MemoCard lernen mit System

Welche Ziele werden durch eine Auditsimulation verfolgt?

Vorbereitung der Mitarbeiter auf den Ablauf eines Audits
Erkennen von Abweichungen und Behebung im Vorfeld eines wichtigen Audits
Kostenreduktion durch Reduktion der Auditoren
Training von Auditoren

Was sind Türöffner?

offene Fragen
Lösungsmöglichkeiten
geschlossenen Fragen um etwas nach vorne zu bringen
Fragen mit implizierten Interpretationen

Wer leitet die Abschlussbesprechung?

die Auditteilnehmer
der Auditteamleiter
der Betriebsrat
die auditierten Bereiche

Welche der folgenden Auditformen sind im Prozess der Zertifizierung eines Sicherheitsmanagementsystems vorgesehen?

Rezertifizierungsaudit
Wiederholungsaudit
Erstzertifizierungsaudit
Überraschungsaudit
Überwachungsaudit

Was zählt zu den wichtigen Aspekten der Auditprozess-Aktivitäten:

Dokumentenprüfung & Vor-Ort-Inspektionen
Logistik und Zeitplanung
Räumlichkeiten & Mitarbeiterschulung
Technische Überprüfungen & Berichterstattung
Kommunikation mit dem Auditor
Interviews und Workshops

Wie kann man bei der Gesprächseröffnung einen guten Eindruck machen?

Lächelnd Blickkontakt suchen
Zuhören können
Vor dem Gespräch entspannen
Durch den starken Auftritt und sehr kräftigen Händedruck

Wer ist zuständig für die Bewertung der Auditoren und Auditteamleitern?

Das Management
Der Auditprogrammverantwortliche
Der Auditteamleiter

Welche persönliche Anforderungen werden nach der DIN EN ISO 19011 an einen Auditor gestellt?

diskret
parteiisch
ehrlich
fair

Was bedeutet "Gruppenzertifizierung"?

ein Audit, in dem bezüglich verschiedener Normen geprüft wird
Mehrere Firmen mit der gleichen Unternehmensausrichtung schließen sich für die Zertifizierung zusammen
ein Audit, in dem auch die Wirtschaftlichkeit der Maßnahmen berücksichtigt wird
ein Audit zur Überprüfung der Compliance-Vorgaben

Was gehört zur "Unabhängigkeit" des Auditors?

Der Auditor hat keine Aktien des antragstellenden Unternehmens.
Der Auditor hat zwei Jahre vor dem Audit nicht für den Antragsteller gearbeitet.
Der Auditor ist nicht mit einem Verantwortlichen des Antragstellers verwandt/verschwägert.
Der Auditor hat bei keinem Wettbewerber des Antragstellers ein Zertifizierungsaudit durchgeführt.

Was ist der Inhalt des Auditterminplanes und wer erstellt diesen?

Der Auditterminplan wird vom Auditleiter / Auditteam erstellt
die Geschäftsführung
Der Auditterminplan enthält die detaillierte zeitliche Planung eines Audits
Der Betriebsrat

Über welches Wissen und Fertigkeiten sollen Auditoren verfügen?

Auditprinzipien, -verfahren und -methoden
Organisatorischer Kontext
Zutreffende gesetzliche und vertragliche Anforderungen sowie weitere Anforderungen, die auf die zu auditierenden Organisation anzuwenden sind
Managementsystemdokumente sowie Referenzdokumente

Welche der aufgeführten Schritte gehören in die Stufe "Auditplanung"?

Prüfung der Wirksamkeit des ISMS
Dokumentationsprüfung des ISMS
Festlegung der Prüfbereiche (Räumlichkeiten, Abteilungen, etc.)
Terminfestlegung und Benennung der Interviewpartner

Was versteht man unter einem "Compliance Audit"?

ein Audit zur Überprüfung der Compliance-Vorgaben
ein Audit, in dem bezüglich verschiedener Normen geprüft wird
mehrere Firmen mit der gleichen Unternehmensausrichtung schließen sich für die Zertifizierung zusammen
ein Audit, in dem auch die Wirtschaftlichkeit der Maßnahmen berücksichtigt wird

Welche Fragentypen gehören zu Fragetechniken?

offene Fragen
suggestive Fragen
Kettenfragen
rhetorische Fragen

Wer ist für die Planung und Durchführung von Audits verantwortlich?

