Pubblicata la ISO/IEC 27701

Pubblicata la ISO/IEC 27701:2025 "Privacy information management systems — Requirements and guidance": https://www.iso.org/standard/27701.

Di questa norma ne avevo già scritto e quello rimane ancora valido: https://www.agendadigitale.eu/sicurezza/iso-iec-27701-sui-sistemi-di-gestione-per-la-privacy-come-e-come-sara/. 

Ulteriore riflessione riguarda i tempi di audit (che, ricordiamolo, non hanno solo un costo diretto per pagare l'organismo, ma hanno anche costi legati all'assistenza di un consulente e al tempo richiesto al personale interno per partecipare). Un piccolo fornitore di servizi informatici di 20 persone, per la ISO/IEC 27001 deve prevedere almeno 5 giorni per il primo audit, 2,5 giorni negli anni successivi e 4 giorni ogni 3 anni. Se vuole aggiungere la ISO/IEC 27701 e solo per la certificazione come responsabile, deve aggiungere almeno 3 giornate per il primo audit, 1 giornata gli anni successivi e 2 giornate ogni 3 anni.

Le cifre le sto dando sulla base della ISO/IEC 27006:2024 e della bozza finale della ISO/IEC 27706.

Ringrazio Chiara Ponti per avermi avvisato.