Come già detto in altro articolo, ho partecipato all'incontro del WG1 dell'SC27 della ISO del 7-11 a Stoccolma per scrivere la futura ISO/IEC 27001.
Tralascio il resoconto su come si è svolta la riunione e procedo a dare notizie sui punti tecnici più rilevanti.
Alcuni punti relativi alla futura ISO/IEC 27001.
- Uso del Common Text for Management Systems: la ISO ha emesso la ISO Guide 83, in cui sono specificate le regole per la scrittura degli standard sui sistemi di gestione (inclusa la 27001) e l'SC 27 ha confermato che la userà con alcune modifiche; in effetti, il testo proposto dalla ISO Guide 83 presenta alcuni punti che sono difficili da unire con la 27001 (presenta anche alcuni errori nell'inglese, per la verità).
- Risk Assessment: uno dei problemi della ISO Guide 83 è che richiede una gestione dei rischi dell'organizzazione (la troveremo quindi anche nella ISO 9001), che presenta difficoltà di unione con il risk assessment per la sicurezza delle informazioni; molto dibattito si è fatto sulla distinzione tra "risk assessment per il sistema di gestione" e "risk assessment per la sicurezza delle informazioni"; per me, l'Italia e altri Paesi non ci dovrebbe essere distinzione, per altri sì; alla fine ha prevalso la prima posizione
- Risk Assessment 2: nella bozza iniziale i requisiti sul R.A. erano veramente ridotti, ora sembra che si sia arrivati ad una giusta via di mezzo tra quello troppo prescrittivo della ISO/IEC 27001:2005 e quello troppo vago della bozza iniziale
- Riferimenti ad altri documenti: saranno tolti i riferimenti ad altri documenti e sarà fatta un'operazione simile alla ISO 9001, in cui i riferimenti ad altri standard saranno limitati ad una specifica sezione
- Uso dello Statement of Applicability: è stato deciso di continuare a richiedere lo Statement of Applicability con riferimento all'Annex A
- è stato chiarito che non si richiederanno misurazioni di efficacia di tutti i controlli, ma si richiederà di individuare per quali misurare e misurare
- è stato chiarito che il piano di trattamento del rischio deve riportare tutti i rischi, anche quelli per cui non è richiesta nessuna azione (meglio: per cui l'azione è la accettazione).
Purtroppo, non ho avuto l'occasione di assistere alla discussione sulla ISO/IEC 27002.
Ho anche avuto l'occasione di discutere di ISO/IEC 27006. Da questo punto di vista non ci saranno grosse novità, se non la necessità di allinearla alla attuale ISO/IEC 17021. Il punto più "caldo" riguarda l'Annex C, ossia la tabella con le giornate uomo da prevedere per gli audit. L'Italia ha espresso l'opinione che la tabella ha valori troppo elevati (cioè, richiede troppe giornate di audit) e ha fatto una prima proposta di eliminazione.
Attualmente si è deciso di mantenere l'Annex C ed è stato richiesto all'Italia di presentare una tabella alternativa.
Altre norme sono state discusse, ma la delegazione italiana (vedere altro articolo) era troppo ridotta per poterne seguire i lavori.
Nessun commento:
Posta un commento