Общался сегодня с бывшим коллегой из моего банковского прошлого. Услышал от него интересный комментарий, полученный якобы от Ирины Сергеевны Ивченко (главный идеолог и методолог СОУ Н НБУ 65.1 СУІБ 1.0:2010 и смежных стандартов). Что, даже если банк сертифицирован по ISO 27001, это не значит, что банк соответствует требованиям СОУ Н НБУ 65.1 СУІБ 1.0:2010.
Моя первая реакция была - "бред". СОУ является локализированной версией ISO.
В той же методичке по внедрению написано, что в случае соответствия банка стандарту СОУ Н НБУ 65.1 СУІБ 1.0:2010, Нацбанк гарантирует (тут он, конечно, погорячился) соответствие ISO 27001. А обратной совместимости выходит нет?
Но потом вспомнил главное ключевое отличие ISO и СОУ - в ISO мы можем сертифицировать один процесс и получить сертификат. В СОУ же четко сказано: объем для внедрения - весь банк.
Видимо из-за незнания этого нюанса, незрелые консультанты, которые мечутся сейчас по банкам с предложениями внедрить "все как по стандарту", обещают уложится за 3 недели. А может это осознанное желание "успеть рубануть денег, а там как карта ляжет"...
Моя первая реакция была - "бред". СОУ является локализированной версией ISO.
В той же методичке по внедрению написано, что в случае соответствия банка стандарту СОУ Н НБУ 65.1 СУІБ 1.0:2010, Нацбанк гарантирует (тут он, конечно, погорячился) соответствие ISO 27001. А обратной совместимости выходит нет?
Но потом вспомнил главное ключевое отличие ISO и СОУ - в ISO мы можем сертифицировать один процесс и получить сертификат. В СОУ же четко сказано: объем для внедрения - весь банк.
Видимо из-за незнания этого нюанса, незрелые консультанты, которые мечутся сейчас по банкам с предложениями внедрить "все как по стандарту", обещают уложится за 3 недели. А может это осознанное желание "успеть рубануть денег, а там как карта ляжет"...
Комментариев нет:
Отправить комментарий