for bodies providing audit and
certification of management systems [2] ISO/IEC 27002:2005, Information technology — Security
techniques — Code of practice for information security management [3] ISO/IEC 27003:2010, Information
technology — Security techniques — Information security management system implementation guidance
[4] ISO/IEC 27004:2009, Information technology — Security techniques — Information security
management — Measurement [5] ISO/IEC 27005:2011, Information technology — Security techniques —
Information security risk management [6] ISO/IEC 27006:2007, Information technology — Security
techniques — Requirements for bodies providing audit and certification of information security
management systems [7] IAF MD1:2007, IAF Mandatory Document for the Certification of Multiple Sites
Based on Sampling, International Accreditation Forum