Banyak perusahaan masih menghadapi tantangan saat menjalani audit ISO 27001. Meski telah memiliki berbagai prosedur, kebijakan, dan dokumen ISMS, tidak sedikit organisasi yang tetap memperoleh temuan audit yang berujung pada tertundanya proses sertifikasi. Kondisi ini umumnya terjadi karena implementasi sistem manajemen keamanan informasi belum berjalan secara efektif dan konsisten di seluruh organisasi.
Dalam praktiknya, auditor tidak hanya menilai kelengkapan dokumen ISMS, tetapi juga memastikan bahwa setiap kebijakan dan kontrol telah diterapkan serta didukung oleh bukti yang memadai. Oleh karena itu, penting bagi perusahaan untuk memahami klausul ISO 27001 yang sering gagal audit agar dapat melakukan perbaikan sebelum proses sertifikasi berlangsung.
Beberapa area yang paling sering menjadi sumber temuan meliputi Klausul 6.1 tentang Manajemen Risiko, Klausul 9.2 tentang Audit Internal, Klausul 9.3 tentang Tinjauan Manajemen, serta penerapan kontrol Annex A versi 2022 yang belum diimplementasikan secara optimal.
Baca juga : Pengertian dan Tujuan Internal Audit ISO 27001:2022
Top 4 Klausul ISO 27001 yang Paling Sering Menjadi Temuan Audit
1. Klausul 6.1.2 & 6.1.3 — Penilaian dan Penanganan Risiko Informasi
Temuan pada klausul ini biasanya terkait dengan analisis risiko yang hanya dibuat saat awal implementasi dan tidak diperbarui sesuai kondisi infrastruktur terbaru. Auditor juga sering menemukan tidak adanya Risk Owner pada aset kritis sehingga pengelolaan risiko menjadi tidak jelas.
Cara memperbaiki ketidaksesuaian ini adalah dengan memperbarui Risk Register secara berkala, melengkapi matriks risiko, menentukan penanggung jawab aset, dan menyiapkan Risk Treatment Plan yang sesuai.
2. Klausul 9.2 — Audit Internal
Banyak perusahaan masih melakukan audit internal oleh tim yang mengaudit pekerjaannya sendiri atau belum memiliki auditor yang kompeten. Akibatnya, proses audit dianggap tidak independen dan kurang efektif.
Cara memperbaiki ketidaksesuaian ini adalah dengan membuat program audit internal yang rutin, menggunakan auditor kompeten, serta menyiapkan laporan audit dan tindak lanjut temuan (CAR) secara lengkap.
3. Klausul 9.3 — Tinjauan Manajemen (Management Review)
Temuan yang sering muncul berkaitan dengan rapat manajemen tidak membahas seluruh poin wajib ISO 27001, seperti evaluasi ISMS, hasil audit, risiko, dan tindakan perbaikan.
Cara memperbaiki ketidaksesuaian ini adalah dengan membuat Management Review secara berkala dan mendokumentasikan undangan, daftar hadir, materi rapat, hingga notulen pembahasan secara lengkap.
4. Lampiran A / Annex A — Kontrol Teknis Versi 2022
Pada Annex A, temuan audit biasanya berkaitan dengan perusahaan belum menerapkan kontrol baru seperti Threat Intelligence dan Data Leakage Prevention (DLP) secara optimal.
Cara memperbaiki ketidaksesuaian ini adalah dengan menyiapkan monitoring ancaman siber, SOP keamanan, kebijakan klasifikasi data, konfigurasi DLP, dan bukti monitoring aktivitas data perusahaan.
Apa yang Harus Dilakukan Jika Perusahaan Mendapat Temuan Ketidaksesuaian (Non-Conformity)?
Saat menghadapi temuan audit perusahaan tidak perlu panik. Temuan biasanya dibagi menjadi Major dan Minor. Temuan Major menunjukkan kegagalan sistemik yang dapat menunda sertifikasi, sedangkan minor masih dapat diperbaiki tanpa mempengaruhi keseluruhan sistem. Persiapan audit ISO harus dilakukan secara terstruktur, mulai dari identifikasi akar masalah, tindakan korektif, implementasi perbaikan, hingga verifikasi efektivitas kontrol.
Kegagalan audit umumnya terjadi karena lemahnya implementasi kontrol dan kurangnya bukti penerapan. Oleh karena itu, perusahaan perlu melakukan Root Cause Analysis (RCA) untuk menemukan akar masalah sebenarnya, khususnya pada klausul manajemen risiko agar temuan yang sama tidak terulang kembali.
Selain itu, perusahaan juga harus segera menyusun Corrective Action Plan sebelum batas waktu dari badan sertifikasi berakhir sebagai bagian penting dalam persiapan audit sertifikasi ISMS.
Amankan Kelulusan Sertifikasi Anda Bersama Konsultan ISO 27001 Profesional
Banyak perusahaan mencoba memperbaiki temuan audit secara mandiri setelah menemukan ketidaksesuaian dalam implementasi ISMS. Namun tanpa evaluasi yang tepat, proses perbaikan justru sering memakan waktu lebih lama dan menambah biaya karena akar masalah belum terselesaikan secara menyeluruh, terutama pada klausul manajemen risiko. Oleh karena itu, perusahaan perlu memastikan bahwa seluruh kebijakan dan SOP telah dijalankan dengan baik serta didukung bukti implementasi yang valid. Untuk memahami penyusunannya, Anda dapat membaca panduan mengenai SOP keamanan informasi.
Dengan menggunakan jasa konsultan, perusahaan dapat memperoleh pendampingan yang lebih terarah mulai dari evaluasi sistem, perbaikan dokumentasi, penyusunan tindakan korektif, hingga pendampingan langsung saat menghadapi auditor eksternal. Pendekatan ini membantu perusahaan mempercepat proses perbaikan sekaligus meningkatkan kesiapan audit sertifikasi secara lebih efektif.
Hubungi tim ahli keamanan informasi SMI Konsultan untuk layanan mock audit dan pendampingan tindakan korektif audit ISO agar proses sertifikasi berjalan lebih optimal dan minim temuan audit.
Hubungi Kami
Segera diskusikan kebutuhan Konsultansi dan Pendampingan Sertifikasi Sistem Manajemen Perusahaan Anda bersama SMI Konsultan.