MemoCard lernen mit System

Informationssicherheit:

ist ausschließlich der Datenschutz
ist ausschließlich die IT-Sicherheit des Unternehmens
ist ausschließlich die Sicherheit des gesprochenen Wortes
bezieht sich auf alle Informationen des Unternehmens

Was ist/ sind die Aufgabe(n) des Risk Owners?

Anlagerisiken festelegen und bewerten
IT-Sicherheitsrelevante Risiken proaktiv überwachen
IT-Sicherheitsrisiken bewerten und die damit verbundenen Kontrollen identifizieren
Investitionsrisiken des Unternehmens bewerten

Für wen ist die Informationssicherheitsleitlinie auf jeden Fall bindend?

ausschließlich für Mitarbeiter, die mit vertraulichen Informationen betraut sind
ausschließlich für IT-Mitarbeiter
für alle Mitarbeiter
ausschließlich für die Geschäftsführung

Welche Ressourcen müssen bereitgestellt werden?

ausschließlich finanzielle
alle erforderlichen (personelle, finanzielle, …)
ausschließlich personelle
Darüber entscheidet die Organisationsleitung.

Schulung und Sensibilisierung gehören zu:

kontinuierlichen Verbesserung der Informationssicherheit
Notfallbehandlung
Risikomanagement
Implementation eines ISMS

Welche Informationen könnten in eine Managementbewertung des ISMS gemäß ISO 27001 einfließen?

die Ergebnisse des jährlichen Geschäftsberichts
die Ergebnisse des letzten internen Audits
einen Überblick über alle Sicherheitsvorfälle seit der letzten Managementbewertung
die Ergebnisse / Entscheidungen der letzten Managementbewertung

Gemäß DIN ISO/IEC 27001 ist die Etablierung eines Risiko-Management-Systems …

… freiwillig.
… nur für kritische Infrastrukturen notwendig.
… von der Art der Organisation abhängig.
...verpflichtender Bestandteil des ISMS.

Welches Gesetz wurde zum Schutz Kritischer Infrastrukturen verabschiedet?

IT-Sicherheitsverordnung
Rechtsverordnung zum IT-Sicherheitsgesetz
IT-Sicherheitsgesetz mit Auswirkungen auch auf andere Gesetze.
IT-Datenschutzgesetz

Welches sind die Aufgaben eines Notfallmanagements?

Ausfallsicherheit erhöhen
Defekte IT-Systeme zu erneuern
Elementarschäden verhindern
Organisation, bzw. Institution auf Notfälle und Krisen adäquat vorbereiten, damit die wichtigsten Geschäftsprozesse bei Ausfall schnell wieder aufgenommen werden können.

Worauf muss man bei der Bestimmung des Scopes für Informationssicherheit besonders achten?

auf die Mitarbeiteranzahl
auf die Grenzen des Scopes und die Schnittstellen nach außen
auf die Grenzen des Scopes und die Schnittstellen nach außen
auf den Unternehmensjahresumsatz

Welche der folgenden Größen sind KEINE Kenngrößen, sondern Leistungskenngrößen der IS?

Anzahl von IS-Vorfällen
Anzahl umgesetzter IS-Kontrollen, bezogen auf alle umzusetzenden IS-Kontrollen
Return on Security Invest (RoSI)
Anzahl umgesetzter IS-Kontrollen

Die Erklärung der Anwendbarkeit (SoA) aus der ISO27001 ist ein …

Dokument, das während der Zertifzierung erstellt wird.
nicht-obligatorisches Dokument
obligatorisches Dokument
Dokument, das nur für KRITIS Betreiber wichtig ist.

Der Auditee ist…

… eine Person, welche zur Organisation des Audits bestimmt wurde.
…eine zur Durchführung eines Sicherheitsaudits qualifizierte Person.
… die zu auditierende Organisation
… der Auftraggeber des Audits.

Wozu dient ein "internes Audit?"

Kontinuierliche Verbesserung des IT-Sicherheitskonzeptes
zur Überprüfung der korrekten Umsetzung von IS-Maßnahmen
Vollzähligkeit des Incident-Response-Teams
Voraussetzung zur Zertifzierung

Warum benötigt man Kenngrößen in der IS?

zur Steuerung und Messung der Wirksamkeit der IS
um Entscheidungen bzgl. der IS von Entscheidungsträgern einzuholen
um das Management "in Sicherheit" zu wiegen
um sie in der IS-Leitlinie zu präsentieren

Welche Aussage/n ist/ sind richtig?

