Come già detto più volte in questa sede, la ISO/IEC 27001 può essere "estesa" ad altre norme cosiddette sector-specific. Tra queste, le più note sono oggi la ISO/IEC 27108:2014 sulla privacy dei servizi cloud e la ISO/IEC 27017 sui servizi cloud in generale. Altre sono disponibili e altre lo saranno (inclusa la ISO/IEC 27552 sulla privacy in generale).
In poche parole: non è possibile certificarsi direttamente su queste norme sector-specific, ma è possibile farle figurare in un certificato ISO/IEC 27001, come sua estensione.
Accredia, l'ente di accreditamento italiano, aveva regolato qualche mese fa le certificazioni ISO/IEC 27018. Io mi ero lamentato perché era assurda questa limitazione ad una sola delle norme sector-specific:
- http://blog.cesaregallotti.it/2017/07/certificazioni-isoiec-27018.html.
Accredia ha quindi rimediato (probabilmente non a causa mia) con la Circolare Tecnica N° 02/2018:
- https://www.accredia.it/documento/circolare-tecnica-dc-n-02-2018-accreditamento-per-lo-schema-di-certificazione-iso-iec-270012013-con-integrazione-delle-linee-guida-iso-iec-270xx20yy/.
Rimangono alcune bizzarrie, come richiedere auditor competenti anche sulla ISO/IEC 20000 (chissà perché questa e non per esempio la ISO 22301 o altre) e di verificare fisicamente tutti i data centre utilizzati (senza alcuna deroga nel caso in cui questi siano già certificati). Speriamo che in una prossima versione della Circolare tecnica non ci siano queste bizzarie.
Nessun commento:
Posta un commento