In merito agli aggiornamenti relativi ai regolamenti sulla conservazione
digitale
(http://blog.cesaregallotti.it/2014/05/accreditamento-conservazione-digitale
.html), Franco Ruggieri mi ha inviato alcune considerazioni molto
interessanti che riporto.
E' vero che nel DPCM 3/12/2013 non c'è alcun riferimento allo ISO/IEC 27001,
mentre c'è nella successiva Circolare AgID 65/2014. Insomma: la Circolare
mette una pezza al buco del DPCM.
Faccio notare che è stato pubblicato da AgID un altro documento che ritengo
di estremo interesse per i conservatori che, però ha un titolo chilometrico:
"Accreditamento dei soggetti pubblici e privati che svolgono attività di
conservazione dei documenti
informatici - Requisiti di qualità e sicurezza per l'accreditamento e la
vigilanza"
Ebbene, questo documento esplode nei minimi particolari i requisiti da
rispettare, riportando per ognuno la clause dello OAIS (ISO 14721) e dello
ETSI TS 101 533-01. Insomma: la certificazione ISO/IEC 27001 potrà (o forse
"dovrà") essere fatta avvalendosi del TS 101 533-01 come punto di
riferimento per le misure di sicurezza da attuare. D'altronde ad oggi non
c'è altro documento a cui rifarsi per un conservatore.
Peccato che questo TS sia stato redatto (e tradotto da UNI nella serie
UNI/TS/TR 11465-1-2-3) nel 2012, quando cioè la versione ISO/IEC 27001 del
2013 ancora non era nata.
Aggiungo che, anche se il documento di "Requisiti di qualità e sicurezza per
l'accreditamento" è solo una linea guida, senza la forza né di una Circolare
né di uno strumento giuridico, è sempre un documento emesso da chi fa la
vigilanza. È quindi molto probabile che AgID si baserà su di esso e sui
documenti da esso referenziati.
C'è un altro punto: si fa riferimento al TS 101 533-01 come
"raccomandazione", mentre invece è una "specifica". Inoltre il DPCM si
riferisce all'elenco dove è riportato come "elenco di specifiche". In
definitiva: quanto indicato nella tabellona del documento "Requisiti di
qualità e sicurezza per l'accreditamento e la vigilanza" diventa cogente,
compresa la specifica ETSI TS 101 533-01.
Infine è buffo vedere che viene richiesta una certificazione ISO/IEC 27001,
con scadenza triennale, e poi è richiesto di presentare un certificato di
conformità ai requisiti tecnici (che comprendono il rispetto della ISO/IEC
27001 e della ISO 14721) ogni due anni.
Nessun commento:
Posta un commento