Zu jedem Asset liefert das BIA zu jedem Schutzziel den maximal möglichen Schaden
Zu jedem Asset ist eine Priorisierung der Maßnahmen durchzuführen.
Zu jedem Asset ist eine bilanzielle Prüfung durchzuführen.
Zu jedem Asset liefert das TVA zu jeder Bedrohung die Eintrittswahrscheinlichkeit.

Messgrößen der IS-Governance enthalten:

Umsetzungsgrad von IS-Maßnahmen (Controls)
Marktanteil
Anzahl der Drucker pro Mitarbeiter
Anzahl von IS-Vorfällen

Welche Aussage/n ist/ sind wahr?

Die ISO/IEC 27005 richtet sich sowohl an Wirtschaftsunternehmen als auch an Behörden in Deutschland und international.
Die ISO/IEC 27005 richtet sich an Wirtschaftsunternehmen und Behörden ausschließlich in Deutschland.
Die ISO/IEC 27005 richtet sich nur an Wirtschaftsunternehmen.
Die ISO/IEC 27005 richtet sich nur an Behörden.

Was bezeichnet die "MTA" im Rahmen der Notfallmanagements?

Ein Medizinisch Technischer Assistent muss im evtl. Notfall verfügbar sein, um verletzte Mitarbeiter zu versorgen.
Dieser Wert gibt an, wann ein Prozess spätestens wieder anlaufen muss, damit die Überlebensfähigkeit einer Institution kurz- oder langfristig nicht gefährdet ist.
Ein Mail Transfer Agent oder Message Transfer Agent (MTA) ist die Software eines Mailservers, die E-Mails entgegennimmt und sendet und hinsichtlich der IT-Sicherheit am ehesten angreifbar ist aber bei der sich Maßnahmen zur Abwehr von Spam anbieten.
MTA ist ein System, mit deren Hilfe allein durch die Analyse eines Bewegungsablaufes die Zeit, die hierfür erforderlich ist hergeleitet wird. Bei der Anwendung dient der Wert auch dem Auffinden von Schwachstellen und deren Beseitigung.

Was sollte mit in die Managementbewertung des ISMS einfließen?

Mitarbeiter-Empfehlungen für Verbesserungen
Status der Korrekturmaßnahmen seit der letzten Managementbewertung
Ergebnisse der internen ISMS-Audits
die aktuelle Geschäftsbilanz

Was sind typische Asset-Kategorien im Sinne der ISO/IEC 27001?

Infrastruktur-Services
Personen
weiche Werte (Image, Marke)
Hardware/ Software

Was bedeutet der Begriff "Corporate Governance"?

Abteilungsleitung
Leitung einer geschäftlichen Zusammenarbeit auf allen Hierarchien
verantwortungsvolle Unternehmensführung
Zusammenarbeit von Regierungen

Was ist/ sind die Aufgabe(n) des IT-Security Managers?

Er initiiert und koordiniert Sensibilisierungsmaßnahmen.
Er berichtet wesentliche Entwicklungen in der Informationssicherheit an die Geschäftsleitung.
Er steuert und koordiniert den IS-Prozess.
Er kümmert sich um ausreichende Ausstattung mit IT.

Ziel der IT-Compliance ist es,

umfassend und dauerhaft die Anforderungen des Gesetzgebers und des Unternehmens einzuhalten.
umfassend und dauerhaft die Anforderungen des Gesetzgebers und der Lieferanten einzuhalten.
umfassend und dauerhaft die Anforderungen der Kunden und des Unternehmens einzuhalten.
umfassend und dauerhaft die Anforderungen des Geschäftspartner und der Kunden einzuhalten.

Eine Gefährdung…

… kann mit geeigneten Maßnahmen abgeschwächt werden.
… wird weder durch eine Bedrohung, noch durch die zugehörige Schwachstelle bestimmt.
… kann nicht mit geeigneten Maßnahmen abgeschwächt werden.
… wird durch eine Bedrohung und die zugehörige Schwachstelle bestimmt.

In der CHECK Phase des Risikomanagements erfolgt die:

Festlegung des Geltungsbereichs
Risikoüberwachung
Maßnahmenumsetzung
Verbesserung des Risikomanagements

Was sind typische Ergebnisse einer Managementbewertung des ISMS gemäß ISO 27001?