Der Qualitätsbeauftragte
Der Auditprogrammverantwortliche
Der Auditteamleiter
Die Oberste Leitung

Welche Arbeitsdokumente gehören zur Vorbereitung eines Zertifizierungsaudits?

Teilnehmerliste
Auditprotokollformular
Auditfragelisten / -checklisten
Formular für den Auditbericht

Welche Aussagen zu einem Zertifizierungsaudit gemäß ISO 27001 auf Basis des
IT-Grundschutz sind korrekt?

Das Audit darf erst nach Erteilung einer Zertifizierungsnummer durch das BSI begonnen werden
Das Audit umfasst eine Dokumentensicherung
Das Audit umfasst eine Vor Ort Prüfung
Das Audit Team muss seine Unabhängigkeit gegenüber dem BSI erklären

Welche Aussagen hinsichtlich der Unabhängigkeit von Auditoren sind korrekt?

Die Unabhängigkeit muss nur durch den Audit Teamleiter gewährleistet sein.
Die Prüfung der Unabhängigkeit muss für jedes Auditmitglied erfolgen und umfasst nur die Prüfung von wirtschaftlichen Kriterien zur Unabhängigkeit.
Ein Auditor darf geprüfte Institutionen in den letzten 3 Jahren beraten haben.
Die Prüfung der Unabhängigkeit muss für jedes Auditmitglied erfolgen und umfasst die Prüfung von wirtschaftlichen und persönlichen Kriterien zur Unabhängigkeit.

Welche Aussage beschreibt Verantwortlichkeiten des Auditteamleiter?

jegliche Änderung an Prozessen der GF melden.
festlegen jeglicher Folgemaßnahmen z.B. aus einem früheren Audit, falls zutreffend
er muss Kaffee für das Auditteam holen
jegliche Anforderungen bezüglich Arbeitssicherheit und Bevollmächtigung sicherstellen

Wer muss an der Auditeröffnungsbesprechung teilnehmen?

Die Interviewpartner
Die Oberste Leitung
Der Auditteamleiter
Das Auditteam

Welche Aspekte eines Managementsystems sind Gegenstand eines
Stufe 1-Audits (First-Party-Audit)?

Die Bewertung der Lieferanten
Die Systemdokumentation ist vollständig im Hinblick auf die Unternehmensprozesse.
Ein erstes internes Audit wurde durchgeführt.
Der Umgang mit fehlerhaften Produkten.
Die Mitarbeiter wurden über das Managementsystem unterrichtet

Zu welcher Fragetechnik gehört der Satz
"Können Sie mir eine Verfahrensanweisung zeigen?"

Entscheidungsfragen
Geschlossenen Fragen
Hypothetische Fragen
Offene Fragen

Womit kann der Nachweis einer Auditoren-Kompetenz nachgewiesen werden?

Erfahrungsberichte
Lebenslauf
Zeugnisse
Qualifikationsmatrix

Welche Anforderungen müssen durch den Auditor erfüllt werden?

Informationen und Erkenntnisse dürfen nur mit interessierten Parteien geteilt werden
Ergebnisse müssen objektiv sein
Alle Ergebnisse sollten sich durch Nachweise nachvollziehen lassen
Jeder Auditor muss sorgfältig arbeiten

Wozu dient ein "internes Audit"?

Bestätigung der Erfüllung der IT-Compliance.
Bestätigung der Normkonformität
Festlegung des Startpunktes für eine ISMS Implementation
Voraussetzung für die Ressourcenplanung im ISMS

Wer darf ein "internes Audit" durchführen?

ausschließlich zertifizierte Auditoren
interne geschulte Mitarbeiter
externer Berater im Auftrag der Geschäftsleitung
Netzwerkadministratoren

Welche Aussagen zu Drittparteien Audits sind korrekt?

Zertifizierungsaudits sind Drittparteien Audits
Ein Drittparteien Audit liegt vor, wenn Datenschutzbeauftragte ISB und Notfallbeauftragter gemeinsam ein Audit durchführen
Interne Revisionen sind Drittparteien Audits wenn die Revisionen unabhängig von restlichen Institution sind
Wird ein Dienstleister Audit durch einen externen Auditor durchgeführt, handelt es sich um ein Drittparteien Audit

Welche Herangehensweisen an die Durchführung eines Zertifizierungsaudits sind richtig?

