Non ho partecipato direttamente e quindi fornisco indicazioni tratte dai resoconti finali.
Per quanto riguarda i lavori sulle norme della privacy:
- la ISO/IEC 27552 (ossia lo standard che potrebbe essere quello su cui sarà basata la "certificazione GDPR") dovrebbe passare allo stato di DIS e quindi essere pubblicata a fine 2019;
- la ISO/IEC 27018 (Code of practice for PII protection in public clouds acting as PII processors) è stata aggiornata per allinearla alle altre norme uscite in questi anni e la pubblicazione della nuova versione è prevista per fine anno;
- per la l'ISO/IEC 29101 (Privacy Architecture Framework), la situazione è la medesima della ISO/IEC 27018;
- per la ISO/IEC 27550 (Privacy engineering for system life cycle processes) sono proseguiti i lavori.
Per quanto riguarda le attività del WG 1, ossia quelle più strettamente collegate alla ISO/IEC 27001, segnalo le cose per me più interessanti:
- avvio formale, con la prima bozza, dei lavori per la prossima versione della ISO/IEC 27002 sui controlli di sicurezza (a questo punto prevista non prima del 2021);
- ulteriore proseguimento dei lavori per la futura ISO/IEC 27005 sulla valutazione del rischio (i lavori sono ripartiti dalle discussioni preliminari);
- continuazione dei lavori per apportare correzioni alla ISO/IEC 27006, la norma per gli organismi che certificano ISO/IEC 27001;
- continuazione dei lavori per aggiornare la ISO/IEC 27013, ossia la norma che tratta delle relazioni tra ISO/IEC 27001 e 20000-1, visto il recente aggiornamento di quest'ultima;
- avvio dei lavori per un aggiornamento minore della ISO/IEC 27007, linea guida per la conduzione degli audit sulla ISO/IEC 27001, per allineamento alla ISO 19011:2018; pertanto partirà dallo stato di DIS per essere pubblicata ad autunno 2019 (ricordo che la ISO/IEC 27007 è stata aggiornata nel 2017 e tutte queste rilavorazioni di norme mi lasciano perplesso);
- passaggio a DIS (con possibile pubblicazione ad autunno 2019) della ISO/IEC 27102 sulle cyber-assicurazioni;
- sono proseguite le discussioni sull'utilità del SOA; dal rapporto dell'incontro capisco che il 75% dei partecipanti vuole mantenere nella ISO/IEC 27001 l'Annex A e il requisito sul SOA.
Il WG 4, dedicato ad aspetti più tecnici della sicurezza, ha lavorato alla seconda bozza di lavoro della norma ISO/IEC 27030 dal titolo "Guidelines for security and privacy in Internet of Things (IoT)". La prima bozza era un documento sostanzialmente vuoto.
Altri documenti su cui ha lavorato il WG 4, che io ritengo interessanti, ma ancora in fase di bozza, sono:
- aggiornamento della ISO/IEC 27031 sulla continuità operativa;
- aggiornamento della ISO/IEC 27032 sulla sicurezza Internet (era un documento dedicato alla Cybersecurity, tema ora demandato alle norme della serie 271xx);
- ISO/IEC 27045 sui big data.
Per quanto riguarda i partecipanti, so solo che al WG 1 (i gruppi sono 5 e il WG 1 è il più numeroso) hanno partecipato esperti e delegati da 29 Paesi. La delegazione italiana (per i soli WG 1 e WG 5) era composta da ben (!) tre persone.
Prossimo meeting: aprile 2019.
Nessun commento:
Posta un commento