Il 20 ottobre si è concluso il meeting semestrale dei WG 1 (dedicato ai sistemi di gestione per la sicurezza delle informazioni o ISMS) e WG 5 (dedicato alla privacy) del ISO/IEC JTC 1 SC 27.
In questo articolo riporto le attività del WG 1 che ritengo più significative.
Sono partiti i lavori per l'aggiornamento della ISO/IEC 27000 (Panoramica dei sistemi di gestione per la sicurezza delle informazioni), della ISO/IEC 27003 (linee guida per l'implementazione di un ISMS), ISO/IEC 27008 (linee guida per la valutazione dei controlli di sicurezza delle informazioni), ISO/IEC 27109 sull'istruzione e la formazione sulla cibersicurezza.
Stanno continuando i lavori per la ISO/IEC 27017 (estensione dei controlli della ISO/IEC 27002 ai servizi cloud, importante per le molte certificazioni ISO/IEC 27001 che la usano come estensione) per allineare la versione attuale con i controlli della ISO/IEC 27002:2022. Immagino che la nuova norma sarà pubblicata a fine 2024.
Sarà pubblicato a breve un aggiornamento della ISO/IEC 27006-1 (norme per l'accreditamento degli organismi di certificazione) e poi ripartiranno ancora i lavori per "pulirla" dai riferimenti scorretti a requisiti e controlli, ricordando che i controlli non sono requisiti e nessuno di essi va pianificato e implementato come da norma, ma usato solo come riferimento per la Dichiarazione di applicabilità.
Sarà pubblicata a breve la ISO/IEC 27011 (estensione dei controlli della ISO/IEC 27002 per il settore delle telecomunicazioni). La ISO/IEC 27013 (relazioni tra ISO/IEC 27001 e ISO/IEC 20000-1) e la ISO/IEC 27019 (estensione dei controlli della ISO/IEC 27002 per il settore dell'energia) sono in uno stadio precedente e saranno probabilmente pubblicate a metà 2024.
Riflessioni sono state fatte sul fatto che la prossima versione della ISO/IEC 27001 dovrà avere requisiti sui cambiamenti climatici a causa dei cambiamenti apportati all’HLS (o Annex SL, ossia la struttura base che devono rispettare tutti gli standard per i sistemi di gestione). Ci si è chiesto quali impatti sui cambiamenti climatici possono essere considerati per un sistema di gestione per la sicurezza delle informazioni.