L’emissione della nuova ISO 27001 è pianificata per il 2013

ISO 27001

Con la pubblicazione nel mese di maggio 2012 della norma ISO 22301 sul Business Continuity Management System (BCMS),  allineata alla ISO Guide 83, era inevitabile che la ISO 27001, la norma sull’Information Security Management System (ISMS) rimanesse non allineata alla Guide 83 .

L’armonizzazione alla ISO Guide 83 vedrà coinvolte nove o più norme che trattano i vari Sistemi di Gestione e in primis la ISO 22301, la ISO 27001, la ISO 20000, la ISO 9001, ISO 14001, ecc.. È interessante osservare che tutte le norme riporteranno un vasto testo comune con il vantaggio di risparmiare tempo ai vari gruppi che preparano le norme, ma anche alle organizzazioni che dovranno applicare le norme stesse  perché l’integrazione tra i vari Sistemi di Gestione è garantita.

Il testo (testo e paragrafi) comune delle norme che seguiranno la ISO Guide 83 sarà modellata sulla struttura comune dei seguenti capitoli: introduzione, norme di riferimento, termini e definizioni, contesto dell’organizzazione, Leadership, Pianificazione, Supporto, Operation, Valutazione delle Prestazioni e Miglioramento. 

Le due norme dunque, ISO 27001 e ISO 27002,  sono in fase di studio e si stima che la loro pubblicazione avverrà entro quest’anno.

Si pensa che le due norme usciranno insieme visto la stretta relazione che c’è tra loro:  l’Appendix A della ISO 27001, che fa parte integrante della norma dei requisiti e che contiene gli obiettivi di controllo e i controlli, sono i paragrafi della ISO 27002.

Stando alle previsioni e alle indiscrezioni, oltre l’80% dei requisiti dell’attuale norma rimane inalterato ma sarà distribuito in modo coerente secondo i nuovi  capitoli. In ogni caso risk assessmentrisk treatment saranno allineati alla ISO 31000.

Il termine Statement of Applicability  (SOA) probabilmente non sarà più presente, ma i requisiti applicabili dovranno essere ugualmente incrociati con le informazioni documentate (procedure documentate) dell’organizzazione e soprattutto i requisiti non applicabili dovranno essere giustificati.

Inoltre, l’approccio PDCA non sarà più cosi evidenziato come nell’attuale norma (questo si nota già nella ISO 22301).

Forse ci saranno ancora altre modifiche che al momento non è possibile conoscere.

Secondo i piani del Gruppo di Lavoro entro il mese di maggio 2013 sarà pronta la FDIS delle due norme (ISO 27001 e ISO 27002) per essere poi pubblicate il mese di Ottobre 2013.  

Leave a Reply

Your email address will not be published.

Non perdere tempo! >Acquista Subito! <