Стоян Жеков: Един от трима

Илияна Димитрова | 15 март 2011 | IT Сигурност, Интервю инструктори | Няма коментари

Стоян ЖековСтоян Жеков е специалист по одитиране на QMS (ISO 9001) и ISMS (ISO 27001) от 2007 година насам, участвал е като одитор и водещ одитор по проекти за български и международни компании. Професионалният му опит датира от 1998 година и е преминал през търговия с електронни компоненти, през ИТ специалист до настоящия момент – водещ одитор по QMS и ISMS, консултант на свободна практика. От 2010 година специализира и в одит на ISO 20000.  Стоян Жеков е и водещ на обучения за вътрешни одитори за ISMS.

Стоян е сертифициран водещ одитор от IRCA за QMS & ISMS, което го прави един от трима в България, носещ тази титла и единственият за този момент консултант на свободна практика с тази сертификация.

Как започна пътят ти в областта на системите за сигурност на информацията?

Занимавам се с ИТ продукти и услуги в областта на ИТ и електрониката от 1998 г. През 2005 г. постъпих в SGS като ИТ специалист в лабораторния комплекс на фирмата, а през 2007 г. SGS ми даде възможност да се обуча и да започна да одитирам системи за управление – Системи за управление на качеството съгласно изискванията на стандарта ISO9001, както и системи за управление на сигурността на информацията съгласно изискванията на стандарта ISO27001.

Каква е разликата между QMS и ISMS и трудно ли те да се съчетяат от гледна точка на одитора на системите?

За да се отговори на този въпрос всъщност е нужно накратко да се каже какво представляват двете системи: QMS или СУК, както е позната тук представлява система за управление на качеството. Изискванията за тази система са дадени в стандарта ISO9001 – важно е да се отбележи, че в тази система основния фокус е върху качеството и това създавания продукт или предоставяната услуга да задоволи изискванията на клиента. При ISMS или СУСИ, както се съкращава от Система за Управление на Сигурността на Информацията, основната цел на организацията е да защити подходящо информацията, с която работи. СУСИ помага на компаниите да идентифицират всички външни и вътрешни заплахи за тях, да оценят рисковете, които съществуват и да се защитят ефективно от тях.

Важно е да се отбележи, че двете системи могат да бъдат интегрирани и да функционират като една – с това се намаляват разходите за поддръжка на системите за управление, повишава се ефективността от работата на внедрените системи.

Моята гледна точка като одитор е, че интегрираните системи за управление се проверяват по-лесно, тъй като общите части за всички системи в интегрираната система се проверяват едновременно и с това се спестява време, дава се възможност да се оцени по-правилно и по-добре реалната практика спрямо изискванията на стандартите.

Какво е значението на обученията в процеса на сертификация по даден стандарт?

Обучението е в основата на всичко в нашия живот – това важи и за процеса на сертификация по който и да е стандарт. Първата стъпка след вземането на решение за внедряване на система за управление в дадена организация би трябвало да бъде определянето на нужния персонал – различни хора, на различни позиции, които да бъдат обучени. Тези хора помагат за разработването на важните правила – процедури, инструкции и др., които са нужни за функционирането на всяка една система. Разработването на правилата във всяка една организация е уникален процес и обикновено се случва с помощта на квалифициран външен консултант. Ролята на обучената част от персонала е заедно с консултанта, ако има такъв, да създаде и внедри правилата. Внедряването е процес на запознаване на останалата част от компанията с разработените документи, както и помагане за допълнително усъвършенстване на вече написаното.

След успешното внедряване на правилата идва ред на избора на сертифицираща организация. За компаниите, решили да сертифицират своите системи е важно да проверят дали избраната от тях сертифицираща организация има нужната акредитация. Важно е да се знае, че само акредитираните сертифициращи организации могат да гарантират качеството на своите услуги.

Как се става IRCA сертифициран одитор? Какво е значението на тази титла за теб и за другите?

IRCA е международният регистър, в който се съхранява информация за сертифицираните одитори по различните стандарти.

За да успее един одитор да докаже своите умения пред IRCA и да бъде вписан в този регистър е необходимо той да е преминал успешно обучение за одитор в курс, сертифициран от IRCA. След това е нужно време, в което всеки одитор извършва одити за сертифицираща организация – различен брой за различните степени – одитор, водещ одитор. Едва след доказване на достатъчен опит като одитор IRCA включва кандидата в базата данни.

За един одитор членството в IRCA е престиж, международно признание на уменията, както и помощ в отношение на обмяната на опит с други колеги, работещи в същата сфера. Важно е да се спомене, че някои сертифициращи организации работят само с IRCA сертифицирани одитори.

Едва 2% от хората имат ясен план за бъдещето – какъв е твоя?

Следващата стъпка лично за мен е да продължа развитието си по посока на стандартите – като следващи стъпки си поставям реализацията си като водещ одитор по ISO20000, определящ изискванията за управлението на качеството на предлаганите ИТ услуги; добиването на квалификация за лектор по стандарта ISO27001 – чрез тази квалификация ще мога да обучавам водещи одитори по този стандарт, както и не на последно място ще обърна внимание на системите за управление на непрекъсваемостта на бизнеса – един малко познат в България стандарт, но стандарт който в бъдеще ще бъде изключително важен за всички сериозни компании – BS25999.

Благодарим за отделеното време!

Интересувате се от темата? Пишете ни!

    Бързо запитване

    Вашите имена *

    Вашият Email *

    Вашето съобщение *

    captcha

    Добавете коментар

    Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *