MemoCard lernen mit System

Im Rahmen einer Unterhaltung rund um das Thema Informationssicherheit hören Sie Argumente. Was ist davon richtig?

Aus jedem Vermögenswert ist ein bilanzieller Check abzuleiten.
Zu jedem Vermögenswert liefert die Thread Vulnerability Analysis zu jeder Bedrohung die Eintrittswahrscheinlichkeit.
Zu jedem Vermögenswert liefert die Business-Impact-Analyse zu jedem Schutzziel den maximal denkbaren Schaden.
Zu jedem Vermögenswert ist eine Anordnung der Maßnahmen nach Priorität durchzuführen.

Bei der Bedrohungs- und Schwachstellenanalyse sind welche Protagonisten im Unternehmen meine Ansprechpartner?

der "Process Manager"
die Geschäftsführung
der Verantwortliche des Vermögenswertes oder der Risikoeigentümer
das "Legal Department"

Welcher der dargestellten Begriffe ist eine Möglichkeit der Netzwerkinfrastruktur, ein Individuum vom öffentlich zugänglichen System in das interne System zu integrieren, ohne das gesamte Netzwerk unbrauchbar zu machen?

Virtual Local Area Network
Demilitarisierte Zone
Network Address Translation
Virtual Private Network

Maßgebend ist die IS-Leitlinie in einer Organisation unter anderem für…

… IT-Mitarbeiter (ausschließlich)
… alle Beschäftigten
… ausschließlich das Personal, das regelmäßig mit vertraulichen Infos beauftragt wurde
die Geschäftsleitung

Im IT-Grundschutzkompendium hat die sogenannte „Basisabsicherung“ zum Ziel….

ausnahmslos und eindrucksvoll Schutz zu besiegeln.
vereinzelt schutzlose Geschäftsprozesse primär sicherzustellen
die indirekte Zertifizierung nach ISO 27001 unmittelbar im Nachgang durchzulaufen.
erforderliche Erst-Absicherung über alle bedeutsamen Geschäftsprozesse bzw. Fachverfahren zu bekommen.

Audit – Was versteht man im allgemeinen unter diesem Begriff?

der Vergleich zwischen Ist- und dementsprechend dem Sollzustand
das Gegenstück von Risiken
das Verbindung zweier Gesetzmäßigkeiten miteinander
der Vergleich dreier Geltungsbereiche gruppenweise

Was wird unter anderem mit einem „Notfallmanagement“ gewollt?

Zentrale Geschäftsprozesse in kritischen Konstellationen werden nicht oder nur zeitweilig abgetrennt.
Fundamentalgefahren zu beurteilen.
Das „Überleben“ aus wirtschaftlicher Sichtweise einer Organisation bei größeren Schadensereignis abzusichern.
Schadhaftigkeit von IT-Sytemen zu boykottieren.

Welche Aussage bringen Sie mit der ISO 27001 in Verbindung?

Die ISO 27001 ist eine Schritt-für-Schritt-Anleitung, um IS zu erreichen
Die ISO 27001 ist eine projektbasierte Norm für Riskmanagement
Die ISO 27001 ist eine prozessorientierte Norm für Informationssicherheit.
Die ISO 27001 ist eine Technik-orientierte Norm zur Registrierung aller IT-Objekte einer Abteilung

Risiken in der Informationssicherheit können folgendes sein:

Durch die tatsächliche Verletzung von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen entstehende Risiken
Belange, die aus der Zahlungsfähigkeit von Geschäftsfreunden entstehen
die Höhe des Imageschadens bei einem Informationsverlust
Zufälle, die aus Schwankungen der EU-Märkte auftauchen

In der Gruppe „Plan“ des PDCA-Zyklus versteht die ISO 27005 was unter dem Gesichtspunkt "Risikobehandlung"?

die Alternative zur Handhabung jedes einzelnen erkannten Risikos
die Organisation von Anordnungen zur Risikobehandlung
das Abgeben von Anweisungen zur Risikobehandlung
die Überlassung der Angelegenheit der Risikobehandlung an Dritte

In die Check-Phase eines ISMS-Prozesses sind welche der folgenden Belange einzugliedern?

Überprüfung der Effektivität des ISMS
Audit
Inventory-Management-Prozess
Managementbewertung

Wenn im Bereich der Risikoanalytik von SPRINT gesprochen wird, dann ist die Analyse:

… zu einem Teil Einschüchterung- und Schwachstelle zugleich
… eine breit angelegte Angelegenheit
… das Kompendium der Bewertung der Auswirkungen auf die Unternehmen
… kurz, knapp aber dennoch präzise.

Im BSI Kompendium für IT GS erfolgt eine Analyse von Risiken im Bereich Standardabsicherung, …

wenn das Zielobjekt in mindestens einem der 3 Schutzbedarfe "hoch" oder "sehr hoch" eingeordnet ist
wenn das Zielobjekt in einem Umgebungsgebilde angewandt wird, das im Kreise des IT-Grundschutzes nicht vorgesehen ist.
wenn dem Zielgegenstand kein Baustein aus dem IT-Grundschutz zugehörig angerechnet werden kann
wenn der Zielgegenstand neu bestellt wurde

Nennen Sie Beispiele, die Sie mit dem Begriff „Risikoübertrag“ in Verbindung bringen.

Die Angelegenheit eines risikobehafteten Prozesses separat regeln (Geschäftsunterbrechung)
Einrichtung eines Virenschutzsystems im Betrieb (Schadprogramme)
Geschäftsprozess outsourcen und die damit verbundenen Risiken auch (Serverausfall)
Die Benutzung persönlicher beweglicher Geräte im Zusammenhang mit Unternehmensbelangen wird verboten (Datenabfluss durch private mobile Endgeräte)

Welche Aussagen treffen auf eine Informationssicherheitsleitlinie zu?

ein Sicherheitsmanuskript für IT- Wartungen
ein diplomatischer Vertrag der Geschäftsführung
eine Ausstellung von IT-Sicherheitsanweisungen
ein bindendes Dokument für alle Angehörigen des Scopes des ISMS

In der ISO 27005 findet sich der Eintrag "Risikoakzeptanz". Das ist …?

… die gewünschte Akzeptanz des Sammelsuriums des Risikomanagement-Teams
… das Tragen des belegten Risikos ohne weitere Anweisungen zu befolgen
… die bewusste Sicherstellung aller Gefahren vor der Behandlung der Risiken
… die bewusste Akzeptanz der Restrisiken nach Durchführung der Risikobehandlungsoptionen

Mit dem Begriff „Lead Auditor“ ist welches Argument in Verbindung zu bringen?

Ein zur Verwirklichung eines Sicherheitsaudits prädestiniertes Individuum.
Der Drahtzieher des Audits.
Die zu auditierende Disposition.
Eine Person, die mit der Aufgabe der Organisation eines Audits betraut wurde.

Welche der folgenden Begiffspaarungen kommen dem Begriff „Risiko“ aus der ISO 27005 am nächsten?

Einschüchterung und Eintrittswahrscheinlichkeit
Ernst und Eintrittswahrscheinlichkeit
Eintrittswahrscheinlichkeit und Schaden
Beeinträchtigen und Demonstration

Eine IS-Leitlinie hat für die Organisation im übertragenen Sinn Unternehmen dieselbe Geltung wie:

ein Blackpaper zur Konfiguration von Servern im Linuxumfeld
die nach der Norm ISO 9001 bekannte Qualitätsleitlinie
eine Vorschrift zur Verschlüsselung von beweglichen externen Festplatten
eine Belehrung zur außeramtlichen Internet- oder E-Mail-Nutzung

Es gibt hin und wieder eine sogenannte "Gruppenzertifizierung". Was könnte diese beinhalten?

ein Audit zur Kontrolle der Vollmachten im Zyklus der Einhaltung der Vorschriften
ein Audit, in dem betreffend abberufener Gesetzmäßigkeiten geprüft wird
ein Audit, in dem auch die Ökonomie der Anweisungen beachtet wird
mehrere Firmen mit der gleichartigen Ausrichtung ihrer Organisation schließen sich für die Zertifizierung zusammen.

Welche Angaben sind in Ordnung? Zu den Aufgaben des Risikomanagements zählen die:

Aufzählung von anerkannten Risiken
Anfertigung einer Sicherheitsleitlinie
Identifikation von bedeutungsvollen Risiken
Erzeugung einer priorisierten Risikoübersicht

Die RoSI-Methode wird in der Regel mit folgenden Angaben in Verbindung gebracht.

RoSI ist sicher das Risiko für Informationssicherheitsvorfälle.
Viele veränderliche Größen bzgl. der Risiken gestatten nur eine Bewertung des denkbaren Schadens.
Es ist keine akkurate Festsetzung des erdenklichen Schadens möglich.
Ausgaben in der Informationssicherheit können anschaulich gemacht werden.

Eine sogenannte „Re-Zertifizierung“ ist nach Auslegung der ISO 27001 in welchen zeitlichen Zyklen vorzunehmen?

mindestens 1x jährlich
abhängig vom Zertifizierungsgrad alle 18 Monate
alle 48 Monate
alle 3 Jahre

Unter dem Begriff „Gefährdung“ versteht man auch …

… kann nicht mit besessenen Anweisungen eingedämmt werden.
… kann mit geeigneten Maßnahmen abgemildert werden.
… das diese weder durch eine Einschüchterung, noch durch die verwandte Schwachstelle bestimmt werden könnte.
… das eine Bedrohung und die beigeordnete Schwachstelle bestimmt wird.

Die Norm ISO 27005 interpretiert den Gesichtspunkt "Risikobewertung" folgendermaßen?

Risikoidentifikation, Risikoabschätzung, Risikopriorisierung
Risikoidentifikation, Risikopriorisierung, Risikobehandlung
Risikoidentifikation, Risikoabschätzung, Risikobehandlung
Risikoidentifikation, Risikobehandlung, Risikoakzeptanz

Wobei kann die KPI Legende behilflich sein?

um Kenngrößen aufzufinden
zur ausführlichen und erschöpfenden Dokumentation der Funktionen einer KPI
KPI Transparenz
unter anderem auch für Audits oder Revisionszwecke

Innerhalb der ISO 27005 gehört der Bezug "Rahmenbedingungen" in Anlehnung an den PDCA-Zyklus zu welchem Eintrag?

Act
Do
Check
Plan

Zu welchem der nachkommenden Formulierungen des Riskmanagements aus der ISO 27005 gehört die Bedrohungs- und Schwachstellenanalyse?

"Risikohandhabung"
"Risikobewertung"
"Umgebungsvariablen"
"Risikozuspruch"

Bestehende Informationen in digitaler Form (unverschlüsselt) sind entgegen auf Papier gedruckten Informationen mit weniger Aufwand…

… umzuformen.
… zu merken.
… zu reproduzieren.
… zu befördern.

Wer muss sich zwingend an die Leitlinie für Informationssicherheit in einer Organisation halten?

das interne Personal
der ITSM
die Führungsebene
Dritte und Lieferanten und auch Externe

Eine Erklärung zur Anwendbarkeit nach Auslegung der ISO 27001 sollte welche Bestandteile mitbringen?

zusätzliche Risiken
außerordentliche Anweisungen zu denen aus dem Anhang A der genannten Norm
die Organisation der Incident-Response-Teams.
Klassifikation von Verträgen

Unter dem Kürzel KPI verstehen wir:

Key Performance Inventory
Key Project Incident
Key Performance Indicator
Key Person Indicator

Welche der anhängenden Größen sind keine KPIs im klassischen Sinn, sondern lediglich Statusanzeigen der IS?

Delta zwischen umzusetzenden IS-Kontrollen, bezogen auf alle bereits umgesetzten IS-Kontrollen
RoSI (Return on Security Invest)
Menge umgesetzter IS- Maßnahmen (Controls)
Zahl der IS-Begebenheiten (Vorfälle)

Welcher Standard aus der Normenfamilie der ISO 27k Reihe beschäftigt sich mit Risikomanagement?

ISO/IEC 27005
ISO/IEC 27003
ISO/IEC 27001
ISO/IEC 27002

Assetmanagement in Anlehnung an die ISO 27001 oder auch ISO 27002 lässt sich mit folgenden Aussagen in Einklang bringen:

Inventarisierung der in der Organisation vorgehaltenen Werte
Brauchbare Vorgaben zu Nutzung von Assets sind anzufertigen.
Zuordnung der jeweiligen Assets zu dem Eigentümer.
Wenn deren Vertragsverhältnis endet, dann müssen Werte an die Organisation zurückgeben werden, von Externen und Mitarbeitern

Ein „internes Audit“ kann Auskunft darüber geben, ob …

… die Kontrolle der einwandfreien Umsetzung von IS-Maßnahmen erfolgte
… alle Voraussetzungen für eine Zertifizierungsprüfung (Audit) vorliegen
… die fortdauernde Korrektur des IT-Sicherheitskonzeptes beibehalten wurde
… die Vollzähligkeit des Incident-Recover-Teams gegeben ist

Der unter dem Kürzel DCGK geläufige "Deutsche Corporate Governance Kodex" orientiert sich mit seinen Forderungen primär:

an alle europäischen Unternehmen
an alle EWR-Behörden
an alle deutschen Regierungsbeteiligungen
an alle deutschen Börsenunternehmen

Was beabsichtigt das Business Impact Assessment im abgeleiteten Sinn?

Es hält die Beurteilung des maximalen Schadens bei einem IS-Vorfall fest.
Es dokumentiert die Einschätzung der maximalen Restrisiken für das Vertreten eines IS-Vorfalls.
Es dokumentiert die Charakterisierung des zumindest eingetragenen Abenteuers für das Eintreffen eines Vorfalls.
Es garantiert die Klassifikation der Eintrittswahrscheinlichkeit für einen Ereignis in der Informationssicherheit.

Dem PDCA-Zyklus folgend sollte interne Audits abhängig gemacht werden von:

Nachbereitungen, wie z.B. nach der Managementbewertung
Zyklen, wie z.B. in jeder Phase der Verarbeitung
Zeiten, wie z.B. alle 4 Jahre
Vorgaben, wie z.B. vor der Managementbewertung

„RoSI“ drückt welchen Begriff aus?

Return On Security Inventory
Return On Safety Investment
Return On Security Investment
Reply Of Security Investment

Die Norm ISO 27001 kennt Begriffe wie, Führung und Verpflichtung. Was bedeutet das?:

die Förderung andauender Verbesserung.
die Bereitstellung erforderlicher Ressourcen durch die oberste Leitung.
die Sicherheit, dass die ISMS-Ansprüche in die Geschäftsprozesse aufgenommen werden.
die Definition der Informationssicherheitsziele.

In einer Organisation beinhaltet die IS-Führung unter anderem …

… die Anfertigung der Informationssicherheitsleitlinie.
… die Ausbildung einer Geschäftsstrategie.
… das Management von Vorfällen im Bereich IS.
… die Ausformung einer Strategie für die IS.

Welche der dargestellten Ausgaben zählen zu den indirekten Kosten, die ein Ereignis in der IS verursachen kann?

Nebenausgaben für die Wiederbeschaffung, Konfiguration und Einrichtung eines frischen Organisationswerts
Alternativkosten (da wirtschaftliche Ressourcen für die Erneuerung des Organisationswertes investiert werden)
Ausgaben, die durch die mögliche Verletzung gesetzmäßiger und behördlicher Pflichten anfallen
Auslagen für die Unvollständigkeit des Unternehmenswerts, bis der Service des Unternehmenswerts wieder anfährt

In welchen Abschnitt des bekannten PDCA-Kreislaufes für das nach ISO 27005 anzuwendende Risikomanagement ordnen Sie den Begriff "Risikobewertung" ein?

Do
Act
Check
Plan

Welcher der folgenden Tätigkeiten fallen in den Verantwortungsbereich des IT-Security Managers?

Er veranlasst und stimmt Awarenessmaßnahmen ab.
Er sorgt sich um zufriedenstellende Ausstaffierung mit IT-Abteilung.
Er informiert die Geschäftsführung über wichtige Entwicklungen in der IS.
Der IS-Prozess wird von Ihm dirigiert und abgestimmt.

Schwachstellen werden beurteilt nach…

der Ausnutzbarkeit
der Eintrittsmasse
der Schutzbedarfsklasse
der Anerkennung

Welche Werkzeuge sind vorhanden auf den Bezug der andauernden Besserung des ISMS?

PDCA
DSGVO
DMAIC
PRINCE2

Welche der folgenden Aussagen entspricht der Wahrheit?

ISO/IEC 27002 und ISO/IEC 27005 sind in weiten Teilen konform.
ITIL v4 entspricht im Wesentlichen der ISO/IEC 27005.
Die ISO/IEC 27005:2008 ist gleichgerichtet mit ISO/IEC 27001.
CobiT 5.0 entspricht in der Darstellung dem BSI IT-GS

Innerhalb der Risikomanagements werden unter dem PDCA-Wert „DO“ …

… Maßnahmen umgesetzt
Audits beabsichtigt
Formblätter gebastelt
Maßregeln vorbereitet

Bei einer Einführung eines Informationssicherheitsmanagementsystems ist mit der Entscheidung wer betraut?

die Security-Teams
der Geschäftsführer
die EDV-Mannschaft
der IT-Sicherheitsmanager.

Welche ISMS-Prozesse sind in die Do-Phase einzuordnen?

Prozess der Managementbewerbung
Incident-Management-Prozess
Prozess zur Realisierung von Awareness-Schulungen
Prozess zum Verstehen der Anordnungen

Welche der dargestellten Belange zählen Sie in ein "Zertifizierungsaudit"?

Festlegung der zu prüfenden Abteilungen
Nennung der Interviewpartner mit Terminvorschlag
Dokumentationsprüfung des ISMS
Prüfung der Wirksamkeit des ISMS

Die Akzeptanzgrenze in einer Matrix der Risikoanalyse ist die Grenze zwischen:

Gefahren und Restrisiken
nicht zu kurierenden und zu kurierenden Gefahren
Wahrscheinlichkeiten des Eintritts und der daraus resultierenden Schäden
vorliegenden und erwarteten Informationssicherheitsvorfällen

Key Performance Indicator (KPI) finden wir in der Norm ISO 27x?

ISO 27005
ISO 27000
ISO 27004
ISO 27001

Eine IS-Awarenesskampagne sollte normalerweise folgende Bestandteile beinhalten:

Aufmerksamkeit erregen
Bewusstsein vermitteln, Einstellung abändern
Personal bekannt geben, die Fehlern begangen haben
Verstärkung des Erlernten

Sofern die bekannten Risiken angenommen oder gewichtige Aussagen bzgl. Risiken getroffen worden sind, ist dies…

… vom Verantwortlichen oder Entscheidungsträger zu unterzeichnen.
… der Betriebsleitung anzubieten.
… zu belegen und in einem Behälter zu sammeln.
… unvermindert den Teams zu kommunizieren.

Auf welcher Aussagen fußt die Ihnen bekannte Norm ISO 27002?

auf den Maßnahmenkatalogen des BSI IT-Kernschutzes
auf einen Best-Practice-Ansatz für Anweisungen zur IS für ein spezielles Arbeitsgebiet
auf einen branchenübergreifenden Good-Practice-Ansatz für Maßnahmen zur Informationssicherheit
auf einen möglichen Ansatz für Ausführungsbestimmungen zur IS in deutschen Behörden

Welche der aufgeführten Ausgaben zählen zu den direkten Auslagen, die ein Sicherheitsvorfall verschulden kann?

Bis die Bedienung des Unternehmenswerts wieder anfängt, die Kosten für den Wegfall des Unternehmenswerts
Ausgaben für die Wiederbeschaffung, Konfiguration und Installation eines neuen Unternehmenswerts
Nebenausgaben, die durch die möglichen Angriffe gesetzlicher und behördlicher Pflichten anfallen
Kosten der entgangenen Gelegenheit, (da fiskalische Ressourcen für die Verbesserung des Unternehmenswertes genutzt werden)

Im Business Continuity Management (BCM) gibt es eine Methode mit dem Kürzel BIA. Was ist hiermit gemeint?

Business Impact Assessment / Analysis
Business Information Analysis
Business Information Assessment
Business Improvement Analysis

Welche der nachkommenden Bedeutungen sind KEINE Kenngrößen, aber Leistungskenngrößen der IS?

Return on Security Invest (RoSI) = Ertragsberechnung auf das in die IT-Sicherheit investierte Kapital
Menge umgesetzter IS-Kontrollen, mit direktem Bezug auf alle umzusetzenden IS-Kontrollen
Anhäufung von IS-Vorfällen
Anzahl verkaufter IS-Kontrollen

Informationsflüsse finden wir in unterschiedlicher Form …

in Unterhaltungen
beim Publizieren (Ausdrucken)
beim Surfen auf eine Webseite
im E-Mail-Transport

Eine mögliche oder wahrnehmbare Gefährdung wird zu einem Risiko, wenn…

… diese hinsichtlich der Eintrittswahrscheinlichkeit und dem potentiellen Schaden bewertet wurde.
… diese hinsichtlich der Einschüchterung und der Schwachstelle eingeschätzt wurde.
… beurkundet ist und von der Geschäftsleitung publiziert wurde.
… diese bezüglich der Eintrittswahrscheinlichkeit und dem denkbaren Anschluss bewertet wurde.

Welches sind allgemeingültige Schritte, um die Awarness von Informationssicherheit anzufeuern?

von den Mitarbeitern freiwillig benannte Webseiten ausforschen
Giveaways
Benachrichtigungen im Intranet des Betriebes
Arbeitsverträge mit entsprechenden Anlagen

In der CHECK Ebene aus dem PDCA-Zyklus des Managements von Risiken entsteht die:

Berichtigung des Risikomanagements
Definition des zukünftigen Scopes
Umsetzung der Maßnahmen
Risikoüberwachung

Welche Aussagen bzgl. der Norm ISO 27001 treffen aus Ihrer Sicht zu? Die Norm …

… ist global angelegt, ausgerichtet auf die internationale Anwendung.
… ist prozessorientiert und betrachtet die Informationssicherheit auf der Ebene der Prozesse.
… ist nur im angelsächsischen Aufenthaltsraum anzutreffen.
… wird ausnahmslos im deutschsprachigen Wirtschaftsraum verwendet.

Welche der hier dargestellten Messgrößen sollten in der der „IS-Governance“ enthalten sein?

Parameter der IS
Kenngrößen aus der EDV
KPIs aus der Informationssicherheit
strategische Einflussfaktoren der IS

Die " Unternehmensführung " regelt unter anderem folgenden Einheiten in einer Organisation:

Information Security
Riskmanagement
Informationstechnologie
Recht & Konformität

Eine maßgebliche Angelegenheit der IS- Steuerung (Governance) in einer Organisation ist es unter anderem, …

… Messen der Wirkung von den Maßnahmen zur IS.
… die IT-Ausstaffierung zu favorisieren.
… für IS-Maßnahmen eine sogenannte Kosten-Nutzen-Analysen umzusetzen.
… Ressourcen zur Unterstützung der IS zur Verfügung stellen.

Die Unternehmensstruktur sieht die Rolle des IT-Security Managers in der heutigen Darstellung …

… als Teil der Geschäftsleitung.
… direkt unter dem Management angeordnet.
… in der IT angekommen.
… in Legal & Compliance platziert.

Bei dem Managements von Risiken wird unter anderem in (Plan) festgelegt:

das Lastenheft
der Scope
das Gefüge des Risikomanagements
die Kriterien für Risiken

Die Unternehmensführung möchte eine Übung eines Notfalls mit Wiederherstellung durchführen lassen. Welche der nachfolgenden Eventualitäten würden Sie mit einplanen?

Den Inhalt des BIA angeben
Bestimmen des MTA
Anordnung der ausfallsicheren Beschaffenheit
Übung und Test der Wiederherstellung von Servern

Die bekannte Norm ISO/IEC 27001 fokussiert sich in der Regel auf:

auf juristische Betrachtungsweisen
auf die Gegenüberstellung mit den Normen ISO 9001 und ISO 14001
ganz und gar auf praktische Aspekte der IS
Die organisatorischen Seiten der Informationssicherheit

Die Information Risk Scorecard…

… zeigt den Risikowert addiert in Euro jedes Risikoverantwortlichen auf.
… ist eine alternative Risikoanalyse-Methode zur Festlegung der Informationssicherheitsrisiken.
… ist ein Gegenvorschlag zur Risikoablehnung.
… erfüllt die Vorgaben der ISO 27005 an eine IS-Risikoanalyse.

Welche Anregungen würden einer allgemeingültigen Risikoreduktion entsprechen?

In einem Serverraum die Installation einer Sauerstoffreduktionsanlage um dem Risiko Feuer entgegenzuwirken
Outsourcing eines Geschäftsprozesses und den damit gebundenen Risiken um evtl. dem Risiko eines Serverausfalles Rechnung zu tragen.
Den Einsatz von mobilen privaten Geräten zu Geschäftsangelegenheiten wird untersagt um einem möglichen Risikos bzgl. Datenabfluss zu begegnen.
Um die Integrität von einzugebenden Daten in eine Anwendung sicherzustellen wird das 4-Augen-Prinzip angewendet zur Eindämmung des Risikos der Integritätsverletzung

In welcher Situation des PDCA-Zyklus für das Risikomanagement nach ISO 27005 hat der Aspekt "Risikobehandlung" seinen Platz?

Do
Plan
Check
Act

Welche Auskünfte könnten in eine Bewertung durch das Management des ISMS laut ISO 27001 einlaufen?

einen Überblick über alle Sicherheitsvorfälle seit der letzten Managementbewertung
die Bilanzen des regelmäßigen Geschäftsberichts
die Dekrete der letzten Managementbewertung
die Resultate des letzten internen Audits

Eine Erklärung zur Anwendbarkeit beinhaltet:

Die Verordnungen zum Starten von Anordnungen
Eine Angabe der Ausgaben für die Schritte zur IS
Die Schiedssprüche zum Nicht-Einsetzen von Maßnahmen inkl. Argumenten
Die Entscheidungen zur Behandlung von Risiken

Die entscheidenden Schutzziele der Informationssicherheit aus den dargestellten 3er-Kobinationen sind welche:

Authentizität – Integrität - Vertraulichkeit
Integrität - Verfügbarkeit - Verbindlichkeit
Vertraulichkeit - Verfügbarkeit - Integrität
Verbindlichkeit - Vertraulichkeit - Authentizität

In die Managementbewertung des ISMS sollten folgende Belange eingeflochten werden?

Resultate der internen ISMS-Audits
Zustand der Verbesserungsmaßnahmen seit der letzten Managementbewertung
die momentane Schlussrechnung des Geschäfts
Hinweise vom Personal für Verbesserungen

In der Norm ISO 27001 wird unter anderem auch von einer SoA (Erklärung der Anwendbarkeit) gesprochen. Eine SoA ist demnach …

… ein vzwingend erforderliches Dokument
… ein nicht-obligatorisches Dokument
… ein Abkommen, das nur für KRITIS Betreiber von Bedeutung ist.
… ein Vertrag, der früher in der Zertifizierung erstellt wurde.

Wenn Informationssicherheit nach ISO 27001 aufgebaut werden soll, welche der Argumente sind richtig?

Sicherheit lässt sich nicht einfach verteidigen
Sicherheit gehört auch zu den Führungsaufgaben
Sicherheitsleistung leitet sich nur aus der IT ab
Sicherheit soll eine Top-Down-Anwendung erfahren

Was sind allgemein anerkannte Vermögenswerte nach Auslegung der Norm ISO 27001?

Mitarbeiter
Hardware/ Software
Services für die Infrastruktur
Softe Faktoren und Werte (Image, Marke)

Frage

Antwort 1

Im Rahmen einer Einführung ISMS sollten welche der folgenden Ressourcen zwingend bereitgestellt werden bzw. welche Aussage stimmt?

abgesehen von finanziellen garkeine
alle erforderlichen (personelle, finanzielle, …)
streng genommen nur personelle
Die Entscheidung liegt bei der Geschäftsführung.

Welche Eigenschaften sind bei der Bestimmung des Geltungsbereiches (Scope) für IS in Betracht zu ziehen?

Server- und Clientkonfiguration
Type of Business
Vermögenswerte
Interessenten

In der IS-Governance werden welche der hier abgebildeten Kenngrößen als Messgrößen in den Einsatz gebracht?

Anzahl aller Informationssicherheitsvorfälle
Börseanteil
Grad und Qualität der Umsetzung von ISO 27001 Controls
Menge der Printer je Mitarbeiter

Innerhalb der Anwendung von RoSI können welche der genannten Angaben zur Festlegung der Risikovariablen beitragen?

Werkzeuge aus dem betrieblichen Datenschutz
Erhebungen und Kontrolllisten
Erfahrungswerte von und mit Angriffsstrategien
überlieferte (ältere) Daten von Vorfällen in der IS

Laut ISO 27001 ist die Einführung eines Managementsystems in Bezug auf Risiken in einer Organisation …

… nur für abweisende Gemeinschaftseinrichtungen erforderlich.
… von dem Charakter der Führung abhängig.
... ein Bestandteil des „Information Security Management System“ der verpflichtend ist.
… aus eigenem Antrieb.

Was versteht man unter einem "Umfassenden Audit"?

ein Audit zur Inspektion der Compliance-Vorgaben
ein Audit, in dem vielmehr auf abberufene Normen geprüft wird
ein Audit, in dem auch die Wirtschaftlichkeit der Anordnungen bemessen wird
diverse Organisationen mit einer egalisierten Ausrichtung schließen sich zusammen für eine anstehende Zertifizierung

Unter einem "zusammengesetzten Audit" versteht man was?

einzelne Vorgesetzte mit der gleichartiger Betriebsausrichtung schließen sich für die Zertifizierung zusammen
ein Audit, in dem bezüglich verschiedener Normen geprüft wird
ein Audit zur Erhebung der Compliance-Vollmachten
ein Audit, in dem auch die Ökonomie der Anordnungen bedacht wird

Wem obliegt die Verpflichtung für die Einhaltung der Governance:

beim IT-SiBe
beim Anlagenmanager
beim DSB
bei der Geschäftsleitung

Awarenesskampagnen in der Informationssicherheit zeichnen sich durch was aus ?

Schulungen für alle Beschäftigten einer Organisation zum Thema IS
Maßnahmen die zur Sensibilisierung für die IS dienen
Notfallmanöver
Gebrauchsanweisungen für die Mithelfer zur Ersten Hilfe

Werkzeuge zur Darstellung von KPIs…

… sollen an die Forderungen des Empfängers entsprechend sein.
… werden den Adressaten insbesondere bei komplexen KPIs von Nutzen sein.
… sollen für den Empfänger ansprechend und schnell zu lesen sein.
… sollen den Zielgruppen ins Auge stechen.

"Compliance Audit" gehört zu den Begriffen, die in der IS auch Anwendung finden. Wie wird der Begriff interpretiert? Ein …

... Audit, in dem betreffend eingeschlafener Direktiven geprüft wird
... Audit zur Kontrolle der Konformitätsvorgaben
… Audit, in dem auch die Ökonomie der Anweisungen beachtet wird
… Unternehmen mit der gleichen Ausrichtung schließen sich für die Zertifizierung mit weiteren Betrieben zusammen.

Welches ist ein frisches Thema in der ISO 27001:2013 bezogen auf die Sicherheit?

Informationssicherheit im Projektmanagement
Richtlinie zur Informationssicherheit
Einhaltung der Vorschriften
Physikalische Sicherheit

Inwiefern könnte ein sogenanntes "internes Audit“ behilflich sein?

Bescheinigung des Vollzuges der IT-Compliance.
Einigung über den Projektstart für eine Einführung eines ISMS
Feststellung der Konformität gegenüber der auditierten Norm
Annahme für die unterjährige Ressourcenplanung im ISMS

Bei der Einhaltung der Vorschriften in der IT gilt,

sämtliche Bedarfe des Kompagnons und der Geschäftsfreunde beharrlich einzuhalten.
alle Anforderungen der Käufer und der Firma und unablässig einzuhalten.
gesamtheitlich und beständig die Anforderungen des Unternehmens und des Gesetzgebers einzuhalten.
alles und stabil die Ansprüche des Chefs und der Vermittler auszusetzen.

Als wahrheitsgemäß ordnen Sie welche der folgenden Aussagen ein? Die Norm ISO 27005 richtet sich …

… ausschließlich nur an öffentliche Einrichtungen.
… an Industrieunternehmen und Vereine ausschließlich in Deutschland.
… sowohl an Behörden als auch an Wirtschaftsunternehmen in Deutschland und international.
… nur an Unternehmen aus der Wirtschaft.

Welche Voraussetzung(en) für die Modellierung eines Zielobjektes sind angelehnt an das IT-Grundschutz-Kompendium des BSI im Bereich „Kern- und Standardabsicherung“

Durchlaufene Risikountersuchung und Festigung der Schritte.
Geplante Strukturanalyse und die Aufstellung einer Risikomatrix
Abgeleitete Feststellung des Schutzbedarfs und Anfertigung eines Realisierungsplanes
Eine durchlaufene Strukturanalyse und Schutzbedarfsfeststellung.

Der Scope der ISO/IEC 27001:2018 schildert unter anderem auch:

weder den Scope in Gänze noch die Grenzen des ISMS in Teilen
nur die Schranken des ISMS
allein den Anwendungsbereich des Informationssicherheits-managementsystems
sowohl die Grenzen als auch den Anwendungsbereich des Informationssicherheits-managementsystems

Aus dem Risikomanagement nach ISO 27005 lässt sich im übertragenen Sinn eine Struktur ableiten. Welche Begriffe werden dementsprechend dazugerechnet.

Rahmenbedingungen
Risikoakzeptanz
Risikobehandlung
Risikobewertung

Eine Aufstellung der Risiken ist eine gute Gelegenheit …

… zur Darstellung der Priorisierung der Risiken
… um eben diese bekannten Risiken zu minimieren
… um unter angenommenen und nicht-anerkannten Risiken visuell auswählen zu können
… Risiken ihren Schäden und Eintrittswahrscheinlichkeiten entsprechend darstellerisch (z.B. grafisch) zu begegnen

Die Informationssicherheitsleitlinie enthält:

Die Assets und Technologien der Organisationen und/oder Unternehmen
Richtlinien zum Aufnahme in die Fire- und Viruswalls
Richtlinien zur Verwertung des Internets
Die an die Informationssicherheit gerichteten Anforderungen der Organisation

Wie würden Sie die Leistungskenngrößen (KPIs) beschreiben?

Eine Darstellung des Ist- in Bezuges auf den Soll-Zustand.
Sie lesen den Soll- in Belang auf den Ist-Zustand aus.
Sie stellen eigentlich einen Soll-Kann Zustand da.
Sie weisen nur einen Ist-Status aus.

Bei der Festlegung des Anwendungsbereiches für Informationssicherheit sollte besonders geachtet werden …?

auf die Eingrenzungen des Scopes und die Schnittstellen nach außen
auf den Umsatz der Organisation des letzten Jahres
auf das Marketing des Betriebs
auf die Masse der ausgeschiedenen Mitarbeiter

Hinter dem Begriff „Unternehmensführung“ verbergen sich:

gewissenhafte Corporate Governance
Aufsicht über eine aufreibende Arbeitsgemeinschaft in allen Rangfolgen
Kooperation von Behörden
Teamleitung in Distrikten

"Risikoakzeptanz" gehört in welchen Bereich des PDCA-Kreislaufes für das Risikomanagement nach ISO 27005?

In den Bereich "Do"
In den Bereich "Plan"
In den Bereich "Check"
In den Bereich "Act"

Welcher der hier abgebildeten Sachverhalte stammt aus der ISO 27002:2013? Der Standart …

… stellt Lösungen für die Umsetzung der Ziele des Annex A der ISO 27001 vor
… zählt das Management von Audits in allen Einzelheiten auf
… schildert das Business Continuity Management in Ausschnitten
… skizziert das Risikomanagement für die ITK in allen Facetten

Ein Restrisiko wird nach der ISO 27005 folgendermaßen ausgelegt:

das Abenteuer, das sich für die Informationssicherheit eines Unternehmens nach einer ISO 27001-Zertifizierung noch ergibt
das Risiko, das sich nach der Risikobehandlung noch ergibt und ausdrücklich anerkannt werden muss
alle Wagnisse, die zu einem definiertem Termin noch nicht behandelt existieren
alle unvertretbaren Risiken, die sich aus der Analyse ergeben

Die IT-Compliance stellt die Einhaltung … dar.

der gesetzlichen Vorgaben
der persönlichen Ausführungen der Geschäftsführung
der unternehmensinternen Maßnahmen
der vertraglichen Ausführungen

Unter dem Begriff „Kenngrößen“ verstehen Sie folgendes:

Nur ein Ist-Zustand (Status) wird ausgewiesen.
Sie melden nur den Soll-Zustand.
Sie beschreiben den Soll- in Bezug auf den Kann-Zustand.
Der Soll-Zustand in Hinsicht auf das Ist- wird erklärt.

Im Rahmen von den Begrifflichkeiten in der IT-Security treffen wir auch auf „Auditee“. Was verstehen Sie darunter.

Der Drahtzieher des Audits.
Die zu auditierende Organisation.
Ein Mensch, welcher zur Durchführung des Audits bestimmt wurde.
Eine zur Verwirklichung eines Sicherheitsaudits befähigte Subjekt.

Welche Möglichkeiten ergeben sich bei der „Behandlung“ von Risiken?

Risikoreduktion / Risikoübertrag
Risikoübernahme / Risikoabwälzung
Risikovermeidung
Risikomitigierung / Risikobeibehaltung

Unter den Begriff „Key Performance Indicators (KPIs)“ versteht man …

… festgelegte, wertvolle Leistungskenngrößen.
… Werkzeuge, mit denen man Kenngrößen aller Art bildhaft machen kann.
… keine Leistungsmerkmale.
… physikalische Leistungsparameter.

Innerhalb der Arbeitsweisen der Informationssicherheitsprozesse fallen den zugeordneten Personal welche Tätigkeiten zu?

die Umsetzung von Vorgaben die mit der IS verbundenen sind
Die Benachrichtigung / das Melden von sicherheitsrelevanten Vorfällen
Verständnis ihrer Position im gesamten Prozess der Informationssicherheit
Alternativen gemäß der IS-Strategie zu bekommen

"Maßnahmen umsetzen" im DO-Schritt des PDCA-Zyklus bedeutet nach der ISO 27005 was?

die Übergabe der Angelegenheit der Risikobehandlung an Dritte
die Konzeption von Anweisungen zur Behandlung von Risiken
das Umsetzen von Maßnahmen zur Risikobehandlung
die Alternative zur Handhabung mehreren erkannten Risiken

Bei einer Einführung eines ISMS kommt welcher Vorteil zum Tragen:

„Eigentümer” kennen das vertretbare Risikoniveau und sind beeinflusst, ihre Risiken folglich zu reduzieren.
Sichtbar und verstanden werden Schlüsselrisiken.
Das Interesse richtet sich auf die Informationsressourcen , die das stärkste Risiko beinhalten.
Alle technischen Gefahren werden zu 100% beseitigt.

Wie ist die Methode bei der Anwendung von der Norm ISO 27001?

RIGHT-UP
TOP-DOWN
BOTTOM-DOWN
LEFT-RIGHT

Zu erreichende Vorgaben eine Leitlinie für IS sind unter anderem?

die Festigung der Informationssicherheit im gesamten Unternehmen
Aufbau, Pflege und die Entwicklung der Prozesse der IS
eine risikogerechte Bemessung der Sicherheitsmaßnahmen zu sicherstellen
Das Umgebungsfeld für den sicheren Umgang mit Informationen und IT-Systemen zu stellen

Innerhalb der Regeln für ein Notfallmanagement bezeichnet der Begriff (MTA) folgendes:

Mail Transfer Agent oder Message Transfer Agent
Muster Teilnehmer Analyse
Maximal tolerierbare Ausfallzeit
Medizinisch Technische Assistentin

Mit welcher der folgenden Aussagen bringen Sie nach Auslegung der ISO 27001 den Begriff "Control" (Kontrolle) in Verbindung?

Der Anhaltspunkt zur Einführung der Maßnahmen
ein Maßnahmenziel
Mehrere und/oder einzelne Maßnahmen dienen der Umsetzung und Erfüllung eines Ziels
Eine Einordnung in Hauptsicherungsblöcke

Informationen ergattern ihre Nützlichkeit mit Hilfe:

der Satzlehre der Zeichen und dessen Kontext
Eines Bestandes an Zeichen
des Abc´s
den Ziffernbereich

Im übertragenen Sinn ist RoSI der Anteil …

… des Fortschrittes an den hierfür gemachten Gesamtinvestitionen.
… des verkleinerten angenommenen denkbaren Schadens an den zu seiner Abwehr durchgeführten IS-Investitionen.
… des Lohnes an den durchgeführten IS-Investitionen.
… des Schadens an den arrangierten IS-Investitionen.

Hinter dem Begriff "Auditor" verbirgt sich:

Der Drahtzieher des Audits.
Ein zur Verwirklichung eines Sicherheitsaudits prädestiniertes Individuum.
Eine qualifizierte Person, die mit der Aufgabe der Durchführung eines Audits betraut wurde.
Die zu auditierende Disposition.

Welche Gruppe oder Einzelperson darf ein "internes Audit" durchführen?

Administratoren für Firewalls
internes trainiertes Personal
unbedingt zertifizierte Auditoren
auswärtiger Ratgeber aufgrund einer Aufforderung der Direktion

Das Risikomanagement nach dem Standard ISO/IEC 27005 …

schildert eine vorzugsweislich anwendbare Behandlungsweise bei der Risikoanalyse
… erfüllt die Ansprüche an ein Risikomanagement nach ISO 27001
… stellt den Betrieb eines ISMS in grafischer Form da
… ist verwendbar für alle Organisationsformen

Innerhalb der Vorgabe seitens der ISO 27001 taucht das Objekt "Dokumentierte Information" auf. Was ist damit gemeint?

Eine entsprechende Benennung und Charakteristik ist freundlicherweise anzuordnen
Ein entsprechender Schutz der dokumentierten Information ist sicherzustellen
Das Einbeziehen einer Versionskontrolle ( Änderungsüberwachung) ist vorhanden
Eine entsprechende Benennung und Schilderung ist sicherzustellen

Die betrieblichen Schlüsselkennzahlen zur Messung der Wirksamkeit der IS richten sich im Wesentlichen an?

an das Facility Management
an die Geschäftsführung
an die Mitarbeiter im Umweltschutz
an den Betriebsratsvorsitzenden

In der ISO 27001 wird der sogenannte „Kontext“ einer Organisation beschrieben. Welche Angaben passen zur Auslegung der Norm.?

Ansprüche interessierter Parteien mit Bezugnahme zur IS bestimmen.
In Bezug auf das Informationssicherheits-managementsystem die Interessierte Parteien festzulegen.
Der Scope des ISMS ist festzulegen.
Legale regulatorische Vollmachten sowie ratifizierte Verbindlichkeiten haben keine Geltung.

Einige wesentliche Hinweise über Assets gehören in eine Inventarliste für Informationssicherheit. Welche sind das?

der Eigentümer des Vermögenswertes
die Art der benutzten, angesammelten und übermittelten Informationen und ihre Einordnung
die Einkaufskosten
die Pflegekosten

Informationssicherheit:

ist streng genommen der Datenschutz
Ist in Verbindung zu bringen mit allen Informationen der Organisation
ist ausgeschlossen von der TK-Sicherheit des Unternehmens
ist abgesehen von der Sicherheit im rezitierten Ausdruck

Eine Bekannte Abkürzung lautet „ISMS“. Was würden Sie hier interpretieren?

Information Security Management System
Informativ Sauce Management System
Informative Securitas Management System
Information Safety Management System

Die Schwachstellen- und Bedrohungs- Bewertung bewirkt folgendes:

Es bezeugt die Charakterisierung des maximalen Restrisikos für das Entstehen eines IS-Vorfalls.
Es garantiert die Abwägung des minimalen Nachteiles bei einem IS-Vorfall.
Eine Einschätzung der Eintrittswahrscheinlichkeit für einen Vorfall in der Informationssicherheit wird hiermit festgehalten.
Sie beurkundet die Klassifikation eines hohen Risikos für das Bewahrheiten eines IS-Vorfalls.

Wie können Risiken vermieden werden? Nennen Sie mögliche Szenarien.

Die Einstellung eines risikobehafteten Prozesses im Unternehmen
Auslagerung eines Prozesses des Betriebes und der damit verbundenen Risiken
Der Gebrauch mobiler Endgeräte privaten Ursprungs zu Unternehmenszwecken wird untersagt
Einrichtung eines AV-Programms (Virenschutz)

Als evtl. Ansprechpartner für ein „Business Impact Assessment“ könnte sich welcher der genannten anbieten?

der pflichtbewusste Systemadmin
die Rechts- und Personalabteilung
die Vorstandsetage
der Verantwortliche für den Prozess

Einige der dargestellten Schritte eignen sich für die "Auditplanung" Welche sind das?

Festlegung von Terminen und die Nennung der Interviewpartner
Dokumentationsprüfung des ISMS
Definition der Prüfgebiete (Abteilungen, Räume, etc.)
Check der Dynamik des ISMS

Was sind die angestrebten Zwecke der IS?

Minimierung von Risiken für das Unternehmen
Idealerweise die Erfolgsaussichten für Geschäfte und den Gewinn und zu maximieren
Maßgeblich die (Aufrecht)-Erhaltung der Organisationstätigkeit
Ein einzigartiges Niveau für Sicherheitsbelange festzulegen, welches unmittelbar in den Einsatz kommt

Welche Ausführung trifft auf den bekannten "PDCA Zyklus" zu?

Stellt den Kette der Wartungen von IT-Systemen dar
Findet sich in der Norm ISO 27001 wieder
Ist wichtiger Teil der Entscheidungsfindung im Kreise der Wiederauffrischung von IT-Systemen
Ist Teil eines immerwährenden Verbesserungsprogramms.

Was wird durch den Begriff “Nichtkonformität“ nach Auslegung der ISO 27001 ausgedrückt?

Der Vollzug der Forderung ist nicht nötig.
Es gibt keine schwerwiegenden Bedrohungen für die IS.
Die Zählung der Ausfälle der Anweisung ist nicht denkbar.
Nichtausführung oder -erfüllung einer Anforderung

Notfallmanagement – Welche der nachfolgenden Angaben bringen Sie damit in Verbindung?

Die sogenannte Ausfallsicherheit erhöhen
Um die bedeutendsten Geschäftsprozesse bei Ausfall schnell wiederaufzunehmen, werden die Organisationen auf Notfälle und Krisen entsprechend vorbereitet.
Fehlerhafte IT-Systeme zu modernisieren
Elementarschäden zuvorzukommen

In einem Managementsystem finden sich unter anderem auch einige der genannten Aspekte wider. Welche sind das?

die technischen
die philosophischen
die rechtlichen
die organisatorischen

Welche der Anregungen entspricht einer allgemeingültigen Reduktion von Risiken?

