Berdasarkan hasil audit stage I dan penugasan tim audit yang telah ditetapkan oleh Divisi Proses, tim audit akan melakukan audit stage II
Divisi Proses akan menyampaikan rencana audit yang telah dibuat kepada calon klien, rencana audit yang disampaikan akan digunakan oleh tim audit dan calon klien/klien sebagai panduan dalam pelaksanaan audit
Dalam pelaksanaan audit stage II, tim audit melakukan review terhadap :
Informasi dan bukti tentang kesesuaian untuk seluruh persyaratan standar sistem manajemen yang berlaku atau dokumen normatif lainnya;
Pemantauan, pengukuran, pelaporan, dan pengkajian kinerja dibandingkan dengan sasaran dan target kinerja yang utama (sesuai dengan harapan dalam standar sistem manajemen atau dokumen normatif lainnya yang berlaku);
Sistem manajemen dan unjuk kerja calon klien terkait pemenuhan legal;
Tanggung jawab manajemen untuk kebijakan pelanggan;
Hubungan antara persyaratan normatif, kebijakan, sasaran dan target kinerja (sesuai dengan harapan dalam standar sistem manajemen atau dokumen normatif lainnya yang berlaku), setiap persyaratan legal yang berlaku, tanggung jawab, kompetensi personel, operasional, prosedur, data kinerja dan temuan audit internal dan kesimpulan
Khusus audit ISO/IEC 27001 dengan tambahan agenda meliputi :
kepemimpinan manajemen puncak dan komitmen terhadap kebijakan keamanan informasi;
penilaian risiko terkait keamanan informasi, termasuk pemastian bahwa penilaian yang dilakukan menghasilkan hasil yang konsisten, valid dan sebanding jika dilakukan penilaian ulang
penentuan pengendalian (control) berdasarkan penilaian dan penanganan risiko keamanan informasi
mengevaluasi kinerja keamanan informasi dan efektivitas SMKI yang dibandingkan dengan tujuan keamanan informasi
kesesuaian antara pengendalian (control) yang ditentukan, Statement of Aplicability, hasil penilaian dan penanganan risiko keamanan informasi serta kebijakan dan tujuan keamanan informasi
penerapan pengendalian (control), dengan mempertimbangkan isu eksternal dan internal, serta risiko terkait, pemantauan, pengukuran dan analisis organisasi terhadap proses dan penegendalian (control) keamanan informasi. untuk menentukan apakah pengendalian (control) diterapkan dan efektif dan memenuhi tujuan keamanan informasi yang ditetapkan.
Program, proses, prosedur, rekaman, audit internal dan tinjauan efektivitas SMKI telah diterapkan untuk memastikan bahwa ini sesuai dengan keputusan manajemen puncak, kebijakan dan tujuan keamanan informasi
Untuk membuktikan pemenuhan terhadap persyaratan yang ditetapkan, tim audit mengadakan verifikasi :
implementasi sistem manajemen yang diajukan
seluruh perbaikan yang telah dilakukan oleh pemohon terhadap hasil review audit stage I (jika ada)
Bukti objektif dari hasil tindakan korektif termasuk tindakan pencegahannya dikumpulkan dan diverifikasi pemenuhannya terhadap kriteria audit atau persyaratan lain yang berlaku
Berdasarkan pelaksanaan audit stage II, tim audit akan menerbitkan laporan audit yang disampaikan kepada calon klien.
Untuk membuktikan pemenuhan terhadap persyaratan yang ditetapkan, tim audit mengadakan verifikasi :
implementasi sistem manajemen yang diajukan
seluruh perbaikan yang telah dilakukan oleh pemohon terhadap hasil review audit stage I (jika ada)
Bukti objektif dari hasil tindakan korektif termasuk tindakan pencegahannya dikumpulkan dan diverifikasi pemenuhannya terhadap kriteria audit atau persyaratan lain yang berlaku
Berdasarkan pelaksanaan audit stage II, tim audit akan menerbitkan laporan audit yang disampaikan kepada calon klien.
