MemoCard lernen mit System

Was beabsichtigt das Business Impact Assessment im abgeleiteten Sinn?

Es hält die Beurteilung des maximalen Schadens bei einem IS-Vorfall fest.
Es dokumentiert die Charakterisierung des zumindest eingetragenen Abenteuers für das Eintreffen eines Vorfalls.
Es garantiert die Klassifikation der Eintrittswahrscheinlichkeit für einen Ereignis in der Informationssicherheit.
Es dokumentiert die Einschätzung der maximalen Restrisiken für das Vertreten eines IS-Vorfalls.

In einem Managementsystem finden sich unter anderem auch einige der genannten Aspekte wider. Welche sind das?

die technischen
die philosophischen
die rechtlichen
die organisatorischen

In die Check-Phase eines ISMS-Prozesses sind welche der folgenden Belange einzugliedern?

Überprüfung der Effektivität des ISMS
Managementbewertung
Inventory-Management-Prozess
Audit

Eine Erklärung zur Anwendbarkeit nach Auslegung der ISO 27001 sollte welche Bestandteile mitbringen?

die Organisation der Incident-Response-Teams.
Klassifikation von Verträgen
außerordentliche Anweisungen zu denen aus dem Anhang A der genannten Norm
zusätzliche Risiken

Welche der folgenden Aussagen zu Managementbewertungen (Management-Reviews) im Rahmen des ISMS ist falsch?

Managementbewertungen sollen die Konformität des ISMS beurteilen
Managementbewertungen werden von einer akkreditierten Zertifizierungsstelle durchgeführt
Managementbewertungen berücksichtigen Ergebnisse interner Audits
Managementbewertungen müssen regelmäßig stattfinden

Welche Ausführung trifft auf den bekannten "PDCA Zyklus" zu?

Stellt den Kette der Wartungen von IT-Systemen dar
Findet sich in der Norm ISO 27001 wieder
Ist Teil eines immerwährenden Verbesserungsprogramms.
Ist wichtiger Teil der Entscheidungsfindung im Kreise der Wiederauffrischung von IT-Systemen

Innerhalb der Vorgabe seitens der ISO 27001 taucht das Objekt "Dokumentierte Information" auf. Was ist damit gemeint?

Eine entsprechende Benennung und Schilderung ist sicherzustellen
Ein entsprechender Schutz der dokumentierten Information ist sicherzustellen
Eine entsprechende Benennung und Charakteristik ist freundlicherweise anzuordnen
Das Einbeziehen einer Versionskontrolle ( Änderungsüberwachung) ist vorhanden

Was sind die angestrebten Zwecke der IS?

Ein einzigartiges Niveau für Sicherheitsbelange festzulegen, welches unmittelbar in den Einsatz kommt
Idealerweise die Erfolgsaussichten für Geschäfte und den Gewinn und zu maximieren
Minimierung von Risiken für das Unternehmen
Maßgeblich die (Aufrecht)-Erhaltung der Organisationstätigkeit

Welche Aussagen treffen auf eine Informationssicherheitsleitlinie zu?

ein diplomatischer Vertrag der Geschäftsführung
ein bindendes Dokument für alle Angehörigen des Scopes des ISMS
ein Sicherheitsmanuskript für IT- Wartungen
eine Ausstellung von IT-Sicherheitsanweisungen

In der CHECK Ebene aus dem PDCA-Zyklus des Managements von Risiken entsteht die:

Risikoüberwachung
Umsetzung der Maßnahmen
Definition des zukünftigen Scopes
Berichtigung des Risikomanagements

"Maßnahmen umsetzen" im DO-Schritt des PDCA-Zyklus bedeutet nach der ISO 27005 was?

die Konzeption von Anweisungen zur Behandlung von Risiken
das Umsetzen von Maßnahmen zur Risikobehandlung
die Übergabe der Angelegenheit der Risikobehandlung an Dritte
die Alternative zur Handhabung mehreren erkannten Risiken

In der Gruppe „Plan“ des PDCA-Zyklus versteht die ISO 27005 was unter dem Gesichtspunkt "Risikobehandlung"?

die Organisation von Anordnungen zur Risikobehandlung
die Überlassung der Angelegenheit der Risikobehandlung an Dritte
das Abgeben von Anweisungen zur Risikobehandlung
die Alternative zur Handhabung jedes einzelnen erkannten Risikos

Nennen Sie Beispiele, die Sie mit dem Begriff „Risikoübertrag“ in Verbindung bringen.

Die Angelegenheit eines risikobehafteten Prozesses separat regeln (Geschäftsunterbrechung)
Die Benutzung persönlicher beweglicher Geräte im Zusammenhang mit Unternehmensbelangen wird verboten (Datenabfluss durch private mobile Endgeräte)
Einrichtung eines Virenschutzsystems im Betrieb (Schadprogramme)
Geschäftsprozess outsourcen und die damit verbundenen Risiken auch (Serverausfall)

Es gibt hin und wieder eine sogenannte "Gruppenzertifizierung". Was könnte diese beinhalten?

ein Audit, in dem auch die Ökonomie der Anweisungen beachtet wird
ein Audit zur Kontrolle der Vollmachten im Zyklus der Einhaltung der Vorschriften
mehrere Firmen mit der gleichartigen Ausrichtung ihrer Organisation schließen sich für die Zertifizierung zusammen.
ein Audit, in dem betreffend abberufener Gesetzmäßigkeiten geprüft wird

Key Performance Indicator (KPI) finden wir in der Norm ISO 27x?

ISO 27005
ISO 27000
ISO 27004
ISO 27001

Wenn Informationssicherheit nach ISO 27001 aufgebaut werden soll, welche der Argumente sind richtig?

Sicherheit lässt sich nicht einfach verteidigen
Sicherheit gehört auch zu den Führungsaufgaben
Sicherheitsleistung leitet sich nur aus der IT ab
Sicherheit soll eine Top-Down-Anwendung erfahren

In einer Organisation beinhaltet die IS-Führung unter anderem …

… die Ausbildung einer Geschäftsstrategie.
… das Management von Vorfällen im Bereich IS.
… die Anfertigung der Informationssicherheitsleitlinie.
… die Ausformung einer Strategie für die IS.

Der unter dem Kürzel DCGK geläufige "Deutsche Corporate Governance Kodex" orientiert sich mit seinen Forderungen primär:

an alle deutschen Regierungsbeteiligungen
an alle europäischen Unternehmen
an alle deutschen Börsenunternehmen
an alle EWR-Behörden

Eine mögliche oder wahrnehmbare Gefährdung wird zu einem Risiko, wenn…

… diese hinsichtlich der Einschüchterung und der Schwachstelle eingeschätzt wurde.
… diese hinsichtlich der Eintrittswahrscheinlichkeit und dem potentiellen Schaden bewertet wurde.
… beurkundet ist und von der Geschäftsleitung publiziert wurde.
… diese bezüglich der Eintrittswahrscheinlichkeit und dem denkbaren Anschluss bewertet wurde.

Welche der nachkommenden Bedeutungen sind KEINE Kenngrößen, aber Leistungskenngrößen der IS?

Return on Security Invest (RoSI) = Ertragsberechnung auf das in die IT-Sicherheit investierte Kapital
Anzahl verkaufter IS-Kontrollen
Menge umgesetzter IS-Kontrollen, mit direktem Bezug auf alle umzusetzenden IS-Kontrollen
Anhäufung von IS-Vorfällen

Im übertragenen Sinn ist RoSI der Anteil …

… des Fortschrittes an den hierfür gemachten Gesamtinvestitionen.
… des Lohnes an den durchgeführten IS-Investitionen.
… des Schadens an den arrangierten IS-Investitionen.
… des verkleinerten angenommenen denkbaren Schadens an den zu seiner Abwehr durchgeführten IS-Investitionen.

