Information security and risk management in a particular company

Thesis title: Informačná bezpečnosť a riadenie rizík v konkrétnej spoločnosti
Author: Slávková, Daniela
Thesis type: Diploma thesis
Supervisor: Hykš, Ondřej
Opponents: Plášková, Alena
Thesis language: Slovensky
Abstract:
Cieľom diplomovej práce je aplikácia metodiky kvalitatívnej analýzy rizík podľa normy ISO/EC/27005:2011 a zvýšenie povedomia o existujúcich hrozbách, z nich plynúcich dopadov na informačné aktíva a návrh možných bezpečnostných opatrení pre minimalizáciu identifikovaných hrozieb v konkrétnej spoločnosti. Práca je rozdelená do piatich kapitol. Úvodná kapitola vysvetľuje základné pojmy informačnej bezpečnosti a riadenia rizík v organizácii, ktoré sú nevyhnutné pre pochopenie princípov a samotného významu riadenia informačnej bezpečnosti. Druhá kapitola pojednáva o medzinárodných štandardoch zameraných na informačnú bezpečnosť a stručne popisuje ISO/IEC 27001, ISO/IEC 27002 a ISO/IEC 27005. Nasledujúce dve kapitoly tvoria plynulý prechod od teoretickej ku praktickej časti. V tretej kapitole je charakterizovaná zvolená spoločnosť a popísaný aktuálny stav informačnej bezpečnosti v spoločnosti. Štvrtá kapitola tvorí metodický aparát kvalitatívnej analýzy rizík, zostavený podľa normy ISO/IEC 27005:2011. Obsahuje zoznam relevantných hrozieb, ktorým je aktívum spoločnosti vystavené. V poslednej kapitole je vykonaná kvalitatívna analýza rizík, spolu s návrhom opatrení pre ich minimalizáciu. Z praktickej časti vyplýva, že implementáciou navrhovaných opatrení spoločnosť zníži existujúce riziká na prijateľnú úroveň a výrazne tak zlepší ochranu informačných aktív.
Keywords: systém manažérstva informačnej bezpečnosti; kvalitatívna analýza rizík; informačná bezpečnosť; ISO/IEC 27005:2011
Thesis title: Informační bezpečnost a management rizik v konkrétní společnosti
Author: Slávková, Daniela
Thesis type: Diplomová práce
Supervisor: Hykš, Ondřej
Opponents: Plášková, Alena
Thesis language: Slovensky
Abstract:
Cílem diplomové práce je aplikace metodiky kvalitativní analýzy rizik podle normy ISO/IEC 27005:2011 a zvýšení povědomí o existujících hrozbách, z nich plynoucích dopadů na informační aktiva a návrh možných bezpečnostních opatření pro minimalizaci identifikovaných hrozeb v konkrétní společnosti. Práce je rozdělena do pěti kapitol. Úvodní kapitola vysvětluje základní pojmy informační bezpečnosti a řízení rizik v organizaci, které jsou nezbytné pro pochopení principů a samotného významu řízení informační bezpečnosti. Druhá kapitola pojednává o mezinárodních standardech zaměřených na informační bezpečnost a stručně popisuje ISO/IEC 27001, ISO/IEC 27002 a ISO/IEC 27005. Následující dvě kapitoly tvoří plynulý přechod od teoretické k praktické části. V třetí kapitole je charakterizována zvolená společnost a popsán aktuální stav informační bezpečnosti ve společnosti. Čtvrtá kapitola tvoří metodický aparát kvalitativní analýzy rizik, sestavený podle normy ISO/IEC 27005:2011. Obsahuje seznam relevantních hrozeb, kterým je aktivum společnosti vystaveno. V poslední kapitole je provedena kvalitativní analýza rizik, spolu s návrhem opatření pro jejich minimalizaci. Z praktické části vyplývá, že implementací navržených opatření společnost sníží stávající rizika na přijatelnou úroveň a výrazně tak zlepší ochranu informačních aktiv
Keywords: systém managementu informační bezpečnosti; kvalitativní analýza rizik; informační bezpečnost; ISO/IEC 27005:2011
Thesis title: Information security and risk management in a particular company
Author: Slávková, Daniela
Thesis type: Diploma thesis
Supervisor: Hykš, Ondřej
Opponents: Plášková, Alena
Thesis language: Slovensky
Abstract:
The aim of the thesis is to apply the methodology of qualitative risk analysis according to ISO/EC/27005:2011 and to increase awareness of existing threats and impacts on information assets and to create possible security precautions to minimize identified threats in a particular company. The thesis is divided into five chapters. Introductory chapter explains the basic concepts of information security and risk management in the organization that are necessary for understanding of the principles and the importance of information security. The second chapter deals with the international standards aimed at information security and briefly describes ISO/IEC 27001, ISO/IEC 27002 and ISO/IEC 27005. The following two chapters form a smooth transition from the theoretical to the practical part. The third chapter characterizes selected company and describes the current state of information security in the company. The fourth chapter forms the methodological apparatus of qualitative risk analysis, compiled in accordance with ISO/IEC 27005:2011. It also contains a list of relevant threats, to which an asset of the company is exposed. The last chapter is conducted to qualitative risk analysis, together with the draft of the precautions to minimize the risks. The practical section shows that by the implementing the proposed action the company will reduce existing risks to acceptable levels and will significantly improve the protection of information assets.
Keywords: information security; qualitative risk analysis; ISO/IEC 27005:2011; information security management system

Information about study

Study programme: Ekonomika a management/Podniková ekonomika a management
Type of study programme: Magisterský studijní program
Assigned degree: Ing.
Institutions assigning academic degree: Vysoká škola ekonomická v Praze
Faculty: Faculty of Business Administration
Department: Department of Management

Information on submission and defense

Date of assignment: 28. 11. 2012
Date of submission: 15. 8. 2013
Date of defense: 5. 2. 2014
Identifier in the InSIS system: https://insis.vse.cz/zp/41148/podrobnosti

Files for download

Main text
Private file Download
Opponent's review
Private file Download
Supervisor's review
Private file Download
    Last update: