venerdì 29 aprile 2016

Stato delle norme ISO/IEC 270xx

Venerdì 15 aprile si è concluso a Tampa (Florida, USA) il 52mo meeting dell'SC 27 dell'ISO/IEC JTC 1, ossia il gruppo che si occupa della redazione e aggiornamento delle norme collegate alla ISO/IEC 27001 e a cui ho partecipato come delegato italiano.

Rapidamente elenco lo stato delle norme discusse:
  • ISO/IEC 27001: si è deciso di non procedere, per ora, al suo aggiornamento, ritenendo adeguata l'attuale versione del 2013;
  • ISO/IEC 27002: si è deciso di avviarne l'aggiornamento (richiederà comunque qualche anno);
  • ISO/IEC 27003 (guida alla ISO/IEC 27001): non è stata discussa e se ne è rimandata la discussione a giugno in modo da redigere la bozza finale (FDIS) e, spero pubblicarla per fine 2016;
  • ISO/IEC 27004 (guida alle misurazioni della sicurezza): come la ISO/IEC 27003, la discussione è stata rimandata a giugno;
  • ISO/IEC 27005 (guida alla valutazione del rischio): dopo anni di discussione su una bozza, si è deciso di ripartire da zero; questo, ahimè, rimanderà l'aggiornamento (necessario) di questa norma importantissima di almeno 3 anni;
  • ISO/IEC 27007 (guida all'audit sulla ISO/IEC 27001): si è proceduto a migliorare la bozza della sua nuova versione (non ritengo si tratti comunque di una norma fondamentale);
  • ISO/IEC 27008 (guida alla valutazione dei controlli di sicurezza): come per la ISO/IEC 27007, si è discusso delle bozze di una nuova versione di questa norma;
  • ISO/IEC 27009 (uso della ISO/IEC 27001 in specifici settori): si è discusso della bozza finale in modo che venga pubblicata quanto prima; 
  • ISO/IEC 27011 (controlli per il settore delle telecomunicazioni): si è discusso in modo da predisporre la bozza finale di una nuova versione di questa norma;
  • ISO/IEC 27014 (governance della sicurezza delle informazioni): si è deciso di aggiornare questa norma; i lavori quindi partiranno al prossimo incontro;
  • ISO/IEC 27019 (controlli per il settore dell'energia): si è discusso delle bozze di una nuova versione di questa norma;
  • ISO/IEC 27021 (competenze sui sistemi di gestione per la sicurezza delle informazioni): si è discusso delle bozze di questa nuova norma.

Si sono discusse anche molte altre cose. Mi piace segnalare solo che sono stati avviati i lavori per una norma sulle "cyber insurance".

Nessun commento:

Posta un commento