Durch wen wird die ISMS-Leitlinie eines Unternehmens offiziell in Kraft gesetzt? Durch …

das leitende Management
einen Beschluss der Hauptlierferanten
den zertifizierten Auditor
den Sicherheitsbeauftragten

Als belastbare Unterlage gehört zu einem Informationssicherheits-managementsystem:

die unternehmensweite Einteilung und der Aufbau der IS
der Geschäftsabschluss
die Darstellung der Handhabung zur Risikoanalyse
der Scope

Unter den Begriff „Key Performance Indicators (KPIs)“ versteht man …

… physikalische Leistungsparameter.
… keine Leistungsmerkmale.
… Werkzeuge, mit denen man Kenngrößen aller Art bildhaft machen kann.
… festgelegte, wertvolle Leistungskenngrößen.

Ein Restrisiko wird nach der ISO 27005 folgendermaßen ausgelegt:

alle Wagnisse, die zu einem definiertem Termin noch nicht behandelt existieren
alle unvertretbaren Risiken, die sich aus der Analyse ergeben
das Abenteuer, das sich für die Informationssicherheit eines Unternehmens nach einer ISO 27001-Zertifizierung noch ergibt
das Risiko, das sich nach der Risikobehandlung noch ergibt und ausdrücklich anerkannt werden muss

Welche der folgenden Kriterien tragen gemäß ISO/IEC 27002 zur Sicherheit eines Benutzerpasswortes bei?

Es ist leicht zu merken.
Es besitzt eine ausreichende Länge.
Es besteht nicht aus Begriffen aus einem Wörterbuch.
Es wird regelmäßig geändert.

Welche der dargestellten Ausgaben zählen zu den indirekten Kosten, die ein Ereignis in der IS verursachen kann?

Nebenausgaben für die Wiederbeschaffung, Konfiguration und Einrichtung eines frischen Organisationswerts
Ausgaben, die durch die mögliche Verletzung gesetzmäßiger und behördlicher Pflichten anfallen
Auslagen für die Unvollständigkeit des Unternehmenswerts, bis der Service des Unternehmenswerts wieder anfährt
Alternativkosten (da wirtschaftliche Ressourcen für die Erneuerung des Organisationswertes investiert werden)

Bei der Einhaltung der Vorschriften in der IT gilt,

sämtliche Bedarfe des Kompagnons und der Geschäftsfreunde beharrlich einzuhalten.
gesamtheitlich und beständig die Anforderungen des Unternehmens und des Gesetzgebers einzuhalten.
alles und stabil die Ansprüche des Chefs und der Vermittler auszusetzen.
alle Anforderungen der Käufer und der Firma und unablässig einzuhalten.

Unter dem Kürzel KPI verstehen wir:

Key Project Incident
Key Person Indicator
Key Performance Indicator
Key Performance Inventory

Wie nennt man ein Dokument, in dem allgemeine Absichten, Ziele, Vorgaben und Regeln beschrieben werden?

Prozess
Verfahren
Leitlinie
Managementsystem

Welche Titel und evtl. damit verbundene Rollen sind Bestandteil des IS-Prozesses?

Die Geschäftsleitung
Risikomanager
IT-Security Manager
IT-Security Beauftragter

Bei einer Einführung eines ISMS kommt welcher Vorteil zum Tragen:

„Eigentümer” kennen das vertretbare Risikoniveau und sind beeinflusst, ihre Risiken folglich zu reduzieren.
Das Interesse richtet sich auf die Informationsressourcen , die das stärkste Risiko beinhalten.
Sichtbar und verstanden werden Schlüsselrisiken.
Alle technischen Gefahren werden zu 100% beseitigt.

Eine maßgebliche Angelegenheit der IS- Steuerung (Governance) in einer Organisation ist es unter anderem, …

… Messen der Wirkung von den Maßnahmen zur IS.
… Ressourcen zur Unterstützung der IS zur Verfügung stellen.
… für IS-Maßnahmen eine sogenannte Kosten-Nutzen-Analysen umzusetzen.
… die IT-Ausstaffierung zu favorisieren.

In der ISO 27001 wird der sogenannte „Kontext“ einer Organisation beschrieben. Welche Angaben passen zur Auslegung der Norm.?

Legale regulatorische Vollmachten sowie ratifizierte Verbindlichkeiten haben keine Geltung.
Ansprüche interessierter Parteien mit Bezugnahme zur IS bestimmen.
In Bezug auf das Informationssicherheits-managementsystem die Interessierte Parteien festzulegen.
Der Scope des ISMS ist festzulegen.

In der ISO 27005 findet sich der Eintrag "Risikoakzeptanz". Das ist …?

… das Tragen des belegten Risikos ohne weitere Anweisungen zu befolgen
… die gewünschte Akzeptanz des Sammelsuriums des Risikomanagement-Teams
… die bewusste Akzeptanz der Restrisiken nach Durchführung der Risikobehandlungsoptionen
… die bewusste Sicherstellung aller Gefahren vor der Behandlung der Risiken

Eine Aufstellung der Risiken ist eine gute Gelegenheit …

… Risiken ihren Schäden und Eintrittswahrscheinlichkeiten entsprechend darstellerisch (z.B. grafisch) zu begegnen
… um unter angenommenen und nicht-anerkannten Risiken visuell auswählen zu können
… zur Darstellung der Priorisierung der Risiken
… um eben diese bekannten Risiken zu minimieren

Im IT-Grundschutzkompendium hat die sogenannte „Basisabsicherung“ zum Ziel….

die indirekte Zertifizierung nach ISO 27001 unmittelbar im Nachgang durchzulaufen.
ausnahmslos und eindrucksvoll Schutz zu besiegeln.
vereinzelt schutzlose Geschäftsprozesse primär sicherzustellen
erforderliche Erst-Absicherung über alle bedeutsamen Geschäftsprozesse bzw. Fachverfahren zu bekommen.

Was sind allgemein anerkannte Vermögenswerte nach Auslegung der Norm ISO 27001?

Services für die Infrastruktur
Softe Faktoren und Werte (Image, Marke)
Mitarbeiter
Hardware/ Software

Eine sogenannte „Re-Zertifizierung“ ist nach Auslegung der ISO 27001 in welchen zeitlichen Zyklen vorzunehmen?

mindestens 1x jährlich
alle 48 Monate
abhängig vom Zertifizierungsgrad alle 18 Monate
alle 3 Jahre

Maßgebend ist die IS-Leitlinie in einer Organisation unter anderem für…

… ausschließlich das Personal, das regelmäßig mit vertraulichen Infos beauftragt wurde
… IT-Mitarbeiter (ausschließlich)
… alle Beschäftigten
die Geschäftsleitung

Unter einem "zusammengesetzten Audit" versteht man was?

einzelne Vorgesetzte mit der gleichartiger Betriebsausrichtung schließen sich für die Zertifizierung zusammen
ein Audit zur Erhebung der Compliance-Vollmachten
ein Audit, in dem auch die Ökonomie der Anordnungen bedacht wird
ein Audit, in dem bezüglich verschiedener Normen geprüft wird

In den unterschiedlichen Phasen des Risikomanagements erfolgt im Bereich ACT die ...

… Umsetzung der Verbesserungsmaßnahmen
… Berichtigung des Prozesses
… reifliche Abwägung des Prozesses
… Zertifizierung

Innerhalb der Arbeitsweisen der Informationssicherheitsprozesse fallen den zugeordneten Personal welche Tätigkeiten zu?

