A metà settembre 2025 si è tenuto l'incontro semestrale dell'ISO/IEC JTC 1 SC 27 che si occupa della redazione di molti standard importanti per la sicurezza delle informazioni. Io non ho partecipato perché era a Kunming, in China, e gli standard discussi non erano di mio particolare interesse.

Però, con i rapporti prodotti, fornisco una sintesi delle decisioni più significative:

- ISO/IEC 27000, di panoramica delle norme della famiglia ISO/IEC 27000: aggiornamento previsto per febbraio 2027; le definizioni saranno però riportate nelle singole norme;

- ISO/IEC 27003, di guida alla ISO/IEC 27001: aggiornamento previsto per aprile 2027 (le bozze attuali hanno un testo migliore rispetto al precedente, ma senza nuove indicazioni tecniche particolarmente significative);

- ISO/IEC 27004, di guida alle misurazioni per i sistemi di gestione per la sicurezza delle informazioni: aggiornamento previsto per ottobre 2027 (le bozze attuali prevedono qualche esempio ulteriore, su cui ho qualche perplessità, rispetto alla passata edizione);

- ISO/IEC 27017, con controlli e linee guida per l'implementazione da aggiungere alla ISO/IEC 27002 per i fornitori di servizi cloud: aggiornamento previsto per luglio 2026 (l'importanza di questa norma è chiara perché è richiesta da ACN e in alcuni bandi);

- ISO/IEC 27701, con i requisiti per i sistemi di gestione per la privacy: pubblicazione prevista per fine settembre 2025 (ne ho già parlato in precedenza e ho già esposto le mie critiche);

- ISO/IEC 27706, con le regole per gli organismi di certificazione ISO/IEC 27701: pubblicazione prevista per fine settembre 2025;

- ISO/IEC 29151, con controlli e linee guida per la privacy: pubblicazione prevista per luglio 2026 (questa norma è più di interesse didattico che pratico, almeno in Italia).