Venerdì 24 ottobre si è concluso a Santa Fe (Messico) il 49mo meeting
dell'SC 27 dell'ISO/IEC JTC 1. Purtroppo, causa cancellazione del volo, non
ho potuto partecipare. A rappresentare l'Italia c'erano solo Fabio Guasconi
(Presidente SC 27 italiano) e Andrea Caccia.
Provo comunque, sulla base del documento finale "WG 1 Recommendations,
Resolutions and Acclamations", ad indicare lo stato di avanzamento delle
norme in discussione:
- ISO/IEC 27000 (Panoramica e vocabolario); il documento è stato proposto
per il passaggio in DIS;
- ISO/IEC 27003 (Guida alla ISO/IEC 27001); il documento è stato proposto
per il passaggio in CD;
- ISO/IEC 27004 (Monitoraggi, misurazioni, analisi e valutazioni); il
documento è stata proposta per il passaggio in CD;
- ISO/IEC 27005 (Gestione del rischio); rimane in stato di WD;
- ISO/IEC 27006 (Requisiti per gli organismi di certificazione rispetto alla
ISO/IEC 27001); è stata proposta per il passaggio in DIS;
- ISO/IEC 27007 (Linee guida per gli audit dei sistema di gestione per la
sicurezza delle informazioni); rimane in stato di WD;
- ISO/IEC 27008 (Linee guida per gli audit dei controlli di sicurezza delle
informazioni); rimane in stato di WD;
- ISO/IEC 27009 (Requisiti per l'applicazione della ISO/IEC 27001 in settori
specifici); rimarrà in stato CD;
- ISO/IEC 27010 (Sicurezza nelle comunicazioni tra settori e
organizzazioni); il documento è stato proposto per il passaggio in DIS;
- ISO/IEC 27011 (controlli di sicurezza per il settore delle
telecomunicazioni); rimarrà in stato CD;
- ISO/IEC 27013 (relazioni tra ISO/IEC 27001 e ISO/IEC 20000-1); è stata
proposta per il passaggio in DIS;
- ISO/IEC 27017 (controlli di sicurezza per il cloud computing); è stata
proposta per il passaggio in DIS;
- ISO/IEC 27021 (Competenze per i professionisti dei sistemi di gestione per
la sicurezza delle informazioni); rimane in stato di WD;
- ISO/IEC 27023 (Mappa dei requisiti delle versioni del 2005 e del 2013
delle ISO/IEC 27001 e ISO/IEC 27002).
E' opportuno ricordare che i documenti attraversano diversi stadi prima
della pubblicazione: WG (Working draft), CD (Committee Draft), DIS (Draft),
FDIS (Final Draft).
Altre discussioni hanno riguardato:
- il futuro riesame della ISO/IEC 27019 (controlli di sicurezza per il
settore energia);
- la redazione di un " Cloud Adapted Risk Management Framework";
- la redazione di un documento relativo alla "Information Security Library";
Essendo io assente, il povero Fabio Guasconi ha dovuto difendere da solo i
miei numerosi commenti sulla ISO/IEC 27003 e non ho potuto aiutarlo sulle
sue proposte sulle altre norme. Con queste poche righe, rendo merito alla
sua capacità di portare avanti le istanze italiane.
Molta discussione si è fatta sulla ISO/IEC 27006 su due punti. Il primo
riguarda la durata degli audit: attualmente le giornate previste per le
organizzazioni piccole o molto piccole sono, a parere di alcuni, troppo
numerose (per le aziende di 5 persone si richiede un minimo non derogabile
di 4 giornate). Il secondo riguarda la necessità o meno di prevedere
esplicitamente negli audit la verifica di come sono attuati i controlli di
sicurezza previsti dall'Appendice A della ISO/IEC 27001. Come Italia, siamo
ovviamente favorevoli a verificare i controlli di sicurezza, ma in un numero
di giornate ragionevoli (purtroppo, troppi auditor si accontentano di
verificare solo i documenti o di fare interviste ai top manager, senza
verifiche sul campo). La nostra posizione è quindi difficile perché richiede
di bilanciare due esigenze diverse (tempi e costi degli audit ragionevoli e
adeguato livello di profondità).
Il prossimo meeeting sarà a inizio maggio 2015 a Kuching, in Malesia (isola
di Borneo).
Nessun commento:
Posta un commento