Die Benachrichtigung / das Melden von sicherheitsrelevanten Vorfällen
Verständnis ihrer Position im gesamten Prozess der Informationssicherheit
die Umsetzung von Vorgaben die mit der IS verbundenen sind
Alternativen gemäß der IS-Strategie zu bekommen

Welche Gruppe oder Einzelperson darf ein "internes Audit" durchführen?

internes trainiertes Personal
Administratoren für Firewalls
unbedingt zertifizierte Auditoren
auswärtiger Ratgeber aufgrund einer Aufforderung der Direktion

Welcher der folgenden Tätigkeiten fallen in den Verantwortungsbereich des IT-Security Managers?

Er veranlasst und stimmt Awarenessmaßnahmen ab.
Der IS-Prozess wird von Ihm dirigiert und abgestimmt.
Er informiert die Geschäftsführung über wichtige Entwicklungen in der IS.
Er sorgt sich um zufriedenstellende Ausstaffierung mit IT-Abteilung.

Wobei handelt es sich um Maßnahmen zur Sicherheit von Betriebsmitteln, die in ISO/IEC 27001, Anhang A, beschrieben werden?

Berichtswesen
Sicherheit der Verkabelung
Instandhaltung von Gerätschaften
Zutrittskontrolle

Im Rahmen welcher der folgenden „Überschriften“ bringen Sie Sensibilisierung und Schulung am ehesten unter?

Risikomanagement
Einführung eines ISMS
fortdauernde Richtigstellung der Informationssicherheit
Notfallbehandlung

Welcher der hier abgebildeten Sachverhalte stammt aus der ISO 27002:2013? Der Standart …

… zählt das Management von Audits in allen Einzelheiten auf
… stellt Lösungen für die Umsetzung der Ziele des Annex A der ISO 27001 vor
… skizziert das Risikomanagement für die ITK in allen Facetten
… schildert das Business Continuity Management in Ausschnitten

Was wird unter anderem mit einem „Notfallmanagement“ gewollt?

Das „Überleben“ aus wirtschaftlicher Sichtweise einer Organisation bei größeren Schadensereignis abzusichern.
Zentrale Geschäftsprozesse in kritischen Konstellationen werden nicht oder nur zeitweilig abgetrennt.
Fundamentalgefahren zu beurteilen.
Schadhaftigkeit von IT-Sytemen zu boykottieren.

Wie ist die Methode bei der Anwendung von der Norm ISO 27001?

TOP-DOWN
RIGHT-UP
BOTTOM-DOWN
LEFT-RIGHT

"Compliance Audit" gehört zu den Begriffen, die in der IS auch Anwendung finden. Wie wird der Begriff interpretiert? Ein …

... Audit zur Kontrolle der Konformitätsvorgaben
… Unternehmen mit der gleichen Ausrichtung schließen sich für die Zertifizierung mit weiteren Betrieben zusammen.
… Audit, in dem auch die Ökonomie der Anweisungen beachtet wird
... Audit, in dem betreffend eingeschlafener Direktiven geprüft wird

Inwiefern könnte ein sogenanntes "internes Audit“ behilflich sein?

Bescheinigung des Vollzuges der IT-Compliance.
Einigung über den Projektstart für eine Einführung eines ISMS
Feststellung der Konformität gegenüber der auditierten Norm
Annahme für die unterjährige Ressourcenplanung im ISMS

Die Norm ISO 27005 interpretiert den Gesichtspunkt "Risikobewertung" folgendermaßen?

Risikoidentifikation, Risikobehandlung, Risikoakzeptanz
Risikoidentifikation, Risikoabschätzung, Risikopriorisierung
Risikoidentifikation, Risikopriorisierung, Risikobehandlung
Risikoidentifikation, Risikoabschätzung, Risikobehandlung

Risiken in der Informationssicherheit können folgendes sein:

Zufälle, die aus Schwankungen der EU-Märkte auftauchen
Belange, die aus der Zahlungsfähigkeit von Geschäftsfreunden entstehen
die Höhe des Imageschadens bei einem Informationsverlust
Durch die tatsächliche Verletzung von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen entstehende Risiken

Die IT-Compliance stellt die Einhaltung … dar.

der vertraglichen Ausführungen
der persönlichen Ausführungen der Geschäftsführung
der unternehmensinternen Maßnahmen
der gesetzlichen Vorgaben

In der Norm ISO 27001 wird unter anderem auch von einer SoA (Erklärung der Anwendbarkeit) gesprochen. Eine SoA ist demnach …

… ein Abkommen, das nur für KRITIS Betreiber von Bedeutung ist.
… ein zwingend erforderliches Dokument
… ein Vertrag, der früher in der Zertifizierung erstellt wurde.
… ein nicht-obligatorisches Dokument

Welche der folgenden Begiffspaarungen kommen dem Begriff „Risiko“ aus der ISO 27005 am nächsten?

Eintrittswahrscheinlichkeit und Schaden
Ernst und Eintrittswahrscheinlichkeit
Beeinträchtigen und Demonstration
Einschüchterung und Eintrittswahrscheinlichkeit

Zu den Angelegenheiten eines „Risk Owners“ gehören unter anderem?

Gefahren (Risiken) die sicherheitsrelevante für die IT sind vorbeugend zu im Auge behalten
Anlagegefahren bestimmen und einschätzen
Sicherheitsrisiken innerhalb der IT beurteilen zu können und die damit eingebundenen Prüfungen erkennen.
Die Risiken bzgl. Investitionen des Betriebes bewerten

Eine Erklärung zur Anwendbarkeit beinhaltet:

Die Verordnungen zum Starten von Anordnungen
Eine Angabe der Ausgaben für die Schritte zur IS
Die Entscheidungen zur Behandlung von Risiken
Die Schiedssprüche zum Nicht-Einsetzen von Maßnahmen inkl. Argumenten

Awarenesskampagnen in der Informationssicherheit zeichnen sich durch was aus ?

Gebrauchsanweisungen für die Mithelfer zur Ersten Hilfe
Maßnahmen die zur Sensibilisierung für die IS dienen
Notfallmanöver
Schulungen für alle Beschäftigten einer Organisation zum Thema IS

Welche der aufgeführten Ausgaben zählen zu den direkten Auslagen, die ein Sicherheitsvorfall verschulden kann?

Nebenausgaben, die durch die möglichen Angriffe gesetzlicher und behördlicher Pflichten anfallen
Bis die Bedienung des Unternehmenswerts wieder anfängt, die Kosten für den Wegfall des Unternehmenswerts auszugleichen
Ausgaben für die Wiederbeschaffung, Konfiguration und Installation eines neuen Unternehmenswerts
Kosten der entgangenen Gelegenheit, (da fiskalische Ressourcen für die Verbesserung des Unternehmenswertes genutzt werden)

Wem obliegt die Verpflichtung für die Einhaltung der Governance:

beim DSB
beim IT-SiBe
beim Anlagenmanager
bei der Geschäftsleitung

Das Risikomanagement nach dem Standard ISO/IEC 27005 …

… ist verwendbar für alle Organisationsformen
schildert eine vorzugsweislich anwendbare Behandlungsweise bei der Risikoanalyse
… stellt den Betrieb eines ISMS in grafischer Form da
… erfüllt die Ansprüche an ein Risikomanagement nach ISO 27001

Zu erreichende Vorgaben eine Leitlinie für IS sind unter anderem?

Aufbau, Pflege und die Entwicklung der Prozesse der IS
eine risikogerechte Bemessung der Sicherheitsmaßnahmen zu sicherstellen
Das Umgebungsfeld für den sicheren Umgang mit Informationen und IT-Systemen zu stellen
die Festigung der Informationssicherheit im gesamten Unternehmen

In der IS-Governance werden welche der hier abgebildeten Kenngrößen als Messgrößen in den Einsatz gebracht?

Menge der Printer je Mitarbeiter
Grad und Qualität der Umsetzung von ISO 27001 Controls
Börseanteil
Anzahl aller Informationssicherheitsvorfälle

Im Rahmen einer Einführung ISMS sollten welche der folgenden Ressourcen zwingend bereitgestellt werden bzw. welche Aussage stimmt?

alle erforderlichen (personelle, finanzielle, …)
abgesehen von finanziellen garkeine
streng genommen nur personelle
Die Entscheidung liegt bei der Geschäftsführung.

Mit welcher der folgenden Aussagen bringen Sie nach Auslegung der ISO 27001 den Begriff "Control" (Kontrolle) in Verbindung?

ein Maßnahmenziel
Eine Einordnung in Hauptsicherungsblöcke
Der Anhaltspunkt zur Einführung der Maßnahmen
Mehrere und/oder einzelne Maßnahmen dienen der Umsetzung und Erfüllung eines Ziels

Dem PDCA-Zyklus folgend sollte interne Audits abhängig gemacht werden von:

Zeiten, wie z.B. alle 4 Jahre
Zyklen, wie z.B. in jeder Phase der Verarbeitung
Nachbereitungen, wie z.B. nach der Managementbewertung
Vorgaben, wie z.B. vor der Managementbewertung

Bestehende Informationen in digitaler Form (unverschlüsselt) sind entgegen auf Papier gedruckten Informationen mit weniger Aufwand…

… zu reproduzieren.
… umzuformen.
… zu befördern.
… zu merken.

Die betrieblichen Schlüsselkennzahlen zur Messung der Wirksamkeit der IS richten sich im Wesentlichen an?

an den Betriebsratsvorsitzenden
an die Geschäftsführung
an das Facility Management
an die Mitarbeiter im Umweltschutz

Bei der Bedrohungs- und Schwachstellenanalyse sind welche Protagonisten im Unternehmen meine Ansprechpartner?

das "Legal Department"
die Geschäftsführung
der Verantwortliche des Vermögenswertes oder der Risikoeigentümer
der "Process Manager"

Welches ist ein frisches Thema in der ISO 27001:2013 bezogen auf die Sicherheit?

Richtlinie zur Informationssicherheit
Informationssicherheit im Projektmanagement
Einhaltung der Vorschriften
Physikalische Sicherheit

Wer muss sich zwingend an die Leitlinie für Informationssicherheit in einer Organisation halten?

der ITSM
Dritte und Lieferanten und auch Externe
das interne Personal
die Führungsebene

Innerhalb der Regeln für ein Notfallmanagement bezeichnet der Begriff (MTA) folgendes:

Medizinisch Technische Assistentin
Mail Transfer Agent oder Message Transfer Agent
Muster Teilnehmer Analyse
Maximal tolerierbare Ausfallzeit

Welche der folgenden Standards bzw. Normenreihen enthalten Anforderungen im Zusammenhang mit dem Management der Informationssicherheit (Security Management)?

ISO/IEC 27000 und ISO/IEC 20000
ISO/IEC 27000
ISO/IEC 9000 und ISO 19011
ISO/IEC 27000 und ISO 9000

Die Unternehmensstruktur sieht die Rolle des IT-Security Managers in der heutigen Darstellung …

… in der IT angekommen.
… direkt unter dem Management angeordnet.
… als Teil der Geschäftsleitung.
… in Legal & Compliance platziert.

Der Scope der ISO/IEC 27001:2018 schildert unter anderem auch:

allein den Anwendungsbereich des Informationssicherheits-managementsystems
sowohl die Grenzen als auch den Anwendungsbereich des Informationssicherheits-managementsystems
nur die Schranken des ISMS
weder den Scope in Gänze noch die Grenzen des ISMS in Teilen

Die Norm ISO 27001 kennt Begriffe wie, Führung und Verpflichtung. Was bedeutet das?:

die Sicherheit, dass die ISMS-Ansprüche in die Geschäftsprozesse aufgenommen werden.
die Definition der Informationssicherheitsziele.
die Bereitstellung erforderlicher Ressourcen durch die oberste Leitung.
die Förderung andauender Verbesserung.

Welche der anhängenden Größen sind keine KPIs im klassischen Sinn, sondern lediglich Statusanzeigen der IS?

RoSI (Return on Security Invest)
Delta zwischen umzusetzenden IS-Kontrollen, bezogen auf alle bereits umgesetzten IS-Kontrollen
Menge umgesetzter IS- Maßnahmen (Controls)
Zahl der IS-Begebenheiten (Vorfälle)

Wie lange muss ein Informationssicherheitsmitarbeiter nach der Kündigung die Geschäftsgeheimnisse für sich bewahren?

30 Kalenderjahre
5 Kalenderjahre
2 Kalenderjahre
Für immer

Die RoSI-Methode wird in der Regel mit folgenden Angaben in Verbindung gebracht.

RoSI ist sicher das Risiko für Informationssicherheitsvorfälle.
Es ist keine akkurate Festsetzung des erdenklichen Schadens möglich.
Viele veränderliche Größen bzgl. der Risiken gestatten nur eine Bewertung des denkbaren Schadens.
Ausgaben in der Informationssicherheit können anschaulich gemacht werden.

Unter dem Begriff „Kenngrößen“ verstehen Sie folgendes:

Sie melden nur den Soll-Zustand.
Der Soll-Zustand in Hinsicht auf das Ist- wird erklärt.
Sie beschreiben den Soll- in Bezug auf den Kann-Zustand.
Nur ein Ist-Zustand (Status) wird ausgewiesen.

Informationsflüsse finden wir in unterschiedlicher Form …

beim Surfen auf eine Webseite
beim Publizieren (Ausdrucken)
im E-Mail-Transport
in Unterhaltungen

Im übertragenen Sinne ist eine Bedrohung auch dann vorhanden …

… wenn diese mit geeigneten Maßnahmen abgeschwächt werden kann.
… wenn es in der jeweiligen Organisation keine eigene Schwachstelle gibt.
… wenn man sie erfassen kann.
… wenn diese mit geeigneten Maßnahmen nicht abgeschwächt werden kann.

„RoSI“ drückt welchen Begriff aus?

Return On Safety Investment
Return On Security Investment
Reply Of Security Investment
Return On Security Inventory

Die Information Risk Scorecard…

… ist ein Gegenvorschlag zur Risikoablehnung.
… zeigt den Risikowert addiert in Euro jedes Risikoverantwortlichen auf.
… erfüllt die Vorgaben der ISO 27005 an eine IS-Risikoanalyse.
… ist eine alternative Risikoanalyse-Methode zur Festlegung der Informationssicherheitsrisiken.

Informationssicherheit:

ist abgesehen von der Sicherheit im rezitierten Ausdruck
ist streng genommen der Datenschutz
Ist in Verbindung zu bringen mit allen Informationen der Organisation
ist ausgeschlossen von der TK-Sicherheit des Unternehmens

Seit dem 1. Februar 2018 dient das IT-Grundschutz-Kompendium als Prüfgrundlage für Zertifizierungen nach ISO 27001 auf Basis von IT-Grundschutz. Diese ist … machbar.

durch die Nachfrage des IT-Sicherheitsbeauftragten
möglicherweise bereits nach Beendigung der Kernabsicherung
unter unbestimmbaren Faktoren bereits nach Abbruch der Basisabsicherung
nach Verstehen der IT-Sicherheitsvorgaben der Siegelstufen A, B und C

Welche der folgenden Standards sind normativ?

ISO/IEC 27001
ISO/IEC 27002
ISO/IEC 27006
nur Annex A

Hinter dem Begriff „Unternehmensführung“ verbergen sich:

Aufsicht über eine aufreibende Arbeitsgemeinschaft in allen Rangfolgen
Teamleitung in Distrikten
gewissenhafte Corporate Governance
Kooperation von Behörden

Notfallmanagement – Welche der nachfolgenden Angaben bringen Sie damit in Verbindung?

