Bachelor's Thesis

Determination of the value of information in an industrial enterprise for audit ISMS

Final Thesis 795.87 kB

Author of thesis: Šimon Orviský

Acad. year: 2025/2026

Supervisor: Ing. Jana Rozehnalová, M.Sc.

Reviewer: Ing. František Bradáč, Ph.D.

Abstract:

This bachelor's thesis deals with the valuation of information in an industrial enterprise for the purpose of an Information Security Management System audit. The aim of the thesis is to describe the current state of the art in the field of information and cybersecurity, to provide a review of relevant standards and legislation of the European Union and the Czech Republic, to conduct a systemic analysis of the subject matter, and to propose a methodology for the identification and valuation of information assets. The theoretical part describes the current state of cybersecurity in the Czech Republic, defines basic terms in accordance with Act No. 264/2025 Coll., presents the principles of the Information Security Management System, the legislative framework resulting from the transposition of the NIS2 Directive, and the relevant international standards of the ISO/IEC 27000 family and ISO 55000. The practical part introduces an original methodology based on the valuation of information assets using a five-point scale and the three CIA attributes, whose functionality is demonstrated on a model industrial enterprise. The robustness of the methodology is verified through a sensitivity analysis. The final part identifies the limitations of the proposed solution and formulates recommendations for the practical implementation of the methodology within the framework of an ISMS audit.

Keywords:

information security, cybersecurity, ISMS, asset valuation, CIA triad, NIS2, audit, industrial enterprise

Date of defence

08.06.2026

Result of the defence

Defended (thesis was successfully defended)

znamkaBznamka

Grading

B

Process of defence

Študent komisii prezentuje tému svojej práce, rozoberá jej ciele. Nadväzuje svojím riešením, prezentovaním výsledkov a vyvodením záverov. Následne sú prečítané posudky vedúceho práce a oponenta. Študent odpovedá na otázky oponenta. Prebieha diskusia a študent odpovedá na položené otázky: Akým spôsobom označujete hodnotu aktíva? Zodpovedanie otázky: áno. Ako je využiteľná Vaša práca v oblasti kybernetickej bezpečnosti? Zodpovedanie otázky: áno.

Language of thesis

Czech

Faculty

Fakulta strojního inženýrství

Department

Institute of Production Machines, Systems and Robotics

Study programme

Engineering (B-STR-P)

Specialization

Quality, Reliability and Safety (KSB)

Composition of Committee

Ing. Aleš Polzer, Ph.D. (člen)
doc. Ing. Róbert Jankových, CSc. (předseda)
doc. Ing. Petr Blecha, Ph.D., FEng. (místopředseda)
Ing. Tomáš Marek, Ph.D. (člen)
Ing. Vendula Sámelová, Ph.D. (člen)
Ing. Luboš Kotek, Ph.D. (člen)

Supervisor’s report
Ing. Jana Rozehnalová, M.Sc.

Student se ve své bakalářské práci zabývá problematikou stanovení hodnoty informací v průmyslovém podniku pro potřeby auditu systému řízení bezpečnosti informací (ISMS). Téma práce je aktuální a reflektuje rostoucí význam ochrany informačních aktiv v souvislosti s digitalizací podnikových procesů a novými požadavky v oblasti kybernetické bezpečnosti.

V teoretické části student zpracoval přehled základních pojmů, principů informační a kybernetické bezpečnosti, systému ISMS, relevantní legislativy a norem souvisejících s hodnocením aktiv. Kladně hodnotím zejména práci s aktuální legislativou včetně zákona č. 264/2025 Sb. a souvisejících prováděcích předpisů.

Praktická část je zaměřena na návrh metodiky identifikace a hodnocení informačních aktiv založené na principech CIA triády a pětistupňové klasifikační škále. Navržený postup student aplikoval na modelový průmyslový podnik a doplnil jej citlivostní analýzou. Oceňuji snahu o vytvoření prakticky využitelného nástroje pro podporu auditu ISMS.

