Il 20 ottobre si è concluso il meeting semestrale dei WG 1 (dedicato ai sistemi di gestione per la sicurezza delle informazioni o ISMS) e WG 5 (dedicato alla privacy) del ISO/IEC JTC 1 SC 27.
In questo articolo riporto le attività del WG 5 che ritengo più significative.
Ho seguito i lavori sulla ISO/IEC 27701, per i sistemi di gestione per la privacy (Privacy information management system, PIMS). Era prevista per metà 2024 la pubblicazione di un aggiornamento limitato al riallineamento dei controlli con quelli della ISO/IEC 27002:2022. L'ISO Central Secretariat ha invece chiesto di ristrutturare lo standard come gli altri sui sistemi di gestione. Tutti gli esperti hanno concordato sulla necessità di ristrutturarlo completamente e, quindi, ritardare la pubblicazione per evitare incoerenze ed errori (qualcuno auspica la pubblicazione per inizio 2025, io penso che ci vorrà più tempo).
Sarà pubblicata entro metà 2024 una nuova versione della ISO/IEC 27006-2 (per gli organismi di certificazione), ma sarà necessario rifare tutto per rendere questo standard compatibile con la futura ISO/IEC 27701. Il rischio è di essere rapidi nella pubblicazione dei criteri di certificazione (la futura ISO/IEC 27701), ma più lenti per i criteri di accreditamento (la futura ISO/IEC 27006-2, sempre se manterrà questa numerazione); in altre parole, potremmo avere una nuova versione della ISO/IEC 27701, ma nessun organismo di certificazione che può condurre audit e rilasciare certificati per mancanza di regole appropriate.
Stanno continuando, anche se molto lentamente, i lavori per la ISO/IEC 27018 (estensione dei controlli della ISO/IEC 27002 per la privacy dei servizi cloud, importante per le molte certificazioni ISO/IEC 27001 che la usano come estensione) per allineare la versione attuale con i controlli della ISO/IEC 27002:2022. Si prevede di pubblicarne l’aggiornamento a metà 2024 (ma mi sembra una data troppo ottimistica e io prevedo fine 2024).
Nessun commento:
Posta un commento