Ein Zertifizierungsaudit erfolgt überraschend und unangemeldet.
Ein Zertifizierungsaudit wird auf Grundlage eines vereinbarten Zertifizierungsprogrammes durchgeführt.
Die zu auditierenden Bereiche sind durch den Auditteamleiter rechtzeitig und schriftlich über das Audit zu informieren.
Über die Durchführung eines Zertifizierungsaudits ist zwischen Zertifizierungsstelle und Unternehmen immer ein Vertrag zu schließen.

Welche Tätigkeiten sollten im Rahmen der Audit-Defense wahrgenommen werden?

Ablenken des Auditors auf vorbildlich umgesetzte Aspekte
Auswahl von Auditoren mit geringen Kenntnissen um die Durchführungswahrscheinlichkeit zu reduzieren
Festlegung des Vorgehens zur Verteidigung von unvollständigen Umsetzungen
Eingriff in die Befragung bei Bedarf (Nutzung von Stop Zeichen)

Was sind Schwerpunkte des Eröffnungsgespräches?

Begrüßung und Vorstellen aller Teilnehmer
Bestätigung des Auditplanes
Bestätigung der Vertraulichkeit

Der Lead Auditor ist ...

… der Auftraggeber des Audits.
… eine Person, welche zur Organisation des Audits bestimmt wurde.
… die zu auditierende Organisation.
… eine zur Durchführung eines Sicherheitsaudits qualifizierte Person.

Was ist der Inhalt des Auditplans?

Auditziele
Auditumfang
Auditschlussfolgerungen
Auditkriterien

Welche Bereiche können bzw. werden meistens für den Umfang des Audits definiert?

Systeme
Organisation
Prozesse
Bereiche

Was sind Instrumente der Gesprächsführung?

Kontrollierter Dialog
Fragetechniken
Kommunikationssperren
Zuhören

Der Auditor ist …

… die zu auditierende Organisation
… eine zur Durchführung eines Sicherheitsaudits qualifizierte Person.
… der Auftraggeber des Audits.
… eine Person, welche zur Organisation des Audits bestimmt wurde.

Wer trägt die Gesamtverantwortung für ein wirksames Auditprogramm?

Der Qualitätsbeauftragte
Die Oberste Leitung
Der Auditprogrammverantwortliche
Der Auditfacilitator

Welche Verhaltensweisen gehören zum aktiven Zuhören?

den Blick aus dem Fenster schweifen lassen
nachfragen
paraphrasieren
Aufmerksamkeit durch nicken signalisieren

Welche Ebenen innerhalb der Kommunikation gibt es?

Sachebene
Konfrontationsebene
Friedensebene
Beziehungsebene

Woraus können sich Fragenstellungen für die Auditfrageliste ergeben?

aus Mitarbeiterbefragungen
aus neuen Kundenanforderungen
aus Beobachtungen in der Presse
aus Leistungsbewertung durch Kennzahlen

Was kann direkte Folge von gestörter Kommunikation während dem Audit sein?

Vorzeitiger Abbruch
Auditor wird eingeschüchtert
Unterstützung durch die auditierte Organisation
Aberkennung Zertifikat

Welche Voraussetzungen müssen für den Erwerb eines ISO 27001-Zertifikats auf der Basis von
IT-Grundschutz erfüllt sein?

Ausschließlich die in einem Audit nachgewiesene Erfüllung der Basis-Anforderungen.
Die durch Sichtung von Dokumenten und Vor-Ort-Prüfungen begründete Feststellung der erfolgreichen Erfüllung der IT-Grundschutz-Anforderungen durch einen zertifizierten Auditor.
Ein positives Resultat bei der Überprüfung des Audit-Berichts durch das BSI.
Die Unterschrift eines zertifizierten Auditors unter die Selbsterklärung einer Institution, dass sie die IT-Grundschutz-Anforderungen umfassend erfüllt hat.

Was versteht man unter Paraphrasieren?

Phrasen dreschen, um Aufmerksamkeit zu bekommen
Wiederholen der Frage oder des Sachverhaltes mit eigenen Worten
Das Lehrerecho
Wiederholtes Nachfragen um Interesse zu zeigen

Welche Aussagen zur Auditbegleitung sind korrekt?

