Venerdì 18 ottobre 2019 si è concluso a Parigi il meeting semestrale del ISO/IEC JTC 1 SC 27, ossia del gruppo che, tra gli altri, si occupa delle norme ISO/IEC 27001 e 27701.
Le persone iscritte erano più di 300 (è difficile fare i conti corretti, visto che molti si sono iscritti a più gruppi di lavoro e non riesco a calcolare correttamente il numero totale).
La delegazione italiana era composta da 4 persone (tra cui Fabio Guasconi, Andrea Caccia e io; ringrazio tutti i delegati per avermi segnalato refusi ed errori nella prima versione di questa nota).
Segue lo stato di alcune norme che ritengo essere le più interessanti in lavorazione.
Per quanto riguarda le norme relative ai sistemi di gestione, ossia quelle trattate dal WG 1:
- ISO/IEC 27001: si è avviata una revisione minore solo per allineare l'Annex A alla nuova ISO/IEC 27002 (non è previsto si modifichino altre parti della norma); si pensa quindi di avere le nuove versioni delle due norme nel 2022;
- ISO/IEC 27002 sui controlli di sicurezza: passa in CD e si prevede che la sua nuova versione sarà pubblicata nel 2022;
- ISO/IEC 27004 sulle misurazioni della sicurezza: è stata approvata la pubblicazione di una correzione (non significativa, se non per quelli particolarmente rigorosi);
- ISO/IEC 27005 sulla gestione del rischio: sono ripartiti i lavori e si spera di concluderli all'inizio del 2022;
- ISO/IEC 27011 sui controlli per gli operatori di TLC: è in fase di revisione e si spera di concluderla per fine 2022;
- ISO/IEC 27013 sui rapporti tra ISO/IEC 27001 e ISO/IEC 20000-1; è in fase di revisione per recepire la nuova versione della ISO/IEC 20000-1 (oltre che le esperienze maturate in questi anni).
E' stata avanzata la proposta di una nuova norma ISO/IEC 27104 dal titolo "Guidelines for cyber insurance". Dovrò cercare di capire perché questa norma oltre alla ISO/IEC 27102.
Credo sia significativo segnalare che:
- si prevede l'elaborazione di una qualche norma, simile alla ISO/IEC 27006, per le certificazioni ISO/IEC 27701; curiosamente molti europei si sono dichiarati contrari a usare la ISO/IEC 17065 come base per questa nuova norma, nonostante la ISO/EC 17065 sia richiamata dal GDPR; su questo dico che ci sono ancora ampi margini di manovra in fase di redazione; inoltre penso che la contrarietà sia dovuta ad una certa impostazione di rigore tecnico (visto che la ISO/IEC 27701 è uno standard per sistemi di gestione e non per processi) e non a giochetti volti a favorire qualche attore di mercato;
- sono state discusse le possibili azioni da intraprendere, in termini di chiarimenti e di suggerimenti, in merito alle certificazioni ISO/IEC 27001 che usano i controlli aggiuntivi di norme come le ISO/IEC 27001, 27017, 27018 e 27019.
Per quanto riguarda le norme relative alla privacy, ossia il WG 5, credo che la cosa più interessante sia la norma relativa alla cancellazione dei dati personali, ma solo perché la sta seguendo una rappresentante della delegazione italiana.
Per quanto riguarda le certificazioni rispetto alla ISO/IEC 27701, ho già scritto nel punto precedente.
Avrei voluto seguire alcune norme più tecniche (quelle relative all'IoT e gestite dal WG 4), ma la bizzarra organizzazione ha fatto sì che fossero trattate a più di mezzora di distanza da quelle del WG 1 e WG 5 e la logistica non mi ha permesso di spostarmi in tempo.
Grazie Cesare, come sempre informazioni complete e interessanti! In questo caso posso testimoniarlo in prima persona
RispondiElimina