Stato delle norme ISO/IEC 270xx -- ottobre 2012

Dal 22 al 26 ottobre, si è tenuto a Roma il plenary meeting del WG1 dell'SC27, ossia del gruppo responsabile delle norme ISO/IEC 270xx. Io vi ho partecipato come delegato per l'Italia.

Questi i risultati:
- ISO/IEC 27000: sarà pubblicata a breve la nuova versione; si è comunque stabilito di riaprire i lavori per una nuova versione (early revision) anche a seguito di quanto uscirà dai lavori sulla ISO/IEC 27001 e 27002
- ISO/IEC 27001: è stata proposta per il passaggio a DIS, procedendo quindi nel cammino che dovrebbe concludersi a ottobre 2013 con la pubblicazione della nuova sua versione; ulteriori dettagli in un altro post
- ISO/IEC 27002: è stata proposta per il passaggio a DIS, procedendo quindi nel cammino che dovrebbe concludersi a ottobre 2013 con la pubblicazione della nuova sua versione; gli editor dovrebbero preparare un documento con indicate le modifiche principali; ulteriori dettagli in un altro post
- ISO/IEC 27003 sull'implementazione di un ISMS: si è stabilito di riesaminare la norma anche in funzione delle future versioni di ISO/IEC 27001 e 27002
- ISO/IEC 27004 sulle misurazioni: si è stabilito di avviare dei lavori preliminari alla sua revisione; in particolare, si è stabilito di effettuare delle indagini preliminari sulle misurazioni necessarie per la valutazione di efficacia dei controlli e/o dell'ISMS
- ISO/IEC 27006: sono proseguiti i lavori; gli elementi di maggior interesse, per lo meno dal mio punto di vista, hanno riguardato la pubblicazione sul certificato della versione del SOA (l'Italia è stata contraria a questa opzione, e se ne discuterà ancora) e una nuova tabella per le giornate di audit necessarie per la certificazione, ricertificazione e sorveglianza di un sistema di gestione per la sicurezza delle informazioni
- ISO/IEC 27015 sui financial services dovrebbe essere pubblicata a breve
- ISO/IEC 27016 su "Organizational economics" è stata proposta per il passaggio a PDTR (equivalente allo stato di DIS)
- ISO/IEC 27017 e 27018 sul cloud computing: sono proseguiti i lavori
- ISO/IEC 27019 "Information Security within Smart Grid Environments": dovrebbe essere approvato a breve sulla base di una norma tedesca e verrà poi sottoposto ad early revision - sono partiti i lavori per un nuovo standard dal titolo "Use of ISO/IEC 27001 for Sector-Service Specific Third Party Accredited Certifications"
- sono state discusse norme e iniziative sui modelli di maturità di un ISMS, sui sistemi di gestione per la privacy e PIMS, sulla certificazione delle persone sulla sicurezza delle informazioni

PS: Ringrazio Fabio Guasconi, Presidente SC27 dell'Uninfo per la segnalazione di alcune integrazioni.