Agli inizi di aprile 2022 si sono tenuti i meeting del ISO/IEC JTC 1 SC 27,
ossia del gruppo che segue gli standard della famiglia ISO/IEC 27001,
sicurezza e privacy.
Gli incontri sono online e alcuni sono in orari convenienti per chi abita in
Italia, altri sono decisamente proibitivi per me, ma convenienti per chi
abita in altri Paesi. Io questa volta non ho partecipato perché si è
verificato il secondo caso.
Segue il mio resoconto, dove sono indicate solo le norme di mio interesse,
secondo quanto ho ricavato dai resoconti:
- l'amdendment della ISO/IEC 27001:2013 dovrebbe uscire a inizio ottobre;
ipotizzo quindi che la nuova ISO/IEC 27001 uscirà nel 2023 (e dovrò
aggiornare il mio libro, ahimè); su questo però ho difficoltà a capire
correttamente il resoconto e quindi spero di sbagliarmi;
- la nuova ISO/IEC 27005, sulla valutazione del rischio, dovrebbe uscire a
settembre; il testo che ho visto non mi piace perché confuso, però trovo
positivo che sia ufficialmente superato il modello basato sugli asset;
- la nuova ISO/IEC 27006-1, con i requisiti per gli organismi di
certificazione, dovrebbe uscire nella primavera 2023;
- per la ISO/IEC 27017, sui controlli nel cloud, sono partiti i lavori per
la nuova versione;
- la ISO/IEC 27701 sarà oggetto di aggiornamento non particolarmente
significativo per allineare i controlli già esistenti a quelli della ISO/IEC
27002:2022 (i lavori sono partiti su suggerimento della delegazione
italiana);
- similmente, anche la ISO/IEC 27018 (sulla privacy nel cloud) sarà
riesaminata, sempre su suggerimento italiano, alla luce della ISO/IEC
27002:2022;
- per la privacy, seguono le attività per la ISO/IEC 27557 sulla valutazione
del rischio organizzativo; norma non essenziale, ma negli ultimi anni ho
seguito con interesse i lavori da cui ho tratto molti spunti di riflessione.
Nessun commento:
Posta un commento