Il 22 aprile si è concluso il meeting del gruppo di lavoro che si occupa delle norme della serie ISO/IEC 27000. Hanno partecipato 90 esperti da 29 Paesi. Io non ci ho partecipato, ma segnalo lo stato dei lavori.
Sono partiti (o ripartiti, nel caso della ISO/IEC 27005) i lavori per le nuove versioni delle ISO/IEC 27002 e 27005. Per queste norme, i tempi previsti per le nuove versioni sembrano essere molto lunghi (almeno 4 anni).
Per quanto riguarda la ISO/IEC 27005 sarà pubblicata una correzione all'edizione del 2011, per eliminare alcune incongruenze che questa norma presenta rispetto alla ISO/IEC 27001:2013. Inizialmente, come è noto, si pensava di pubblicare una nuova versione della ISO/IEC 27005, ma le difficoltà di lavorazione hanno portato ad una sola "correzione".
Sono anche partiti i lavori per la nuova versione della ISO/IEC 27014 ed è stato deciso di revisionare la ISO/IEC 27009, in quanto sono stati individuati alcuni errori. Per queste norme i tempi sono almeno di 3 anni.
Sono continuati i lavori per alcune norme in stato più avanzato di lavorazione: la ISO/IEC 27007 (audit del SGSI), ISO/IEC 27008 (audit dei controlli di sicurezza), la ISO/IEC 27019 (controls for the energy utility industry), la ISO/IEC 27012 (competenze). Queste norme dovrebbero essere pubblicate nella primavera del 2018 (per la ISO/IEC 27018 i tempi dovrebbero essere più lunghi).
Ulteriori lavori non relativi alla "famiglia ISO/IEC 27000" hanno riguardato, tra gli altri:
- avvio dei lavori la ISO/IEC 27552 dal titolo "Extension to ISO/IEC 27001 for privacy management" (anche qui i tempi di pubblicazione saranno di almeno 3 anni);
- avvio della revisione della ISO/IEC 27031 ("Guidelines for information and communication technology readiness for business continuity");
- avvio preliminare dei lavori per lo standard ISO/IEC 27101 sulla cyber-security (tempi previsti molto lunghi);
- avvio dei lavori per la norma ISO/IEC 27102 dal titolo "Guidelines for cyber insurance".
Ringrazio Fabio Guasconi per avermi fornito alcuni spunti per questo aggiornamento (in altre parole, gli errori sono miei).
Nessun commento:
Posta un commento