MemoCard lernen mit System

31. In welchen Mindestabständen müssen gemäß der Norm ISO/IEC 27001 interne Audits durchgeführt werden?

Interne Audits müssen mindestens in jährlichen Intervallen durchgeführt werden.
Nur bei Änderungen am Anwendungsbereich des ISMS sind gemäß ISO/IEC 27001 interne Audits durchzuführen.
Interne Audits sind nur vor einem Zertifizierungsaudit durchzuführen
Die Durchführung interner Audits muss in geplanten Abständen erfolgen. Die Häufigkeit wird im Rahmen eines Auditprogramms festgelegt.

Was ist der Hauptzweck von Sicherheitsrichtlinien

Schutz vor allen Cyberangriffen durch technische Maßnahmen
Gewährleistung der Einhaltung von gesetzlichen Anforderungen
Sicherstellung das alle Mitarbeiter einheitlich handeln

Welche Aussagen über Kryptografie sind korrekt

Kryptographie wird verwendet, um Geheimnisse zu schützen
ermöglicht die Sicherstellung der Datenintegrität
Keinen Einfluss auf die Vertraulichkeit

34. Welcher erste Schritt ist bei der Organisation der Risikoeinschätzung nach ISO/IEC 27001 erforderlich?

Es muss eine Methode identifiziert werden, die zur Risikoeinschätzung eingesetzt wird.
Das Risikoniveau muss eingeschätzt werden.
Es muss eine Leitlinie erstellt werden, die die generelle Richtung sowie die Grundsätze für Aktionen im Rahmen der Risikoeinschätzung festlegt.
Die Bedrohungen für organisationseigene Werte (Assets) müssen identifiziert werden.

Welche der folgenden Aussagen ist in Bezug auf das Risikomanagement und seine Teilprozesse nach ISO/IEC 27000 und ISO/IEC 27001 korrekt?

Im Rahmen der Risikoanalyse wird das Risikoniveau bestimmt
Risikobewertung ist Teil der Risikobeurteilung
Risikoanalyse ist Teil der Risikobeurteilung
Im Rahmen der Risikobewertung werden Ergebnisse der Risikoanalyse mit Risikokriterien verglichen.

28. Was versteht man allgemein unter einem normativen Standard?

Ein normativer Standard enthält detaillierte Beschreibungen, die es bei der Umsetzung eines Standards zu berücksichtigen gilt.
Ein normativer Standard enthält verbindliche Vorgaben, die zu erfüllen sind, wenn Konformität mit dem Standard beansprucht wird.
Verbindliche Vorgaben, die ein normativer Standard definiert, müssen organisationsweit umgesetzt werden. Eine Einschränkung auf Teile oder einzelne Geschäftsprozesse einer Organisation ist nicht möglich.
Ein normativer Standard wird ausschließlich im Rahmen von Zertifizierungsaudits verwendet und enthält Prüfkriterien.

Welche Maßnahmen sind in der ISO/IEC 27001 dem Maßnahmenziel A.12.1 "Betriebsabläufe und -verantwortlichkeiten" zugeordnet?

Dokumentierte Bedienabläufe
Änderungssteuerung
Kapazitätssteuerung
Uhrensynchronisation

Wirksamkeitsmessung des ISMS – welche Aussagen stimmen?

Messung der Zielerreichung soll in die Sicherheitsstrategie integriert werden
BSI 200 2 nennt ausdrücklich „Überprüfung anhand von Kennzahlen“
ISO 27001 verlangt Überwachung/Messung/Analyse/Bewertung (9.1)
Eine Messung alle 10 Jahre genügt

Welche der genannten Maßnahmen (controls) gehören zum Maßnahmenziel "Benutzerzugangsverwaltung" (A.9.2)?

Physische Zutrittssteuerung
Entzug oder Anpassung von Zugangsrechten
Registrierung und Deregistrierung von Benutzern

30. Welche der folgenden Aussagen trifft auf den Begriff Standardisierung zu?

Standardisierung von IT-Systemen erhöht die IT-Gesamtkosten eines Unternehmens um ca. 30%.
Der Wettbewerb verschiedener Hersteller eines Produktes wird durch Standardisierung negativ beeinflusst.
Bei dem Begriff Standardisierung handelt es sich um einen rein technischen Begriff.
Unter Standardisierung versteht man allgemein Vereinheitlichung.

21. Welche Aussage zu den Begriffen Scoping und Anwendbarkeit ist korrekt?

Die Anwendbarkeitserklärung legt fest, welche Standards der ISO/IEC 27000-Normenreihe für eine Organisation verpflichtend sein sollen.
Die Erklärung zur Anwendbarkeit (statement of applicability) ist ein Dokument, das die Maßnahmenziele und Maßnahmen beschreibt, die für das ISMS einer Organisation relevant und anwendbar sind.
Die Erklärung zum Anwendungsbereich (scoping statement) ist ein Dokument, das die Maßnahmenziele und Maßnahmen beschreibt, die für das ISMS einer Organisation relevant und anwendbar sind.
Mittels Scoping werden normative Regelungen des Standards außer Kraft gesetzt.

Welche Controls sind in Anhang A der ISO/IEC 27001 dem Maßnahmenziel "Geräte und Betriebsmittel" (A.11.2) zugeordnet?

Richtlinie für eine aufgeräumte Arbeitsumgebung und Bildschirmsperren
Zuteilung von Benutzerzugängen
Entfernen von Werten
Unbeaufsichtigte Benutzergeräte

In ihrer Organisation sollen in einigen Monaten die Controls zur Kommunikationssicherheit (A.13) auditiert werden.
Sie haben ein erstes Self-Assessment durchgeführt und dabei einige Feststellungen gemacht.

Welche der festgestellten Umstände würden auf alle Fälle im Audit eine Abweichung darstellen und sollten
daher unbedingt vor dem Audit behandelt werden?

Die Trennung von Netzwerken erfolgt nur über VPNs.
Zum Thema Informationsübertragung existiert keine Richtlinie.
Nicht der gesamte Datenverkehr über die Kommunikationssnetze ist verschlüsselt.
Zur Sicherung von Anwendungsdiensten in öffentlichen Netzwerken existieren keine Vorgaben und keine Dokumentation.

Welche Maßnahmen (Controls) gehören zum Maßnahmenziel "Interne Organisation"

Informationssicherheit im Projektmanagement
Beschäftigungs- und Vertragsbedingungen
Kontakt mit speziellen Interessensgruppen

27. Welche der folgenden Rollen sind im Rahmen des Informationssicherheits-Managementsystems in großen Unternehmen unmittelbar relevant?

1. Gesamtsicherheitsverantwortlicher
2. Management
3. Mitarbeiter
4. Zulieferer
5. Sales Manager

Nur 1, 2, 3 und 5.
Nur 2, 3, 4 und 5.
Alle Rollen sind relevant.
Nur 1, 2, 3 und 4.

Ein Verfahren für das Risikomanagement sieht vor, dass jedes Risiko in Hinblick auf zwei Faktoren analysiert wird: Schadensauswirkung (in Tausenden von Euro) und Eintrittswahrscheinlichkeit innerhalb eines Jahres (in Prozent). Als Risikoniveau ist der Erwartungswert des Schadens pro Jahr, also die Eintrittswahrscheinlichkeit multipliziert mit der Schadensauswirkung, definiert.

