lunedì 6 maggio 2013

Aggiornamenti sulle norme ISO/IEC 270xx

La settimana del 22 aprile si è tenuto a Sophia Antipolis (vicino ad
Antibes, Francia) il 46 Plenary Meeting del WG1 del SC27 del JTC1 della
ISO/IEC; in poche parole, si è tenuto l'incontro semestrale del gruppo di
esperti dedicato alla scrittura delle norme della famiglia ISO/IEC 270xx. Di
seguito i risultati.

Per la cronaca, per la delegazione italiana eravamo in 5 (io, il Presidente
Fabio Guasconi, Andrea Caccia, Dario Forte e Stefano Ramacciotti).

ISO/IEC 27000: si è avanzati nell'aggiornamento della norma dedicata ai
termini e definizioni, soprattutto per includere le novità della futura
27001; difficile oggetto di discussione è stata la definizione di Statement
of Applicability.

ISO/IEC 27001: la norma è passata in stato di final draft con un solo voto
negativo; dovrebbe essere quindi pubblicata a ottobre-novembre 2013, dopo
l'incontro previsto a Songdo in Corea del Sud la settimana del 21 ottobre;
gli aggiornamenti sono stati minimali perché, dopo anni a discutere di Annex
A, posizionamento del risk assessment (nel plan o nel do), obbligatorietà o
meno dello statement of applicability, eccetera, è prevalsa l'idea che si è
raggiunto comunque un buon compromesso e l'unico metro di giudizio potrà
essere solo l'applicazione sul campo della nuova norma; per chi volesse
ripassare gli argomenti di discussione, rimando ai miei post precedenti;
aggiungo il fatto che i Paesi Bassi, pur approvando il passaggio della norma
in final draft, si sono formalmente lamentati delle ambiguità presenti nel
testo, che potranno essere negative per il mercato (personalmente, sono
d'accordo con loro).

ISO/IEC 27002: anche questa è passata in stato di final draft con 2 voti
negativi (uno perché le 1.000 proposte di modifica (!) non sono state tutte
correttamente prese in carico e potrebbero avere introdotto delle incoerenze
nel testo; l'altro perché la norma esplicita la possibilità di avere policy
a diversi livelli); anch'essa dovrebbe quindi essere approvata a ottobre a
Songdo.

ISO/IEC 27003: sono iniziati i lavori sulla revisione della "Implementation
guidance" che dovrebbe, nella migliore delle ipotesi, essere pubblicata tra
un paio di anni; questa norma è ora reputata molto importante perché fornirà
una guida all'interpretazione dei requisiti della 27001 che alcuni, me
incluso, reputano in molti casi troppo sintetici. Vedremo come avanzeranno i
lavori.

ISO/IEC 27004: anche per questa norma (sulla misurazione dell'efficacia di
un ISMS) sono proseguiti i lavori e si applicano le stesse considerazioni
fatte per la 27003; con soddisfazione di molti (inclusi gli italiani), è
passata l'idea che la seconda edizione deve essere più pratica e meno
teorica, a differenza dell'attuale edizione del 2009.

ISO/IEC 27006: questa volta, l'incontro sulla 27006 è stato molto più
affollato delle volte precedenti; con mia grande soddisfazione, il requisito
di avere la versione del SOA sul certificato è stato eliminato e si cercherà
di dare maggiori possibilità di riduzione dei tempi di audit (si manterrà
l'impostazione attuale, ma dando più possibilità agli Organismi di
certificazione di ridurre le giornate di audit; si studierà un meccanismo
per evitare che alcuni organismi facciano audit non adeguati). Ricordo però
che lo stato della 27006 è ancora di Working draft e quindi molte cose
potranno ancora accadere.

ISO/IEC 27009: questa norma riguarda l'uso delle norme settoriali (27011,
27017, 27018, 27019 e altre) per le certificazioni ISO/IEC 27001; c'è stata
molta discussione anche sul titolo (l'Italia si è anche opposta, con la
maggioranza, alla modifica del titolo in "Application of ISO/IEC 27001 -
Requirements") e sul suo campo di applicabilità.

ISO/IEC 27011 (telecomunicazioni) e 27013 (uso congiunto di 27001 e 20000):
è stato approvato l'inizio del lavori di revisione.

ISO/IEC 27016 ("Organizational economics") e ISO/IEC 27017 (sul cloud
computing): sono proseguiti i lavori

E' stato approvato l'inizio dei lavori per un nuovo standard sulla
certificazione dei professionisti dediti all'information security
management.

Infine, si è parlato della norma ISO 34001 "Security Management System",
proposta dal ISO/TC 247 "Fraud countermeasures and controls", perché sembra
voler essere in competizione con la ISO/IEC 27001.

Nessun commento:

Posta un commento