Die sogenannte Ausfallsicherheit erhöhen
Fehlerhafte IT-Systeme zu modernisieren
Um die bedeutendsten Geschäftsprozesse bei Ausfall schnell wiederaufzunehmen, werden die Organisationen auf Notfälle und Krisen entsprechend vorbereitet.
Elementarschäden zuvorzukommen

Welcher der dargestellten Begriffe ist eine Möglichkeit der Netzwerkinfrastruktur, ein Individuum vom öffentlich zugänglichen System in das interne System zu integrieren, ohne das gesamte Netzwerk unbrauchbar zu machen?

Demilitarisierte Zone
Virtual Private Network
Virtual Local Area Network
Network Address Translation

Welche der dargestellten Belange zählen Sie in ein "Zertifizierungsaudit"?

Dokumentationsprüfung des ISMS
Prüfung der Wirksamkeit des ISMS
Nennung der Interviewpartner mit Terminvorschlag
Festlegung der zu prüfenden Abteilungen

Im Zusammenspiel mit KRITIS wurde welches der genannten Gesetze auf den Weg gebracht?

Normung zum IT-Sicherheitsgesetz
IT-SiBe-Ordnung
IT-Sicherheitsgesetz mit Auswirkungen auch auf andere Gesetze.
IT-DSGVO

Aus dem Risikomanagement nach ISO 27005 lässt sich im übertragenen Sinn eine Struktur ableiten. Welche Begriffe werden dementsprechend dazugerechnet.

Rahmenbedingungen
Risikobehandlung
Risikoakzeptanz
Risikobewertung

Assetmanagement in Anlehnung an die ISO 27001 oder auch ISO 27002 lässt sich mit folgenden Aussagen in Einklang bringen:

Brauchbare Vorgaben zu Nutzung von Assets sind anzufertigen.
Zuordnung der jeweiligen Assets zu dem Eigentümer.
Inventarisierung der in der Organisation vorgehaltenen Werte
Wenn deren Vertragsverhältnis endet, dann müssen Werte an die Organisation zurückgeben werden, von Externen und Mitarbeitern

Eine IS-Awarenesskampagne sollte normalerweise folgende Bestandteile beinhalten:

Personal bekannt geben, die Fehlern begangen haben
Bewusstsein vermitteln, Einstellung abändern
Aufmerksamkeit erregen
Verstärkung des Erlernten

Die Akzeptanzgrenze in einer Matrix der Risikoanalyse ist die Grenze zwischen:

Wahrscheinlichkeiten des Eintritts und der daraus resultierenden Schäden
Gefahren und Restrisiken
nicht zu kurierenden und zu kurierenden Gefahren
vorliegenden und erwarteten Informationssicherheitsvorfällen

Welche Aussagen bzgl. der Norm ISO 27001 treffen aus Ihrer Sicht zu? Die Norm …

… ist prozessorientiert und betrachtet die Informationssicherheit auf der Ebene der Prozesse.
… ist global angelegt, ausgerichtet auf die internationale Anwendung.
… wird ausnahmslos im deutschsprachigen Wirtschaftsraum verwendet.
… ist nur im angelsächsischen Aufenthaltsraum anzutreffen.

Welches sind allgemeingültige Schritte, um die Awarness von Informationssicherheit anzufeuern?

Giveaways
Benachrichtigungen im Intranet des Betriebes
Arbeitsverträge mit entsprechenden Anlagen
von den Mitarbeitern freiwillig benannte Webseiten ausforschen

Welche der folgenden Maßnahmen leistet den größten Beitrag zur Sicherstellung der erforderlichen Verfügbarkeit von Informationen?

Session Time-Out
Verschlüsselung
Authentifizierung
Backups

ISO/IEC 27001 fordert im Zusammenhang mit Verfahren und Verantwortlichkeiten: Pflichten und Verantwortungsbereiche müssen aufgeteilt werden, um…

die Möglichkeiten für unbefugte oder vorsätzliche Veränderung oder Missbrauch von Assets zu reduzieren.
unvollständie Übertragungen von Informationen, Fehlleitungen, unbefugte Veränderungen der Inhalte, Veröffentlichung, Kopieren und Wiedereinspielen zu verhindern
eine schnelle, effektive und planmäßige Reaktion auf Informationssicherheitsvorfälle sicherzustellen
die geforderte Systemleistung sicherzustellen

Welche Voraussetzung(en) für die Modellierung eines Zielobjektes sind angelehnt an das IT-Grundschutz-Kompendium des BSI im Bereich „Kern- und Standardabsicherung“

Abgeleitete Feststellung des Schutzbedarfs und Anfertigung eines Realisierungsplanes
Geplante Strukturanalyse und die Aufstellung einer Risikomatrix
Eine durchlaufene Strukturanalyse und Schutzbedarfsfeststellung.
Durchlaufene Risikountersuchung und Festigung der Schritte.

Welche Aussage(n) könnten richtig sein? Wird die Idee hinter einer IS-Governance in einer Organisation ausgelebt, so ergeben sich positive Merkmale, wie …

keineswegs die Haftung aller Beteiligten für die Iinformationssicherheit
existente etablierte IS-Prozesse
eine vorhandene im Unternehmen bekannte IS-Organisation
Anschaulichkeit und Transparenz bei den Regelungen und der Kontrolle der IS

Schwachstellen werden beurteilt nach…

der Schutzbedarfsklasse
der Anerkennung
der Eintrittsmasse
der Ausnutzbarkeit

Wenn im Bereich der Risikoanalytik von SPRINT gesprochen wird, dann ist die Analyse:

… eine breit angelegte Angelegenheit
… zu einem Teil Einschüchterung- und Schwachstelle zugleich
… das Kompendium der Bewertung der Auswirkungen auf die Unternehmen
… kurz, knapp aber dennoch präzise.

Innerhalb der Risikomanagements werden unter dem PDCA-Wert „DO“ …

… Maßnahmen umgesetzt
Audits beabsichtigt
Formblätter gebastelt
Maßregeln vorbereitet

Die bekannte Norm ISO/IEC 27001 fokussiert sich in der Regel auf:

ganz und gar auf praktische Aspekte der IS
auf juristische Betrachtungsweisen
Die organisatorischen Seiten der Informationssicherheit
auf die Gegenüberstellung mit den Normen ISO 9001 und ISO 14001

Welche Werkzeuge sind vorhanden auf den Bezug der andauernden Besserung des ISMS?

PRINCE2
DSGVO
PDCA
DMAIC

In der PLAN-Phase sind aus Ihrer Sicht welche ISMS-Begebenheiten einzusortieren?

Rechtsweg bei einem Audit
Vorgabe zur Anfertigung der Erklärung zur Anwendbarkeit
Risikoanalyseprozess
Prozess zur Herstellung der IS-Leitlinie

Hinter dem Begriff "Auditor" verbirgt sich:

Eine qualifizierte Person, die mit der Aufgabe der Durchführung eines Audits betraut wurde.
Ein zur Verwirklichung eines Sicherheitsaudits prädestiniertes Individuum.
Die zu auditierende Disposition.
Der Drahtzieher des Audits.

Wie heißt das Dokument, in dem spezifiziert wird, welche Maßnahmen aus dem Maßnahmenkatalog (Anhang A) aus ISO/IEC 27001 im Rahmen des ISMS ausgeschlossen werden?

Sicherheitsleitlinie (security police)
Erklärung zum Anwendungsbereich (scoping statement)
Anwendbarkeitserklärung (statement og applicability)
Ausschlusserklärung (statement of exclusions)

Wobei handelt es sich um legitime Möglichkeiten zum Umgang mit Sicherheitsrisiken? 1. Risiko vermeiden 2. Risikoauswirkung reduzieren 3. Risiko ignorieren 4. Risiko akzeptieren 5. Risiko versichern

Nur 1,2,3 und 4
Nur 2 und 5
Nur 1,2, 4 und 5
Nur 1 und 2

Im Rahmen einer Unterhaltung rund um das Thema Informationssicherheit hören Sie Argumente. Was ist davon richtig?