Risiko Schadprogramme: Einrichtung eines Anti-Viren-Programms
Risiko Geschäftsunterbrechung: Das Kapitulieren eines risikobehafteten Geschäftsprozesses
Risiko Datenabfluss durch private mobile Endgeräte: Die Verwertung persönlicher beweglicher Endgeräte zu Geschäftszwecken wird untersagt
Risiko Serverausfall: Externe Auslagerung eines Geschäftsprozesses und der damit festgehaltenen Gefahren

In der PLAN-Phase sind aus Ihrer Sicht welche ISMS-Begebenheiten einzusortieren?

Rechtsweg bei einem Audit
Risikoanalyseprozess
Vorgabe zur Anfertigung der Erklärung zur Anwendbarkeit
Prozess zur Herstellung der IS-Leitlinie

In einem Unternehmen treffen Sie auf eine Schwachstelle. Diese …

… berührt nur das Personal der Organisation.
… kann nicht mit geeigneten Schritten abgemildert werden.
..ist ein relevanter Sicherheitsmangel eines IT-Systems oder eines Betriebes.
… lässt ein eine Institution oder ein IT-System anfälliger für Bedrohungen werden.

Unter welchen Konstellationen kann eine Unternehmensleitung, die Konformität mit ISO 27001 beansprucht, Forderungen aus dem Kapitel 6 der ISO 27001 ausklammern und für nicht verwendbar erklären?

wenn sie dies durchdacht wird.
überhaupt nicht.
Wenn es sich um einen Betrieb des Fernmeldewesens handelt, für den der spezifische Leitfaden ISO 37499 gilt.
wenn das Unternehemn bereits nach ISO 19011 oder ISO 17021 zertifiziert ist.

Die ISO/IEC 27001 kann Ihnen bei welchen der folgenden Anforderungen maßgeblich Hilfestellung geben?

bei der Festlegung von Aktivitäten im Bereich des Informationssicherheitsmanagement
bei dem tatsächlichen Verstehen von Verkabelungsplänen für Netzwerke
bei der Definition von neuen ISM-Prozessen
bei der Anfertigung von Pflichtenheften

Zu den Angelegenheiten eines „Risk Owners“ gehören unter anderem?

Sicherheitsrisiken innerhalb der IT beurteilen zu können und die damit eingebundenen Prüfungen erkennen.
Die Risiken bzgl. Investitionen des Betriebes bewerten
Anlagegefahren bestimmen und einschätzen
Gefahren (Risiken) die sicherheitsrelevante für die IT sind vorbeugend zu im Auge behalten

Welche Aussage(n) könnten richtig sein? Wird die Idee hinter einer IS-Governance in einer Organisation ausgelebt, so ergeben sich positive Merkmale, wie …

Anschaulichkeit und Transparenz bei den Regelungen und der Kontrolle der IS
existente etablierte IS-Prozesse
keineswegs die Haftung aller Beteiligten für die Iinformationssicherheit
eine vorhandene im Unternehmen bekannte IS-Organisation

In den "Rahmenbedingungen" der Norm ISO 27005 finden wir im Gebiet des Risikomanagements diverse Aktivitäten. Welche?

Anweisungen ändern
Durchführung des IS-Riskmanagements
Scope des Risikomanagements abgrenzen
Merkmale von Risiken aufzeigen

Welche Fragen sind bei der Konzeption von IS-Awarenesskampagnen sind zu klären?

Welche Ziele sind zu verfolgen?
Welche Ressourcen stehen dafür bereit?
Welche Zielgruppen sind zu schulen?
Wie lange sollen die Lektionen dauern?

Allgemeingültige Resultate einer Managementbewertung des ISMS laut ISO 27001 sind:

Die Einbringung zwingend erforderlicher Ressourcen zu entscheiden.
Verfügungen zur Korrektur einiger ISMS-Prozesse
Alternativen zur Berichtigung der Durchschlagskraft des ISMS
Verordnungen zur Verbesserung der Geschäftsstrategie

Im Zusammenspiel mit KRITIS wurde welches der genannten Gesetze auf den Weg gebracht?

Normung zum IT-Sicherheitsgesetz
IT-Sicherheitsgesetz mit Auswirkungen auch auf andere Gesetze.
IT-DSGVO
IT-SiBe-Ordnung

Im Rahmen welcher der folgenden „Überschriften“ bringen Sie Sensibilisierung und Schulung am ehesten unter?

Risikomanagement
Einführung eines ISMS
Notfallbehandlung
fortdauernde Richtigstellung der Informationssicherheit

In den unterschiedlichen Phasen des Risikomanagements erfolgt im Bereich ACT die ...

… Berichtigung des Prozesses
… Umsetzung der Verbesserungsmaßnahmen
… Zertifizierung
… reifliche Abwägung des Prozesses

Als belastbare Unterlage gehört zu einem Informationssicherheits-managementsystem:

der Geschäftsabschluss
die unternehmensweite Einteilung und der Aufbau der IS
der Scope
die Darstellung der Handhabung zur Risikoanalyse

Laut Auslegung des IT-Grundschutzkompendiums des BSI ist es möglich zusätzliche Gefährdungen für den IT-Verbund zu aufzuzeigen. Was könnte helfen?

menschliches Fehlverhalten
Kaufpreis von Systemtools, IT-Systemen und Beraterleistung
Innentäter
Veröffentlichungen über Schwachstellen

Im übertragenen Sinne ist eine Bedrohung auch dann vorhanden …

… wenn diese mit geeigneten Maßnahmen nicht abgeschwächt werden kann.
… wenn es in der jeweiligen Organisation keine eigene Schwachstelle gibt.
… wenn man sie erfassen kann.
… wenn diese mit geeigneten Maßnahmen abgeschwächt werden kann.

Welche Titel und evtl. damit verbundene Rollen sind Bestandteil des IS-Prozesses?

Risikomanager
IT-Security Beauftragter
Die Geschäftsleitung
IT-Security Manager

Seit dem 1. Februar 2018 dient das IT-Grundschutz-Kompendium als Prüfgrundlage für Zertifizierungen nach ISO 27001 auf Basis von IT-Grundschutz. Diese ist … machbar.

durch die Nachfrage des IT-Sicherheitsbeauftragten
unter unbestimmbaren Faktoren bereits nach Abbruch der Basisabsicherung
möglicherweise bereits nach Beendigung der Kernabsicherung
nach Verstehen der IT-Sicherheitsvorgaben der Siegelstufen A, B und C

Kenngrößen werden in der Informationssicherheit für was benötigt?

Um sie in der Leitlinie zur IS vorzuführen
um das Management "in Sicherheit" zu wiegen
Weil sie zur Messung und Steuerung der Wirksamkeit der Informationssicherheit dienen
Um Entscheidungen bzgl. der Informationssicherheit von Entscheidungsträgern zu erhalten

Lernkarten Info

IT-Security-Manager