MemoCard lernen mit System

Welches Modell liegt dem in BSI-Standard 200-1 beschriebenen Sicherheitsprozess zugrunde?

ein Verfahren zur Definition eines State-of-the-Art-Informationssicherheitsniveaus
ein auf stetige Verbesserung angelegtes Modell
ein Modell aus technischen Sicherheitsmaßnahmen
ein Zyklus aus den Schritten Plan, Do, Check und Act

Ein Unternehmen hat zur Sicherstellung des Geschäftsbetriebs einen Business
Continuity Plan (BCP) erstellt. Welche Aktionen sind durchzuführen, damit der
BCP erfolgreich sein kann?

Der BCP ist streng vertraulich zu behandeln. Die darin enthaltenen Informationen könnte ein Angreifer verwenden, um Schwachstellen zu identifizieren.
Pläne zur Sicherstellung des Geschäftsbetriebs müssen regelmäßig getestet und aktualisiert werden, um sicherzustellen, dass sie auf dem neuesten Stand und effektiv sind.
Der BCP muss inhaltlich stark fokussiert werden (z. B. nur auf die Behandlung von Sicherheitsvorfällen), um erfolgreich zu sein.
Die Mitarbeiter, die den BCP im Ernstfall umsetzen sollen, sind regelmäßig einem Stresstest zu unterziehen.

Warum sollten Sie Ihr Sicherheitskonzept regelmäßig überprüfen?

weil sich die Zielsetzungen und Prioritäten einer Institution ändern
weil sich die Gefährdungslage ändert
weil die IT-Sicherheitsbranche ständig neuen Trends unterliegt
weil sich die Prozesse und Strukturen einer Institution ändern

Was ist ein entscheidender Schritt, um das Ziel der Einhaltung gesetzlicher
Vorgaben zu erreichen?

Die Identifikation der anwendbaren Gesetze
Telearbeitsplätze einzurichten
Isolation sensibler Systeme
Regelwerk zur Nutzung von Netzen

In welchem Zusammenhang stehen die BSI IT-Grundschutzkataloge mit der
Norm ISO/IEC 27001?

Das IT-Grundschutz-Zertifikat des BSI deckt auch ISO/IEC 27001 mit ab.
BSI IT-Grundschutz und ISO/IEC 27001 konkurrieren miteinander und schließen sich gegenseitig aus.
Die BSI IT-Grundschutzkataloge sind genauso wie ISO/IEC 27001 strukturiert, vertiefen die einzelnen Punkte aber mit konkreten technischen Aspekten.
Die BSI IT-Grundschutzkataloge ergänzen genau solche Maßnahmen, die in ISO/IEC 27001 nicht berücksichtigt wurden.

Welche der folgenden Untersuchungen haben die systematische Überprüfung der Informationssicherheit in einer Institution zum Ziel?

die Auswertung von IT-Sicherheitsvorfällen
die IT-Sicherheitsrevision
ein Audit im Rahmen einer ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz
Penetrationstests

Welche Aufgaben haben üblicherweise Informationssicherheitsbeauftragte?

die Entwicklung von Sicherheitskonzepten zu koordinieren
Presseanfragen zum den Stand der Informationssicherheit im Unternehmen zu beantworten
die eingesetzte Sicherheitstechnik zu konfigurieren
der Leitungsebene über den Stand der Informationssicherheit zu berichten

Welche Vorteile bieten Reifegradmodelle für die Bewertung eines ISMS?

Durch Anwendung eines Reifegradmodells wird eine zentrale Forderung der Norm ISO 27001 erfüllt.
Mit einem Reifegradmodell können der Grad der Strukturiertheit und das Maß der systematischen Steuerung eines Prozesses bewertet werden.
Die Anwendung eines Reifegradmodells ist Voraussetzung für den Erwerb eines IT-Grundschutz-Zertifikats.
Ein Reifegradmodell kann auf Teilaspekte des ISMS angewendet werden und Defizite bei einzelnen Prozessen abbilden.

Im Rahmen der Überprüfungsphase des PDCA-Zyklus werden verschiedene
Begrifflichkeiten einschlägig verwendet. Was bedeutet der Begriff „Effektivität“
bzw. „Wirksamkeit“?

Keine der oben genannten Antworten trifft zu.
Ob ein Prozess, ein Verfahren oder eine Maßnahme gemäß der Planung durchgeführt bzw. umgesetzt wurde oder ob die tatsächliche Umsetzung von den Planungsvorgaben abweicht.
Ob durch einen Prozess, ein Verfahren oder eine Maßnahme die damit verbundenen Ziele auch tatsächlich erreicht wurden.
Wenn die eingesetzten Ressourcen in einem möglichst optimalen (aber mindestens vertretbaren) Verhältnis zum Ergebnis stehen.

Welche Ziele verfolgt das Maßnahmenziel A.17.2 „Redundanzen“?

Die Verfügbarkeit von informationsverarbeitenden Einrichtungen sicherzustellen.
Die Einhaltung geltender Gesetze zu garantieren.
Das Risiko von Systemabstürzen und Abnahmefehlern zu minimieren.
Alle neu zu planenden Systeme vor der Abnahme auf Sicherheitsmängel zu evaluieren.

Flashcard Info

Security_Fragen_91_100