Korrekturen können hinsichtlich der Feststellungen und bezüglich der Bewertung von Abweichungen erfolgen
Der Auditor und die geprüfte Institution müssen eine konsistente und gemeinsame Auffassung zu jedem Sachverhalt erlangen
Auditoren treffen immer Tatsachenentscheidungen
Korrekturen sind möglich, solange der Auditbericht noch nicht finalisiert ist

Welche der folgenden Punkte ist nicht Bestandteil des Audits?

Mitarbeiterinterview
Verteilen des Auditberichtes
Werksrundgang
Überwachung der Auditfolgemaßnahmen

Inwieweit beeinflussen Vorurteile ein Gespräch?

Erwartungen und Rollenzuweisungen können oft Gesprächsbarrieren sein
Gespräch kann in die falsche Richtung gelenkt werden
Vorurteile haben keinen Einfluss, da sie bei Auditoren nicht auftreten dürfen DIN EN ISO 19011
Vorurteile resultieren auf Erfahrungen sind also beim Auffinden von Abweichungen nützlich

Was sind Kompetenzen des Auditors?

Aufgeschlossenheit
Integrität
Selbstsicherheit
kulturelle Sensibilität

Über welches spezielle Wissen sollte der Audit-Teamleiter in Bezug auf das Leiten von
Audits aufweisen?

Risiken oder Unsicherheiten bei der Erreichung der Auditziele handhaben
Erstellen von Power Point Präsentationen
Stärken und Schwächen der Auditteammitglieder ausgleichen
Audits planen und Ressourcen während des Audits wirksam einsetzen

Was gehört zu den Arbeitsdokumenten des Audits?

die Auditfrage /-checkliste
Formular für den Auditbericht
Teilnehmerliste
Auditprobenentnahme

Aus welchen Phasen besteht ein Auditgespräch?

Gesprächseröffnung- oder Vertrauensphase
Fachphase
Abschlussphase
Kritikphase

Welche Kompetenzen benötigt ein Auditor?

Auditor Schulung
Moderationstechniken
Arbeitserfahrung
Auditerfahrung

Was versteht man unter einem "kombinierten Audit"?

mehrere Firmen mit der gleichen Unternehmensausrichtung schließen sich für die Zertifizierung zusammen
ein Audit zur Überprüfung der Compliance-Vorgaben
ein Audit, in dem bezüglich verschiedener Normen geprüft wird
ein Audit, in dem auch die Wirtschaftlichkeit der Maßnahmen berücksichtigt wird

Welche der aufgeführten Schritte gehören in die Stufe "Zertifizierungsaudit"?

Festlegung der Prüfbereiche (Räumlichkeiten, Abteilungen, etc.)
Prüfung der Wirksamkeit des ISMS
Dokumentationsprüfung des ISMS
Terminfestlegung und Benennung der Interviewpartner

Welche der folgenden Regeln gehören zu einem konstruktiven und zielgerichteten Feedback?

Keine Pauschalkritik sondern einzelne Punkte genau benennen.
Jeder Zeitpunkt ist richtig für ein Feedback
Immer und sofort die negativen Konsequenzen von Unzulänglichkeiten benennen.
Zuerst positives Feedback, dann negatives

Was sind Anzeichen dafür, dass Audits nicht als wichtig und ernst angesehen werden?

Einhalten von Terminen, um das Ganze schnell hinter sich zu bringen
Keine Brötchen, nur Kaffee und Kekse
Fälschung von Daten
Ablenkungsmanöver, Auseinandersetzungen

Der Auditee ist …

… die zu auditierende Organisation
… eine zur Durchführung eines Sicherheitsaudits qualifizierte Person.
… eine Person, welche zur Organisation des Audits bestimmt wurde.
… der Auftraggeber des Audits.

Welche Voraussetzungen müssen für den Erwerb eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz erfüllt sein?

ein positives Resultat bei der Überprüfung des Audit-Berichts durch das BSI.
die durch Sichtung von Dokumenten und Vor-Ort-Prüfungen begründete Feststellung der erfolgreichen Erfüllung der IT-Grundschutz-Anforderungen durch eine zertifizierte Auditorin.
ausschließlich die in einem Audit nachgewiesene Erfüllung der Basis-Anforderungen.
die Unterschrift einer zertifizierten Auditorin unter die Selbsterklärung einer Institution, dass sie die IT-Grundschutz-Anforderungen umfassend erfüllt hat.

Welche Aussagen zur Audit Vorbereitung sind korrekt?

