venerdì 16 dicembre 2011

Stato delle norme della famiglia ISO/IEC 270xx (seconda parte)

Pubblico qui alcuni commenti di Fabio Guasconi, Presidente Commissione SC27, che ha partecipato al meeting SC27 a Nairobi.

- ISO/IEC 27001: ancora molto immatura: si è rimasti allo stadio di CD
- ISO/IEC 27006 (per gli Organismi di Certificazione), approvata per pubblicazione; rispetto alla versione precedente, recepisce i soli aggiornamenti richiesti per allinearla alla ISO/IEC 17021:2011; un riesame sistematico partirà a maggio (rimane invariato l'Allegato C con le giornate uomo richiesta per gli audit di certificazione)
- ISO/IEC 27007, estensione della ISO 19011 sull'auditing dei sistemi di gestione, approvata per pubblicazione
- ISO/IEC 27008:2011, sull'audit dei controlli di sicurezza, già pubblicata
- ISO/IEC 27010, supplemento ai controlli della 27002 per lo scambio di informazioni, passata allo stadio di FDIS
- ISO/IEC 27014, Governance of information security, passata allo stadio di DIS,
- ISO/IEC 27015 sui controlli di sicurezza per i servizi finanziari e assicurativi, è allo stadio di WD e sarà un TR e non un International Standard anche a causa delle perplessità degli inglesi
- ISO/IEC 27017 sull'uso dei servizi cloud; approvato l'avvio dei lavori
- ISO/IEC 27037 sulla digital forensics, lavori in corso
- ISO/IEC 27043: approvato l'avvio dei lavori per una norma su "Investigation principles and processes"
- avviati i lavori per uno standard sul Air traffic management


Due commenti su un paio di aspetti della nuova ISO/IEC 27001:
- Il risk assessment sarà nel capitolo dedicato alle "Operations" e non al "Planning" perché si distinguono i rischi del sistema di gestione rispetto a quelli operativi
- il SOA non sarà più obbligatorio, dovranno però essere documentate e giustificate le esclusioni rispetto all'Allegato A
- sono state avanzate alcune proposte di modifica rispetto al testo della ISO Guide 83, ma non sono ancora pervenute risposte dal comitato specifico
- il rischio residuale dovrà essere approvato dalla Direzione
- non saranno esplicitati, come input al Riesame della Direzione, i risultati del risk assessment perché si ritiene che il testo attuale già lo richieda

Nessun commento:

Posta un commento