Tony Coletta, delegato italiano al ISO/IEC SC 7 WG 10, mi ha informato della recente pubblicazione del nuovo standard ISO/IEC 33072 ddal titolo "Process capability assessment model for information security management":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=70803.
Si tratta, in poche parole, di una riscrittura della ISO/IEC 27001 descrivendone i processi e controlli come processi valutabili secondo la scala di capability, da 0 a 5, descritta nella ISO/IEC 33020. Per chi è abituato ad un'altra terminologia, ormai vecchia, traduco dicendo che si tratta di un modello per la valutazione della maturità del sistema di gestione per la sicurezza delle informazioni.
Si tratta di una lettura non veloce (194 pagine!) e impegnativa. Dubito che un esercizio di questo genere sia veramente utile per migliorare la sicurezza delle informazioni, soprattutto considerando che in troppe organizzazioni vedo processi talmente mal gestiti che raggiungere un livello di capacità pari ad 1 sarebbe già un bel risultato.
Nessun commento:
Posta un commento