Die Referenzdokumente sollten auf Aktualität und Korrektheit geprüft werden
Alle Anforderungen müssen bis zum Auditbeginn vollständig umgesetzt werden
Der Realisierungsplan sollte aktuell und konsistent sein
Risikoübernahmen sollten aktuell und vollständig sein

Was ist ein Audit?

der Vergleich von Risiken
der Vergleich zweier Normen miteinander
der Vergleich zwischen einem Ist -Zustand und Soll-Zustand
der Vergleich zweier Geltungsbereiche miteinander

Was ist eine kritische Abweichung?

die Vorgaben sind vorhanden, aber unwirksam
ein komplettes gefordertes Verfahren ist nicht erfüllt
ein Verfahren ist teilweise umgesetzt
ein Verfahren ist zum Teil nicht erfüllt

Was gehört zur Berichterstattung bei Auditprozess-Aktivitäten?

Erstellung von Maßnahmenplänen
Kommunikation und Nachbesprechung
Identifikation von Abweichungen
Nachbereitung und Follow-up

Das Audit umfasst eine Vor Ort Prüfung ...

... IT-Grundschutz Profile sind nicht verpflichtend einzusetzen.
... IT-Grundschutz Profile sind verpflichtend für eine Standardabsicherung.
... IT-Grundschutz Profile sind verpflichtend für eine Basis-Absicherung.
... IT-Grundschutz Profile sind verpflichtend für eine Kernabsicherung.

Welche Grundtypen von Fragen gibt es?

Bewegungsfragen
Gegenfragen
Suggestivfragen
Offene Fragen

Wann sollten bei einem Durchlauf des PDCA-Zyklus die internen Audits erfolgen?

alle 4 Jahre
nach der Managementbewertung
vor der Managementbewertung
in jeder Phase

Welche Aussagen zur Prüftiefe bzw. zum Prüfumfang im Rahmen eines Zertifizierungsaudits gemäß ISO 27001 auf Basis von It-Grundschutz sind korrekt?

Der Baustein ISMS.1 muss nicht zwingend geprüft werden
Im Rahmen der Zertifizierungslaufzeit müssen alle modellierten Schichten mit mindestens je einem Baustein überprüft werden
Bei beiden Überwachungsaudits werden jeweils zwingend der Baustein ISMS.1 und mindestens 2 weitere Bausteine auditiert
Bei der Erst-/Rezertifizierung werden mindestens 6 Bausteine auditiert

Was bedeutet Zuhören?

Informationsweitergabe über die visuelle Ebene
Informationsweitergabe über nonverbale Ebene
Informationsweitergabe über die paraverbale Ebene
Keine Bewertung abgeben

Welche Bedeutung kommt körpersprachlichen Signalen in der Auditsituation zu?

Sie sind entscheidend für das Bild, das sich der Auditor von seinen Gesprächspartnern macht.
Sie lassen nur im Zusammenhang mit der Beobachtung vieler anderer Signale einen klaren Rückschluss auf eine Persönlichkeit zu.
Sie geben dem Auditor zusätzliche Informationen über die Befindlichkeit eines Gesprächspartners.
Sie sind die einzigen nicht manipulierbaren Informationen

Was sind Merkmale des aktives Zuhören?

Gehörtes nachfragen
Zusammenfassen des Gesagten
Bild vom Gesagten machen
gesellschaftliches Grunzen

Was versteht man unter einem "Comprehensive Audit"?

Wofür ist die Zielsetzung, in Bezug auf die Planungs- und Vorbereitungsphase eines Audits entscheidend?

für die Bewertung der Effektivität von Sicherheitsmaßnahmen
für die Bewertung der Risikomatrix
für das Aufdecken von Schwachstellen
für die Überprüfung der Konformität mit bestimmten Standards

Welche Aussagen in Bezug auf die Kommunikationsebene im Auditgespräch sind richtig?

Der Auditor muss die emotionale Ebene im Auditgespräch ausschließen.
Der Auditor sollte möglichst die verschiedenen Kommunikationsebenen berücksichtigen.
Ein Auditgespräch sollte vorrangig auf der sachlichen Ebene geführt werden.

Auf welche Komponenten muss der Auditor in seiner Kommunikation achten?

paraverbale
verbale
nonverbale
hyperverbale

Flashcard Info

IT-Security Auditor