Zu jedem Vermögenswert ist eine Anordnung der Maßnahmen nach Priorität durchzuführen.
Aus jedem Vermögenswert ist ein bilanzieller Check abzuleiten.
Zu jedem Vermögenswert liefert die Thread Vulnerability Analysis zu jeder Bedrohung die Eintrittswahrscheinlichkeit.
Zu jedem Vermögenswert liefert die Business-Impact-Analyse zu jedem Schutzziel den maximal denkbaren Schaden.

Welche der Anregungen entspricht einer allgemeingültigen Vermeidung von Risiken?

Risiko Geschäftsunterbrechung: Das Kapitulieren eines risikobehafteten Geschäftsprozesses
Risiko Schadprogramme: Einrichtung eines Anti-Viren-Programms
Risiko Serverausfall: Externe Auslagerung eines Geschäftsprozesses und der damit festgehaltenen Gefahren
Risiko Datenabfluss durch private mobile Endgeräte: Die Verwertung persönlicher beweglicher Endgeräte zu Geschäftszwecken wird untersagt

Was beschreibt der Standard ISO/IEC 27002 hauptsächlich?

Anleitungen zur Umsetzung von Maßnahmen zur personellen Sicherheit
Anleitungen zur Umsetzung von Maßnahmen zur physischen und umgebungsbezogenen Sicherheit
Anleitungen zur Umsetzung von Maßnahmen zur Betriebs- und Kommunikationssicherheit
Anleitungen zur Umsetzung aller Maßnahmen aus ISO/IEC 27001, Annex A

Die ISO/IEC 27001 kann Ihnen bei welchen der folgenden Anforderungen maßgeblich Hilfestellung geben?

bei der Festlegung von Aktivitäten im Bereich des Informationssicherheitsmanagement
bei der Definition von neuen ISM-Prozessen
bei der Anfertigung von Pflichtenheften
bei dem tatsächlichen Verstehen von Verkabelungsplänen für Netzwerke

In welcher Situation des PDCA-Zyklus für das Risikomanagement nach ISO 27005 hat der Aspekt "Risikobehandlung" seinen Platz?

Act
Check
Do
Plan

Bei welcher der folgenden Optionen handelt es sich um einen der Hauptaspekte der Informationssicherheit gemäß ISO/IEC 27001?

Verschlüsselung
Verlässlichkeit
Integrität
Verwendung digitaler Signaturen

In welchen Abschnitt des bekannten PDCA-Kreislaufes für das nach ISO 27005 anzuwendende Risikomanagement ordnen Sie den Begriff "Risikobewertung" ein?

Act
Do
Plan
Check

Die Informationssicherheitsleitlinie enthält:

Richtlinien zur Verwertung des Internets
Richtlinien zum Aufnahme in die Fire- und Viruswalls
Die an die Informationssicherheit gerichteten Anforderungen der Organisation
Die Assets und Technologien der Organisationen und/oder Unternehmen

Für welche Arten von Systemen kommt die Sicherheitsmaßnahme Isolation in in Betracht?

Für unkritische Systeme
Für ausgelagerte Systeme
Für besonders sensible Systeme
Für Systeme, die nicht mehr benötigt werden

Welche der folgenden Aussagen entspricht der Wahrheit?

ITIL v4 entspricht im Wesentlichen der ISO/IEC 27005.
Die ISO/IEC 27005:2008 ist gleichgerichtet mit ISO/IEC 27001.
ISO/IEC 27002 und ISO/IEC 27005 sind in weiten Teilen konform.
CobiT 5.0 entspricht in der Darstellung dem BSI IT-GS

Sofern die bekannten Risiken angenommen oder gewichtige Aussagen bzgl. Risiken getroffen worden sind, ist dies…

… unvermindert den Teams zu kommunizieren.
… vom Verantwortlichen oder Entscheidungsträger zu unterzeichnen.
… der Betriebsleitung anzubieten.
… zu belegen und in einem Behälter zu sammeln.

Was versteht man unter einem "Umfassenden Audit"?

ein Audit zur Inspektion der Compliance-Vorgaben
ein Audit, in dem vielmehr auf abberufene Normen geprüft wird
diverse Organisationen mit einer egalisierten Ausrichtung schließen sich zusammen für eine anstehende Zertifizierung
ein Audit, in dem auch die Wirtschaftlichkeit der Anordnungen bemessen wird

Innerhalb der ISO 27005 gehört der Bezug "Rahmenbedingungen" in Anlehnung an den PDCA-Zyklus zu welchem Eintrag?

Plan
Check
Act
Do

Mit welchen der folgenden Möglichkeiten sollte man Informationen sichern?

Verschlüsselte Sicherheitskopien anlegen
In einen Aktenschrenk legen
Die Informationen möglichst vielen Mitarbeitern aushändigen, damit die Informationen wieder zu erhalten sind, falls diese verloren gehen
Eine Kopie der Informationen in eine ungeschützte Online-Cloud hochladen

Kenngrößen werden in der Informationssicherheit für was benötigt?

Um Entscheidungen bzgl. der Informationssicherheit von Entscheidungsträgern zu erhalten
Weil sie zur Messung und Steuerung der Wirksamkeit der Informationssicherheit dienen
Um sie in der Leitlinie zur IS vorzuführen
um das Management "in Sicherheit" zu wiegen

Welche Anregungen würden einer allgemeingültigen Risikoreduktion entsprechen?

Den Einsatz von mobilen privaten Geräten zu Geschäftsangelegenheiten wird untersagt um einem möglichen Risikos bzgl. Datenabfluss zu begegnen.
In einem Serverraum die Installation einer Sauerstoffreduktionsanlage um dem Risiko Feuer entgegenzuwirken
Outsourcing eines Geschäftsprozesses und den damit gebundenen Risiken um evtl. dem Risiko eines Serverausfalles Rechnung zu tragen.
Um die Integrität von einzugebenden Daten in eine Anwendung sicherzustellen wird das 4-Augen-Prinzip angewendet zur Eindämmung des Risikos der Integritätsverletzung

Bei dem Managements von Risiken wird unter anderem in (Plan) festgelegt:

das Lastenheft
die Kriterien für Risiken
der Scope
das Gefüge des Risikomanagements

Die Schwachstellen- und Bedrohungs- Bewertung bewirkt folgendes:

Es bezeugt die Charakterisierung des maximalen Restrisikos für das Entstehen eines IS-Vorfalls.
Sie beurkundet die Klassifikation eines hohen Risikos für das Bewahrheiten eines IS-Vorfalls.
Eine Einschätzung der Eintrittswahrscheinlichkeit für einen Vorfall in der Informationssicherheit wird hiermit festgehalten.
Es garantiert die Abwägung des minimalen Nachteiles bei einem IS-Vorfall.

Wobei kann die KPI Legende behilflich sein?

zur ausführlichen und erschöpfenden Dokumentation der Funktionen einer KPI
KPI Transparenz
um Kenngrößen aufzufinden
unter anderem auch für Audits oder Revisionszwecke

Welche Aussage bringen Sie mit der ISO 27001 in Verbindung?

