Sicurezza delle informazioni, IT service management e qualità da Cesare Gallotti
martedì 18 dicembre 2012
Commenti sulla futura ISO/IEC 27001
Dopo i miei commenti del mese scorso sui cambiamenti previsti per la futura ISO/IEC 27001 ho ricevuto solo un commento scritto da parte di Andrea Veneziani di Data Management. Ho ricevuto anche alcuni commenti orali da altri, ma il risultato è sempre lo stesso.
Molti temono che la riduzione dei requisiti sull'analisi dei rischi possa comportare dei problemi e, in definitiva, lo schema attuale sarebbe preferibile. Tutti riconoscono comunque un aspetto: alcuni auditor e consulenti insistono a proporre schemi formali specifici che poi un'azienda non fa altro che lasciarli su carta.
Io penso che si dovrebbe fare una riflessione sulle linee guida della famiglia ISO/IEC 27000: ad oggi alcune sono troppo teoriche, mentre altre sono troppo direttive, non lasciando spazio ad alternative. Se le linee guida della famiglia ISO/IEC 27001 fossero più pratiche, i dubbi sui requisiti della ISO/IEC 27001 forse scomparirebbero.
Non sono originale: è la stessa proposta che ha fatto UNI per la futura ISO 9001.
Iscriviti a:
Commenti sul post (Atom)
Nessun commento:
Posta un commento