palomallaneza.com

… con el paladar alicatado de chocolate y los bolsillos repletos de navajitas multiuso.

En la cuestión de las normas poco progreso pero alguna que otra novedad. Aquí va un resumen.

Durante el plenario de primer día se nos presenta por el Convener del WG1 varias cuestiones que se pretende que rijan el trabajo futuro del Grupo, de las que cabe destacar las siguientes.

En una reciente reunión que el ISO-TMB celebró a finales de septiembre en Madrid se diseñaron las líneas fundamentales de los que serán los elementos comunes a todos los Management Systems (MSS). Dentro de dicho grupo se establecieron, a su vez, varios grupos de trabajo. En el Task Group 1 se va a elaborar una estructura high level para los MSS, que llevará a una revisión de de la Sección 7 y el Anexo A de la Guía 72. El Task Group 2 tendrá como objeto el “auditing” de los MSS, lo que supone la atribución a este grupo de a revisión de la norma 19011 basada, a su vez, en la revisión de la norma ISO 17021-2. Así, y en lo que se refiere a la familia 27000, mientras que la norma ISO 17021-1 de “Acreditation requirements” resulta aplicable a la norma 27006, para la edición de la norma 27007 habrá que tener en cuenta la precitada norma ISO 19011 así como la 17021-2. Por último, se ha establecido un Task Group 3 de teminología.

Por segunda vez se han reunido los editores de la familia 27000 en lo que, parece, va a ser una costumbre a incorporar en las sucesivas reuniones internacionales. Así, en la reunión que los editores 27000 mantuvimos el pasado 2 de octubre se trataron diversas cuestiones que afectan al desarrollo de los estándares de la familia, a saber:

a) La revisión temprana de las normas 27001 y 27002 para incorporar conceptos tales como la sostenibilidad. Esto generará un problema en cuanto a que los demás documentos de la familia mantienen referencias cruzadas con estas normas. Se discutió el grado de granularidad que deberían de tener las normas de la familia pendientes de aprobación y se acordó limitar, en lo posible, referencias a las clausulas de la 27001 y 27002, optando, en su lugar, por textos descriptivos.
b) Los problemas de coherencia (“consistency”) entre documentos. Este problema es especialmente grave en la 27000 y la 27003, ya que o bien toma las definiciones de las demás normas (27000) o bien se solapan y contradicen con otras normas de la familia (la 27003 con la 27004 y 27005).
c) La orientación de la norma 27000. Ante la petición de que esta norma sea de distribución gratuita con fines de marketing, se generó un debate sobre su contenido actual, muy técnico y poco legible. Tras el mismo, se decidió reflexionar sobre la inclusión de una introducción no normativa más explicativa y dividir el documento en dos partes. Se han solicitado comentarios específicos en la introducción para antes del 9 de noviembre de 2007

En cuanto a las resoluciones y debates sobre documentos:

• la 27000 - Overview and vocabulary- pasa a 3CD con las limitaciones comentadas más arriba.
• la 27003 - Information security management system implementation guidance- pasa a un limbo de 5WD.
• la 27004 -Information security management measurement- de nuevo, recibe un elevado número de comentarios, fundamentalmente editoriales de escasísima complejidad. Se resolvieron satisfactoriamente los comentarios técnicos, lo que confirma el estado de madurez de la norma. A pesar del criterio de las editoras, que entienden que el documento se encuentra lo suficientemente estabilizado como para progresar a FCD, el editing group votó a favor de un tercer CD.
• la 27005 - Information security risk management- mantiene un elevado número de comentarios a pesar del avanzado estado de edición, habiéndose registrado como FDIS con cuatro votos en contra, concretamente de Australia, Austria, España y Nueva Zelanda. Teniendo en cuenta estas circunstancias, se anuncia ya una revisión temprana del documento.
• ISMS Auditor Guidelines 27007 se circula para comentarios el primer WD de este documento.
• la 27011 – Sector specific en telecomunicaciones- realizada en liaison con ITU (X.1051) ha alcanzado es estado de FDIS y ha cambiado de título: ITU-T X.1051|ISO/IEC 27011 Information security management guidelines for telecommunications organizations based on ISO/IEC 27002.

En cuanto a los documentos en Study Period la cosa queda como sigue:

• ISMS Standards for the Automotive Industry. Se mantiene en estado de Study Period el documento, sobre el que no ha habido desarrollos significativos. Parece que hay interés pero no aportaciones.
• ISMS Standards for the World Lottery Association. Parece ser que las condiciones de producción normativa de la WLA se alejan de las normas ISO, lo que se hizo saber a la WLA que no ha contestado. No se tiene gran esperanza en que, finalmente, vaya a haber un acuerdo con la WLA por lo que se planteó dar por concluido el Study Period. Finalmente, se optó por esperar una respuesta hasta la reunión de Kyoto.

En esta reunón se han propuesto nuevos documentos para Study Period con los títulos provisionales siguientes:

• Information security for Critical Infrastructure. Para este documento se ha nombrado rapporteur a Carlo Harpes.
• Information security for e-government. Para este documento se han nombrado rapporteurs a Pierre Sasseville, Wiggo Öberg y Paloma Llaneza.
• Technical ISMS Audits. Para este documento se han nombrado rapporteurs a Lars Söderlund y Anders Carlstedt.

Y ahora a prepararnos para el cerezo en flor de Kyoto donde nos toca trasladarnos con nuestros trastos de matar para celebrar la próxima reunión.