MemoCard lernen mit System

Welche der folgenden Aussagen ist im Zusammenhang mit ISO/IEC 27001 und
ISO/IEC 20000-1 nicht korrekt?

Zwischen bestimmten Maßnahmen aus der ISO/IEC 27001 und Prozessen der ISO/IEC 20000-1 besteht ein enger Zusammenhang.
ISO/IEC 27001 und ISO/IEC 20000-1 sind beide entsprechend der High Level Structure der ISO aufgebaut.
Die ISO/IEC 20013 liefert Empfehlungen zur gemeinsamen Anwendung von ISO/IEC 27001 und ISO/IEC 20000-1.
Die ISO/IEC 20000-1 verweist in ihrem Abschnitt 2 („Normative Verweisungen“) auf die ISO/IEC 27001, enthält aber keine Anforderungen in Bezug auf das Management der Informationssicherheit.

Was ist nicht Teil der Anforderungen in Bezug auf Zugangssteuerung (A.5.15)?

Berücksichtigung von Geschäfts- und Informationssicherheitsanforderungen bei der Erstellung von Regeln
Regeln zur Steuerung des physischen Zugangs zu Assets
Regeln zur Steuerung des logischen Zugangs zu Assets und Informationen
Regeln zur Verhinderung des Zugriffs auf die Informationssicherheitsrichtlinie durch nicht speziell eingewiesenes Personal

Was versteht man allgemein unter einem normativen Standard?

Ein normativer Standard gibt verbindlich vor, wie ISO-Leitfäden umzusetzen sind.
Ein normativer Standard enthält Anforderungen bzw. verbindliche Vorgaben.
Ein normativer Standard enthält Empfehlungen.
Alle ISO/IEC-Standards sind normative Standards.

Aus welchem Standard ging ISO/IEC 27001 und ISO/IEC 27002 hervor?

Aus dem britischen Standard BS 7799 bzw. BS 7799-1 und BS 7799-2.
Aus dem internationalen Standard ISO 9001.
Aus dem internationalen Standard ISO/IEC 20000-1.
Aus den deutschen BSI IT-Grundschutzkatalogen.

Welche Aussagen treffen auf FitSM zu?

FitSM ist ein Standard für die Gestaltung sicherer IT-Produkte.
FitSM ist ein leichtgewichtiger Standard für IT Service Management (ITSM).
FitSM in eine Fachbuchreihe mit (unverbindlichen) Empfehlungen zu IT Service Management (ITSM).
FitSM ist ein leichtgewichtiger Standard für Informationssicherheit.

In welchen Mindestabständen müssen gemäß der Norm ISO/IEC 27001 interne
Audits durchgeführt werden?

Interne Audits müssen mindestens in jährlichen Intervallen durchgeführt werden.
Interne Audits sind nur vor einem Zertifizierungsaudit durchzuführen.
Nur bei Änderungen am Anwendungsbereich des ISMS sind gemäß ISO/IEC 27001 interne Audits durchzuführen.
Die Durchführung interner Audits muss in geplanten Abständen erfolgen. Die Häufigkeit wird im Rahmen eines Auditprogramms festgelegt.

Welcher der folgenden Punkte ist keine Eingabe (Input) für die
Managementbewertung des ISMS nach ISO/IEC 27001?

Der Status von Maßnahmen vorheriger Managementbewertungen.
Eine angepasste Informationssicherheitsrichtlinie.
Empfehlungen für Verbesserungen.
Ergebnisse von Messungen der Wirksamkeit des ISMS.

Welche der folgenden Schritte sind im Rahmen der
Informationssicherheitsrisikobeurteilung durchzuführen?
1. Risiken identifizieren
2. Risiken analysieren
3. Risiken bewerten

Nur 1 und 2 sind richtig.
Nur 1 und 3 sind richtig.
Keiner der Schritte gehört zur Informationssicherheitsrisikobeurteilung.
Alle Schritte sind richtig.

Welcher der folgenden Standards der ISO/IEC 27000-Familie ist normativ?