Beispiel: Für das Risiko A wird geschätzt, dass es mit 10% Wahrscheinlichkeit pro Jahr auftritt und einen Schaden von 50.000 Euro verursacht. Entsprechend wird sein Risikoniveau mit 5.000 Euro/Jahr berechnet. In den Akzeptanzkriterien wurde (im Rahmen eines anderen Verfahrens) definiert, dass nur Risiken mit einem Niveau von unter 10.000 Euro / Jahr zu akzeptieren sind.

Welche Aussagen treffen zu?

Im beschriebenen Verfahren fehlt ein wichtiger dritter Risikofaktor
Das Risiko A entspricht dem genannten Risikoakzeptanzkriterium
Es handelt sich hier um ein Verfahren zur Risikoidentifikation

Ihre Aufgabe ist es, eine Organisation bei der Erreichung des Schutzziels "Die Informationssicherheit bei Telearbeit und der Nutzung von Mobilgeräten ist sichergestellt." (A.6.2) zu unterstützen.
Die Organisation erlaubt sowohl die Nutzung von Mobilgeräten als auch Telearbeit.
Beides ist, insbesondere in Hinblick auf Informationssicherheit, aber noch weitestgehend ungeregelt.

Was müssen Sie umsetzen bzw. sicherstellen, um in diesem Bereich Konformität zur ISO/IEC 27001
herzustellen?

Maßnahmen zur Handhabung von Risiken bei der Nutzung von Laptops.
Beurteilung von Risiken im Zusammenhang mit der Nutzung von Mobilgeräten und Telearbeit
Sicherstellen, dass für Telearbeit und Arbeit auf Dienstreisen identische Regelungen existieren
Erstellung einer Richtlinie zu Mobilgeräten

Welche typischen Tätigkeiten soll der ISB bei Projekten ausüben?

In allen Phasen mitwirken, um Sicherheitsaspekte sicherzustellen
Ausschließlich reaktive Aufgaben nach Go-Live
ICS-Einführungen ohne Beteiligung genehmigen
Budgetverantwortung für Hardware tragen

18. Aus welchem Standard ging ISO/IEC 27001 hervor?

Aus den deutschen BSI IT-Grundschutzkatalogen.
Aus dem britischen Standard BS 7799-2.
Aus dem internationalen Standard ISO/IEC 20000-1.
Aus dem internationalen Standard ISO 9001.

Wo sollte der ISB organisatorisch verankert sein, um Rollenkonflikte zu vermeiden?

In der IT-Abteilung
Im Einkauf
Direkt bei der obersten Leitungsebene
Im Datenschutzbüro

12. Was muss beim Identifizieren von Risiken nach ISO/IEC 27001 berücksichtigt werden?

Assets, Schwachstellen und Bedrohungen.
Organisationseigene Werte, die Auswirkungen des Verlusts der Vertraulichkeit und das verfügbare Budget.
Die Einschätzung des geschäftlichen Schadens für die Organisation, der durch Sicherheitsprobleme entstehen könnte.
Die Risikoeinschätzung muss sicherstellen, dass subjektive Resultate geliefert werden.

Was ist im Kontext eines ISMS in Bezug auf die Informationsklassifizierung (Maßnahmenziel A.8.2) zu beachten?

Bei der Klassifikation von Information ist ihre Kritikalität zu berücksichtigen.
Bei der Klassifikation von Information sind gesetzliche Anforderungen zu berücksichtigen.
Bei der Klassifikation von Information ist ihr Wert zu berücksichtigen.

32. Was gehört zu den Schwerpunkten des COBIT-Frameworks?
.

Technische Bausteine zur Umsetzung der Maßnahmen aus ISO/IEC 27001.
Prozesse und Maßnahmenziele für die IT-Governance.
Verschiedene Methoden für das Risikomanagement.
Maßnahmen und Maßnahmenziele für das Compliance Management.

Was sind grundsätzliche Methoden zur Bewertung der Leistung eines ISMS?

Umsetzung von Korrekturmaßnahmen
Kontinuierliche Leistungsbeurteilung der Mitarbeiter
Managementbewertungen

Ihre Organisation plant, die Langzeitarchivierung von Geschäftsdaten auszulagern (zu outsourcen). Unter anderem bewirbt sich die Firma ACME IT um diesen Auftrag. ACME IT wirbt damit, dass sie "nach ISO/IEC 27001 zertifziert sind". Sie wissen, dass das Zertifikat aktuell und gültig ist, nähere Informationen haben Sie aber nicht. Was bedeutet das grundlegende Vorliegen des Zertifikats bzw. welche folgenden Aussagen sind auf jeden Fall richtig?

ACME IT betreibt ein ISMS.
Alle von ACME IT erbrachten IT-Dienste unterliegen der Lenkung des ISMS.
Eine akkreditierte Zertifzierungsstelle hat bestätigt, dass das ISMS der ACME IT die Anforderungen der ISO/IEC 27001 erfüllt.

Welche Aussagen zur Normenfamilie ISO/IEC 27000 sind korrekt?

ISO/IEC 27001 enthält Anforderungen an ein ISMS.
Die Umsetzung von ISO/IEC 27002 ist eine zwingende Voraussetzung für eine Zertifizierung nach ISO/IEC 27003
ISO/IEC 27003 enthält Anforderungen an die Umsetzung von Maßnahmen.
ISO/IEC 27000 beschreibt die Grundlagen von Informationssicherheitsmanagementsystemen und definiert zugehörige Begriffe.

19. Welcher Auslöser kann eintreten, der nach ISO/IEC 27001 zur Überprüfung der Wirksamkeit des ISMS führt?

Eine Aktivität im Rahmen der Act-Phase des PDCA-Zyklus besteht in der Überprüfung der Wirksamkeit des ISMS.
Die Wirksamkeit des ISMS wird nur im Rahmen von Audits überprüft.
Die Überprüfung der Wirksamkeit des ISMS muss in regelmäßigen Zeitabständen durchgeführt werden.
Jeder Informationssicherheitsvorfall überprüft die Wirksamkeit des ISMS.

Welche Regelungen zur Handhabung von Datenträgern können dazu beitragen, die Vetraulichkeit der gespeicherten Information zu schützen?

Nicht mehr benötigte Inhalte auf Wechseldatenträgern sind so zu löschen, dass sie nicht (ohne erheblichen Aufwand) wiederhergestellt werden können.
Die Verwendung von Wechseldatenträgern ist nur zulässig, wenn es dafür geschäftliche Gründe gibt.
Datenträger, die vertrauliche Daten enthalten, dürfen nur unter Einhaltung sicherer Verfahren entsorgt werden (z.B. mehrfaches Überschreiben vor der Entsorgung, schreddern ...).
Als vertraulich klassifizierte Daten sind bei Speicherung auf Wechseldatenträgern grundsätzlich zu verschlüsseln.

9. Was kann in begründeten Fällen im Rahmen einer Zertifizierung nach ISO/IEC 27001 ausgeschlossen werden?

Der gesamte Anhang A.
Einzelne Maßnahmen aus Anhang A.
Ausschlüsse sind generell unzulässig.
Anforderungen aus den Kapiteln 4 bis 8.

Welche der folgenden Maßnahmen sind unter anderem mit dem Maßnahmenziel der Unterbindung der unerlaubten Offenlegung, Veränderung, Entfernung oder Zerstörung von Information, die auf Datenträgern gespeichert ist (A.8.3), gemäß ISO/IEC 27001 (Anhang A) verbunden?

Klassifizierung von Datenträgern
Inventarisierung von Datenträgern
Handhabung von Wechseldatenträgern

3. Im Rahmen der Überprüfungsphase des PDCA-Zyklus werden verschiedene Begrifflichkeiten einschlägig verwendet. Was bedeutet der Begriff „Effektivität“?

Ob ein Prozess, ein Verfahren oder eine Maßnahme gemäß der Planung durchgeführt bzw. umgesetzt wurde oder ob die tatsächliche Umsetzung von den Planungsvorgaben abweicht.
Wenn die eingesetzten Ressourcen in einem möglichst optimalen (aber mindestens vertretbaren) Verhältnis zum Ergebnis stehen.
Ob durch einen Prozess, ein Verfahren oder eine Maßnahme die damit verbundenen Ziele auch tatsächlich erreicht wurden.
Keine der oben genannten Antworten trifft zu.

Was muss ein SoA nach ISO 27001 mindestens enthalten?

Liste der Annex A Controls mit Implementierungsstatus
Begründung für Ein bzw. Ausschluss jedes Controls
Den ISMS Scope in Gänze
Vollständige Methodik der Risikobeurteilung als Anhang

29. Im Zuge der Verbesserung des ISMS werden neben reaktiven Maßnahmen auf Nichtkonformitäten auch proaktive Schritte gefordert.

Welcher Schritt gehört dabei nicht zu den Vorbeugungsmaßnahmen nach ISO/IEC 27001?

Beurteilung des Handlungsbedarfs zur Vermeidung des Auftretens von Nichtkonformitäten.
Ermittlung und Umsetzung der erforderlichen Vorbeugungsmaßnahmen.
Die notwendigen Fähigkeiten des Personals, das Tätigkeiten ausübt, die das ISMS beeinflussen, müssen ermittelt werden.
Identifizierung möglicher Nichtkonformitäten und ihrer Ursachen.

Welche Aussagen zur Dokumentation/Informationsfluss im Sicherheitsprozess sind korrekt?

200-2 ist nur für ISO-Zertifizierer relevant.
Das Kompendium ist reiner Gesetzestext.
200-1 ersetzt ISO/IEC 27001 vollständig.
200-1 liefert Rahmen/Prinzipien; 200-2 konkretisiert Methode; Bausteine liefern Anforderungen und Praxis.

6. Was ist keine Maßnahme, die ISO/IEC 27001 in Maßnahmenziel A.6 Organisation der Informationssicherheit spezifiziert?

Kontakt zu speziellen Interessengruppen
Adressieren von Sicherheit im Umgang mit Kunden
Kontakt zu Behörden
Kapazitätsplanung

33. Was ist nach ISO/IEC 27000 ein Managementsystem?

Ein Managementsystem bezeichnet ein System, das die Sicherheit eines Unternehmens garantiert.
Keine der Antworten trifft zu
Der Begriff des Managementsystems wird in ISO/IEC 27000 nicht verwendet.
Ein Managementsystem ist nach ISO/IEC 27000 ein Rahmenwerk von Leitlinien, Verfahren, Regelungen sowie zugehörigen Ressourcen, die dazu dienen, die Ziele der Organisation zu erreichen.

Was ist nach der ISO/IEC 27001 Teil der Beurteilung von Informationssicherheitsrisiken bzw. der Planung
für diesen Prozess?

Abschätzung der möglichen Folgen bei Eintritt der identifizierten Risiken
Sicherstellung, dass wiederholte Informationssicherheitsrisikobeurteilungen zu konsistenten, gültigen und vergleichbaren Ergebnissen führen
Festlegung von Kriterien zur Durchführung von Informationssicherheitsrisikobeurteilungen
Abschätzung der realistischen Eintrittswahrscheinlichkeiten der identifizierten Risiken

7. Welche Ziele verfolgt das Maßnahmenziel A.10.3 „Systemplanung und Abnahme“?

Das Risiko von Systemfehlern und Systemausfällen zu minimieren.
Alle neu zu planenden Systeme vor der Abnahme auf Sicherheitsmängel zu evaluieren.
Das Risiko von Abnahmeausfällen und Systemfehlern zu minimieren.
Das Risiko von Systemabstürzen und Abnahmefehlern zu minimieren.

Welche Anforderungen stellt die ISO/IEC 27001 in Bezug auf interne Audits?

Die Organisation muss für jedes Audit die Auditkriterien festlegen
Die Organisation muss ihre Kunden auditieren.
Die Organisation muss ein Auditprogramm aufbauen
Die Organisation muss mindestens alle 6 Monate ein Audit durchführen.

Im Rahmen eines Projektes zur Etablierung eines nach ISO/IEC 27001 konformen ISMS überprüfen Sie, welche Regelungen ihre Organisation in Hinblick die Auswahl und Einstellung von neuem Personal implementiert hat. Einige Regelungen empfinden Sie als nicht optimal. Welche Regelungen stellen eine Abweichung dar, die korrigiert werden muss?

In den vertraglichen Vereinbarungen mit Beschäftigten werden Verantwortlichkeiten in Bezug auf Informationssicherheit festgelegt. Diese sind aber in der Vereinbarung nicht explizit aufgeführt, es wird nur auf die Pflicht zur Einhaltung der relevanten Richtlinien verwiesen.
Eine Sicherheitsüberprüfung von Bewerbern findet grundsätzlich statt, aber in unterschiedlicher Gründlichkeit. Dies ist von der Position, auf welche die Einstellung der neuen Mitarbeiters erfolgen, soll abhängig.
Einige Bewerber werden überprüft. Regelungen dafür welche, existieren aber nicht - es kommt hauptsächlich darauf an, welcher Mitarbeiter der Personalabteilung die Bewerbung bearbeitet.
Die Sicherheitsüberprüfung von Bewerbern umfasst nicht die Überprüfung von Profilen in sozialen Medien.

8. Wie verhalten sich die in Anhang A von ISO/IEC 27001 definierten Maßnahmenziele zu den Maßnahmen?

Zu jedem Maßnahmenziel wird mindestens eine Maßnahme vorgegeben.
Die Maßnahmen sind unverbindliche Vorschläge, die zum Erreichen der Maßnahmenziele beitragen können.
Mit jeder Maßnahme werden verschiedene Maßnahmenziele verfolgt.
Jedes Maßnahmenziel wird durch genau eine Maßnahme umgesetzt.

Welche der folgenden Maßnahmen ist ein Teil des Asset-Managements

Regelmäßige Bewertung und Aktualisierung von IT-Assets
Durchführung von Marketingkampagnen für neue Produkte
Inventarisierung aller Hardware und Softwareressourcen
Schulung neuer Mitarbeiter im Kundenservice

Welche dokumentierten Informationen fordert ISO 27001 verpflichtend?

Anwendungsbereich (Scope) des ISMS
Persönliche Urlaubsplanung des ISB
Ergebnisse der Risikobeurteilung und der Risikobehandlung (inkl. Plan)
Statement of Applicability (SoA)

Sie beraten eine Organisation, die eine Zertifizierung nach ISO/IEC 27001 anstrebt, in Bezug auf ihren Umgang mit Informationssicherheitsrichtlinien.

Welche Aussagen sind in diesem Zusammenhang richtig?

Informationssicherheitsrichtlinien müssen vom Information Security Officer genehmigt werden.
Informationssicherheitsrichtlinien müssen an die Verfahren zum Umgang mit Informationssicherheitsvorfällen angeglichen werden.
Informationssicherheitsrichtlinien müssen in geplanten Abständen überprüft werden

Welche der folgenden Maßnahmen sind unter anderem mit dem Maßnahmenziel einer konsistenten und wirksamen Herangehensweise für die Handhabung von Informationssicherheitsvorfällen (A.16.1) gemäß ISO/IEC 27001 (Anhang A) verbunden?

Maßnahmen gegen Schadsoftware
Reaktion auf Informationssicherheitsvorfälle
Sammeln von Beweismaterial
Meldung von Informationssicherheitsereignissen

Welche Umsetzungsvarianten sieht der BSI‑Standard 200‑2 vor?

Kern Absicherung
Standard Absicherung
Minimal Absicherung
Basis Absicherung

17. Im Rahmen der Überprüfungsphase des PDCA-Zyklus werden verschiedene Begrifflichkeiten einschlägig verwendet. Was versteht man in diesem Zusammenhang unter dem Begriff „Effizienz“?

Ob ein Prozess, ein Verfahren oder eine Maßnahme gemäß der Planung durchgeführt bzw. umgesetzt wurde oder ob die tatsächliche Umsetzung von den Planungsvorgaben abweicht.
Ob durch einen Prozess, ein Verfahren oder eine Maßnahme die damit verbundenen Ziele auch tatsächlich erreicht wurden.
Keine der oben genannten Antworten trifft zu.
Ob die eingesetzten Ressourcen in einem möglichst optimalen (aber mindestens verhältnismäßigen) Verhältnis zum Ergebnis stehen.

14. Ein Unternehmen hat zur Sicherstellung des Geschäftsbetriebs einen Business Continuity Plan (BCP) erstellt.

Welche Aktionen sind durchzuführen, damit der BCP erfolgreich sein kann?

Die Mitarbeiter, die den BCP im Ernstfall umsetzen sollen, sind regelmäßig einem Stresstest zu unterziehen.
Der BCP muss inhaltlich stark fokussiert werden (z. B. nur auf die Behandlung von Sicherheitsvorfällen), um erfolgreich zu sein.
Der BCP ist streng vertraulich zu behandeln. Die darin enthaltenen Informationen könnte ein Angreifer verwenden, um Schwachstellen zu identifizieren.
Pläne zur Sicherstellung des Geschäftsbetriebs müssen regelmäßig getestet und aktualisiert werden, um sicherzustellen, dass sie auf dem neuesten Stand und effektiv sind.

Wie lange sollten sicherheitsrelevante Aufzeichnungen aufbewahrt werden

Für einen Zeitraum der gesetzlichen Anforderungen erfüllt
Bis zur Prüfung
Unbegrenzt
Mindestens 5 Jahre

Realisierung von Maßnahmen initiieren und überprüfen

Weil dann keine Ressourcen bereitstehen
Um Rollenkonflikte zu vermeiden und Unabhängigkeit zu wahren
IT versteht Informationssicherheit nicht
Weil Datenschutz das verbietet

1. Zur Verfolgung welches Ziels dienen Überlegungen zu Revisionsprüfungen von Informationszielen?

Beschaffung, Entwicklung und Wartung von Informationssystemen (A.12)
Einhaltung von Vorgaben (A.15, Compliance)
Umgang mit Informationssicherheitsvorfällen (A.13)
Sicherstellung des Geschäftsbetriebs (A.14, Business Continuity Management)

In der Norm ISO/IEC 27001 werden unter A.18.1 Maßnahmen zur "Einhaltung gesetzlicher und vertraglicher Anforderungen" definiert.

Welche Aspekte bzw. Bereiche müssen Sie im Kontext eines ISMS notwendigerweise berücksichtigen, wenn Konformität zu ISO/IEC 27001 erreicht werden soll?

Wahrung geistige Eigentumsrechte bzw. des Urheberrechts
Einhaltung physikalischer Gesetze
Datenschutz bzw. Schutz personenbezogener Information

Was trifft auf ISMS-Zertifizierungen nach ISO/IEC 27001 (in Europa) grundsätzlich zu?

Die Zertifizierungsstelle erfüllt die Anforderungen der ISO/IEC 27021.
Im Rahmen der Zertifizierung lässt die Zertifizierungsstelle die Konformität des ISMS zu den Anforderungen der Norm ISO/IEC 27001 durch ein sogenanntes Zertifzierungsaudit überprüfen
Die Zertifizierungsstelle muss bei einer nationalen Akkredierungsstelle (z.B. in Deutschland die DAkkS) akkreditiert sein

Welche Apekte muss eine Managementbewertung nach ISO/IEC 27001 behandeln?

Status von Maßnahmen vorheriger Managementbewertungen
Veränderungen bei externen und internen Themen
Status der aktuell in Bearbeitung befindlichen Sicherheitsereignisse

Bei einer Managementbewertung sind Rückmeldungen über die Informationssicherheitsleistung zu behandeln.

Zu welchen Aspekten bzw. Themen sind hierbei die Entwicklungen zu berücksichtigen?

Ergebnisse von Überwachungen und Messungen
Nichtkonformitäten und Korrekturmaßnahmen
Gesamtkosten für das ISMS

Wie kann die Geschäftsführung die Informationssicherheit im Unternehmen fördern

Durchführung aller technischen Audits
Zuweisung ausreichender Ressourcen
Unterstützung der Sicherheitskultur
Überwachung der Risikobewertungen

Was ist ein wichtiges Ziel des Asset-Managements

Sicherstellung des Schutzes von IT-Ressourcen
Erhöhung der Mitarbeiterzufriedenheit
Optimierung der Nutzung von Unternehmensgruppen
Maximierung des Gewinns

Was sind Anforderungen an den Betrieb eines ISMS (ISO/IEC 27001, Kapitel 8)?

Die Organisation muss dokumentierte Information über die Ergebnisse der Beurteilung von Informationssicherheitsrisiken aufbewahren.
Die Organisation muss sicherstellen, dass ausgegliederte Prozesse bestimmt und gesteuert werden.
Die Organisation muss dokumentierte Information im notwendigen Umfang aufbewahren, so dass darauf vertraut werden kann, dass die Prozesse wie geplant umgesetzt wurden.
Die Organisation muss die Prozesse zur Erfüllung der Informationssicherheitsanforderungen planen, verwirklichen und steuern.

Welche Controls sind Teil von A.14 "Anschaffung, Entwicklung und Instandhalten von Systemen" in der ISO/IEC 27001?

