No passado dia 14 de Fevereiro teve lugar em Bruxelas a segunda reunião da nova comissão técnica conjunta de cibersegurança e proteção de dados da CEN e CENELEC, CEN/CLC/JTC 13 – Cybersecurity and data protection. Esta reunião contou com a presença da sócia e responsável da área de segurança da informação da Ozona Consulting, Raquel Porciúncula, que também faz parte da equipa editorial da ISO 27003.
Da agenda discutida nesta reunião, destaca-se a decisão sobre o âmbito desta comissão. Assim ficou estabelecido:
- Development of standards for cybersecurity and data protection covering all aspects of the evolving information society including but not limited to:
- Management systems, frameworks, methodologies
- Data protection and privacy
- Services and products evaluation standards suitable for security assessment for large companies and small and medium enterprises (SMEs)
- Competence requirements for cybersecurity and data protection
- Security requirements, services, techniques and guidelines for ICT systems, services, networks and devices, including smart objects and distributed computing devices
Também será possível incluir nesta comissão a identificação e possível adoção de documentos já publicados ou em desenvolvimento pela ISO / IEC JTC 1 e outros organismos internacionais, tais como ISO, IEC, ITU-T e fóruns industriais. Onde ainda não estejas a ser desenvolvidos documentos no âmbito da cibersegurança e da proteção de dados será da responsabilidade desta comissão CEN / CENELEC a sua publicação, como frameworks organizacionais, sistemas de gestão, técnicas, orientações e diretrizes, e produtos e serviços, incluindo aqueles que suportam o EU Digital Single Market.
Este ano estão previstas mais duas reuniões em Junho/Julho e no Outono. Após a comissão estar completamente estabelecida as reuniões aconteceram 2 vezes por ano.
Responsabilidades da nova comissão técnica
O CEN/CLC/JTC 13 decidiu também solicitar ao CEN BT a responsabilidade pelas seguintes ENs para o JTC 13:
- ISO/IEC 27000 Information technology – Security techniques – Information security management systems – Overview and vocabulary
- ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements
- ISO/IEC 27002 Information technology – Security techniques – Information security management systems – Code of practice for information security controls
- ISO/IEC 27037 Information technology – Security techniques – Guidelines for identification, collection, acquisition and preservation of digital evidence
- ISO/IEC 27038 Information technology – Security techniques – Specification for digital redaction
- ISO/IEC 27041 Information technology – Security techniques – Guidance on assuring suitability and adequacy of incident investigative method
- ISO/IEC 27042 Information technology – Security techniques – Guidelines for the analysis and interpretation of digital evidence
- ISO/IEC 27043 Information technology – Security techniques – Incident investigation principles and processes
Estrutura da comissão técnica de cibersegurança e proteção de dados
Relativamente à estrutura desta comissão foi decidido estabelecer os seguintes grupos de trabalho:
- WG Cybersecurity Management Systems
- WG Security evaluation and assessment
- WG Cybersecurity services
- WG Data Protection, Privacy and Identity Management
- WG Product security
Liaisons da comissão técnica de cibersegurança e proteção de dados
Além disso esta comissão gostaria de estabelecer ligações com os seguintes grupos:
- ETSI TC Cyber
- JTC1/SC27
- Research project SHIeLD
- JTC1/SC38
- JTC8
- CEN TC 377/WG1
- CEN/TC 224