Il nuovo standard ISO/IEC 27701:2019 è stato elaborato dalla ISO, che è la principale organizzazione a livello mondiale che definisce le cosiddette "norme tecniche". Esse descrivono requisiti di progetti, sistemi processi, materiali, prodotti, apparecchiature, opere, servizi, organizzazioni, attività, figure professionali, terminologia, convenzioni, metodologie.
Il 18 dicembre 2023 è stata pubblicata la norma tecnica ISO/IEC 42001:2023 “Information technology Artificial intelligence - Management system” (AIMS).
Affinché le aziende possano prendere decisioni informate e ben orientate agli obiettivi di business, devono prima sapere quali risorse possiedono, dove sono posizionate e come vengono utilizzate.
Il tema del data breach ha assunto un’importanza crescente negli ultimi anni ed è ampiamente dibattuto. In questo articolo si esplora la problematica della differenza del concetto di data breach, come inteso dal Regolamento UE 2016/679 (GDPR), dalla ISO 27701:2019 e dalla ISO 27001:2013. Sono visioni non coincidenti, anche se in gran parte sovrapponibili, e da esse emergono spunti che ci permettono di migliorare la procedura di gestione di tali eventi.
La norma ISO/IEC 27701:2019 "Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines" , presenta una struttura particolare, in corso di revisione a seguito della nuova versione della ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls, pubblicata a febbraio 2022, che ha riorganizzato i controlli sulla sicurezza delle informazioni. L’obiettivo di questo articolo è quello di presentare una serie di ricorrenze presenti nello standard dedicato alla protezione dei dati personali.
Nel mese di giugno 2022 è uscita la prima versione della ISO/IEC 27400:2022 “Linee Guida per la sicurezza e privacy dei dispositivi IoT”. Si tratta di una linea guida, lungamente attesa, che va ad integrare l’impianto sempre più complesso degli standard della famiglia ISO/IEC 27000 sulla sicurezza delle informazioni. Questo articolo si pone l’obiettivo di illustrare la struttura del documento.
Il GDPR richiede alle organizzazioni di adottare misure tecniche e organizzative appropriate, tra cui anche politiche e procedure, per proteggere i dati personali che trattano. La Norma ISO/IEC 27001 “Sistemi di gestione della sicurezza dell'informazione – Requisiti” fornisce una serie di requisiti per ridurre la perdita di riservatezza, integrità e disponibilità. Tale standard si basa su un framework di requisiti, controlli ed analisi del rischio. In questo articolo si vuole comprendere quali sono i principali elementi in comune e le differenze tra il GDPR e lo standard sulla sicurezza delle informazioni.
Tra le misure di accountability che un’organizzazione deve considerare, lo scadenziario, parte integrante del MOP, (Modello Organizzativo Privacy), necessita un’opportuna riflessione. Lo strumento segnala la necessità di effettuare delle verifiche per controllare che le misure previste siano state effettivamente applicate e risultino efficaci (vedi anche GDPR art. 32 par. 1d). In altri termini, è una misura di “secondo livello” ovvero che “controlla altre misure”.
Frequentemente viene citato, come misura di accountability, il “MOP”, acronimo di “Modello Organizzativo Privacy”, che alcuni indicano anche come “Manuale Operativo Privacy”. Si tratta di un documento che ha la finalità primaria di dare evidenza delle azioni poste in atto da un’organizzazione per far fronte agli adempimenti in materia di protezione dei dati. In realtà tale documento potrebbe avere scopi ben più ampi, come viene illustrato nell’articolo.
