Insider Threat: Tecniche di Exfiltration
26 Settembre 2018
WPA3: analisi delle nuove reti WiFi
27 Settembre 2018

Nuova versione della ISO/IEC 20000-1

A settembre 2018 è stata pubblicata la nuova versione della ISO/IEC 20000-1 dal titolo “Service management system requirements”. Il rispetto dei suoi requisiti può essere valutato per ottenere un certificato.

Storia della ISO/IEC 20000

La ISO/IEC 20000 nacque nel 2002 come norma nazionale britannica BS 150000. Essa aveva la finalità di poter essere utilizzata da un’organizzazione per dichiarare, in sostanza, la propria conformità con ITIL v2.

L’origine da ITIL v2 era evidente dall’organizzazione stessa della norma, a sua volta suddivisa in due parti, dedicate al service delivery e al service design. Introduceva anche nuovi concetti e infatti qualcuno la indicò come ITIL 2.5.

Nel 2005, con un percorso abbastanza veloce, la BS 150000 (divisa in due parti, una con i requisiti e una di linee guida) fu recepita a livello internazionale come ISO/IEC 20000 (parti 1 e 2). La modifica più significativa era l’aggiunta di un capitolo dedicato ai nuovi servizi o alle modifiche (significative) di quelli esistenti.

Nel 2011 e 2012 furono pubblicati gli aggiornamenti della ISO/IEC 20000-1 e della ISO/IEC 20000-2. I cambiamenti rispetto alle precedenti versioni non erano significativi (anche se molte parti furono scritte molto meglio), anche se nel frattempo era stata pubblicata la versione 3 del 2005 di ITIL, significativamente diversa dalla precedente.

Furono pubblicate ulteriori parti della norma come, per esempio, la terza sulla definizione dell’ambito di applicabilità della ISO/IEC 20000-1 e la sesta per gli organismi che intendono offrire servizi di certificazione rispetto alla ISO/IEC 20000-1.

Al momento è stata pubblicato l’aggiornamento della sola parte 1 della ISO/IEC 20000.

Le novità della ISO/IEC 20000-1:2018

La premessa della ISO/IEC 20000-1 riporta i cambiamenti più significativi.

Il primo è sicuramente la riorganizzazione della norma secondo l’high level structure (HLS), ossia secondo il medesimo schema seguito dalla ISO 9001 e dalla ISO/IEC 27001 e che ha introdotto i requisiti relativi al contesto e alla valutazione del rischio al sistema di gestione.

I requisiti propri della ISO/IEC 20000-1 sono quasi tutti riportati nel capitolo 8, quello dedicato alle attività operative. Questo ricalca quanto già fatto, per esempio, per la ISO 22301 sulla continuità operativa.

La nuova versione della ISO/IEC 20000-1 introduce elementi di ITIL v3 (oggi è in vigore ITIL 2011, molto simile alla versione 3) e in particolare il service portfolio e la gestione della domanda (demand management).

Sono stati riorganizzati completamente i requisiti per i servizi nuovi e per le modifiche. Riprendendo la terminologia di ITIL v3 e ITIL 2011, sono riportati nel paragrafo relativo alla “progettazione e transizione dei servizi”. In parole molto semplici, questi requisiti erano stati introdotti per trattare dei cambiamenti significativi ai servizi, visto che il processo di gestione dei cambiamenti (change management) era interpretato da alcuni come dedicato a cambiamenti minori. Questo approccio non è mai stato completamente chiarito dalla norma stessa (era infatti necessario conoscere le ragioni di alcune scelte operate dal ISO/IEC JTC 1 SC 7).

Ulteriore modifica significativa riguarda i fornitori. La nuova versione della ISO/IEC 20000-1, infatti, distingue tra più tipologie di fornitori: fornitori esterni, fornitori interni, clienti che agiscono come fornitori.

 

A cura di: Cesare Gallotti

Lavora dal 1999 nel campo della sicurezza delle informazioni, della qualità e della gestione dei servizi IT.

Ha condotto progetti di consulenza per la pubblica amministrazione e per il settore privato. Opera, sia in Italia che all’estero, come Lead Auditor ISO/IEC 27001, ISO 9001, ISO/IEC 200000 e ISO 22301. Ha progettato ed erogato corsi di Quality Assurance e di certificazione Lead Auditor ISO/IEC 27001 e ITIL Foundation.

Tra gli attestati si segnalano: le certificazioni AICQ SICEV Lead Auditor ISO/IEC 27001, IRCA Lead Auditor 9001, CISA, ITIL Expert e CBCI, la qualifica come Lead Auditor ISO/IEC 20000 e il perfezionamento postlaurea in “Computer Forensics e investigazioni digitali”.

E’ capodelegazione del WG1 del comitato italiano ISO/IEC SC27 in UNINFO.

Ha pubblicato il libro, aggiornato nel 2017, “Sicurezza delle informazioni: valutazione del rischio; i sistemi di gestione; la norma ISO/IEC 27001:2013”.

Cura la pubblicazione, dal 2008, della newsletter “IT Service management news” (http://www.cesaregallotti.it/Newsletter.html).

Web: www.cesaregallotti.it; Blog: blog.cesaregallotti.it

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy