De todas las normas de la familia 27000, la de gestión de riesgos está siendo la más compleja de editar.
Por un lado, todos en mayor o menor medida tenemos una metodología de cabecera que preferimos frente a otras, lo que hace que todos los países quieran ver su punto de vista reconocido en la norma. Por otro, hay que recordar que esta norma pretende no establecer una metodología, lo que entra en colisión con lo que la gente espera de ella.
Por último, BSI no aportó la norma espejo de gestión de riesgos de su sistema 7799 a la norma internacional ISO, a diferencia de lo que hicieron con la 7799 parte 1 y 2 al convertirlas en las ISO 27001 y 27002, lo que ha ralentizado su progreso.
Así que, de igual manera que la ISO 27000, la reunión en Rusia centró el debate en la revisión del vocabulario y definiciones, y su engarce en las las distintas fuentes existentes (ISO GUIDE 73, ISO 27001, ISO 2700X, ISO 15489, etc.). La editora se vió en la obligación de recordar las normas de edición para aligerar la misma, a pesar de lo cual no consiguió progresar el documento a FDIS. Las normas son:
* No se aceptan nuevos conceptos y definiciones que puedan provocar cambios de concepto en el documento.
* No se incluirán nuevos términos que tengan que ser definidos.
* En caso de términos definidos por varias normas se priorizará la 27001 y 27002. Para el resto de definiciones se tomará la ISO Guide 73:2003
* En ningún caso se tomarán las definiciones del nuevo documento de trabajo ISO Guide 73 ni de la ISO 25700.
La norma tuvo 26 votos positivos, 4 abstenciones y 5 votos negativos (Australia, Japón, Noruega, Suiza y USA), con un total de 565 comentarios de los cuales 295 fueron editoriales y 270 técnicos y generales.
El documento pasó a 2nd FCD y se espera que progrese a FDIS en la reunión de Lucerna de principios de octubre.
Si todo sale como está previsto, la publicación podría producirse para principios del 2008.
Fuente: http://bitacora.palomallaneza.com/2007/07/31/27005-gestion-de-riesgos/