ISO/IEC 27002
ISO/IEC 27007
ISO/IEC 27011
ISO/IEC 27006

Welche der folgenden Rollen sind im Rahmen des
Informationssicherheitsmanagementsystems in großen Unternehmen
unmittelbar relevant?
1. Informationssicherheitsbeauftragter
2. Oberste Leitung (Topmanagement)
3. Mitarbeiter
4. Zulieferer
5. Sales Manager

Alle Rollen sind relevant.
Nur 1, 2, 3 und 5.
Nur 1, 2, 3 und 4.
Nur 2, 3, 4 und 5.

Wann sind nach ISO/IEC 27001 interne Audits durchzuführen?

In geplanten Zeitabständen
Nach jedem Informationssicherheitsvorfall
Bei jeder Zertifizierung
Bei Erfassen eines Verbesserungsvorschlags

Welcher erste Schritt ist im Kontext der
Informationssicherheitsrisikobeurteilung nach ISO/IEC 27001 erforderlich?

Das Risikoniveau muss eingeschätzt werden.
Es muss ein Prozess zur Informationssicherheitsrisikobeurteilung festgelegt werden.
Die Risikoeigentümer müssen identifiziert werden.
Informationssicherheitsrisiken müssen analysiert werden.

Was muss beim Identifizieren von Risiken nach ISO/IEC 27001 berücksichtigt
werden?

Risikoeigentümer
Einschätzung des geschäftlichen Schadens
Auswirkungen des Verlusts der Vertraulichkeit
Risikoakzeptanzkriterien

Welche beiden Maßnahmen aus ISO/IEC 27001 Anhang A.5 leisten einen Beitrag
dazu, in Ausnahmesituationen die Informationssicherheit und die Verfügbarkeit
informationsverarbeitender Systeme aufrechtzuerhalten?

Zugangssteuerung (A.5.31) und Kontakt zu speziellen Interessengruppen (A.5.6).
Informationssicherheit bei Betriebsunterbrechungen (A.5.29) und IKT-bezogene Vorkehrungen zum Erhalt der Geschäftskontinuität (A.5.30).
Screening (A.6.1) und Informationssicherheit bei Betriebsunterbrechungen (A.5.29).
IKT-bezogene Vorkehrungen zum Erhalt der Geschäftskontinuität (A.5.30) und Zugangssteuerung (A.5.31).

In der ISMS-Leitlinie werden unter anderem Rollen und Zuständigkeiten
festgelegt. Welche der folgenden Aussagen ist falsch?

In vielen Organisationen bietet es sich an, einen Gesamtverantwortlichen für die Informationssicherheit zu benennen.
Eine Person kann auch mehrere definierte Rollen einnehmen.
Verantwortungs- und Aufgabenhierarchien, die für die Informationssicherheit definiert werden, müssen sich nicht mit den Abteilungsstrukturen des Unternehmens decken.
Zugewiesene Verantwortlichkeiten im Umfeld der Informationssicherheit dürfen nicht delegiert werden.

In welchem Zusammenhang steht das BSI IT-Grundschutzkompendium mit der
Norm ISO/IEC 27001?

BSI IT-Grundschutz und ISO/IEC 27001 konkurrieren miteinander und schließen sich gegenseitig aus.
Das BSI IT-Grundschutzkompendium ergänzt genau solche Maßnahmen, die in ISO/IEC 27001 nicht berücksichtigt wurden.
Das BSI IT-Grundschutzkompendium ist genauso wie ISO/IEC 27001 aufgebaut, vertieft die einzelnen Punkte aber mit konkreten technischen Aspekten.
Das BSI IT-Grundschutzkompendium enthält Bausteine, die eine sinnvolle Ergänzung zu den Anforderungen aus ISO/IEC 27001 darstellen können.

Was ist nach ISO/IEC 27000 ein Managementsystem?

Der Begriff des Managementsystems wird in ISO/IEC 27000 nicht verwendet.
Keine der Antworten trifft zu.
Ein Managementsystem ist ein Rahmenwerk von Leitlinien, Verfahren, Regelungen sowie zugehörigen Ressourcen, die dazu dienen, die Ziele der Organisation zu erreichen.
Ein Managementsystem bezeichnet ein System, das die Sicherheit eines Unternehmens garantiert.

Welches Schutzziel der Informationssicherheit wird erreicht, wenn
Informationen effektiv vor unautorisierten Veränderungen, wie etwa
Manipulationen, geschützt werden?

