Stato delle norme ISO/IEC 270xx

Dal 26 al 30 ottobre si è svolto il 51o meeting del ISO/IEC JTC1 SC27, ossia l'incontro semestrale dei delegati delle diverse nazioni per scrivere le norme della serie ISO/IEC 270xx e non solo.

Questa volta la delegazione italiana era composta da tre persone (sempre poche): io, il presidente Fabio Guasconi e una persona dedicata alle norme correlate alla privacy.

Ecco lo stato delle norme della serie ISO/IEC 270xx, curate dal WG1 (ringrazio Fabio per aver fatto la sintesi):

• 27000 (vocabolario): dovrebbe uscire a breve una nuova edizione;
• 27001: noi italiani abbiamo individuato un errore da correggere (in sintesi e senza essere troppo accurato: è usato "criteri di rischio" per indicare la metodologia di valutazione del rischio, mentre la definizione e la ISO 31000 usano "criteri di rischio" solo per indicare i "criteri di ponderazione del rischio"; sembra una sciocchezza formale, ma credo sia nostro compito fare bene il lavoro ed evitare di introdurre elementi che potrebbero creare confusione);
• 27003 (guida alla 27001): il testo è stato migliorato e passa in DIS; se tutto va bene dovrebbe essere approvato ad aprile e pubblicato per fine 2016;
• 27004 (misurazioni e monitoraggio): testo riorganizzato ma non cambiato; passa in DIS;
• 27005 (gestione del rischio): rimane in bozza e rischia la cancellazione per superamento dei tempi massimi consentiti per il progetto; il comitato è molto litigioso;
• 27007 (linee guida per l'audit al sistema di gestione): rimane in bozza;
• 27008 (valutazione dei controlli di sicurezza): rimane in bozza;
• 27009 (certificazioni per settori particolari): va in bozza finale con alcuni voti negativi; personalmente credo sia una norma che potrebbe creare confusione perché promuove l'uso di linee guida insieme ad uno standard di requisiti (la ISO/IEC 27001);
• 27011 (controlli per le TLC): va in bozza finale;
• 27019 (controlli per il settore energia): rimane in bozza;
• 27021 (competenze): rimane in bozza ma cambia la struttura allineandosi a e-CF.

Altri lavori sono stati proposti (sulle assicurazioni, sulla resilienza, sulla sanità, sul settore avio). Ogni tanto penso si stia esagerando con questi standard, ma cerco di non contrastare chi ha voglia di lavorarci.

Per quanto riguarda gli standard correlati alla privacy:

• 29134 (per realizzare un privacy impact assessment, PIA): proseguono i lavori;
• 29151 (linee guida per la protezione dei dati personali): proseguono i lavori;
• 20889 (tecniche di de-identificazione): prima bozza.

Sono anche stati proposti lavori su informativa e consenso on-line, autenticazione, app per smartphone, smart city, correlazione tra privacy e ISO/IEC 27001.

Prossimo appuntamento ad aprile.