Venerdì 25 ottobre si è concluso a Songdo (Corea del Sud) il 47mo meeting
dell'SC 27 dell'ISO/IEC JTC 1. Hanno partecipato circa 250 delegati, di cui
70 per il WG1 (ossia il gruppo che si occupa delle norme della famiglia
ISO/IEC 27000 e collegate alla ISO/IEC 27001). La delegazione era composta
da 4 persone: io per il WG 1, Stefano Ramacciotti per il WG 3, Dario Forte
per il WG 4 e Andrea Caccia per i WG 1 e 4 e come rappresentante per ETSI.
Di seguito, le decisioni in merito alle norme del WG 1 affrontate in questo
meeting.
ISO/IEC 27000 (Overview and vocabulary)
La norma sarà pubblicata a breve nell'edizione 2013. Si è discusso su come
affrontare la prossima versione. Infatti, ciascun termine è "di proprietà"
di uno standard e può essere ridefinito solo contestualmente
all'elaborazione di quello standard. Purtroppo, il lavoro sui termini e
definizioni è spesso lasciato in secondo piano e ogni tanto i risultati sono
insoddisfacenti (per esempio la definizione di "evento di sicurezza delle
informazioni", non collegata alla definizione di "evento"). Si farà
sicuramente di meglio nel futuro.
ISO/IEC 27001 e 27002
Sarà pubblicato e reso disponibile gratuitamente il documento WG1 SD3
"Mapping Old to New Editions of ISO/IEC 27001 and ISO/IEC 27002". Ne
parleremo quando disponibile.
ISO/IEC 27003 (Guida all'attuazione di un ISMS)
Si è deciso di cambiarla totalmente e cambiarle il titolo (da
"Implementation guidance" a "Guidance"). Ora diventerà una guida alla
ISO/IEC 27001 e sarà suddivisa negli stessi capitoli della ISO/IEC 27001.
ISO/IEC 27004 (Misurazioni)
Tutti i partecipanti hanno concordato per un approccio non teorico. Sarà
proposto un modello al prossimo meeting di aprile: bisognerà vedere come
sarà e se presenterà un insieme minimo di indicatori. Si è anche deciso di
scrivere un testo che non possa essere utilizzato come check list da auditor
e utilizzatori, ma che sia veramente una linea guida. Cambierà titolo da
"Measurements" a "Monitoring, measurement, analysis and evaluation".
ISO/IEC 27005 (Risk management)
Si è deciso di non limitare il testo ai soli risk assessment e risk
treatment, ossia di mantenerla come è ora. Infatti, alcuni volevano ridurne
lo scopo per evitare sovrapposizioni con la 27001 e la 27003. La maggioranza
ha voluto però evitare di pubblicare un testo troppo sintetico e forse
incomprensibile alla maggioranza dei lettori (come invece, a mio parere, si
è fatto per la 27001).
ISO/IEC 27006 (Requisiti per gli organismi di certificazione)
Si è discusso se mantenere la tabella di riferimento per le giornate di
audit basata sulle persone impiegate nell'ISMS, oppure se seguire un'altra
strada. Malgrado né in questo meeting né nel precedente siano state
individuate strade alternative, metà dei delegati ha votato per questa
seconda opzione; vedremo cosa succederà al prossimo meeting. Si è anche
deciso di riportare la versione del SoA sui "documenti di certificazione" e
non sul certificato, contrariamente a quanto previsto dalla versione della
27006 attualmente in vigore.
ISO/IEC 27016 (Organizational economics)
Sarà pubblicata a breve.
Process reference model e Process assessment model
Di questo ne parlai già in precedenza
(
http://blog.cesaregallotti.it/2013/09/spice-modelli-di-maturita-e-isoiec-27
001.html). Le proposte sono state sostanzialmente bocciate. Attualmente
queste due proposte di standard sono di competenza del SC 7, ma sarà averle
come di responsabilità del SC 27.
Si è anche discusso di ISO/IEC 27009 (cambierà titolo il "Sector specific
application of ISO/IEC 27001 – Requirements), 27011 (requisiti per
telecomunicazioni), 27013 (rapporti tra 27001 e 20000-1)
e 27017 (cloud), senza notizie da segnalare.
ISMS professionals
Si sta studiando da tempo una norma sulle certificazioni delle competenze
dei professionisti degli ISMS. Ora si è deciso di creare uno schema a cui
dovranno adeguarsi gli organismi di certificazione del personale.
