Il 26 ottobre si è concluso il meeting semestrale del WG 1 (sistemi di
gestione per la sicurezza delle informazioni) dell'ISO/IEC JTC 1 SC 27 e il
27 ottobre quello del WG 5 (privacy). Gli incontri del WG 1 sono durati
pochi giorni perché molti incontri di scrittura degli standard si sono
tenuti da remoto nei mesi precedenti.
Per il WG 1 ho seguito i lavori per:
- l'approvazione della prossima versione della ISO/IEC 27002, che dovrebbe
quindi uscire a gennaio 2022;
- l'approvazione dell'Amd per la ISO/IEC 27001 che sarà consolidato, insieme
alle correzioni del 2017, in una bozza finale per avere la pubblicazione
della ISO/IEC 27001:2022 a maggio 2022;
- l'approvazione della partenza dei lavori per una nuova ISO/IEC 27001 in
autunno 2022 (i lavori potranno essere abbastanza lunghi e dovranno
considerare le molte questioni sollevate negli anni, tra cui quella della
necessità della dichiarazione di applicabilità);
- lo stato delle norme collegate alle ISO/IEC 27002 che pertanto andranno
aggiornate (si inizia con ISO/IEC 27008, 27107, 27019, 27103 e segnalo che,
viste le certificazioni in giro, quella più significativa è la ISO/IEC
27017; la ISO/IEC 27018 è in carico al WG 5 e quindi non se ne è discusso);
- il lancio di un nuovo studio per censire gli standard che si basano sulla
ISO/IEC 27002;
- l'interessante analisi di Fabio Guasconi sulla ISO 22100-4 dal titolo
"Guidance to machinery manufacturers for consideration of related
IT-security (cyber security) aspects";
- l'avanzamento della ISO/IEC 27005 (che non ho seguito) in stato di DIS (si
prevede quindi la pubblicazione a settembre 2022);
- l'avvio dell'aggiornamento della ISO/IEC 27006-1, che dovrebbe uscire a
inizio 2023.
Per il WG 5 ho seguito i lavori per:
- ISO/IEC 27006-2, circa i requisiti aggiuntivi alla ISO/IEC 17021 e ISO/IEC 27006-1 per gli organismi di certificazione che svolgono audit e rilasciano
certificazioni secondo la ISO/IEC 27701 (Privacy information management
system); si sono analizzate le proposte per aggiornare l'attuale edizione;
nulla di eclatante, ma si sono chiariti alcuni punti; fa eccezione il
sistema di calcolo delle giornate di audit per il quale si è costituito un
gruppo ad hoc (io profetizzo che i lavori si concluderanno con, parafrasando
una frase di Churchill: "il calcolo basato sul numero di persone addette è
il peggiore esclusi tutti gli altri"); se ne prevede la pubblicazione per
metà 2024;
- ISO/IEC 27557 "Organizational privacy risk management" che si prevede di
pubblicare a fine 2022;
- ISO/IEC 27555 "Guidelines on personally identifiable information
deletion", che è stata pubblicata a ottobre e ha visto il contributo di
un'editor italiana.
Nessun commento:
Posta un commento