Mi hanno segnalato del materiale informativo relativo alla ISO/IEC
27001:2013. Molto è tratto dalla documentazione discussa nel corso della
redazione della ISO/IEC 27001 e può quindi valere la pena leggerlo,
soprattutto per comprendere alcuni impatti introdotti dai cambiamenti.
I titoli delle pubblicazioni sono i seguenti:
- " Moving from ISO/IEC 27001:2005 to ISO/IEC 27001:2013";
- "Mapping between the requirements of ISO/IEC 27001:2005 and ISO/IEC
27001:2013";
- "Checklist of Mandatory Documentation Required by ISO/IEC 27001 (2013
Revision)";
- "Diagram of ISO 27001 2013 Implementation Process".
Non condivido tutto quello che si trova in queste schede: alcune cose le
avrei approfondite di più, altre di meno. Gli ultimi due sono proprio delle
interpretazioni a volte molto libere della norma. Ma si tratta comunque di
analisi valide, che vale la pena studiare.
Ci tengo però a dire che non trovo corretti i riferimenti incrociati tra
nuova e vecchia ISO/IEC 27001 e 27002. Infatti, alcuni requisiti e controlli
del 2005 sono dati per "cancellati", mentre molti sono invece "incorporati"
o "impliciti" in quelli del 2013.
Per concludere: non so se i documenti sono liberamente reperibili, ma se li
trovate con un motore di ricerca vuol dire che, in qualche modo, lo sono...
Nessun commento:
Posta un commento