Il 1° ottobre 2013 è stata pubblicata la norma ISO/IEC 27001:2013, Information technology – Security techniques – Information security management systems – Requirements, che costituisce il riferimento per le certificazioni di sistema di gestione per la sicurezza delle informazioni rilasciate dagli Organismi accreditati nello schema SSI.
La precedente edizione dello standard, ISO/IEC 27001:2005, è stata contestualmente ritirata ma continua a valere fino al 1° ottobre 2015, quando terminerà il periodo di transizione fissato da ISO.
Per gestire la migrazione delle certificazioni accreditate dalla norma ISO/IEC 27001:2005 alla nuova edizione 2013 e adeguare gli accreditamenti degli organismi che già operano nello schema SSI per il rilascio di tali certificazioni, ACCREDIA ha elaborato specifiche disposizioni, che si riportano in sintesi.
Per quanto riguarda l’attività di certificazione:
* entro il 1° ottobre 2015, tutte le certificazioni emesse sotto accreditamento a fronte della ISO/IEC 27001:2005 dovranno essere ritirate;
* dal 1° ottobre 2014, le nuove certificazioni dovranno essere emesse solo a fronte della ISO/IEC 27001:2013.
Per quanto riguarda il processo di accreditamento:
* dal 1° aprile 2014, ACCREDIA non accetterà più domande di accreditamento nello schema SSI che facciano riferimento alla norma di certificazione ISO/IEC 27001:2005;
* dal 1° ottobre 2014, ACCREDIA emetterà nuovi accreditamenti nello schema SSI solo a fronte della ISO/IEC 27001:2013;
* dal 1° ottobre 2015, ACCREDIA revocherà gli accreditamenti che facessero ancora riferimento alla ISO/IEC 27001:2005.
Per quanto riguarda la transizione degli accreditamenti:
* ACCREDIA verificherà l’adeguamento del processo di certificazione alla nuova norma ISO/IEC 27001:2013 (verifica di transizione) in occasione delle prime verifiche di sorveglianza e rinnovo già previste nel normale ciclo di accreditamento;
* gli Organismi dovranno assicurare che il proprio personale (personale operativo, ispettori e Comitati di delibera e per la salvaguardia dell’Imparzialità) sia stato adeguatamente formato per gestire pratiche di certificazione a fronte della ISO/IEC 27001:2013, e potranno emettere nuove certificazioni accreditate solo dopo aver superato la verifica di transizione.
Fonte: Accredia