venerdì 1 novembre 2013

Corrispondenze tra ISO/IEC 27001:2005 e ISO/IEC 27001:2013

Alla seguente pagina è pubblicato il documento ufficiale dell'SC 27 "Mapping
Old-New Editions of ISO/IEC 27001 and ISO/IEC 27002":
- http://www.jtc1sc27.din.de/sbe/wg1sd3

Ovviamente, lo studio di questo documento non potrà escludere uno studio
attento della nuova ISO/IEC 27001:2013. Come ho già ricordato più volte,
molti requisiti presenti in precedenza sono ora impliciti e alcuni
collegamenti sono meno evidenti ma ci sono (per esempio, nel riesame di
direzione non viene più richiesto di determinare il fabbisogno di risorse
per l'ISMS, ma tale fabbisogno deve essere espresso quando si stabiliscono
gli obiettivi).

Inoltre, non condivido la dicitura "deleted" per alcuni controlli della
ISO/IEC 27002: se così fosse, vorrebbe dire che non erano utili per la
sicurezza delle informazioni. In realtà, tutti i controlli "deleted" sono
stati incorporati in alcuni degli attuali 114 controlli (per
esempio, il "input data validation" è ora incorporato nel 14.1.1 Information
security requirements analysis and specification.

4 commenti:

  1. 403 Forbidden : You don't have permission to access /sixcms_upload/media/3031/ISO-IECJTC1-SC27_N13143_SD3_FINAL_TEXT_REV_2_Oct2013.pdf on this server.

    :-(

    RispondiElimina
  2. Non bello... non l'ho neanche trovato altrove. Ma si era deciso di renderlo pubblico. Chissà che non venga pubblicato su
    - http://standards.iso.org/ittf/PubliclyAvailableStandards/
    Aspettiamo qualche giorno per vedere.
    Ora aggiorno il post.

    RispondiElimina
  3. Very good post, I was really searching for ISO 27001:2013 topic, as I wanted this topic to understand completely and it is also very rare in internet that is why it was very difficult to understand.

    Certification ISO 27001:2013

    RispondiElimina
  4. Well... thank you. I'm sorry it is in Italian. I hope you found a way to have a translation of my posts.

    RispondiElimina