Integrität
Verlässlichkeit
Vertraulichkeit
Verfügbarkeit

Welche Aussage zu der (allgemeinen) Informationssicherheitsrichtlinie und
themenspezifischen Richtlinien in einem ISMS ist nicht zutreffend?

Themenspezifische Richtlinien müssen von der obersten Leitung genehmigt werden.
Die allgemeine Informationssicherheitsrichtlinie muss von der obersten Leitung genehmigt werden.
Themenspezifische Richtlinie regeln bestimmte Aspekte und unterstützen so die Umsetzung der allgemeinen Informationssicherheitsrichtlinie.
Eine Richtlinie zur Verwendung von Clouddiensten ist ein Beispiel für eine themenspezifische Richtlinie.

Welche Aussage zu den in Anhang A von ISO/IEC 27001 definierten Maßnahmen
ist korrekt?

Alle Maßnahmen haben technischen Charakter und dienen somit der Erhöhung der IT-Sicherheit.
Die Maßnahmen sind normativ und als solche Bestandteil eines ISMS.
Durch die Umsetzung aller Maßnahmen wird das maximal mögliche Sicherheitsniveau erreicht.
Die Maßnahmen sind unverbindliche Vorschläge und sind für den Aufbau eines ISMS nicht relevant.

ISO/IEC 27000 definiert den Begriff Informationssicherheitsvorfall. Welche der
folgenden Aussagen ist kein Beispiel für einen Informationssicherheitsvorfall im
Sinne dieser Definition?

Genau ein informationssicherheitsspezifisches Ereignis, bei dem eine erhebliche Wahrscheinlichkeit besteht, dass Geschäftsabläufe kompromittiert werden.
Eines oder mehrere unerwünschte Ereignisse, bei denen eine erhebliche Wahrscheinlichkeit besteht, dass sowohl die Geschäftsabläufe kompromittiert als auch die Informationssicherheit bedroht werden.
Eine Reihe von unerwarteten Informationssicherheitsereignissen, durch die die Informationssicherheit faktisch bedroht wird.
Eines oder mehrere unerwartete Ereignisse, bei denen eine minimale Wahrscheinlichkeit besteht, dass die Informationssicherheit bedroht wird.

Welche Aussage zu den Begriffen Scoping und Anwendbarkeit ist korrekt?

Mittels Scoping werden normative Regelungen des Standards außer Kraft gesetzt.
Die Erklärung zum Anwendungsbereich (Scoping Statement) ist ein Dokument, das Maßnahmen beschreibt, die für das ISMS einer Organisation relevant und anwendbar sind.
Die Anwendbarkeitserklärung legt fest, welche Standards der ISO/IEC 27000-Normenreihe für eine Organisation verpflichtend sein sollen.
Die Erklärung zur Anwendbarkeit (Statement of Applicability) ist ein Dokument, das Maßnahmen beschreibt, die für das ISMS einer Organisation relevant und anwendbar sind.

Warum müssen gesetzliche Anforderungen in Verbindung mit der
Informationssicherheit identifiziert, dokumentiert und aktuell gehalten werden?

Um Möglichkeiten der Einflussnahme auf künftige Gesetze identifizieren zu können.
Um auf ihre Einhaltung hinzuwirken und diese sicherzustellen.
Um besonders sensible Systeme von anderen Systemen isolieren zu können.
Um die korrekte Verwendung von Telearbeitsplätzen sicherzustellen.

Was ist keine Maßnahme, die ISO/IEC 27001 im Bereich Organisatorische
Maßnahmen spezifiziert?

Kontakt zu Behörden
Informationssicherheit im Projektmanagement
Kapazitätsmanagement
Kontakt zu speziellen Interessengruppen

Was wird im Kontext von ISO/IEC 27001 unter einem Restrisiko verstanden?

Ein nach der Risikobehandlung verbleibendes Risiko.
Ein inhärentes Risiko, für das es keine Risikobehandlung gibt.
Ein Risiko, für das entschieden wurde, dass es geteilt (versichert) werden kann.
Ein Risiko, das im Rahmen der Risikoanalyse nicht weiter betrachtet wird.

Welche der folgenden Aussagen trifft auf den Begriff Standardisierung zu?

Der Wettbewerb verschiedener Hersteller eines Produktes wird durch Standardisierung negativ beeinflusst.
Bei dem Begriff Standardisierung handelt es sich um einen rein technischen Begriff.
Standardisierung von IT-Systemen erhöht die IT-Gesamtkosten eines Unternehmens um ca. 30 %.
Unter Standardisierung versteht man allgemein Vereinheitlichung.

Im Zuge der Verbesserung des ISMS muss mit aufgetretenen
Nichtkonformitäten umgegangen werden. Was gehört nicht zu den hierzu
erforderlichen Aktivitäten laut ISO/IEC 27001?

Die für das Entstehen der Nichtkonformität Verantwortlichen im Rahmen des Maßregelungsprozesses ermitteln
Notwendigkeit von Maßnahmen zur Beseitigung der Ursache bewerten
Notwendige (Korrektur-)Maßnahmen einleiten
Reagieren auf die Nichtkonformität und Umgehen mit den Folgen

Was versteht man allgemein unter einem informativen Standard?

Ein informativer Standard enthält Anforderungen bzw. verbindliche Vorgaben.
Alle ISO/IEC-Standards sind informative Standards.
Ein informativer Standard enthält Empfehlungen.
Ein informativer Standard gibt verbindlich vor, wie ISO-Leitfäden umzusetzen sind.

Welche Maßnahme muss nach ISO/IEC 27001 in Bezug auf Remote-Arbeiten
(A.6.7) ergriffen werden?

Remote-Arbeiter müssen von sensiblen Systemen mittels Firewalls vollständig isoliert werden.
Die Remote-Arbeit muss im Rahmen von ISMS-Audits überwacht und verbessert werden.
Über die Remote-Arbeit muss eine Aufzeichnung angefertigt werden, die im Rahmen von ISMS-Audits zur Bewertung der mit ihr verbundenen Risiken herangezogen wird.
Es müssen Regelungen und Betriebsanweisungen für Remote-Arbeit entwickelt und implementiert werden.

Welchen Zweck verfolgt die Maßnahme Redundanz informationsverarbeitender
Systeme?

Das Risiko von Systemabstürzen und Abnahmefehlern zu minimieren.
Alle neu zu planenden Systeme vor der Abnahme auf Sicherheitsmängel zu evaluieren.
Den dauerhaften und kontinuierlichen Betrieb informationsverarbeitender Einrichtungen sicherzustellen.
Die Einhaltung geltender Gesetze zu garantieren.

Welche der folgenden Maßnahmen ist von ISO/IEC 27001 in Anhang A.5 nicht
als Teil der organisatorischen Maßnahmen vorgesehen?

Die Berücksichtigung der Informationssicherheit in Vereinbarungen mit Lieferanten.
Das Festlegen von Rollen und Verantwortlichkeiten für die Informationssicherheit.
Die Sicherung von Büros, Räumlichkeiten und Einrichtungen.
Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen.

Wobei handelt es sich um eines der drei grundlegenden Schutzziele der
Informationssicherheit?

Übertragbarkeit.
Maskierung.
Vertraulichkeit.
Verschlüsselung.

Was kann in begründeten Fällen im Rahmen einer Zertifizierung nach
ISO/IEC 27001 ausgeschlossen werden?

Nichts, Ausschlüsse sind generell unzulässig.
Einzelne Maßnahmen aus Anhang A.
Anforderungen aus den Kapiteln 4 bis 10.
Der gesamte Anhang A.

Nach ISO/IEC 27001 Anhang A.5 müssen verschiedene Maßnahmen zur
Informationssicherheit in Verbindung mit Lieferanten (Suppliern) und externen
Dienstleistungen umgesetzt werden. Welche der folgenden Maßnahmen gehört
nicht zu diesem Themenkomplex?

Schutz vor physischen und umgebungsbedingten Gefährdungen.
Überwachung, Überprüfung und Management von Änderungen der Dienstleistungen von Lieferanten.
Berücksichtigung der Informationssicherheit in Vereinbarungen mit Lieferanten.
Management der Informationssicherheit in der IKT-Lieferkette.

Welche der folgenden Aussagen zum Geltungsbereich eines ISMS sind korrekt?

Der Geltungsbereich beschreibt die Werte einer Organisation und das Minimum ihres notwendigen Schutzbedarfs.
Der Geltungsbereich definiert die Mindestanzahl an Mitarbeitern, die notwendig sind, um eine Zertifizierung nach ISO/IEC 27001 erlangen zu können.
Der Geltungsbereich ist die Bewertung und Auswahl von Maßnahmen zur Behandlung von Informationssicherheitsrisiken.
Der Geltungsbereich kann die gesamte Organisation, bestimmte Teile davon, wie z. B. einzelne Standorte (durch geografische Abgrenzung) oder nur einzelne Abteilungen, umfassen.

In welche Maßnahme gemäß ISO/IEC 27001 fällt das Thema der
Nutzerverantwortlichkeiten im Umgang mit Passwörtern?

Anwender-Endgeräte (A.8.1)
Authentifizierungsinformationen (A.5.17)
Sichere Authentifizierung (A.8.5)
Klassifizierung von Informationen (A.5.12)

Im Rahmen der Überprüfungsphase des PDCA-Zyklus werden verschiedene
Begrifflichkeiten einschlägig verwendet. Was versteht man in diesem
Zusammenhang unter dem Begriff „Effizienz“?

Ob die eingesetzten Ressourcen in einem möglichst optimalen (aber mindestens verhältnismäßigen) Verhältnis zum Ergebnis stehen.
Ob durch einen Prozess, ein Verfahren oder eine Maßnahme die damit verbundenen Ziele auch tatsächlich erreicht wurden.
Keine der oben genannten Antworten trifft zu.
Ob ein Prozess, ein Verfahren oder eine Maßnahme gemäß der Planung durchgeführt bzw. umgesetzt wurde oder ob die tatsächliche Umsetzung von den Planungsvorgaben abweicht.

Was bedeutet der Begriff „Effektivität“ bzw. „Wirksamkeit“ im Zusammenhang
mit Maßnahmen oder Prozessen?

Die mit der Maßnahme oder dem Prozess verbundenen Ziele werden auch tatsächlich erreicht.
Die für die Maßnahme oder den Prozess eingesetzten Ressourcen stehen in einem möglichst optimalen Verhältnis zum Ergebnis.
Die Kosten für die Maßnahme oder den Prozess sind korrekt budgetiert.
Die tatsächliche Umsetzung der Maßnahme oder des Prozesses entspricht genau der ursprünglichen Planung.

Nach ISO/IEC 27001 Anhang A.5 müssen verschiedene Maßnahmen in
Verbindung mit Informationen und anderen Assets umgesetzt werden. Welche
der folgenden Maßnahmen gehört nicht zu diesem Themenkomplex?

Übertragung oder Transport von Informationen (A.5.14)
Kennzeichnung von Informationen (A.5.13)
Zulässige Nutzung von Informationen und anderen damit verbundenen Assets (A.5.10)
Verwendung von privilegierten Dienstprogrammen (A.5.11)

Welche Aussage zur allgemeinen Informationssicherheitsrichtlinie (bzw.
Informationssicherheitspolitik) ist nicht korrekt?

Die Informationssicherheitsrichtlinie muss innerhalb der Organisation bekannt gemacht werden.
Die oberste Leitung muss die Informationssicherheitsrichtlinie festlegen.
Die Informationssicherheitsrichtlinie muss eine Spezifikation der verschiedenen Sicherheitszonen und Zutrittsrechte enthalten.
Die Informationssicherheitsrichtlinie muss eine Verpflichtung zur fortlaufenden Verbesserung (PDCA) enthalten.

Ein neuer Mitarbeiter beginnt ein Beschäftigungsverhältnis. Welche Maßnahmen
sind im Sinne des Anhangs A.6 „Personenbezogene Maßnahmen“ der
ISO/IEC 27001 zu ergreifen?

Der Mitarbeiter erhält mit seinem Arbeitsvertrag auch stets ein Notebook.
Alle Zugangsrechte des neuen Mitarbeiters sind unverzüglich aufzuheben und alle unter seiner Kennung erzeugten Daten unverzüglich zu löschen, wenn er das Unternehmen wieder verlässt.
Der Mitarbeiter muss vor seiner Anstellung einer Sicherheitsprüfung unterzogen worden sein.
Der neue Mitarbeiter verpflichtet sich schriftlich, den Kontakt mit Behörden zu pflegen.

Flashcard Info

Prxsbch Übungsfragen