W normalizacji, u której podstaw leży dobrowolne stosowanie normy, „norma ISO wycofana” oznacza dezaktualizację jej treści. Jednakże nie jest to zakaz jej stosowania. Jej stosowanie / opieranie się o nią jest czymś złym. Dopiero w sytuacji, gdy dana norma ma atrybut „zastąpiona” – stosowanie jej nie jest zalecane i warto sięgnąć po nowszą wersję. Idealnym przykładem wobec powyższego jest:
- norma (wycofana) PN-ISO/IEC 24762:2010 (Technika informatyczna — Techniki bezpieczeństwa — Wytyczne dla usług odtwarzania techniki teleinformatycznej po katastrofie) która jest wskazana w aktualnym rozporządzeniu KRI (stan na 2023r.), czy też często sięga się po nią w aspekcie art. 32 ust. 1 pkt b RODO. Co więcej spore spora ilość audytorów korzysta z tej normy co jest pewnym standardem;
- norma (wycofana) PN-ISO/IEC 27005:2014-01 (Technika informatyczna — Techniki bezpieczeństwa — Zarządzanie ryzykiem w bezpieczeństwie informacji) która obecnie jest wykorzystywana w prawie każdym szacowaniu ryzyka bezpieczeństwa informacji. Co więcej UODO w swoim dwutomowym poradniku szacowania ryzyka bezpośrednio wskazują niniejszą normę.
Przydatne linki wobec przedmiotowego tematu:
- Standardy Krajowych Ram Interoperacyjności (KRI): https://www.gov.pl/web/ia/standardy-krajowych-ram-interoperacyjnosci-kri
- Stanowisko Polskiego Komitetu Normalizacyjnego wobec norm wycofanych: https://wiedza.pkn.pl/web/wiedza-normalizacyjna/stanowisko-pkn-w-sprawie-stosowania-pn-wycofanych