Il 15 aprile si è tenuto a Singapore il meeting dell'SC 27 WG 1.
Questi i risultati (per come li ho capiti):
- ISO/IEC 27000 (Vocabolario): sarà prodotto il 3WD (Terzo Working Draft; siamo indietro...)
- ISO/IEC 27001: è in circolazione il 1 CD (Committee Draft, più avanzato del WD);
- ISO/IEC 27002: sarà prodotto il 4 WD (la 27001 avrà ancora l'Annex A, anche se alcuni, tra cui io, volevano lasciare libertà di scelta per il SOA; verranno tolte alcune cose in materia di risk assessment e politiche già presenti sulla 27001)
- ISO/IEC 27005: è stata pubblicata la versione del 2011 che sostitusce quella del 2008 solo per allineare la terminologia alla ISO 31000:2009 (per il resto è rimasta invariata)
- ISO/IEC 27006 (la norma per gli organismi di certificazione):
- ISO/IEC 27007 (linee guida per gli audit): è uscito il Final Draft
- ISO/IEC 27008 (verifica dei controlli di sicurezza): la danno per conclusa
- ISO/IEC 27013 (relazioni tra 27001 e 20000-1): è in circolazione il 1 CD
Non ho ancora letto i draft in circolazione.
Dalla presentazione fatta da Fabio Guasconi per l'Uninfo, segnalo quanto segue:
- Numerosissimi commenti su 27001 e 27002
- si vuole pubblicare la nuova 27006 entro metà 2012
- la 27015 (sui Financial Services) è ferma in attesa di nuovi input
E' stata fatta una proposta per una norma specifica sul Cloud Computing. Voterò contro perché dovrebbe già essere coperta dalle norme sull'outsourcing (se i "servizi cloud" sono offerti dagli esterni) e dalle altre norme più tecniche (se i servizi cloud sono erogati internamente). Uninfo probabilmente voterà a favore.
L'aggiornamento della 27006 è dovuto soprattutto all'allineamento con la ISO/IEC 17021:2011 e quindi gli editor vorrebbero non avere altri argomenti da discutere.
Rimane quindi il grosso problema dei tempi di audit proposti dall'Annex C (Informative) della 27006: attualmente sono esagerati (soprattutto per le PMI). L'allegato è solo informativo e questa è un'altra ragione per cui gli editor non vorrebbero discuterlo; purtroppo Accredia lo considera acriticamente come "normativo" e quindi siamo costretti ad avere audit troppo onerosi per le aziende e anche per gli auditor (che non sanno come giustificare il proprio tempo; per lo meno i molti che conoscono la materia... i tempi sono probabilmente tarati per i pochi che non la conoscono; più ignoranti ma più capaci a far pubblicare le cose).
PS: ringrazio Fabio Guasconi per aver corretto qualche errore di questo post. Quelli rimasti sono colpa mia.
Nessun commento:
Posta un commento