Minggu lalu muncul pertanyaan yang cukup menarik, yang untuk menjawabnya jadi mencari-mencari kerangka pikir yang tepat, “Apa perbedaan antara CISA dengan ISO/IEC 27001 Lead Auditor?” Kalau coba dijawab dengan agak dipikirkan, mungkin hal-hal berikut ini yang membedakan CISA dengan ISO/IEC 27001 Lead Auditor (disingkat “LA” untuk memudahkan).
PERSYARATAN UNTUK MENJADI CISA DAN LA
Ujian dan sertifikasi CISA hanya diselenggarakan oleh satu entitas yaitu ISACA. Untuk menjadi CISA, seseorang harus:
- lulus ujian CISA yang diselenggarakan ISACA;
- memenuhi persyaratan pengalaman dan persyaratan lainnya yang ditentukan oleh ISACA.
Terkait LA, terdapat beberapa pihak yang menyediakan sertifikasi-sertifikasi terkait ISO/IEC 27001 Information Security Management System (ISMS). Entitas yang dianggap paling kredibel dalam penyediaan sertifikasi terkait ISO/IEC 27001 oleh cukup banyak pihak adalah International Register of Certified Auditors (IRCA) yang menyediakan program sertifikasi ISO/IEC 27001:2013 ISMS Lead Implementer, ISO/IEC 27001:2013 ISMS Internal Auditor, dan ISO/IEC 27001:2013 ISMS Lead Auditor.
Selain IRCA ada pula entitas lain seperti Professional Evaluation and Certification Board (PECB) dengan program ISO/IEC 27001 Lead Implementer dan ISO/IEC 27001 Lead Auditor serta Exemplar Global dengan program sertifikasi ISMS-nya.
Setiap entitas ini memiliki persyaratan masing-masing untuk menjadi LA; persyaratan menjadi LA berbeda-beda, tergantung kepada pihak penyelenggara program sertifikasinya.
Singkatnya, sertifikasi CISA hanya dari ISACA sedangkan sertifikasi LA ditawarkan oleh beberapa penyelenggara program sertifikasi.
AUDIT OLEH CISA DAN LA
Terkait dengan audit yang dilakukan oleh CISA dan LA, pembahasan akan dilakukan mengenai:
- pihak-pihak yang terlibat dalam audit;
- tipe dan tujuan audit;
- area dan kriteria audit.
Pihak-pihak yang Terlibat dalam Audit
Terdapat minimal tiga pihak yang terlibat dalam audit yaitu pihak penerima laporan, auditor, dan auditee (hal ini dibahas dalam buku Audit Sistem Informasi: Lima Aspek Audit Sistem Informasi). Hal yang akan dibahas di sini bukanlah hubungan antarpihak terkait CISA dan LA, namun hanya mengenai pihak yang diwakili CISA atau LA saja.
CISA sering kali menjadi pihak yang ditunjuk governance bodies dari perusahaan atau kadang-kadang ditunjuk oleh regulator, misalnya Bursa Efek Indonesia (BEI). Governance bodies dari perusahaan adalah dewan direksi, komisaris, dan komite perusahaan misalnya komite audit atau komite pengarah TI.
LA dapat bekerja sebagai auditor internal perusahaan, auditor eksternal dari konsultan, assessor dari perusahaan penyedia sertifikasi ISO, atau lainnya. Governance bodies dapat menunjuk auditor internal perusahaan dan/atau auditor eksternal dari konsultan untuk mengaudit ISMS dalam rangka membantu perusahaan mendapatkan sertifikasi ISO/IEC 27001. Dalam hal assessor, LA ditunjuk perusahaan penyedia sertifikasi ISO/IEC 27001 untuk melakukan audit ISMS terhadap perusahaan yang ingin mendapatkan sertifikasi tersebut.
Ringkasnya, CISA sering ditunjuk oleh perusahaan atau kadang-kadang oleh regulator sedangkan LA ditunjuk oleh perusahaan atau oleh penyedia sertifikasi ISO/IEC 27001.
Tipe dan tujuan audit
Tipe audit yang dilakukan oleh LA adalah compliance audit (audit kepatuhan/ketaatan) baik oleh auditor yang ditunjuk perusahaan yang ingin mendapat sertifikasi maupun auditor yang menjadi assessor dari penyedia sertifikasi ISO/IEC 27001.
Tujuannya berbeda, tergantung pihak penunjuk auditornya. Jika auditor ISMS ditunjuk oleh penyedia sertifikasi, maka tujuan auditnya terutama adalah untuk menentukan apakah perusahaan sudah layak mendapat sertifikasi ISO/IEC 27001 atau belum. Jika auditor ISMS ditunjuk oleh perusahaan, tujuan audit antara lain adalah untuk mendapatkan informasi mengenai posisi kepatuhan/ketaatan perusahaan terhadap ISO/IEC 27001 dan juga untuk mendapatkan rekomendasi cara untuk dapat memenuhi semua persyaratan sertifikasi.
Tipe audit yang dilakukan oleh CISA bisa audit kepatuhan/ketaatan atau audit lainnya yang kriteria auditnya bukan peraturan perundang-undangan atau regulasi dari pihak regulator. Tujuannya adalah untuk memberikan reasonable assurance dan rekomendasi kepada pihak penerima laporan.
Sederhananya, LA melakukan audit kepatuhan sedangkan CISA tidak hanya melakukan audit kepatuhan namun juga audit lainnya.
Area dan kriteria audit
Area yang diaudit oleh LA hanyalah area keamanan informasi dan kriteria audit yang digunakan hanya seri ISO 27000 yaitu terutama ISO/IEC 27001 kemudian ISO/IEC lainnya seperti ISO/IEC 27007 yang merupakan panduan audit dan ISO/IEC 27004 mengenai information security metrics.
Area yang diaudit oleh CISA bisa bermacam-macam, tergantung kepada tujuan dan cakupan audit. CISA dapat mengaudit keamanan informasi, TI secara umum (general IS/IT audit), atau area lainnya.
Demikian hal-hal yang membedakan CISA dengan LA, apakah ada hal signifikan yang belum termasuk? Mohon koreksi dan masukannya ya :)
