MemoCard lernen mit System

Welche Aussagen hinsichtlich der Unabhängigkeit von Auditoren sind korrekt?

Die Prüfung der Unabhängigkeit muss für jedes Auditmitglied erfolgen und umfasst nur die Prüfung von wirtschaftlichen Kriterien zur Unabhängigkeit
Ein Auditor darf geprüfte Institutionen in den letzten 3 Jahren beraten haben
Die Prüfung der Unabhängigkeit muss für jedes Auditmitglied erfolgen und umfasst die Prüfung von wirtschaftlichen und persönlichen Kriterien zur Unabhängigkeit
Die Unabhängigkeit muss nur durch den Audit Teamleiter gewährleistet sein

Welche Aussagen gelten für Anforderungen für den erhöhten Schutzbedarf ?

Die Anforderungen müssen umgesetzt werden, wenn ein erhöhter Schutzbedarf vorliegt
Die Anforderungen müssen nur bei einer Kernabsicherung umgesetzt werden
Die Anforderungen müssen auch bei normalem Schutzbedarf im Rahmen des It-Grundschutz Checks bewertet werden
Die Anforderungen müssen im Rahmen einer Risikoanalyse bewertet werden, wenn ein erhöhter Schutzbedarf vorliegt

Welche Anforderungen sollten durch die offenen Punkte im Realisierungsplan erfüllt werden?

Sie sollten unerreichbar sein um kontinuierlich zu motivieren
Sie sollten terminierbar sein
Sie sollten messbar sein
Sie sollten spezifisch präzise formuliert sein

Welche Aussagen zum It-Grundschutz Check sind korrekt?

Der It-Grundschutz Check stellt eine Form des soll- ist-Vergleichs dar
Der It-Grundschutz Check darf NICHT vor einer Risikoanalyse durchgeführt werden
Jeder It-Grundschutz Check sollte angemessen nachbereitet werden
Jeder It-Grundschutz Check sollte angemessen vorbereitet werden

Welche Aussagen zum Reifegradmodell gemäß CMMI sind korrekt?

Reifegrad 4 bedeutet, dass ein Prozess weitgehend durch Kennzahlen (KPIs ) gesteuert wird
Reifegrad 2 setzt u.a. ausreichend personelle Ressourcen voraus
Reifegrad 1 setzt die vollständige Erfüllung von Reifegrad 2 voraus
Reifegrad 5 bedeutet, dass ein Prozess nicht existiert und auch nicht geplant ist

Welche Ziele verfolgt die Strukturanalyse im Rahmen der It-Grundschutz Methodik?

Die angemessene Zusammenfassung von Objekten, für die gleiche Sicherheitsmaßnahmen angewendet werden können
Die Identifizierung der Objekte, die besonders stark gefährdet sind
Die Ermittlung der Objekte, für die es passende Bausteine im It-Grundschutz Kompendium gibt
Die Ermittlung der Objekte, die in einem Sicherheitskonzept zu berücksichtigen sind

Welche Aussagen zur Managementberichterstattung sind korrekt?

Die Erstellung von Managementberichten ist optional
Ziel des Managementberichts ist die detaillierte Darstellung der Mitarbeiter, die Informationssicherheit nur unzureichend umsetzen
I'm Rahmen des Managementberichts wird auf die Verbesserungspotentiale hingewiesen
Die Erstellung von Managementberichten zur Informationssicherheit erfolgen in der Regel durch die ISBs

Welche Aussagen zur Prüftiefe bzwm zum Prüfumfang im Rahmen eines Zertifizierungsaudits gemäß ISO 27001 auf Basis von It-Grundschutz sind korrekt?

Bei beiden Überwachungsaudits werden jeweils zwingend der Baustein ISMS.1 und mindestens 2 weitere Bausteine auditiert
Bei der Erst-/Rezertifizierung werden mindestens 6 Bausteine auditiert
Der Baustein ISMS.1 muss nicht zwingend geprüft werden
I'm Rahmen der Zertifizierungslaufzeit müssen alle modellierten Schichten mit mindestens je einem Baustein überprüft werden

Welche Aussagen zu einem Zertifizierungsaudit gemäß ISO 27001 auf Basis von It-Grundschutz sind korrekt?

