Recentemente il sito del CEN (https://standards.cen.eu) ha pubblicato la EN ISO/IEC 27001:2017. Subito dopo la UNI, la NEK (norvegese) e il BSI (britannico) hanno pubblicato la medesima norma con data 2017.
Si tratta della ISO/IEC 27001:2013, con le due correzioni del 2014 e del 2015 (ma il testo non è consolidato; è il testo del 2013 con allegate le due correzioni).
Delle due correzioni ho già scritto nel 2015, al momento della loro pubblicazione:
- http://blog.cesaregallotti.it/2015/12/correzioni-isoiec-27001-e-27002.html.
In realtà, il CEN ha recepito solo a gennaio 2017 la ISO/IEC 27001:2013 e quindi l'ha pubblicata con anno 2017 (e con titolo preceduto da "EN"). Immediatamente UNI, NEK, BSI e chissà chi altri hanno recepito quanto fatto dal CEN e quindi hanno ripubblicato la norma con data 2017 e sigla "EN".
Questo è un problema del meccanismo di recepimento dei vari standard. Non riportano la data iniziale dello standard, ma la data del recepimento. Così fu pubblicata la ISO/IEC 27001:2013, poi le italiane UNI e CEI l'hanno recepita solo nel 2014 e hanno quindi pubblicato la UNI CEI ISO/IEC 27001:2014, poi l'EN l'ha recepita nel 2017 e ha pubblicato la EN ISO/IEC 27001:2017, poi, ancora una volta, le italiane hanno recepito quanto recepito dall'EN e hanno pubblicato la UNI/CEI EN ISO/IEC 27001:2017. Ma si tratta sempre della stessa roba.
Vi fa venire il mal di testa? Anche a me. Soprattutto perché temo vedremo errori e incomprensioni nei bandi di gara, nelle richieste di offerta, eccetera.
Solo una nota: per la ISO 9001 i vari enti di normazione sono decisamente più attenti e infatti esiste la ISO 9001:2015, la EN ISO 9001:2015 e la UNI EN ISO 9001:2015, tutte con lo stesso anno. Forse reputano che la 27001 non richiede la medesima attenzione.
Mi sono però accorto che UNI ha anche pubblicato un corrigenda1 alla UNI 27001:2017 che consolida nel testo di norma italiano che la UNI 27001:2017 sostituisce la UNI27001:2014, significa così che tutti i certificati italiani devono essere aggiornati ??
RispondiEliminaNon lo so, ma credo di sì. Riporteranno "UNI CEI EN ISO/IEC 27001:2017" al posto di "UNI CEI ISO/IEC 27001:2014". E' comunque la stessa identica roba. Mi sa che gli organismi di certificazione diranno che aggiorneranno con la prima riemissione del certificato.
RispondiEliminaMa al momento non ho informazioni certe. Le mie sono solo ipotesi.
Accredia si era pronunciato in merito:
RispondiEliminaNs. rif.: DC2017SSV334 Milano, 17/11/2017
Oggetto: Circolare informativa N° 27/2017 - Dipartimento Certificazione e Ispezione
Comunicazione in merito all’adeguamento delle certificazioni per lo schema SSI
Gent.li Signori,
Vi informiamo che a seguito dell’entrata in vigore della norma UNI CEI EN ISO/IEC 27001:2017, entro
fine anno i vostri certificati di accreditamento saranno aggiornati con il riferimento a tale nuova edizione
della norma nazionale, che sostituisce la UNI CEI ISO/IEC 27001:2014...