Il 20 ottobre si è concluso il meeting semestrale dei WG 1 (dedicato ai sistemi di gestione per la sicurezza delle informazioni) e WG 5 (dedicato alla privacy) del ISO/IEC JTC 1 SC 27.

Per quanto riguarda il WG 1, mi sembra utile segnalare che sono partiti i lavori per l'aggiornamento della ISO/IEC 27000 (Panoramica dei sistemi di gestione per la sicurezza delle informazioni), della ISO/IEC 27003 (linee guida per l'implementazione di un ISMS), ISO/IEC 27008 (linee guida per la valutazione dei controlli di sicurezza delle informazioni), ISO/IEC 27109 sull'istruzione e la formazione sulla cibersicurezza.

Stanno continuando i lavori per la ISO/IEC 27017 (estensione dei controlli della ISO/IEC 27002 ai servizi cloud) per allineare la versione attuale con i controlli della ISO/IEC 27002:2022. Immagino che i lavori si concluderanno a fine 2024.

Sarà inoltre pubblicato a breve un aggiornamento della ISO/IEC 27006-1 (norme per l'accreditamento degli organismi di certificazione) e poi ripartiranno ancora i lavori per un ulteriore aggiornamento di "pulizia" dei riferimenti scorretti a requisiti e controlli.

Sarà pubblicata a breve anche la ISO/IEC 27011 (estensione dei controlli della ISO/IEC 27002 per il settore delle telecomunicazioni). La ISO/IEC 27013 (relazioni tra ISO/IEC 27001 e ISO/IEC 20000-1) e la ISO/IEC 27019 (estensione dei controlli della ISO/IEC 27002 per il settore dell'energia) sono in uno stadio precedente e quindi saranno probabilmente pubblicate a metà 2024.

Riflessioni sono state fatte sul fatto che la prossima versione della ISO/IEC 27001 dovrà avere requisiti sui cambiamenti climatici. Ci si è chiesto quali impatti sui cambiamenti climatici possono essere considerati per un sistema di gestione per la sicurezza delle informazioni.

Per quanto riguarda il WG 5 e gli standard sulla privacy, io sono interessato alla ISO/IEC 27701 sulla privacy. Era prevista la pubblicazione di un aggiornamento limitato al riallineamento dei controlli con quelli della ISO/IEC 27002:2022. Per il passaggio a bozza finale, invece, è stato chiesto dall'ISO Central Secretariat di ristrutturarlo come gli altri standard sui sistemi di gestione. Per questo si ristrutturerà completamente la ISO/IEC 27701 (si auspica la pubblicazione a inizio 2025, ma io penso che ci vorrà più tempo). L'adozione della nuova versione dovrà comunque basarsi su una nuova versione della ISO/IEC 27006-2 che chissà quando sarà pubblicata.

Segnalo che si discute anche della ISO/IEC 29151, destinata ai soli titolari del trattamento, altra norma che riprende i controlli della ISO/IEC 27002 e ne estende le linee guida per l'implementazione e ne aggiunge altri specifici per la privacy.