Il 4 e 5 ottobre 2022 si è tenuto il meeting semestrale del ISO/IEC JTC 1 SC
27 WG 1, il gruppo che si occupa della standardizzazione relativa ai sistemi
di gestione per la sicurezza delle informazioni (ossia le norme della
famiglia ISO/IEC 27000). Ecco lo stato di alcuni progetti che io ritengo
interessanti:
- ISO/IEC 27001: è stata approvata la bozza finale e ora deve essere
pubblicata la ISO/IEC 27001:2022;
- ISO/IEC 27005 sulla gestione del rischio relativo alla sicurezza delle
informazioni: è stata approvata la bozza finale e ora deve essere pubblicata
la ISO/IEC 27005:2022; a mio parere non è scritta bene né è chiara, ma ha il
pregio di superare l'impostazione basata sul censimento degli asset, a mio
parere spesso né efficace né efficiente;
- ISO/IEC 27006-1 con le regole di accreditamento per gli organismi di
certificazione ISO/IEC 27001; è in stato di DIS, quindi si prevede la
pubblicazione della nuova edizione per primavera 2023; non ha grandi novità,
ma è stata aggiornata per poter mettere ordine anche nelle regole di
accreditamento per altri standard come la ISO/IEC 27701;
- ISO/IEC 27011 (con i controlli per il settore delle TLC), ISO/IEC 27017
(con i controlli per i servizi cloud), ISO/IEC 27019 (con i controlli per il
settore dell'energia); sono in fase di aggiornamento per essere allineate
alla nuova ISO/IEC 27002; si prevede di pubblicare la nuova ISO/IEC 27011
nella primavera 2023, mentre le altre sono previste per il 2024 o 2025;
- ISO/IEC 27003, 27004 e 27013: partiranno i lavori di aggiornamento.
Tra il 29 settembre e il 6 ottobre 2022 si è tenuto il meeting del ISO/IEC
JTC 1 SC 27 WG 5, il gruppo che si occupa della standardizzazione in ambito
privacy (in particolare della ISO/IEC 27701, ma non solo). Ecco lo stato di
alcuni progetti che io ritengo interessanti:
- ISO/IEC 27006-2 con le regole di accreditamento per gli organismi di
certificazione ISO/IEC 27701: rimane in stato di CD (quindi con
pubblicazione non prima di metà del 2024); gran parte della discussione,
come al solito, ha riguardato il calcolo delle giornate di audit;
- ISO/IEC 27557 sulle differenze tra valutazione del rischio relativa alla
sicurezza delle informazioni e quella relativa alla privacy: sarà pubblicata
a breve; non penso sia una norma importante, ma ho imparato molto
partecipando ai lavori;
- ISO/IEC 29134 sulla DPIA: verrà emendata per correggere alcune cose e, in
sostanza, per evitare una revisione completa, ma non ne raccomanderei
l'acquisto perché si tratta di cose anche interessanti, ma la verità è che
la norma dovrebbe essere completamente aggiornata considerando l'esperienza
maturata dal 2017;
- ISO/IEC 27018 con i controlli aggiuntivi per la ISO/IEC 27001 per i
fornitori di servizi cloud, importante perché richiesti da alcuni bandi di
gara italiani: avviato un gruppo per proporre un adeguamento considerando la
nuova ISO/IEC 27001.
Nessun commento:
Posta un commento