Segnalo la pubblicazione dell'SC 27 Journal Volume 3, Issue 4 Oct 2023 – Auditing Practice Articles: https://committee.iso.org/sites/jtc1sc27/home/wg2.html.

Si tratta di un insieme di chiarimenti sulla ISO/IEC 27001 non ufficiali scritti dagli stessi esperti del gruppo che ha scritto la ISO/IEC 27001.

Vale la pena leggerli, anche perché troppo spesso opportunità di miglioramento (p.e. di integrazione del SOA o di irrobustimento dei controlli) sono interpretate da troppi auditor e consulenti e docenti come requisiti.

Su questo vale la pensa osservare come molte energie sono spese nella valutazione del rischio e poi nell’implementare i controlli “come nell’Annex A o nella ISO/IEC 27002” e questo sia in contraddizione: la valutazione del rischio deve guidare la scelta dei controlli e di come realizzarli, non il fatto che siano presenti nell’Annex A.

Non c’è solo questo negli articoli e invito a leggerli.