Franco Ferrari del DNV Italia mi ha segnalato che è stata pubblicata con
data 15 maggio la ISO/IEC 27014 dal titolo "Governance of information
security".
Mi chiederò sempre perché lui sappia queste cose con questo anticipo, visto
che la segnalazione è del 7 maggio.
Detto ciò, posso dire quanto segue:
- la norma che non dice, a mio parere, nulla di nuovo;
- rigira il modello PDCA in "Evaluate-Direct-Monitor-Communicate-Assure", a
sua volta ripreso da quello proposto dalla ISO 38500 (che però si limitava
alle sole prime 3 aree);
- utilizza alcuni concetti (risk appetite, information security status) non
sono rintracciabili nelle altre norme della serie ISO/IEC 27000 in vigore e
che potrebbero generare confusione.
Vedremo comunque come questa norma sarà accolta dal mercato e se io l'ho
letta troppo distrattamente e non ne ho colto tutti gli aspetti.
Nessun commento:
Posta un commento