Stato delle norme ISO/IEC 270xx

Il 26 ottobre si è concluso il meeting semestrale del WG 1 (sistemi di gestione per la sicurezza delle informazioni) dell'ISO/IEC JTC 1 SC 27 e il 27 ottobre quello del WG 5 (privacy). Gli incontri del WG 1 sono durati pochi giorni perché molti incontri di scrittura degli standard si sono tenuti da remoto nei mesi precedenti.

Per il WG 1 ho seguito i lavori per:
- l'approvazione della prossima versione della ISO/IEC 27002, che dovrebbe quindi uscire a gennaio 2022;
- l'approvazione dell'Amd per la ISO/IEC 27001 che sarà consolidato, insieme alle correzioni del 2017, in una bozza finale per avere la pubblicazione della ISO/IEC 27001:2022 a maggio 2022;
- l'approvazione della partenza dei lavori per una nuova ISO/IEC 27001 in autunno 2022 (i lavori potranno essere abbastanza lunghi e dovranno considerare le molte questioni sollevate negli anni, tra cui quella della necessità della dichiarazione di applicabilità);
- lo stato delle norme collegate alle ISO/IEC 27002 che pertanto andranno aggiornate (si inizia con ISO/IEC 27008, 27107, 27019, 27103 e segnalo che, viste le certificazioni in giro, quella più significativa è la ISO/IEC 27017; la ISO/IEC 27018 è in carico al WG 5 e quindi non se ne è discusso);
- il lancio di un nuovo studio per censire gli standard che si basano sulla ISO/IEC 27002;
- l'interessante analisi di Fabio Guasconi sulla ISO 22100-4 dal titolo "Guidance to machinery manufacturers for consideration of related IT-security (cyber security) aspects";
- l'avanzamento della ISO/IEC 27005 (che non ho seguito) in stato di DIS (si prevede quindi la pubblicazione a settembre 2022);
- l'avvio dell'aggiornamento della ISO/IEC 27006-1, che dovrebbe uscire a inizio 2023.

Per il WG 5 ho seguito i lavori per:
- ISO/IEC 27006-2, circa i requisiti aggiuntivi alla ISO/IEC 17021 e ISO/IEC 27006-1 per gli organismi di certificazione che svolgono audit e rilasciano certificazioni secondo la ISO/IEC 27701 (Privacy information management system); si sono analizzate le proposte per aggiornare l'attuale edizione; nulla di eclatante, ma si sono chiariti alcuni punti; fa eccezione il sistema di calcolo delle giornate di audit per il quale si è costituito un gruppo ad hoc (io profetizzo che i lavori si concluderanno con, parafrasando una frase di Churchill: "il calcolo basato sul numero di persone addette è il peggiore esclusi tutti gli altri"); se ne prevede la pubblicazione per metà 2024;
- ISO/IEC 27557 "Organizational privacy risk management" che si prevede di pubblicare a fine 2022;
- ISO/IEC 27555 "Guidelines on personally identifiable information deletion", che è stata pubblicata a ottobre e ha visto il contributo di un'editor italiana.