E' stata pubblicata la ISO/IEC TS 27006-2 "Requirements for bodies providing
audit and certification of information security management systems — Part 2:
Privacy information management systems":
- https://www.iso.org/standard/71676.html.
Di questa norma ho già accennato in precedenza. Essa regolamenta le
certificazioni dei sistemi di gestione per la privacy rispetto alla norma
ISO/IEC 27701.
Ricordo ancora che questa certificazione non soddisfa quanto previsto dagli
articoli 42 e 43 del GDPR, ma è comunque una "buona" certificazione.
Evito di ripetere cose già dette e rimando a un articolo che avevo scritto
insieme ad Andrea Caccia e Fabio Guasconi a gennaio 2020 ma ancora attuale:
-
https://www.cybersecurity360.it/soluzioni-aziendali/gdpr-e-certificazioni-tutto-sulla-norma-iso-iec-27701/.
Personalmente spero che Accredia si allinei al più presto a questa norma,
mettendo fine allo schema attuale, visto che non ne apprezzo alcune scelte.
Elementi particolarmente significativi:
- stabilito il calcolo delle giornate di audit (anche se il metodo è
incompleto perché non considera il caso in cui l'ambito ISO/IEC 27701 sia un
sottoinsieme di quello ISO/IEC 27001);
- indicate le competenze degli auditor e del gruppo di audit;
- specificato come deve essere il certificato ISO/IEC 27701 (che deve essere
a sé stante, anche se collegato a un certificato ISO/IEC 27001).
Nessun commento:
Posta un commento