Určité rezervy lze spatřovat především v rozsahu praktické aplikace požadavků nové právní úpravy kybernetické bezpečnosti. Metodika se zaměřuje zejména na hodnocení primárních aktiv, zatímco vazby na podpůrná a technická aktiva a jejich návaznost na proces analýzy rizik mohly být rozpracovány podrobněji. Větší prostor mohl být věnován také doporučením metodických dokumentů NÚKIB.

Student během zpracování práce pracoval samostatně, průběžně konzultoval navrhované řešení a reflektoval připomínky vedoucí práce. Bakalářská práce splňuje stanovené cíle i požadavky kladené na tento typ kvalifikační práce. 
Evaluation criteria Grade
Splnění požadavků a cílů zadání B
Postup a rozsah řešení, adekvátnost použitých metod B
Vlastní přínos a originalita B
Schopnost interpretovat dosažené výsledky a vyvozovat z nich závěry C
Využitelnost výsledků v praxi nebo teorii B
Logické uspořádání práce a formální náležitosti B
Grafická, stylistická úprava a pravopis B
Práce s literaturou včetně citací B
Samostatnost studenta při zpracování tématu B

Grade proposed by supervisor: B

Reviewer’s report
Ing. František Bradáč, Ph.D.

Předložená bakalářská práce se zabývá návrhem metodiky stanovení a hodnocení informačních aktiv pro audity ISMS. Rešeršní část zpracovává vývoj informační bezpečnosti a kybernetických hrozeb za minulá léta, definuje základní pojmy a názvosloví v návaznosti na bezpečnost informací. Autor zde také seznamuje s nezbytným legislativním rámcem systému řízení bezpečnosti informací. Další částí obsaženou v této kapitole je již částečně rozpracovaná metodika, a to její základy, kde jsou zde obecně popisovány aktiva, jejich dělení, hodnocení, evidence, garanti a metody/nástroje hodnocení. Myslím si, že poslední část, i když je v zásadě obecná, by si z důvodu přehlednosti zasloužila vlastní kapitolu.

Následně se již autor zabývá návrhem metodiky, která vychází z legislativního rámce a předchozího rozboru. Zde je na vzorovém příkladu fiktivního podniku předveden postup hodnocení a rozbor jednoho vybraného primárního aktiva ve formátu služby a dalších 7 podpůrných aktiv ve formátu informace. Pro rozšíření této metodiky oproti metodice vycházející z rešerše jsou zde navrhovány postupy, které částečně redukují vliv extrémů v hodnocení (pokud je v CIA min. jeden atribut hodnocen stupněm 5, musí být třída Vysoká a vyšší) tak je zde navrhováno upřesnění metodiky s využitím váhy jednotlivých CIA parametrů dle oblasti, do které spadá hodnocené aktivum.

Práci doplňuje kapitola Diskuze a doporučení, kde jsou diskutovány výsledky vzorového příkladu a jsou zde uvedený i limitace navrhované metodiky.

Práci hodnotím jako zdařilou a doporučuji k obhajobě.
Evaluation criteria Grade
Splnění požadavků a cílů zadání A
Postup a rozsah řešení, adekvátnost použitých metod B
Vlastní přínos a originalita C
Schopnost interpretovat dosaž. výsledky a vyvozovat z nich závěry A
Využitelnost výsledků v praxi nebo teorii C
Logické uspořádání práce a formální náležitosti B
Grafická, stylistická úprava a pravopis B
Práce s literaturou včetně citací A
Topics for thesis defence:
  1. V kapitole 4.2. je uvedeno „Subjektivita kvalitativního hodnocení představuje obecný limit všech kvalitativních metod…..“. Jak by mohla vypadat metoda hodnocení v týmu, jak je uvedeno na str. 37. na konci Závěru.
  2. V kapitole 4.3. je uvedeno „Hodnocení by mělo probíhat formou společných pracovních setkání …“ týmů a že „..společně dospějí ke shodě“. Jakou metodu shody máte na mysli? Je myšleno hlasování, jednohlasná shoda případně nějaké jiné zpracování volby?

Grade proposed by reviewer: B

Responsibility: Mgr. et Mgr. Hana Odstrčilová