Entscheidungen zur Verbesserung der Geschäftsstrategie
Entscheidungen zur Verbesserung einzelner ISMS-Prozesse
Entscheidungen über den Einsatz erforderlicher Ressourcen
Entscheidungen zur Verbesserung der Wirksamkeit des ISMS

RoSI ist der Anteil…

… des Verlustes an den getätigten IS-Investitionen.
… des Gewinns an den getätigten IS-Investitionen.
… des Gewinns an den hierfür getätigten Gesamtinvestitionen.
… des reduzierten erwarteten möglichen Schadens an den zu seiner Abwehr getätigten IS-Investitionen.

Welche/ s der Beispiele entspricht/ entsprechen einer typischen Risikoreduktion?

Risiko Feuer: Die Installation einer Sauerstoffreduktionsanlage in einem Rechnerraum
Risiko Integritätsverletzung: Zur Sicherstellung der Integrität von einzugebenden Daten in eine Anwendung wird das 4-Augen-Prinzip angewendet
Risiko Datenabfluss durch private mobile Endgeräte: Die Nutzung privater mobiler Endgeräte zu Geschäftszwecken wird verboten
Risiko Serverausfall: Outsourcing eines Geschäftsprozesses und der damit verbundenen Risiken

Welche Strategie/n existiert/ existieren zur kontinuierlichen Verbesserung des ISMS?

NATO
PRINCE2
PDCA
DMAIC

Der Auditor ist…

… die zu auditierende Organisation
… der Auftraggeber des Audits.
…eine zur Durchführung eines Sicherheitsaudits qualifizierte Person.
… eine Person, welche zur Organisation des Audits bestimmt wurde.

Was bildet die Struktur des Risikomanagements nach ISO/IEC 27005:2008?

Risikobewertung
Risikobehandlung
Rahmenbedingungen
Risikoakzeptanz

Welche ISMS-Prozesse sind in die Do-Phase einzuordnen?

Incident-Mangement-Prozess
Prozess zur Durchführung von Awareness-Schulungen
Prozess zur Umsetzung der Maßnahmen
Prozess der Managementbewertung

Welche Person / Abteilung ist mein Ansprechpartner für ein Business Impact Assessment?

die Rechtsabteilung
der Systemverantwortliche
der Prozessverantwortliche
die Geschäftsleitung

Gem. BSI modernisierter GS (Kern- und Standardabsicherung) sind die Vorausetzungen für die Modellierung eines Zielobjektes:

Durchgeführte Strukturanalyse und Risikoanalyse
Durchgeführte Strukturanalyse und Schutzbedarfsfeststellung.
Durchgeführte Schutzbedarfsfeststellung und Erstellung des Realisierungsplanes
Durchgeführte Risikoanalyse und Konsilidierung der Maßnahmen.

Die Information Risk Scorecard…

… ist eine alternative Risikoanalyse-Methode zur Bestimmung der IS-Risiken.
… erfüllt die Anforderungen der ISO 27005 an eine IS-Risikoanalyse.
… ist eine Alternative zur Risikoakzeptanz.
… zeigt den Risikowert bemessen in der Unternehmenswährung jedes Risk Owners auf.

Was versteht die ISO 27005 unter dem Aspekt "Risikobewertung"?

Risikoidentifkation, Risikoabschätzung, Risikopriorisierung
Risikoidentifikation, Risikopriorisierung, Risikobehandlung
Risikoidentifikation, Risikoabschätzung, Risikobehandlung
Risikoidentifikation, Risikobehandlung, Risikoakzeptanz

Die drei grundlegenden Schutzziele der Informationssicherheit sind:

Vertraulichkeit - Authentizität - Integrität
Vertraulichkeit - Verfügbarkeit - Integrität
Integrität - Verfügbarkeit - Verbindlichkeit
Vertraulichkeit - Verbindlichkeit - Authentizität

Was sind die Ziele der Informationssicherheit?

Risiken für das Geschäft minimieren
Den Gewinn und die Geschäftschancen zu maximieren
Aufrechterhaltung des Geschäftsbetriebs
Ein einmaliges Sicherheitsniveau festzulegen, welches ab sofort gültig ist

Welche Aussage/n ist/ sind richtig?
Risikomanagement nach ISO/IEC 27005 ...

beschreibt den Betrieb eines ISMS
ist anwendbar auf alle Unternehmensformen (freie Wirtschaft, Behörden)
beschreibt eine spezielle Risikoanalyse-Methode
erfüllt die Anforderungen an ein Risikomanagement nach ISO/IEC 27001

Welche der folgenden Größen sind KEINE Leistungskenngrößen, sondern lediglich Kenngrößen (Statusanzeigen) der IS?

