È bene discuterli brevemente. Segnalo che in passato
avevo sottovalutato l'importanza del secondo corrigendum della ISO/IEC 27001;
qui cerco di rimediare.
Il primo corrigendum, comune a ISO/IEC 27001 e 27002, riguarda l'inventario, la classificazione e trattamento degli "asset". In questi casi, al termine "asset" si è aggiunto il termine "informazioni". Spesso risultava ovvio al lettore che le "informazioni" erano incluse negli "asset", ma evidentemente non a tutti.
Il secondo corrigendum della ISO/IEC 27001 riguarda la
Dichiarazione di applicabilità. Qui è importante perché ora la DdA non deve più
riportare necessariamente i controlli dell'Annex A, ma "i controlli
necessari" (insieme a giustificazione e stato di attuazione). L'Annex A
deve essere usato solo per indicare e giustificare eventuali esclusioni dei
suoi controlli. Sarà interessante vedere come tutto ciò sarà interpretato nella
pratica.
Il secondo corrigendum della ISO/IEC 27002 riguarda un riferimento incrociato sbagliato. Al controllo 14.2.8 si fa riferimento al controllo 14.1.9, mentre bisognava fare riferimento al controllo 14.2.9.
Nessun commento:
Posta un commento