Die ISO 27001 ist eine Technik-orientierte Norm zur Registrierung aller IT-Objekte einer Abteilung
Die ISO 27001 ist eine prozessorientierte Norm für Informationssicherheit.
Die ISO 27001 ist eine projektbasierte Norm für Riskmanagement
Die ISO 27001 ist eine Schritt-für-Schritt-Anleitung, um IS zu erreichen

Was beschreibt am besten den Begriff Vertraulichkeit? Informationen sind ...

vor unberechtigter Modifikation geschützt
verschlüsselt
vor Verlust geschützt
vor unberechtigter Offenlegung geschützt

Welche Angaben sind in Ordnung? Zu den Aufgaben des Risikomanagements zählen die:

Identifikation von bedeutungsvollen Risiken
Aufzählung von anerkannten Risiken
Anfertigung einer Sicherheitsleitlinie
Erzeugung einer priorisierten Risikoübersicht

Welche Auskünfte könnten in eine Bewertung durch das Management des ISMS laut ISO 27001 einlaufen?

die Dekrete der letzten Managementbewertung
einen Überblick über alle Sicherheitsvorfälle seit der letzten Managementbewertung
die Bilanzen des regelmäßigen Geschäftsberichts
die Resultate des letzten internen Audits

Auf welcher Aussagen fußt die Ihnen bekannte Norm ISO 27002?

auf den Maßnahmenkatalogen des BSI IT-Kernschutzes
auf einen möglichen Ansatz für Ausführungsbestimmungen zur IS in deutschen Behörden
auf einen Best-Practice-Ansatz für Anweisungen zur IS für ein spezielles Arbeitsgebiet
auf einen branchenübergreifenden Good-Practice-Ansatz für Maßnahmen zur Informationssicherheit

Im Business Continuity Management (BCM) gibt es eine Methode mit dem Kürzel BIA. Was ist hiermit gemeint?

Business Improvement Analysis
Business Impact Assessment / Analysis
Business Information Analysis
Business Information Assessment

Im Rahmen von den Begrifflichkeiten in der IT-Security treffen wir auch auf „Auditee“. Was verstehen Sie darunter.

Der Drahtzieher des Audits.
Eine zur Verwirklichung eines Sicherheitsaudits befähigte Subjekt.
Ein Mensch, welcher zur Durchführung des Audits bestimmt wurde.
Die zu auditierende Organisation.

Wie würden Sie die Leistungskenngrößen (KPIs) beschreiben?

Sie stellen eigentlich einen Soll-Kann Zustand da.
Sie weisen nur einen Ist-Status aus.
Eine Darstellung des Ist- in Bezuges auf den Soll-Zustand.
Sie lesen den Soll- in Belang auf den Ist-Zustand aus.

Audit – Was versteht man im allgemeinen unter diesem Begriff?

das Verbindung zweier Gesetzmäßigkeiten miteinander
der Vergleich zwischen Ist- und dementsprechend dem Sollzustand
der Vergleich dreier Geltungsbereiche gruppenweise
das Gegenstück von Risiken

Als wahrheitsgemäß ordnen Sie welche der folgenden Aussagen ein? Die Norm ISO 27005 richtet sich …

… sowohl an Behörden als auch an Wirtschaftsunternehmen in Deutschland und international.
… nur an Unternehmen aus der Wirtschaft.
… ausschließlich nur an öffentliche Einrichtungen.
… an Industrieunternehmen und Vereine ausschließlich in Deutschland.

Mit dem Begriff „Lead Auditor“ ist welches Argument in Verbindung zu bringen?

Die zu auditierende Disposition.
Ein zur Verwirklichung eines Sicherheitsaudits prädestiniertes Individuum.
Der Drahtzieher des Audits.
Eine Person, die mit der Aufgabe der Organisation eines Audits betraut wurde.

Unter dem Begriff „Gefährdung“ versteht man auch …

… das diese weder durch eine Einschüchterung, noch durch die verwandte Schwachstelle bestimmt werden könnte.
… das eine Bedrohung und die beigeordnete Schwachstelle bestimmt wird.
… kann nicht mit besessenen Anweisungen eingedämmt werden.
… kann mit geeigneten Maßnahmen abgemildert werden.

Allgemeingültige Resultate einer Managementbewertung des ISMS laut ISO 27001 sind:

Alternativen zur Berichtigung der Durchschlagskraft des ISMS
Die Einbringung zwingend erforderlicher Ressourcen zu entscheiden.
Verfügungen zur Korrektur einiger ISMS-Prozesse
Verordnungen zur Verbesserung der Geschäftsstrategie

Welche Fragen sind bei der Konzeption von IS-Awarenesskampagnen sind zu klären?

Welche Zielgruppen sind zu schulen?
Wie lange sollen die Lektionen dauern?
Welche Ressourcen stehen dafür bereit?
Welche Ziele sind zu verfolgen?

Informationen ergattern ihre Nützlichkeit mit Hilfe:

Eines Bestandes an Zeichen
der Satzlehre der Zeichen und dessen Kontext
den Ziffernbereich
des Abc´s

Als evtl. Ansprechpartner für ein „Business Impact Assessment“ könnte sich welcher der genannten anbieten?

die Rechts- und Personalabteilung
die Vorstandsetage
der pflichtbewusste Systemadmin
der Verantwortliche für den Prozess

Zu welchem der nachkommenden Formulierungen des Riskmanagements aus der ISO 27005 gehört die Bedrohungs- und Schwachstellenanalyse?

"Umgebungsvariablen"
"Risikobewertung"
"Risikozuspruch"
"Risikohandhabung"

Innerhalb der Anwendung von RoSI können welche der genannten Angaben zur Festlegung der Risikovariablen beitragen?

Erfahrungswerte von und mit Angriffsstrategien
überlieferte (ältere) Daten von Vorfällen in der IS
Werkzeuge aus dem betrieblichen Datenschutz
Erhebungen und Kontrolllisten

Die entscheidenden Schutzziele der Informationssicherheit aus den dargestellten 3er-Kobinationen sind welche:

Authentizität – Integrität - Vertraulichkeit
Vertraulichkeit - Verfügbarkeit - Integrität
Verbindlichkeit - Vertraulichkeit - Authentizität
Integrität - Verfügbarkeit - Verbindlichkeit

Wie können Risiken vermieden werden? Nennen Sie mögliche Szenarien.

Die Einstellung eines risikobehafteten Prozesses im Unternehmen
Einrichtung eines AV-Programms (Virenschutz)
Auslagerung eines Prozesses des Betriebes und der damit verbundenen Risiken
Der Gebrauch mobiler Endgeräte privaten Ursprungs zu Unternehmenszwecken wird untersagt

Laut Auslegung des IT-Grundschutzkompendiums des BSI ist es möglich zusätzliche Gefährdungen für den IT-Verbund aufzuzeigen. Was könnte helfen?

menschliches Fehlverhalten
Veröffentlichungen über Schwachstellen
Innentäter
Kaufpreis von Systemtools, IT-Systemen und Beraterleistung

Die Unternehmensführung möchte eine Übung eines Notfalls mit Wiederherstellung durchführen lassen. Welche der nachfolgenden Eventualitäten würden Sie mit einplanen?

Den Inhalt des BIA angeben
Bestimmen des MTA
Übung und Test der Wiederherstellung von Servern
Anordnung der ausfallsicheren Beschaffenheit

Welcher Standard aus der Normenfamilie der ISO 27k Reihe beschäftigt sich mit Risikomanagement?

ISO/IEC 27005
ISO/IEC 27003
ISO/IEC 27002
ISO/IEC 27001

Bei einer Einführung eines Informationssicherheitsmanagementsystems ist mit der Entscheidung wer betraut?

die EDV-Mannschaft
die Security-Teams
der IT-Sicherheitsmanager.
der Geschäftsführer

Warum ist ein Inventar aller Assets aus Sicht des Informationssicherheits-Managements wichtig?

Es dient als Checkliste für interne Audits
Es beinhaltet den wichtigsten Bestandteil für eine Managementbewertung
Es unterstützt die die Identifikation von Risiken und dementsprechend auch die Zuordnung zu den Assets
Es ermöglicht eine effektive Kostenkontrolle

Welche Eigenschaften sind bei der Bestimmung des Geltungsbereiches (Scope) für IS in Betracht zu ziehen?

