Evaluation of preparedness of a business for an implementation of ISO 27001 using Gap analysis

Thesis title: Zhodnocení připravenosti podniku na zavedení ISO 27001 pomocí GAP analýzy
Author: Zrcek, Tomáš
Thesis type: Diplomová práce
Supervisor: Čermák, Igor
Opponents: Šašek, Jaroslav
Thesis language: Česky
Abstract:
Cílem práce je zhodnotit stav připravenosti systému řízení bezpečnosti informací (ISMS) v logistickém podniku JASA s.r.o. na certifikaci podle normy ISO/IEC 27001:2013. Tento podnik, který se pohybuje na hranici malé a střední velikosti, má již zaveden certifikát řízení kvality ISO 9001:2008. Z toho důvodu jsou v práci představeny obecné výhody pro společnost, která má již implementovaný některý z ISO standardů a rozhodne se pro přijetí dalšího. Současný stav systému řízení bezpečnosti informací společnosti Jasa s.r.o. byl nejprve porovnán s okolními podniky fungujícími na českém i evropském trhu. Následně bylo zhodnoceno kontrolní prostředí podniku podle požadavků normy ISO/IEC 27001:2013. Také bylo vytvořeno schéma pro hodnocení konkrétních opatření podle dopadu rizika, které by mohlo nastat v případě nevyužití navrhovaných doporučení. V poslední fázi byla zhodnocena všechna opatření z pohledu náročnosti implementace, aby podnik našel levná a rychlá řešení s přiměřeně vysokým efektem. Hlavním přínosem práce je zhodnocení přístupu k řešení bezpečnosti informací u jednoho z mnoha podniků, které mají obavy nebo začínají skutečně zaznamenávat zvyšující se množství bezpečnostních hrozeb. Tento přístup mohou zvolit i další společnosti, které se rozhodnou jít podobnou cestou.
Keywords: ISO 9001; bezpečnostní politika; ISMS; bezpečnost informací; Gap analýza; ISO 27001
Thesis title: Evaluation of preparedness of a business for an implementation of ISO 27001 using Gap analysis
Author: Zrcek, Tomáš
Thesis type: Diploma thesis
Supervisor: Čermák, Igor
Opponents: Šašek, Jaroslav
Thesis language: Česky
Abstract:
The aim of the thesis is to evaluate the preparedness of an information security management system (ISMS) in a logistic company JASA s.r.o. for a certification by standard ISO/IEC 27001:2013. This enterprise oscillates between small and medium enterprise. It has already implemented the certificate on quality management ISO 9001:2008. For this reason, in the thesis there are presented advantages for a company that already has implemented one of ISO standards and decides to implement another. First of all, the present state of information security management system in Jasa s.r.o was compared to other businesses functioning in the Czech and European market. Then the company control environment was evaluated accordingly to the requirements of standard ISO/IEC 27001:2013. Furthermore, a scheme was created in order to evaluate specific controls based on the impact risk that could arise in case of ignoring the suggested recommendations. In the last part, the controls were evaluated accordingly to difficulty, so that the company can find cheap and fast solutions with adequate impact. The main contribution of the thesis is the evaluation of the approach to solve information security in one of many enterprises that are afraid or are starting to notice the increasing amount of security threats. This approach may be chosen by other companies that decide to go the similar way.
Keywords: ISMS; security policy; information security; ISO 27001; ISO 9001; Gap analysis

Information about study

Study programme: Aplikovaná informatika/Informační systémy a technologie
Type of study programme: Magisterský studijní program
Assigned degree: Ing.
Institutions assigning academic degree: Vysoká škola ekonomická v Praze
Faculty: Faculty of Informatics and Statistics
Department: Department of Information Technologies

Information on submission and defense

Date of assignment: 17. 1. 2016
Date of submission: 27. 4. 2016
Date of defense: 3. 6. 2016
Identifier in the InSIS system: https://insis.vse.cz/zp/55800/podrobnosti

Files for download

    Last update: