La settimana del 9 marzo si è tenuto a Norimberga l'incontro semestrale del  SC 27, che gestisce alcuni standard importanti per la sicurezza delle informazioni; in particolare la ISO/IEC 27001 e la ISO/IEC 27701.

Non ci sono state grandi novità da segnalare. In particolare il WG 5, che si occupa di privacy, ha lavorato su alcuni standard per me di scarso interesse perché decisamente specialistici.

Il WG 1, che si occupa degli standard relativi ai sistemi di gestione, ha lavorato sulle prossime versioni di:

• ISO/IEC 27003, relativa all'interpretazione della ISO/IEC 27001; se ne prevede la pubblicazione a inizio 2028; 
• ISO/IEC 27007 con indicazioni per la conduzione degli audit sulla ISO/IEC 27001, ulteriori rispetto a quelle già presenti nella ISO 19011; se ne prevede la pubblicazione a metà 2027.
  

Si è anche cominciato a discutere su come impostare le future versioni della ISO/IEC 27005 e ISO/IEC 27002. A mio parere si sta andando sempre più verso un'astrazione dei concetti, allontanandosi da praticità e quindi utilità dei documenti.

Sulla ISO/IEC 27003, per esempio, c'è stata una discussione sulla differenza tra accettare e mantenere il rischio. Sicuramente intellettualmente importantissima, ma non per un utilizzo pratico (da dire poi che si prevede che invece la ISO 31000 cambierà molta terminologia, introducendo nuovamente il "trasferimento" al posto della "condivisione" del rischio, concettualmente scorretto).