“Dalam audit, sesuatu yang tidak tercatat sering kali dianggap tidak pernah terjadi.”
Ini bukan soal auditor yang terlalu kaku. Ini soal bagaimana organisasi membuktikan bahwa kontrol benar-benar dijalankan, bukan sekadar diniatkan.
Di banyak organisasi, aktivitas keamanan informasi sebenarnya ada. Review akses dilakukan. Backup berjalan. Sosialisasi pernah dilakukan. Namun ketika auditor bertanya “buktinya mana?”, semua mendadak sibuk mencari.
Masalahnya bukan karena pekerjaan tidak dilakukan, tetapi karena pencatatan tidak pernah menjadi kebiasaan. Logging tidak ditinjau. Notulen rapat tidak terdokumentasi. Evidence hanya dikumpulkan menjelang audit.
ISO/IEC 27001:2022 tidak meminta organisasi bekerja ekstra, tetapi bekerja dengan disiplin. Apa yang sudah dilakukan perlu dicatat, ditinjau, dan bisa ditelusuri.
Evidence bukan beban administratif. Ia adalah jejak akuntabilitas. Tanpanya, kontrol yang baik sekalipun sulit dibuktikan.
Audit tidak mencari kesempurnaan. Bukan juga mencari kesalahan. Ia mencari konsistensi.
#ISO27001
#AuditTI
#ISMS
#InformationSecurity
#ITGovernance