Rapidamente elenco lo stato delle norme discusse:
- ISO/IEC 27001: si è deciso di non procedere, per ora, al suo aggiornamento, ritenendo adeguata l'attuale versione del 2013;
- ISO/IEC 27002: si è deciso di avviarne l'aggiornamento (richiederà comunque qualche anno);
- ISO/IEC 27003 (guida alla ISO/IEC 27001): non è stata discussa e se ne è rimandata la discussione a giugno in modo da redigere la bozza finale (FDIS) e, spero pubblicarla per fine 2016;
- ISO/IEC 27004 (guida alle misurazioni della sicurezza): come la ISO/IEC 27003, la discussione è stata rimandata a giugno;
- ISO/IEC 27005 (guida alla valutazione del rischio): dopo anni di discussione su una bozza, si è deciso di ripartire da zero; questo, ahimè, rimanderà l'aggiornamento (necessario) di questa norma importantissima di almeno 3 anni;
- ISO/IEC 27007 (guida all'audit sulla ISO/IEC 27001): si è proceduto a migliorare la bozza della sua nuova versione (non ritengo si tratti comunque di una norma fondamentale);
- ISO/IEC 27008 (guida alla valutazione dei controlli di sicurezza): come per la ISO/IEC 27007, si è discusso delle bozze di una nuova versione di questa norma;
- ISO/IEC 27009 (uso della ISO/IEC 27001 in specifici settori): si è discusso della bozza finale in modo che venga pubblicata quanto prima;
- ISO/IEC 27011 (controlli per il settore delle telecomunicazioni): si è discusso in modo da predisporre la bozza finale di una nuova versione di questa norma;
- ISO/IEC 27014 (governance della sicurezza delle informazioni): si è deciso di aggiornare questa norma; i lavori quindi partiranno al prossimo incontro;
- ISO/IEC 27019 (controlli per il settore dell'energia): si è discusso delle bozze di una nuova versione di questa norma;
- ISO/IEC 27021 (competenze sui sistemi di gestione per la sicurezza delle informazioni): si è discusso delle bozze di questa nuova norma.
Si sono discusse anche molte altre cose. Mi piace segnalare solo che sono stati avviati i lavori per una norma sulle "cyber insurance".
Nessun commento:
Posta un commento