Das Audit darf erst nach Erteilung einer Zertifizierungsnummer durch das BSI begonnen werden
Das Audit umfasst eine Dokumentensicherung
Das Audit umfasst eine Vor Ort Prüfung
Das Audit Team muss seine Unabhängigkeit gegenüber dem BSI erklären

Welche Aussagen sind in Bezug auf eine Standardabsicherung korrekt?

Die Standardabweichung umfasst die Inhalte einer Kern- und Basis-Absicherung
Im Rahmen der Standardabweichung müssen nur Standardanforderungen umgesetzt werden
Die Standardabweichung ist eine Teilmenge der Kernabsicherung
Die Standardabweichung verzichtet auf eine Schutzbedarffeststellung

Welche Schutzziele werden gemäß It-Grundschutz Vorgehensweise unterschieden?

Vertraulichkeit
Verfügbarkeit
Datensicherheit
Integrität

Welche der folgenden Aussagen zur Risikoanalyse sind korrekt?

Der Informationssicherheitsbeauftragte muss die Durchführung der Risikoanalysen planen
Die Korrektheit und Aktualität einer Risikoanalyse wird durch die Risikoeigentümer verantwortet
Die Ergebnisse einer Risikoanalyse müssen durch den ISB freigegeben werden
Die Durchführung einer Risikoanalyse muss durch den ISB freigegeben werden

Welche Aussagen sind in Bezug auf eine Kernabsicherung korrekt?

Die Kernabsicherung fokussiert sich auf eine breite Anwendung weniger Kernanforderungen
Die Kernabsicherung verzichtet auf eine Schutzbedarffeststellung
Die Kernabsicherung verzichtet auf die Durchführung einer Risikoanalyse
Die Kernabsicherung stellt eine vollständige Umsetzung für ausgewählte Prozesse (crownjewels) sicher

Welche Informationen sollten Netzpläne enthalten, die für die Strukturanalyse benötigt werden?

Die Art der Vernetzung der IT-Systeme eines Informationsverbundes
Die bei der Erarbeitung des Sicherheitskonzepts beteiligen Organisationseinheiten
Die Außenverbindungen des Netzes eines Informationsverbundes
Die Art der IT-Systeme eines Informationsverbundes

Welche der folgenden Phasen ist Bestandteil der It-Grundschutz Vorgehensweise?

Risikoanalyse
Strukturanalyse
Schutzbedarfsfeststellung
Realisierungsplan

Unter welchen Bedingungen kann der Schutzbedarf eines IT-Systems bezüglich Verfügbarkeit geringer sein als derjenige der Anwendungen, für die es eingesetzt wird?

Wenn das IT-System nur solche Teile der Anwendungen bedient, die einen geringeren Schutzbedarf haben
Wenn mindestens ein weiteres redundantes IT-System in Betrieb ist, das die betreffenden Anwendungen bereitstellen kann
Wenn die Anwendungen innerhalb der nächsten 3 Monate so umstrukturiert werden sollen, dass das betreffende IT-System nicht mehr benötigt wird
Wenn der Buchwert des IT-Systems einen zuvor definierten Schwellenwert unterschreitet

Wel he Aussagen zur kontinuierlichen Verbesserung sind korrekt?

Die Informationssicherheit Strategie muss sich aus der Institutions und Risikostrategie ableiten
Änderungen müssen bereits bei ihrer Planung im Sicherheitskonzept berücksichtigt werden
Es muss stets der aktuelle Stand der Technik implementiert werden
Soweit die Umsetzung einer Maßnahme die Sicherheit erhöht, muss die Umsetzung geplant und durchgeführt werden

Welche Anforderungen an die Form des realisierungsplans müssen erfüllt werden?

Es gibt keine Anforderungen an die Form
Die Erfassung muss elektronisch erfolgen
Es müssen Excel Dateien oder CSV Dateien verwendet werden
Es muss ein Ticketingetool verwendet werden

Welche der folgenden Aussagen zur Risikobewertung gemäß BSI Standard 200-3 sind korrekt?

Risiken müssen NICHT bewertet werden, wenn bereits Maßnahmen umgesetzt wurden
Risiken müssen hinsichtlich ihrer Schadenshöhe bewertet werden
Die Risikobewertung muss nachvollziehbar dokumentiert werden
Risiken müssen hinsichtlich ihrer Eintrittswahrscheinlichkeit bewertet werden

Welche Aussagen zur Modellierung sind korrekt?

Die Modellierung ist im Rahmen einer Kernabsicherung entbehrlich
Zu jedem Baustein muss angegeben werden, welche Zielobjekte er modelliert wurde, die nicht-Modellierung ist zu dokumentieren
Die Modellierung ist im Rahmen einer Standardabweichung entbehrlich
Die Modellierung ist im Rahmen einer Basis-Absicherung entbehrlich

Welches Modell liegt dem in BSI Standard 200-1 beschriebenen Sicherheitsprozess zugrunde?

Ein auf kontinuierliche Verbesserung angelegter Prozess
Ein Verfahren zur Definition eines State-of-the-Art Informationssicherheitsniveaus
Ein Zyklus aus den Schritten plan do check act
Ein Modell aus technischen Sicherheitsmaßnahmen

Für welche Aspekte muss ein zugehöriger Eintrag im Realisierungsplan enthalten sein?

Standardanforderungen die offen sind
Maßnahmen zur Abstellung von Auditbefunden, die noch nicht umgesetzt wurden
Basis-Anforderungen die teilweise umgesetzt sind
Maßnahmen aus der Risikoanalyse, die noch nicht umgesetzt wurden

Welche Aussagen zur Auditbegleitung sind korrekt?

Der Auditor und die geprüfte Institution müssen eine konsistente und gemeinsame Auffassung zu jedem Sachverhalt erlangen
Korrekturen können hinsichtlich der Feststellungen und bezüglich der Bewertung von Abweichungen erfolgen
Auditoren treffen immer Tatsachenentscheidungen
Korrekturen sind möglich, solange der Auditbericht noch nicht finalisiert ist

Wann bietet es sich an, IT-Systeme bei der Strukturanalyse zu gruppieren?

Wenn diese den gleichen Schutzbedarf und ähnliche Eigenschaften (Betriebssystem, Netzanbindung, unterstützte Anwendungen)
Wenn es für diese Systeme eigene und geeignete Bausteine im It-Grundschutz Kompendium gibt
Wenn diese in denselben Räumlichkeiten untergebracht sind
Wenn die Anzahl der insgesamt erfassten Objekte zu groß zu werden droht

Welche Aussagen zur Gefährdungsauswahl gemäß BSI-Standard 200-3 sind korrekt?

Individuelle Gefährdungen müssen je Zielobjekt geprüft werden
Es sind nur solche Gefährdungen auszuwählen, die sich direkt auf ein Zielobjekt auswirken
Es sind nur solche Gefährdungen zu betrachten, die durch die BSI It-Grundschutz Bausteine für ein Zielobjekt vorgegeben werden
Durch das It-Grundschutz Kompendium werden generische Gefährdungen bereitgestellt

Welche der folgenden Aussagen zu It-Grundschutz Bausteinen sind korrekt?

It-Grundschutz Bausteine werden durch die Hersteller von Produkten (z.b. Microsoft oder Cisco) erstellt
Systembausteine sollten nur einmal je Informationsverbund modelliert werden
Der Baustein OPS.2.1 Outsourcing für Kunden muss einmal je Outsourcing- Nehmer modelliert werden
It-Grundschutz Bausteine entsprechen den Ergebnissen einer Risikoanalyse für einen normalen Schutz bedarf und das beschriebene Einsatzszenario

Welche Definitionen sind korrekt?