Richtlinie für sichere Entwicklung
Schutz von Testdaten
Richtlinie für Entwicklung von Prototypen

38. Welche Aussage zur Informationssicherheitsleitlinie ist nicht korrekt?

Die Informationssicherheitsleitlinie spezifiziert verschiedene Sicherheitszonen und Zutrittsrechte innerhalb einer Organisation.
In einer Informationssicherheitsleitlinie muss ihr Geltungsbereich festgelegt werden.
Das Management muss die Informationssicherheitsleitlinie genehmigen.
Die Informationssicherheitsleitlinie muss in regelmäßigen Abständen überprüft werden, um ihre Eignung, Angemessenheit und Wirksamkeit auf Dauer sicherzustellen.

Welche Dokumentation ist nach der ISO/IEC 27001 gefordert?

Informationssicherheitsrichtlinie
Zugangssteuerungsrichtlinie
Prozessdefinition Customer Relationship Management

13. Nach ISO/IEC 27001 Anhang A.10.2 muss die Dienstleistungserbringung von Dritten gemanagt werden. Welche der folgenden Maßnahmen muss dabei umgesetzt werden?

Der Dritte muss die Gesamtverantwortung für die Informationssicherheit übernehmen.
Das Personal des Zulieferers muss alle Maßnahmen zur personellen Sicherheit des Auftraggebers durchlaufen.
Die ISMS-Leitlinien der beiden beteiligten Organisationen müssen identisch sein.
Es muss sichergestellt werden, dass es Liefervereinbarungen gibt, in denen auch Sicherheitsmaßnahmen angegeben sind.

4. Was ist ein entscheidender Schritt, um das Ziel der Einhaltung gesetzlicher Vorgaben zu erreichen?

Regelwerk zur Nutzung von Netzen
Telearbeitsplätze einzurichten
Die Identifikation der anwendbaren Gesetze
Isolation sensibler Systeme

Welche Tätigkeiten sind nach ISO/IEC 27001 im Rahmen der Lenkung von dokumentierter Information zu berücksichtigen?

Verteilung, Zugriff, Auffindung und Verwendung
Aufbewahrung und Verfügung über den weiteren Verbleib
Ablage/Speicherung und Erhaltung, einschließlich Erhaltung der Lesbarkeit

26 Welcher der folgenden Standards der ISO/IEC 27000-Familie ist normativ?

ISO/IEC 27011
ISO/IEC 27007
ISO/IEC 27006
ISO/IEC 27002

Welche Aussagen sind im Zusammenhang von Audits zutreffend?

ISO/IEC 27007 beinhaltet einen Leifaden zur Auditierung von Informationssicherheitsmanagementsystemen und ergänzt ISO 19011.
Zertifizierungsaudits sind externe Audits.
ISO 19011 beinhaltet einen Leitfaden zur Auditierung von Managementsystemen.

Welche der folgenden Maßnahmen erhöht die Sicherheit bei der Passwortverwaltung

Regelmäßiger Passwortwechsel
Multi-Faktor Authentifizierung
Nutzung derselben Passwörter für verschiedene Konten
Verwendung starker Passwörter

39. Welche Maßnahmen müssen nach ISO/IEC 27001 nicht im Rahmen der Zugriffskontrolle auf Betriebssysteme (A.11.5) realisiert werden?

Sicheres Anmeldeverfahren für den Zugang zu Betriebssystemen
Kontrollen für das Routing in Netzen
Benutzeridentifikation und Authentisierung
Begrenzung der Verbindungszeiten.

Verantwortung der Leitungsebene im ISMS – was trifft zu?

Leitung muss alle technischen Maßnahmen selbst konfigurieren
ISMS ist eine reine IT Aufgabe
Oberste Leitung initiiert, steuert und kontrolliert den Sicherheitsprozess
Leitung stellt Ressourcen bereit und verankert Informationssicherheit in allen Bereichen

Was ist das Hauptziel der Dokumentation in der Informationssicherheit,

Eine vollständige Liste aller Mitarbeiter des Unternehmens zu erstellen
Die Einhaltung gesetzlicher und regulatorischer Anforderungen nachweisen
Die Nachvollziehbarkeit von Sicherheitsmaßnahmen und Entscheidungen zu gewährleisten
Schulungen zur Informationssicherheit für alle Mitarbeiter durchzuführen

10. Welche der folgenden Maßnahmen ist von ISO/IEC 27001 in Anhang A.6 nicht zur Organisation der Informationssicherheit vorgesehen?

Die Pflege des Kontakts zu relevanten Behörden.
Regelmäßige unabhängige Überprüfungen der Informationssicherheit.
Die Koordination der Informationssicherheit durch Repräsentanten verschiedener Organisationsbereiche.
Die Inventarisierung der organisationseigenen Werte (Assets).

23. In der ISMS-Leitlinie werden unter anderem Rollen und Zuständigkeiten festgelegt.
Welche der folgenden Aussagen ist falsch?

Zugewiesene Verantwortlichkeiten im Umfeld der Informationssicherheit dürfen nicht delegiert werden.
Hierarchien, die für die Informationssicherheit definiert werden, müssen sich nicht mit den Abteilungsstrukturen des Unternehmens decken.
In vielen Organisationen bietet es sich an, einen Gesamtverantwortlichen für die Informationssicherheit zu benennen.
Eine definierte Rolle kann auch von mehreren Personen eingenommen werden.

Welche der folgenden elementaren Grundsätze tragen nach ISO/IEC 27000 zur erfolgreichen Umsetzung eines ISMS bei?

Backend-Sicherheit vor Client-Sicherheit
Redundante Verteilung von Verantwortlichkeiten für Informationssicherheit
Sicherstellung der Nicht-Nachweisbarkeit von Compliance-Verstößen
Sicherstellung einer ganzheitlichen Herangehensweise an das Management von Informationssicherheit

16. Was ist die Zielsetzung des COBIT-Frameworks?

COBIT ist im Wesentlichen deckungsgleich mit den BSI-Grundschutzkatalogen.
COBIT legt die in Deutschland geltenden Gesetze zur Informationssicherheit fest.
COBIT konkurriert direkt mit ISO/IEC 27000.
COBIT ist ein IT-Governance-Framework, das Prozesse und Maßnahmenziele definiert.

20. Ein Mitarbeiter beendet sein Beschäftigungsverhältnis.

Welche Maßnahmen sind im Sinne des Anhangs A.8 der ISO/IEC 27001 zu ergreifen?

Alle seine Zugangsrechte sind unverzüglich aufzuheben und alle unter seiner Kennung erzeugten Daten unverzüglich zu löschen.
Der Mitarbeiter muss alle organisationseigenen Werte zurückgeben. Damit er für eine Übergangszeit noch Mails empfangen kann, darf er das Passwort für den Mailserver behalten.
Der Mitarbeiter erhält erst dann ein Arbeitszeugnis, wenn er alle organisationseigenen Werte zurückgegeben und alle seine Daten gelöscht hat.
Der Mitarbeiter muss alle organisationseigenen Werte zurückgeben, und alle seine Zugangsrechte sind unverzüglich aufzuheben.

11. In welchem Zusammenhang stehen die BSI IT-Grundschutzkataloge mit der Norm ISO/IEC 27001?

Die BSI IT-Grundschutzkataloge ergänzen genau solche Maßnahmen, die in ISO/IEC 27001 nicht berücksichtigt wurden.
BSI IT-Grundschutz und ISO/IEC 27001 konkurrieren miteinander und schließen sich gegenseitig aus.
Die BSI IT-Grundschutzkataloge sind genauso wie ISO/IEC 27001 strukturiert, vertiefen die einzelnen Punkte aber mit konkreten technischen Aspekten.
Das IT-Grundschutz-Zertifikat des BSI deckt auch ISO/IEC 27001 mit ab.

Ihre Aufgabe ist es, die in Ihrer Organisation umgesetzten Maßnahmen im Bereich "Physische und umgebungsbezogene Sicherheit" (A.11) auf Konformität zu ISO/IEC 27001 zu überprüfen. In der Erklärung zur Anwendbarkeit wurden keine Maßnahmen ausgeschlossen. Welche Umstände stellen (bereits für sich alleine genommen) eine Abweichung bzw. eine Nichtkonformität dar?

Es existiert kein elektronisches Schließsystem. Alle Türen sind nur mit mechanischen Schlössern gesichert.
Gegen die Auswirkungen von Erdbeben sind keinerlei vorbeugende Maßnahmen umgesetzt.
Es existieren auf dem Betriebsgelände mehrere Anlieferungs- und Ladebereiche.
Es kommt regelmäßig vor, dass Administratoren und andere Mitarbeiter ohne vorherige Genehmigung PCs und Laptops z.B. über ein Wochenende mit nach Hause nehmen. Da bisher alle Geräte wiedergebracht wurden, wird dies von der Geschäftsleitung toleriert.

Was sollte eine Sicherheitsrichtlinie zur Nutzung von mobilen Geräten regeln

Verwaltete Sicherheitsprotokolle
Datenverschlüsselung
Nutzung von persönlichen Geräten
Erlaubte Anwendungen

Welche Konsequenzen kann ein Verstoß gegen die Sicherheitsrichtlinien haben

Disziplinarmaßnahmen
Rechtsfolgen
Keine, da Richtlinien nicht bindend sind
Verbesserung der Sicherheitslage

Welche Informationen sollten in Sicherheitsvorfällen dokumentiert werden

Betroffenen Systeme
Art des Vorfalls
Maßnahmen zur Behebung des Vorfalls
Namen der beteiligten Personen

Man kann die Handhabung von Informationssicherheitsvorfällen und Verbesserungen, so wie sie in ISO/IEC 27001 A.16.1 beschrieben ist, als Prozess verstehen.

Was wären für Konformität zu ISO/IEC 27001 notwendige Aktivitäten dieses Prozesses?

Informationssicherheitsereignisse beurteilen und klassifzieren (inbesondere in Hinblick darauf, ob ein Informationssicherheitsvorfall vorliegt oder nicht)
Informationssicherheitsereignisse melden
Veränderungen an der Infrastruktur vornehmen um zukünftige Informationssicherheitsereignisse zu vermeiden.

Was kann erwartet werden, wenn alle Maßnahmen zur Verwaltung der Werte (A.8) sinnvoll umgesetzt wurden?

Die Rückgabe von Werten ist geregelt.
Verantwortlichkeiten bzw. Zuständigkeiten für die Werte sind dokumentiert.
Informationswerte der Organisation sind in einem Inventar der Werte (Asset-Inventar) erfasst.

In ihrer Organisation sind verschiedene Richtlinien, Verfahren und Maßnahmen umgesetzt.

Welche hiervon lassen sich klar den Referenzmaßnahmen der ISO/IEC 27001 aus A.12 "Betriebssicherheit" oder A.14 "Anschaffung, Entwicklung und Instandhalten von Systemen" zuordnen?

Maßnahmen gegen Schadsoftware
Zuteilung von Benutzerzugängen
Schutz der Transaktionen bei Anwendungsdiensten
Trennung von Entwicklungs-, Test- und Betriebsumgebungen

Zu welchen Themen definiert die ISO/IEC 27001 im Kapitel 7 "Unterstützung" (Support) Anforderungen?

Dokumentierte Information
Risikounterstützung
Service-Desk
24h Support

Welche Aussagen sind im Zusammenhang mit Business Continuity Management richtig, wenn Konformität mit ISO/IEC 27001 angestrebt wird?

Continuity- bzw. Notfallpläne müssen in in regelmäßigen Abständen überprüft werden.
Die Aufrechterhaltung eines angemessenen Maßes an Informationssicherheit in Krisen- und Katastrophenfällen muss geplant werden.
Die Anforderungen zum Business Continuity Management können ohne außreichende Begründung in der Erklärung zur Anwendbarkeit (statement of applicability) weggelassen werden.
Zum Continuity-Management gehört auch die Planung ausreichender Redundanzen von informationsverarbeitenden Einrichtungen.

Wie kann das Management die Kultur der Informationssicherheit im Unternehmen stärken

Einrichtung eine Belohnungssystems
Unterstützung der Schulungen
Förderung des Selbstbewusstseins
Keine Maßnahme erforderlich

2. Was versteht man unter dem Anwendungsbereich eines ISMS?

Der Anwendungsbereich ist die Bewertung von Maßnahmen und die Auswahl von Maßnahmenzielen, zu deren Erreichung sie sinnvoll eingesetzt werden können.
Der Anwendungsbereich definiert die Mindestanzahl an Mitarbeitern, die notwendig sind, um eine Zertifizierung nach ISO/IEC 27001 erlangen zu können.
Der Anwendungsbereich kann die gesamte Organisation, bestimmte Teile davon, wie z. B. einzelne Standorte (durch geographische Abgrenzung) oder nur einzelne Abteilungen umfassen.
Der Anwendungsbereich beschreibt die Werte einer Organisation und das Minimum ihres notwendigen Schutzbedarfs.

Welche Aussagen zu Informationssicherheitsvorfällen (information security incidents) sind zutreffend?

Ein Informationssicherheitsvorfall ist ein einzelnes oder eine Reihe von Informationssicherheitsereignissen.
Jedes Informationssicherheitsereignis ist auch ein Informationssicherheitsvorfall.
Eine Häufung von mehreren auch kleinen Informationsicherheitsereignissen ist als Informationsicherheitsproblem zu definieren
Ein Informationssicherheitsvorfall kann z.B. dann entstehen, wenn eine Schwachstelle (vulnerability) durch einen Angreifer ausgenutzt wird.

Was muss nach der ISO/IEC 27001 in Bezug auf die Personalsicherheit während der Beschäftigung
gewährleistet sein?

Die Leitung verlangt von allen Beschäftigten die Einhaltung der relevanten Richtlinien.
Durch Ausbildung, Schulung und ähnliche Maßnahmen wird bei alle Beschäftigten das Bewusstsein (Awareness) für Informationssicherheit gefördert.
Der Maßregelungsprozess ist vetraulich und nur den leitenden Mitarbeitern bekannt.
Die Personalakten aller Mitarbeiter sind durch den Information Security Officer überprüft und genehmigt.

Welchen Anforderungen muss die Informationssicherheitspolitik (allgemeine
Informationssicherheitsrichtlinie) genügen?

Sie muss eine Verpflichtung zur fortlaufenden Verbesserung beinhalten.
Sie muss Informationssicherheitsziele beinhalten.
Sie muss innerhalb der Organisation bekanntgemacht werden.
Sie muss für den Zweck der Organisation angemessen sein.

22. Was wird im Kontext von ISO/IEC 27001 unter einem Restrisiko verstanden?

Ein inhärentes Risiko, für das es keine Risikobehandlung gibt.
Ein nach der Risikobehandlung verbleibendes Risiko.
Ein Risiko, für das entschieden wurde, dass es akzeptiert werden kann.
Ein Risiko, das im Rahmen der Risikoanalyse nicht weiter betrachtet wird.

Schutzbedarfsfeststellung (SBF) vs. Risikoanalyse im IT‑Grundschutz – was ist korrekt?

Die SBF erfolgt vor der Risikoanalyse und bestimmt V/I/V je Zielobjekt
Die SBF nutzt u. a. das Maximumprinzip
Ergebnisse der Risikoanalyse sind ins Sicherheitskonzept zu integrieren
Risikoanalyse ist nur bei „normalem“ Schutzbedarf erforderlich

Welche Informationen sollten für jedes Asset erfasst werden

Standort des Assets
Sicherheitsbewertung des Assets
Name und Beschreibung des Assets
Verantwortlicher des Asset

40. Das COSO Enterprise Risk Management (COSO ERM) definiert ein unternehmensweit gültiges Risikomanagementmodell.

Welche der folgenden Aussagen zu COSO ERM ist korrekt?

Das in ISO/IEC 27001 geforderte Risikomanagement berücksichtigt alle Arten von Risiken, die eine Organisation betreffen. COSO ERM berücksichtigt im Gegensatz dazu nur finanzielle Risiken.
Gemäß COSO ERM besteht ein direkter Zusammenhang zwischen Unternehmenszielen und den zur Zielerreichung notwendigen Komponenten des Risikomanagements, das als mehrdimensionaler Würfel dargestellt wird.
Gemäß COSO ERM ist Risikomanagement ein fortwährender Prozess, in den nur Führungskräfte und deren Entscheidungen eingebunden sind.
COSO ERM bewertet unter Einbeziehung abgeschlossener Aktivitäten die Entscheidungen von Führungskräften eines Unternehmens.

Welche Aufzeichnungen sind im Rahmen der Risikoanalyse besonders wichtig

Budget für Sicherheitsmaßnahmen
Bewertung der Risikowahrscheinlichkeit
Liste der Gegenmaßnahmen
Liste der potenziellen Bedrohungen

In ihrer Organisation sollen in einigen Monaten die Controls zu Lieferantenbeziehungen (A.15) auditiert werden.
Welche Umstände würden auf alle Fälle eine Abweichung darstellen und sollten daher unbedingt vor dem Audit geändert werden?

Einige Dienste werden von mehreren Lieferanten erbracht (co-sourcing).
Die Informationssicherheitsanforderungen im Zusammenhang mit dem Zugriff von Lieferanten auf Werte sind nicht dokumentiert.
Informationssicherheitsanforderungen sind bezüglich der Kommunikation von Sicherheitsvorfällen mit den Hauptlieferanten nicht berücksichtigt.

Was trifft auf interne Audits im Kontext eines ISMS zu?

Sie dienen dazu, die Konformität des ISMS mit den Anforderungen der Organisation an ihr ISMS zu überprüfen
Sie dienen dazu, die Konformität des ISMS mit den Anforderungen aus ISO/IEC 27001 zu überprüfen
Ihre Ergebnisse sind Basis für die Erklärung zur Anwendbarkeit.

Welche der folgenden Maßnahmen sind unter anderem mit dem Maßnahmenziel der Identifikation von Werten (Assets) sowie der Festlegung angemessener Verantwortlichkeiten zu ihrem Schutz (A.8.1) gemäß ISO/IEC 27001 (Anhang A) verbunden?

Zuständigkeit für Werte
Physische Zutrittssteuerung
Sichere Anmeldeverfahren
Zulässiger Gebrauch von Werten

ISO/IEC 27001 definiert Maßnahmen (Controls) und Maßnahmenziele (Control Objectives) zu / zur ...

Sicherung rechtlicher Ansprüche (Defense of legal claims) im Zusammenhang mit Informationssicherheitsvorfällen
Klassifizierungstypen für Informationswerte (Information Assets)
Personalsicherheit (Human resource security)

Was gehört zu den Anforderungen an die Zugänglichkeit von sicherheitsrelevanten Dokumenten

Dokumente müssen öffentlich verfügbar sein
Dokumente müssen sicher aufbewahrt sein
Dokumente müssen für autorisierte Personen zugänglich sein
Dokumente müssen offline gespeichert sein

Was sind Schutzziele für Informationen (Eigenschaften, die im Rahmen der Informationssicherheit erhalten werden sollen)?

Fachliche Korrektheit
Anonymität
Nicht-Abstreitbarkeit (non-repudiation)

Welche Themenbereiche bilden die Struktur des Annex A in ISO/IEC 27001:2022?

Organizational (A.5)
Financial (A.7)
Technological (A.8)
People (A.6)

Wer ist in der Regel für das Asset Management verantwortlich

ISB
Personalabteilung
Marketingabteilung
IT Abteilung

Hauptziele eines ISMS sind …

Kontinuierliche Verbesserung des ISMS
Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit
Zwingende Umsetzung aller 93 Annex A Controls unabhängig vom Risiko
100%ige Sicherheit garantieren

Was ist bei der Festlegung des Anwendungsbereichs des Informationssicherheitsmanagementsystems (scope of the information security management system) zu beachten?

Der Anwendungsbereich des ISMS kann, zumindest grundsätzlich, danach eingeschränkt werden, welche Anforderungen der ISO/IEC 27001 erfüllt werden müssen.
Der Anwendungsbereich des ISMS muss vor Offenlegung (Verlust der Vetraulichkeit) geschützt werden.
Der festgelegte Anwendungsbereich muss dokumentiert sein.

Wie können Unternehmen den Wert ihrer Assets bewerten

Verwendung von Online-Bewertungen und sozialen Medien
Berechnung der Kosten
Einschätzung der Kosten für die Herstellung des Assets
Durchführung von regelmäßigen Marktanalysen

15. Was ist ein Maßnahmenziel des in ISO/IEC 27001 spezifizierten Managements von organisationseigenen Werten (A.7)?

Der Schutz vor unbefugtem Zutritt zu Server-Räumen.
Die regelmäßige Überprüfung von Informationen auf den Befall mit Schadsoftware.
Das Adressieren von Sicherheit in Vereinbarungen mit Dritten.
Die Sicherstellung des angemessenen Schutzes von Informationen.

Zusammenspiel ISO 27001 & IT‑Grundschutz – was stimmt?

Basis Absicherung reicht immer für eine ISO Zertifizierung
IT Grundschutz konkretisiert den Rahmen von ISO 27001
ISO Zertifizierung „auf der Basis von IT Grundschutz“ ist möglich
IT Grundschutz und ISO 27001 verfolgen widersprüchliche Ziele

Was sollte im Zusammenhang mit Benutzerkennungen, Kennwörtern und weiterer Information zur Authentifizierung von Benutzern sichergestellt sein?

Benutzer sind verpflichtet, die Regeln der Organisation zur Verwendung geheimer Authentisierungsinformation zu befolgen.
Kennwörter basieren nicht auf relativ einfach zu ermittelnden Sachverhalten (z.B. Geburtsdatum, Namen von Familienangehörigen usw.)
Kennwörter haben eine ausreichende Mindestlänge.

5. In welchen Bereich von ISO/IEC 27001 ist die Maßnahme Verwaltung von Benutzerpasswörtern einzuordnen?

Abschnitt 8.3 Verbesserung des ISMS, Vorbeugungsmaßnahmen
Anhang A.6 Organisation der Informationssicherheit
Anhang A.8 Personelle Sicherheit
Anhang A.11 Zugangskontrolle

Was umfasst ein (Informationssicherheits-)Managementsystem im Sinne der ISO/IEC 27000?

Richtlinien
Zuständigkeiten (Verantwortlichkeiten)
Organisationsstrukturen

Welche der folgenden Beschreibungen von Zielen gehören zu Maßnahmenzielen aus Anhang A.12
"Betriebssicherheit" der ISO/IEC 27001?

Der Schutz von Daten, die für das Testen verwendet werden, ist sichergestellt.
Audittätigkeiten während des Betriebs werden wirksam unterbunden.
Die Ehrlichkeit von Anwendern und Mitarbeitern ist im Betrieb garantiert.
Information und informationsverarbeitende Einrichtungen sind vor Schadsoftware geschützt.

Welche Aufgaben zählen explizit zum ISB-Rollenprofil?

Lizenzmanagement der Fachsoftware übernehmen
B. Realisierung von Maßnahmen initiieren und überprüfen
Sensibilisierungs- und Schulungsmaßnahmen koordinieren
Sicherheitsleitlinie mit vorbereiten

24. Welcher der folgenden Punkte ist keine Eingabe für die Managementbewertung des ISMS nach ISO/IEC 27001?

Empfehlungen für Verbesserungen.
Ein aktualisierter Risikobehandlungsplan.
Ergebnisse von Messungen der Wirksamkeit des ISMS.
Ergebnisse von ISMS-Audits und -Überprüfungen.

25. Welche der folgenden Schritte sind im Rahmen der Risikobewertung n(Risikoevaluation) durchzuführen?

1. Identifizieren von Bedrohungen.
2. Identifizieren von Schwachstellen.
3. Eingeschätztes Risiko mit festgelegten Kriterien vergleichen.
4. Bedeutung (Signifikanz) des Risikos bestimmen.
5. Restrisiko akzeptieren.

Nur 3, 4 und 5 sind richtig.
Nur 3 und 4 sind richtig.
Alle Schritte sind richtig.
Nur 1, 2 und 3 sind richtig.

Wer sollte in der Regel in die Entwicklung von Sicherheitsrichtlinien einbezogen werden

Externer Berater
Alle Mitarbeiter
Führungsebenen und relevante Stakeholder
Nur die IT-Abteilung

35. Welche Maßnahme muss nach ISO/IEC 27001 in Bezug auf Telearbeit ergriffen werden?

Es müssen Regelungen und Betriebsanweisungen für Telearbeit entwickelt und implementiert werden.
Telearbeiter müssen von sensiblen Systemen mittels Firewalls vollständig isoliert werden.
Über die Telearbeit muss eine Aufzeichnung angefertigt werden, die im Rahmen von ISMS-Audits zur Bewertung der mit ihr verbundenen Risiken herangezogen wird.
Die Telearbeit muss im Rahmen von ISMS-Audits überwacht und verbessert werden.

Für welche Begriffe aus der ISO/IEC 27000 trifft eine der folgenden Definitionen zu?
- Satz zusammenhängender und sich gegenseitig beeinflussender Tätigkeiten, der Eingaben in Ergebnisse umwandelt
- Absichten und Ausrichtung einer Organisation, wie von der obersten Leitung formell ausgedrückt
- Nichterfüllung einer Anforderung
- Satz zusammenhängender und sich gegenseitig beeinflussender Elemente einer Organisation, um Politiken (Richtlinien), Ziele und Prozesse zum Erreichen dieser Ziele festzulegen
- Person oder Personengruppe, die die rechtliche Verantwortung (accountability) für die Leistung und Konformität der Organisation trägt
- Eigenschaft der Richtigkeit und Vollständigkeit

Prozess (process)
Politik / Richtlinie (policy)
Steuerungsgremium (governing body)

Was muss die Organisation nach ISO/IEC 27001 (u.a.) für die interne und externe Kommunikation in Bezug auf das Informationssicherheitsmanagementsystem bestimmen?

Worüber kommuniziert wird
Mit wem kommuniziert wird
Obergrenze für die Kommunikationskosten
Welche Kommunikation als unerwünscht zu klassifizieren ist

37. ISO/IEC 27001 definiert den Begriff Informationssicherheitsvorfall.

Welche der folgenden Aussagen ist kein Beispiel für einen Informationssicherheitsvorfall im Sinne dieser Definition?

Genau ein informationssicherheitsspezifisches Ereignis, bei dem eine erhebliche Wahrscheinlichkeit besteht, dass Geschäftsabläufe kompromittiert werden.
Eine Reihe von unerwarteten Informationssicherheitsereignissen, durch die die Informationssicherheit faktisch bedroht wird.
Eines oder mehrere unerwartete Ereignisse, bei denen eine minimale Wahrscheinlichkeit besteht, dass die Informationssicherheit bedroht wird.
Eines oder mehrere unerwünschte Ereignisse, bei denen eine erhebliche Wahrscheinlichkeit besteht, dass sowohl die Geschäftsabläufe kompromittiert als auch die Informationssicherheit bedroht werden.

Kryptografische Maßnahmen können zur Erreichung verschiedener Ziele der Informationssicherheit beitragen.
Welche Schutzziele lassen sich mittels Einsatz von Verschlüsselung und digitaler Signaturen unterstützen?

Vertraulichkeit
Verlässlichkeit
Authentizität
Integrität

36. Für welche Art von Systemen empfiehlt ISO/IEC 27001 im Rahmen derZugriffskontrolle auf Betriebssysteme (Anhang A.11.5) die Begrenzung der Verbindungszeit (Maßnahme A.11.5.6)?

Für Web-basierte Applikationen.
Für Anwendungen mit hohem Risiko.
Für das Informationssicherheits-Managementsystem (ISMS)
Für aktive und passive Netzkomponenten.

Nach BSI‑Standard 200‑2: In welchen Fällen ist eine explizite Risikoanalyse nach BSI‑Standard 200‑3 durchzuführen?

Wenn Zielobjekte einen hohen oder sehr hohen Schutzbedarf in mind. einem der Grundwerte V/I/V aufweisen
Wenn Zielobjekte in Einsatzszenarien betrieben werden, die im IT Grundschutz nicht vorgesehen sind
Wenn Zielobjekte durch vorhandene IT Grundschutz Bausteine nicht hinreichend abgebildet werden können
Immer, auch ohne konkreten Anlass, parallel zur Modellierung

Flashcard Info

Noch mehr Fragen ITSibe