L'SC 7 del JTC 1 dell'ISO/IEC sta lavorando su una nuova edizione dello
standard ISO/IC 15504 noto anche come SPICE. Per essere molto sintetici, lo
SPICE è quello standard che tratta della capacità e della maturità dei
processi e delle modalità per dimostrarle e valutarle. La nuova edizione
prevede anche una riorganizzazione e rinumerazione degli standard da 33001
(in particolare, la ISO/IEC 33001 presenterà un'introduzione e la
terminologia, la 33002 i requisiti per effettuare un assessement dei
processi, eccetera).
Di particolare importanza sono i "process reference model (PRM)" e i
"process assessment model (PAM)", documenti che descrivono i processi in
modo da poterli analizzare e valutare secondo quanto previsto dallo
standard.
Due delle norme della serie ISO/IEC 330xx, attualmente in bozza, hanno
l'ambizione di presentare rispettivamente un esempio di PRM e un esempio di
PAM per la gestione della sicurezza delle informazioni in relazione con la
ISO/IEC 27001.
L'iniziativa raccoglierà certamente il favore di quanti vorrebbero
introdurre i modelli di capacità anche nella sicurezza delle informazioni.
Io devo confessare che l'iniziativa mi lascia perplesso soprattutto perché
si è appena finito di scrivere la futura ISO/IEC 27001 dopo molte
discussioni e immediatamente ne viene presentata una sorta di
interpretazione che, potenzialmente, potrà introdurre delle confusioni (per
fare un esempio banale, nei requisiti del risk assessment della ISO/IEC
27001 non si parlerà più di "asset" per evitare di imporre un modello di
risk assessment basato sugli asset; per motivi di ordinamento alfabetico,
però, il processo di "asset management" è proprio il primo presentato nella
bozza di PAM ridando, seppure involontariamente, un'impropria importanza
agli asset stessi).
Da un altro punto di vista, l'iniziativa presenta elementi interessanti. Uno
dei primi riguarda l'Annex A della ISO/IEC 27001 da sempre oggetto di
critiche e discussioni. Infatti, mentre la ISO 9001 e la ISO 14001, per
esempio, riportano i requisiti dei processi di gestione della qualità e
dell'ambiente nel corpo del testo dello standard, la ISO/IEC 27001 riporta
processi importantissimi come la gestione degli incidenti in un allegato,
conferendogli così un diverso livello di interpretazione. Le proposte di PRM
e PAM, per contro, evidenziano questi processi allo stesso livello degli
altri e comportano un'altra visione dei requisiti.
Tutto questo richiederebbe una riflessione, anche sul futuro della ISO/IEC
27001, sicuramente interessante. Ritengo però, come ricordato inizialmente,
sia necessario aspettare qualche tempo, quando la nuova versione della
ISO/IEC 27001 sarà stata adottata e oggetto di ampia discussione.
Nessun commento:
Posta un commento