Ein Notfall ist ein Großschadensereignis mit katastrophalen Auswirkungen
Eine Krise liegt vor, wenn ein Notfall ein existenzbedrohendes Ausmaß annehmen kann
Eine Störung kann zum Notfall eskalieren
Eine Störung ist ein unvorhersehbares Ereignis, bei dem Prozesse nicht wie vorgesehen funktionieren

Welche Aussagen zum It-Grundschutz sind korrekt?

Die BSI Standards 200-1, 200-2 und 200-3 sind wesentliche Bestandteile des It-Grundschutz
Der It-Grundschutz wird ausschließlich von Bundesbehörden eingesetzt
Der It-Grundschutz wird durch ein internationales Gremium entwickelt
Der It-Grundschutz ist öffentlich und kostenfrei verfügbar

Welche Aussagen zu Drittparteien Audits sind korrekt?

Interne Revisionen sind Drittparteien Audits wenn die Revisionen unabhängig von restlichen Institution sind
Ein Drittparteien Audit liegt vor, wenn Datenschutzbeauftragte ISB und Notfallbeauftragter gemeinsam ein Audit durchführen
Zertifizierungsaudits sind Drittparteien Audits
Wird ein Dienstleister Audit durch einen externen Auditor durchgeführt, handelt es sich um ein Drittparteien Audit

Welche Aussagen gelten für eine Basis-Absicherung?

Die Basis-Absicherung fokussiert auf die Sahnestücke einer Institution
Bei der Bewertung des Umsetzungsstatus werden nur Basis-Anforderungen berücksichtigt
Die Erreichung der Basis-Absicherung kann durch ein Testat nachgewiesen werden
Der Schutzbedarf für jedes Zielobjekt muss normal sein

Welche Standards gelten speziell für BCM?

BSI Standard 200-2
BSI Standard 200-3
BSI Standard 100-4/200-4
BSI Standard 200-1

In welchen Fällen können Sie gemäß It-Grundschutz Methodik auf die Schutzbedarfsfeststellung für ein IT-System verzichten?

Wenn die Anwendungen, die es unterstützt, nur einen normalen Schutzbedarf haben
Wenn das IT-System nicht eingesetzt wird
Wenn der Schutzbedarf bereits im Rahmen einer vor einem Jahr durchgeführten Revision festgestellt wurde
Wenn das IT-System spätestens innerhalb von 18 Monaten ausgesondert wird

Welche Aussagen zur Anwendung von Bausteinen auf Server sind korrekt?

für Virtualisierungsserver müssen neben dem Baustein (SYS.1.5.) sowohl der Baustein SYS.1.1 Allgemeiner Server als auch der zutreffende Betriebssystemspezifische Baustein angewendet werden
Wenn es spezielle Bausteine für Server -Anwendungen gibt, muss der betriebssystemspezifische Baustein nicht angewendet werden
Der Baustein SYS.1.1 Allgemeiner Server ist nur dann anzuwenden, wenn es keinen betriebssystemspezifischen Baustein für einen Server gibt
Neben dem Baustein SYS.1.1 allgemeiner Server ist immer auch der zutreffende Betriebssystemspezifischen Baustein anzuwenden

Welche Angaben sind für IT-Systeme bei der Strukturanalyse zu erfassen?

Standort (Gebäude und Raum)
Benutzer und Administrator
Typ und Einsatzzweck
Lieferant und Preis

Welche Standards ermöglichen die Zertifizierung eines BCMS

ISO 27001
ISO 22301
ISO 27002
BSI Standard 200-4

Welche Phasen sollen für die kontinuierliche Verbesserung durchlaufen werden?

Plan
Do
Act
Check

Welche Aufgaben haben üblicherweise ISBs?

Presseanfragen zu dem Stand der Informationssicherheit in der Institution zu beantworten
Der Leitungsebene über den Stand der Informationssicherheit zu berichten
Die Entwicklung von Sicherheitskonzepten
Die eingesetzte Sicherheitstechnik zu konfigurieren

Welche Aussagen zu einer Business Impact Analyse BIA sind korrekt?

Ziel ist die Ermittlung des Recovery Time Objective RTO
Ziel ist die Mean time between failure
Ziel ist die Ermittlung der Mean Time to repair
Ziel ist die Ermittlung des Recovery Point Objective RPO

Was berücksichtigen Sie, wenn Sie den Schutzbedarf einer Anwendung bestimmen?

Die relevanten Gefährdungen, denen die Anwendung ausgesetzt ist
Die räumliche Umgebung des IT-Systems, das die Anwendung bereitstellt
Die Bedeutung der Anwendung für die Geschäftsprozesse oder Fachaufgaben
Die Informationen, die im Zusammenhang mit der Anwendung verwendet werden

Welche Informationen sollte in einem realisierungsplan erfasst werden?

Abhängigkeiten (Vorgänger/Nachfolger)
Priorität
Eindeutige ID
Quelle des offenen Punkts

Welche der folgenden Normen beschreiben die Anforderungen an ein zertifizierungsfähiges Informationssicherheitsmanagementsystem?

ISO 27002
ISO 27001
ISACA Cobit
BSI Standard 200-2 und 200-3

Welche der folgenden Aussagen zum It-Grundschutz Kompendium sind korrekt?

Das It-Grundschutz Kompendium umfasst sowohl Prozess- als auch Systembausteine
Das It-Grundschutz Kompendium wird regelmäßig,( jährlich) aktualisiert
Das It-Grundschutz Kompendium muss käuflich über den Beuth Verlag erworben werden
Das It-Grundschutz Kompendium ist ausschließlich für Bundesbehörden relevant

Welche Ziele werden durch eine Audit Simulation verfolgt?

Erkennen von Abweichungen und Behebung im Vorfeld eines wichtigen Audits
Vorbereitung der Mitarbeiter auf den Ablauf eines Audits
Kostenreduktion durch Reduktion der Auditoren
Training von Auditoren

Welche Aussagen zu It-Grundschutz Profilen sind korrekt?

Zielgruppe der Profile sind Vertreter von Branchen und Sektoren
Alle It-Grundschutz Profile müssen auf der Webseite des BSI veröffentlicht werden
Für die Erstellung der It-Grundschutz Profile liegt eine Anleitung des BSI vor
It-Grundschutz Profile sollen die Umsetzung für wiederkehrende Anwendungsfälle vereinfachen

Welche Aussagen zu den offenen Punkten im Realisierungsplan sind korrekt?

Die Umsetzung muss immer so erfolgen, dass das höchste Risiko zuerst behandelt wird
Jeder offene Punkt muss innerhalb des laufenden Fiskaljshrs umgesetzt werden
Jeder offene Punkt muss innerhalb von einem Kalenderjahr umgesetzt werden
Aufgaben können auch über lange Zeiträume (mehrere Jahre) durch andere Aufgaben verdrängt werden

Sie stellen fest, dass eine Standardanforderung für ein IT-System nicht umgesetzt ist, das nur noch kurze Zeit in Betrieb ist. Wie behandeln Sie diese Anforderung beim It-Grundschutz Check?

Sie dokumentieren diese als entbehrlich, da ihre Umsetzung nicht mehr wirtschaftlich ist
Sie streichen die Anforderung
Sie dokumentieren diese als nicht erfüllt, und merken ggf an,dass geprüft werden muss, ob Maßnahmen zur Behebung dieses Defizits angesichts der kurzen Einsatzzeit des IT-Systems noch angemessen sind

Welche Aussagen zur IT Sicherheit sind korrekt?

Die Begriffe IT Sicherheit und Cybersecurity können synonym verwenden werden
Alle Unternehmen in Deutschland sind aufgrund des IT-Sicherheitsgesetzes zur Umsetzung von It-Grundschutz verpflichtet
Cyber Security kann als Teilmenge der Informationssicherheit aufgefasst werden
IT Sicherheit ist eine Teilmenge der Informationssicherheit

Wann muss eine Risikoanalyse gemäß It-Grundschutz durchgeführt werden?

Die Risikoanalyse muss nur für Prozesse und Informationen durchgeführt werden
Es liegt ein abweichendes Einsatzszenario vor
Es liegt für mindestens ein Schutzziel ein hoher oder sehr hoher Schutzbedarf vor
Das Zielobjekt kann nicht vollständig durch die BSI It-Grundschutz Bausteine modelliert werden

Welche Tätigkeiten sollten im Rahmen der Audit-Defense wahrgenommen werden?

Auswahl von Auditoren mit geringen Kenntnissen um die Durchführungswahrscheinlichkeit zu reduzieren
Ablenken des Auditors auf vorbildlich umgesetzte Aspekte
Eingriff in die Befragung bei Bedarf (Nutzung von Stop Zeichen)
Festlegung des Vorgehens zur Verteidigung von unvollständigen Umsetzungen

Welche der folgenden Aussagen zur Risikobehandlung sind korrekt?

Risiken dürfen akzeptiert werden
Risiken dürfen durch Maßnahmen Umsetzung reduziert werden
Risiken dürfen durch Umstrukturierung verhindert werden
Risiken dürfen ignoriert werden

Welche Aussagen zur ISO 27001 sind korrekt?

Die ISO 27001 macht detaillierte Vorgaben zur Implementierung eines ISMS
Die ISO 27001 macht detaillierte Vorgaben zur Implementierung eines BCMS
Die ISO 27001 ist eine amerikanische Norm und besitzt innerhalb der EU keine Relevanz
Die ISO 27001 ist sehr generisch und beschreibt allgemeine Vorgaben an ein Informationssicherheitsmanagementsystem

Welche der folgenden Aussagen zu einem It-Grundschutz Check sind korrekt?

Für Standard-Anforderungen ist die Risikoübernahme möglich
Bei teilweise umgesetzten Anforderungen sind die offenen Aufgaben zu dokumentieren
Für Basis-Anforderungen ist die Risikoübernahme möglich
Anforderungen können entbehrlich sein, wenn eine alternative (mind. gleichwertige) Umsetzung vorliegt

Welche Anforderungen müssen durch den Auditor erfüllt werden?

Ergebnisse müssen objektiv sein
Informationen und Erkenntnisse dürfen nur mit interessierten Parteien geteilt werden
Alle Ergebnisse sollten sich durch Nachweise nachvollziehen lassen
Jeder Auditor muss sorgfältig arbeiten

Wann bewerten Sie beim It-Grundschutz Check eine Anforderung eines It-Grundschutz Bausteins als erfüllt?

Wenn sowohl im Interview mit einem für das IT-System Zuständigen als auch bei einer Stichprobenartigen Überprüfung keine Sicherheitsmängel festgestellt wurden
Wenn der Gesprächspartner ihnen glaubhaft versichert hat, dass es bislang zu keinem Sicherheitsproblem auf dem betreffenden IT-System, gekommen ist
Wenn es eine umfangreiche Dokumentation zu den Schutzvorkehrungen für das betreffende IT-System gibt
Wenn zu der Anforderung geeignete Maßnahmen vollständig, wirksam und angemessen umgesetzt sind

Welche Aufgaben stellen sich Ihnen bei der Modellierung gemäß It-Grundschutz?

Sie merken Zielobjekte, die nicht geeignet modelliert werden können, für eine Risikoanalyse vor
Sie prüfen, welche It-Grundschutz Bausteine für den betrachteten Informationsverbund relevant sind
Sie bilden den in der Strukturanalyse dokumentierten Informationsverbund mithilfe der It-Grundschutz Bausteine ab
Sie entwerfen die Sicherheitsarchitektur des betrachteten Informationsverbundes

Welche Informationen sind Bestandteil eines It-Grundschutz Bausteine?