Vermögenswerte
Server- und Clientkonfiguration
Type of Business
Interessenten

"Risikoakzeptanz" gehört in welchen Bereich des PDCA-Kreislaufes für das Risikomanagement nach ISO 27005?

In den Bereich "Plan"
In den Bereich "Check"
In den Bereich "Act"
In den Bereich "Do"

Informationen auf einer öffentlichen Webseite wurden von einem Angreifer manipuliert und durch falsche Informationen ersetzt. Welcher Aspekt der Informationssicherheit wurde verletzt?

Integrität der Informationen auf der Webseite
Erreichbarkeit der Webseite
Vertraulichkeit der Informationen auf der Webseite
Nicht-Abstreitbarkeit der Informationen auf der Webseite

Welcher Schritt erfolgt im Rahmen der Festlegung des ISMS unmittelbar nach der Definition von Anwendungsbereich und Grenzen des ISMS?

Genehmigung des Managements zur Umsetzung und Durchführung des ISMS
Erstellung einer Erklärung der Anwendbarkeit
Definition des ISMS-Leitlinie
Regelwerk erstellen für die Risikoeinschätzung

Welche der hier dargestellten Messgrößen sollten in der der „IS-Governance“ enthalten sein?

strategische Einflussfaktoren der IS
Parameter der IS
Kenngrößen aus der EDV
KPIs aus der Informationssicherheit

Welche ISMS-Prozesse sind in die Do-Phase einzuordnen?

Prozess zum Verstehen der Anordnungen
Prozess zur Realisierung von Awareness-Schulungen
Prozess der Managementbewerbung
Incident-Management-Prozess

Einige der dargestellten Schritte eignen sich für die "Auditplanung" Welche sind das?

Festlegung von Terminen und die Nennung der Interviewpartner
Dokumentationsprüfung des ISMS
Definition der Prüfgebiete (Abteilungen, Räume, etc.)
Check der Dynamik des ISMS

Welche Möglichkeiten ergeben sich bei der „Behandlung“ von Risiken?

Risikomitigierung / Risikobeibehaltung
Risikoreduktion / Risikoübertrag
Risikovermeidung
Risikoübernahme / Risikoabwälzung

In den "Rahmenbedingungen" der Norm ISO 27005 finden wir im Gebiet des Risikomanagements diverse Aktivitäten. Welche?

Anweisungen ändern
Durchführung des IS-Riskmanagements
Scope des Risikomanagements abgrenzen
Merkmale von Risiken aufzeigen

Eine Bekannte Abkürzung lautet „ISMS“. Was würden Sie hier interpretieren?

Information Security Management System
Informativ Sauce Management System
Information Safety Management System
Informative Securitas Management System

Was wird durch den Begriff “Nichtkonformität“ nach Auslegung der ISO 27001 ausgedrückt?

Die Zählung der Ausfälle der Anweisung ist nicht denkbar.
Es gibt keine schwerwiegenden Bedrohungen für die IS.
Nichtausführung oder -erfüllung einer Anforderung
Der Vollzug der Forderung ist nicht nötig.

Eine IS-Leitlinie hat für die Organisation im übertragenen Sinn Unternehmen dieselbe Geltung wie:

eine Vorschrift zur Verschlüsselung von beweglichen externen Festplatten
ein Blackpaper zur Konfiguration von Servern im Linuxumfeld
die nach der Norm ISO 9001 bekannte Qualitätsleitlinie
eine Belehrung zur außeramtlichen Internet- oder E-Mail-Nutzung

Unter welchen Umständen kann eine Organisation, die Konformität mit ISO/IEC 27001 beansprucht, Anforderungen aus dem Kapitel 4 des Standards ISO/IEC 27001 ausschließen und für nicht anwendbar erklären?

Wenn Sie dies schlüssig begründen kann
Wenn es sich um eine Organisation des Gesundheitswesens handelt, für die der branchenspezifische Leitfaden ISO/IEC 27799 gilt
Wenn die Organisation bereits nach ISO/IEC 20000-1 oder ISO 9001 zertifiziert wurde
Unter keinen Umständen

Bei der Festlegung des Anwendungsbereiches für Informationssicherheit sollte besonders geachtet werden …?

auf den Umsatz der Organisation des letzten Jahres
auf das Marketing des Betriebs
auf die Masse der ausgeschiedenen Mitarbeiter
auf die Eingrenzungen des Scopes und die Schnittstellen nach außen

Laut ISO 27001 ist die Einführung eines Managementsystems in Bezug auf Risiken in einer Organisation …

… von dem Charakter der Führung abhängig.
... ein Bestandteil des „Information Security Management System“ der verpflichtend ist.
… nur für abweisende Gemeinschaftseinrichtungen erforderlich.
… aus eigenem Antrieb.

In einem Unternehmen treffen Sie auf eine Schwachstelle. Diese …

… lässt eine Institution oder ein IT-System anfälliger für Bedrohungen werden.
… ist ein relevanter Sicherheitsmangel eines IT-Systems oder eines Betriebes.
… berührt nur das Personal der Organisation.
… kann nicht mit geeigneten Schritten abgemildert werden.

Einige wesentliche Hinweise über Assets gehören in eine Inventarliste für Informationssicherheit. Welche sind das?

die Pflegekosten
die Art der benutzten, angesammelten und übermittelten Informationen und ihre Einordnung
der Eigentümer des Vermögenswertes
die Einkaufskosten

Ein „internes Audit“ kann Auskunft darüber geben, ob …

… alle Voraussetzungen für eine Zertifizierungsprüfung (Audit) vorliegen
… die Vollzähligkeit des Incident-Recover-Teams gegeben ist
… die Kontrolle der einwandfreien Umsetzung von IS-Maßnahmen erfolgte
… die fortdauernde Korrektur des IT-Sicherheitskonzeptes beibehalten wurde

Die " Unternehmensführung " regelt unter anderem folgenden Einheiten in einer Organisation:

Recht & Konformität
Information Security
Riskmanagement
Informationstechnologie

Unter welchen Konstellationen kann eine Unternehmensleitung, die Konformität mit ISO 27001 beansprucht, Forderungen aus dem Kapitel 6 der ISO 27001 ausklammern und für nicht verwendbar erklären?

wenn das Unternehemn bereits nach ISO 19011 oder ISO 17021 zertifiziert ist.
wenn sie dies durchdacht wird.
Wenn es sich um einen Betrieb des Fernmeldewesens handelt, für den der spezifische Leitfaden ISO 37499 gilt.
überhaupt nicht.

In die Managementbewertung des ISMS sollten folgende Belange eingeflochten werden?

die momentane Schlussrechnung des Geschäfts
Resultate der internen ISMS-Audits
Zustand der Verbesserungsmaßnahmen seit der letzten Managementbewertung
Hinweise vom Personal für Verbesserungen

Im BSI Kompendium für IT GS erfolgt eine Analyse von Risiken im Bereich Standardabsicherung, …

wenn der Zielgegenstand neu bestellt wurde
wenn dem Zielgegenstand kein Baustein aus dem IT-Grundschutz zugehörig angerechnet werden kann
wenn das Zielobjekt in mindestens einem der 3 Schutzbedarfe "hoch" oder "sehr hoch" eingeordnet ist
wenn das Zielobjekt in einem Umgebungsgebilde angewandt wird, das im Kreise des IT-Grundschutzes nicht vorgesehen ist.

Werkzeuge zur Darstellung von KPIs…

… sollen an die Forderungen des Empfängers entsprechend sein.
… werden den Adressaten insbesondere bei komplexen KPIs von Nutzen sein.
… sollen für den Empfänger ansprechend und schnell zu lesen sein.
… sollen den Zielgruppen ins Auge stechen.

Lernkarten Info

IT-Security Manager