Sono molto felice di annunciare la pubblicazione della nuova versione della ISO/IEC 27003 dal titolo "Information technology - Security techniques - Information security management systems - Guidance":
https://www.iso.org/standard/63417.html.
I più attenti avranno notato che il titolo è cambiato e non si tratta più di una guida alla realizzazione di un ISMS, ma di una guida ai requisti di un ISMS, ossia alla ISO/IEC 27001.
Ho partecipato molto attivamente ai lavori di redazione di questa norma e sono molto soddisfatto del risultato ottenuto. Ovviamente avrei voluto scrivere qualcosa in più in certi punti e qualcosa in meno in altri. Ma per esprimere i miei punti di vista ho già provveduto a scrivere un libro :-)
Sicuramente sono molto soddisfatto di alcuni punti presenti in questa norma:
- si dice chiaramente che si possono fare due valutazioni del rischio (una per il sistema di gestione e una per la sicurezza delle informazioni) oppure si possono integrare;
- in merito alle valutazioni del rischio relativo alla sicurezza delle informazioni, si dà pari valore a quelle "tradizionali" basate su asset-minacce-vulnerabilità e ad altre "basate su scenari"; sarebbero argomenti da ISO/IEC 27005, ma almeno qui si è introdotto l'argomento e permetterà di valutare approcci forse più efficaci per la valutazione del rischio;
- si è corretto, per quanto possibile, l'uso improprio di "risk criteria" presente nella ISO/IEC 27001 e qui si preferisce usare l'espressione, forse più chiara, di "criteri di accettazione del rischio e criteri per svolgere la valutazione del rischio".
Nessun commento:
Posta un commento