Posudek oponenta diplomové práce
Studijní program:Aplikovaná informatika Studijní obor:Podniková informatika Akademický rok:2020/2021
Název práce:Předcertifikační interní audit ISO/IEC 27001 Řešitel:Bc. Matěj Hrabal
Vedoucí práce:doc. Ing. Vlasta Svatá, CSc.
Oponent:Ing. Ladislav Vaněk
Hlediska Stupeň
hodnocení
1. Jasnost a srozumitelnost formulace tématu a cíle práce 1
2. Rozsah a relevance popisu současného poznání 2
3. Náročnost řešeného tématu práce 1
4. Adekvátnost metod k řešení stanoveného problému, správnost jejich výběru a použití 1
5. Rozsah, hloubka a preciznost popisu výsledku 2
6. Relevance a správnost diskuse výsledku 3
7. Věcný přínos výsledku dosaženého v práci 2
8. Relevance informačních zdrojů a korektnost jejich citování 1
9. Logická stavba práce a vzájemná konzistence jednotlivých částí 1 10. Gramatika, jazykový styl, terminologie a celková úprava práce 1
Konkrétní připomínky a dotazy k práci:
Autor se v posuzované diplomové práci zabývá předcertifikačním auditem dle ISO/IEC 27001 včetně návrhu nástroje pro posouzení úspěšnosti hodnocení požadavků uvedených v této normě, a tedy i šance hodnocené společnosti na následné získání certifikace. Práce má jasně a srozumitelně definovaný cíl a je vhodně logicky vystavěna. Celkově ji hodnotím jako zdařilou.
V teoretické části se autor věnuje významu certifikačních auditů, Normě ISO/IEC 27001 a okrajově i normám s ní souvisejících. V 1. kapitole postrádám uvedení organizace IIA – The Institute of Internal Auditors (a její lokální pobočky v ČR ČIIA – Český Institut Interních Auditorů) a jejich postupů spíše než postupů dle KAČR, která sdružuje externí finanční auditory. Sám autor následně v práci nejvíce rozvíjí postupy právě interního auditu a logická provazba na IIA chybí.
V praktické části se autor věnuje návrhu nástroje pro předcertifikační audit požadavků dle ISO /IEC 27001.
Za vhodné považuji využití nástroje MS Excel (případně neplacených alternativ) z důvodu jeho všeobecné rozšířenosti a v případě potřeby jednoduché editace. Nástroj hodnotím celkově velice kladně. Poslouží jako vhodná a nenáročná varianta pro provedení předcertifikačního auditu a dokáže společnosti s relativně malým úsilím poskytnou informaci, jak si v otázce implementace požadavků vyplývajících z ISO/IEC 27001 stojí. Zavádějící je zde vyplnění nástroje v případě analyzované organizace č. 1 samotným autorem DP. To může vést ke zkresleným výsledkům – o to více, že dle výsledků této analýzy docházelo ještě k „ladění“ nástroje. Dále nepovažuji zvolené organizace 2 a 3 s ohledem na jejich velikost a zaměření za příliš reprezentativní vzorek společností, které by se o certifikaci dle ISO/IEC 27001 mohli ucházet. Autor mám možnost obě připomínky k praktické části vysvětlit v rámci otázek k obhajobě níže.
S ohledem na uvedené nedostatky navrhuji celkové hodnocení 2-chvalitebně. V případě uspokojivé argumentace obou otázek k obhajobě je možné dle posouzení komise změnit celkové hodnocení na 1-výborně.
Otázky k obhajobě: 1) Z jakého důvodu nebyl nástroj v případě organizace č. 1 vyplněn přímo CIO a zástupcem managementu organizace, ale přímo Vámi? 2) Považujete zvolené organizace č. 2 a 3 ve vzorku za vhodně zvolené z pohledu jejich zaměření a velikosti – zda reprezentují společnosti, které by se o certifikační audit pravděpodobně následně ucházely?
Závěr: Diplomovou práci doporučuji k obhajobě.
Navrhovaná výsledná klasifikace práce: 2
Datum: 19. 5. 2021 Ing. Ladislav Vaněk
oponent práce