domenica 19 dicembre 2010

WD4 ISO/IEC 27001

Siamo al quarto draft della 27001.

L'aspetto da notare è che ora è impostata secondo il modello "JTCG 8 Common Structure and Identical Text for management system standards". La 27001 sarà la prima norma ad adottare questo modello e le altre (9001, 14001, 20000) dovrebbero seguire.

La norma, di per se stessa, non cambia molto soprattutto per quanti ne hanno dato delle interpretazioni corrette da un punto di vista formale e sostanziale. Ne riparleremo le prossime volte, quando si sarà più stabilizzata.

In realtà, il nuovo modello introduce almeno tre aspetti che al momento mi lasciano perplesso. Non mi sono ancora imbattutto in disquisizioni in merito sulla rete per capirli fino in fondo, ma lascio qui un piccolo elenco:
1- viene introdotta la necessità di pianificare il sistema di gestione tenendo in conto, seppure in modo sfumato ma esplicito, i rischi di impresa; se questa non è una novità per la 27001, certamente lo è per altre norme; il problema è che li chiama "issues" e questo potrà creare qualche confusione in chi si occuppa di "risks"
2- non ci sono più "procedure documentate" e "registrazioni", ma "documented information"; questo genera dei giri di parole non sempre semplici da assimilare
3- la richiesta di procedure documentate e registrazioni (quindi, di informazioni documentate) obbligatorie si è di molto ridotta, lasciando ulteriore margine all'utilizzatore; questo potrebbe creare qualche difficoltà per gli auditor che potrebbero trovarsi con sempre meno punti di appoggio per "capire" cosa auditare

Ripeto: non ho ancora valutato fino in fondo questi aspetti e mi riserverò di farlo dopo il prossimo draft.

Nessun commento:

Posta un commento