Return on Security Invest (RoSI)
Anzahl umgesetzter IS-Kontrollen, bezogen auf alle umzusetzenden IS-Kontrollen
Anzahl von IS-Vorfällen
Anzahl umgesetzter IS-Controls (Maßnahmen)

Was ist ein Audit?

der Vergleich von Risiken
der Vergleich zwischen einem Istzustand und Sollzustand
der Vergleich zweier Geltungsbereiche miteinande
der Vergleich zweier Normen miteinander

Welche Aussagen sind richtig? Aufgaben des Risikomanagements sind die:

Gewinnung einer priorisierten Risikoübersicht
Erstellung einer Sicherheitspolitik
Identifikation von relevanten Risiken
Identifikation von akzeptierten Risiken

In der Do-Phase des Risikomanagements werden:

Audits geplant
Maßnahmen geplant
Pläne geschmiedet
Maßnahmen umgesetzt

Ihre Organisation führt eine Notfallwiederherstellungsübung durch. Welche der folgenden Möglichkeiten, ist inbegriffen?

Definieren des BIA
Bestimmung des ausfallsicheren Zustandes
Test der Serverwiederherstellung
Festlegen des MTA

Welcher der folgenden Bereiche ist ein Bereich der Netzwerkinfrastruktur, eine Person vom öffentlich zugänglichen System in das interne System zu integrieren, ohne das gesamte Netzwerk zu beeinträchtigen?

VLAN
DMZ
NAT
VPN

Führung und Verpflichtung gemäß DIN ISO/IEC 27001 bedeutet:

die Sicherstellung, dass die ISMS-Anforderungen in die Geschäftsprozesse integriert werden.
die Förderung fortlaufender Verbesserung
die Festlegung der Informations- sicherheitsziele.
die Bereitstellung erforderlicher Ressourcen durch die oberste Leitung.

Was versteht man unter einem "Compliance Audit"?

mehrere Firmen mit der gleichen Unternehmensausrichtung schließen sich für die Zertifizierung zusammen
ein Audit, in dem auch die Wirtschaftlichkeit der Maßnahmen berücksichtigt wird
ein Audit zur Überprüfung der Compliance-Vorgaben
ein Audit, in dem bezüglich verschiedener Normen geprüft wird

Der Lead Auditor ist…

… der Auftraggeber des Audits.
… die zu auditierende Organisation.
…eine zur Durchführung eines Sicherheitsaudits qualifizierte Person.
… eine Person, welche zur Organisation des Audits bestimmt wurde.

Die Informationssicherheitsleitlinie hat für das Unternehmen dieselbe Bedeutung wie:

ein Whitepaper zur Konfiguration von Windowsservern
eine Richtlinie zur Verschlüsselung von mobilen Datenträgern
die Qualitätsleitlinie nach ISO 9001
eine Arbeitsanweisung zur privaten Internet- oder E-Mail-Nutzung

Zur Dokumentation eines ISMS gehört:

die unternehmensweite Organisation und Struktur der IS
der Geltungsbereich (Scope)
die Beschreibung der Methode zur Risikoanalyse
die Geschäftsbilanz

Was sind Leistungskenngrößen (KPIs)?

Sie drücken lediglich einen Soll-Zustand aus.
Sie drücken den Soll- in Bezug auf den Ist-Zustand aus.
Sie drücken den Ist- in Bezug auf den Soll-Zustand aus.
Sie drücken lediglich einen Ist-Zustand (Status) aus.

Ziel(e) der Informationssicherheitsleitlinie ist/ sind:

einen Rahmen für den sicheren Umgang mit Informationen und IT-Systemen zu schaffen
eine risikogerechte Bewertung der Sicherheitsmaßnahmen zu gewährleisten
die unternehmenweite Etablierung des IS-Gedankens
die Entwicklung, der Aufbau und die Pflege der Sicherheitsprozesse

Die Organisationsstruktur sieht die Rolle des IT-Security Managers in der modernen Sicht…

… in Legal & Compliance aufgehängt.
… als Teil der Geschäftsführung.
… in der IT aufgehängt.
… direkt unter dem Management angesiedelt.

Welche IS-relevanten Informationen über Assets gehören in eine Inventarliste?

ddie Art der verarbeiteten, gespeicherten und weitergeleiteten Informationen und ihre Klassifikation
der Asset-Eigentümer (Asset Owner)
die Anschaffungskosten
die Wartungskosten

Zu welchem der folgenden Aspekte des Risikomanagements nach ISO 27005 gehört das Threat and Vulnerability Assessment?

"Risikoakzeptanz"
"Risikobewertung"
"Risikobehandlung"
"Rahmenbedingungen"

Wie ist das Vorgehen beim ISO 27001 Standard?