Beschreibungen zu Standard Sicherheitsmaßnahmen
Verweise auf weiterführende Informationen
Angaben zur spezifischen Gefährdungslage
Sicherheitsanforderungen zu einem gegebenen Sachverhalt

Welche Anwendungen sind in der Strukturanalyse zu erfassen?

Alle Anwendungen, die auf den IT-Systemen im Informationsverbund installiert sind
Alle Anwendungen, die von mindestens 20 Prozent der Mitarbeiter genutzt werden
Alle Anwendungen, für die eine gültige Lizenz vorhanden ist
Alle Anwendungen, die für mindestens einen der bereits erfassten Geschäftsprozesse erforderlich sind

Welche Aussagen zum Begriff "Sicherheit" sind korrekt?

Sicherheit ist ein unveränderbarer Zustand, der einmal erreicht wird und sich niemals wieder verändert
Für die Aufrechterhaltung des erreichten Sicherheitsniveaus müssen Änderungen an internen Anforderungen berücksichtigt werden
Für die Aufrechterhaltung des erreichten Sicherheitsniveaus müssen Änderungen an externe Anforderungen berücksichtigt werden
Sicherheit ist ein Zustand frei von nicht-vertretbaren Risiken

Was sollte eine Leitlinie zur Infosec enthalten?

Grundlegende Regelungen zur Organisation der Informationssicherheit
Konkrete Verhaltensregelungen für den Umgang mit vertraulichen Informationen
Aussagen zur Bedeutung der Informationssicherheit für die betroffene Institution
Detaillierte technische Vorgaben für die Konfiguration wichtiger IT-Systeme

Welche Aussagen zur Audit Vorbereitung sind korrekt?

Der Realisierungsplan sollte aktuell und konsistent sein
Risikoübernahmen sollten aktuell und vollständig sein
Die Referenzdokumente sollten auf Aktualität und Korrektheit geprüft werden
Alle Anforderungen müssen bis zum Auditbeginn vollständig umgesetzt werden

Welche Aussagen zur Überprüfung eines ISMS sind korrekt?

Interne Audits sind nur notwendig, wenn keine Zertifizierung vorliegt
Interne Audits sind nur notwendig, wenn keine IS -revision erfolgt
Interne Audits müssen regelmäßig durchgeführt werden
Eine wirksame Überprüfung setzt eine Testierung oder Zertifizierung voraus

Welche Punkte sind Bestandteil des Notfallmanagements?

Erstellung von Wiederherstellungsplänen
Erstellung eines Notfallvorsorgekonzepts
Abgrenzung des Geltungsbereichs
Durchführung von Risikoanalysen

Welche Aussagen zur Zertifizierung gemäß ISO 27001 auf Basis von It-Grundschutz sind korrekt?

Alle 3 Jahre ist eine Rezertifizierung verpflichtend
Überwachungsaudits sind eine zwingende Voraussetzung für die Aufrechterhaltung einer Zertifizierung
Aufgrund der mandatory firm rotation muss der Auditor spätestens nach zehn Jahren gewechselt werden
Jedes Zertifikat ist mindestens 3 Jahre gültig

Welche Aussagen zu It-Grundschutz Profilen sind korrekt?

It-Grundschutz Profile sind verpflichtend für eine Basis-Absicherung
It-Grundschutz Profile sind verpflichtend für eine Kernabsicherung
It-Grundschutz Profile sind nicht verpflichtend einzusetzen
It-Grundschutz Profile sind verpflichtend für eine Standardabsicherung

Welche der folgenden Status dürfen für die Umsetzung einer Anforderung ausgewählt werden?

Teilweise
Risikoakzeptanz
Entbehrlich
Vollständig

Flashcard Info

IT Grundschutz Praktiker