TOP-DOWN
LEFT-RIGHT
RIGHT-LEFT
BOTTOM-UP

Welche/s der Beispiele entspricht/ entsprechen einer typischen Risikovermeidung?

Risiko Datenabfluss durch private mobile Endgeräte: Die Nutzung privater mobiler Endgeräte zu Geschäftszwecken wird verboten
Risiko Schadprogramme: Installation eines Anti-Viren-Programms
Risiko Geschäftsunterbrechung: Die Aufgabe eines risikobehafteten Geschäftsprozesses
Risiko Serverausfall: Outsourcing eines Geschäftsprozesses und der damit verbundenen Risiken

Kontext der Organisation gemäß DIN ISO/IEC 27001 bedeutet u.a.:

Gesetzliche regulatorische Vorgaben sowie vertragliche Verpflichtungen haben keine Bedeutung.
Anforderungen interessierter Parteien mit Bezug zur Informationssicherheit bestimmen
Anwendungsbereich des ISMS festlegen.
Interessierte Parteien für das ISMS bestimmen

Was versteht die ISO 27005 unter dem Aspekt "Risikoakzeptanz"?

das Tragen des aufgezeigten Risikos ohne weitere Maßnahmen zu ergreifen
die bewusste Akzeptanz aller Risiken vor der Risikobehandlung
die bewusste Akzeptanz der Zusammensetzung des Risikomanagement-Teams
die bewusste Akzeptanz der Restrisiken nach Durchführung der Risikobehandlungsoptionen

Die Informationssicherheitsleitlinie enthält:

die Werte und Technologien der Organisation
Richtlinien zum Umgang mit Firewalls
Richtlinien zur Nutzung des Internets
die Anforderungen der Organisation an die Informationssicherheit

Wer darf ein "internes Audit" durchführen?

externer Berater im Auftrag der Geschäftsleitung
interne geschulte Mitarbeiter
Netzwerkadministratoren
ausschließlich zertifizierte Auditoren

Woraus setzt sich ein Datum im Sinne der Information zusammen?

aus Wörtern und Sonderzeichen
nur aus Buchstaben
nur aus Buchstaben
aus der Syntax der Zeichen

Eine Zertifizierung nach ISO 27001 auf Basis BSI mod. GS ist möglich….

mit der Bestellung des IT-Sicherheitsbeauftragten.
nach Umsetzung der IT-Sicherheitsmaßnahmen der Siegelstufen A, B und C
unter Umständen bereits nach Abschluss der Kernabsicherung.
unter Umständen bereits nach Abschluss der Basisabsicherung.

Welcher ISO 27x Standard befasst sich mit Risikomanagement

ISO/IEC 27005
ISO/IEC 27002
ISO/IEC 27003
ISO/IEC 27001

Die Basisabsicherung des BSI modernisiertem GS hat zum Ziel….

grundlegende Erst-Absicherung über alle relevanten Geschäftsprozesse bzw. Fachverfahren zu erlangen.
die Zertifizierung nach ISO 27001 direkt im Anschluss durchzuführen.
besonders gefährdete Geschäftsprozesse vorrangig abzusichern.
umfassend und tiefgehend Absicherung zu erreichen.

Unter welchen Umständen kann eine Organisation, die Konformität mit ISO 27001 beansprucht, Anforderungen aus dem Kapitel 6 des Standards ISO 27001 ausschließen und für nicht anwendbar erklären?

überhaupt nicht.
wenn die Organisation bereits nach ISO 9001 oder ISO 20000 zertifiziert ist.
wenn sie dies begründet wird.
Wenn es sich um eine Organisation des Gesundheitswesens handelt, für die der branchenspezifische Leitfaden ISO 27799 gilt

Wann sollten bei einem Durchlauf des PDCA-Zyklus die internen Audits erfolgen?

vor der Managementbewertung
nach der Managementbewertung
alle 4 Jahre
in jeder Phase

In der Plan-Phase des Risikomanagements wird festgelegt:

das Pflichtenheft
die Risikokriterien
der Geltungsbereich
die Organisation des Risikomanagements

Die ISO/IEC 27002:2013 basiert:

auf einen branchenübergreifenden Good-Practice-Ansatz für Maßnahmen zur IS
auf einen Good-Practice-Ansatz für Maßnahmen zur IS für eine spezielle Branche
auf den Maßnahmenkatalogen des IT-Grundschutz
auf einen Good-Practice-Ansatz für Maßnahmen zur IS in deutschen Behörden

Ein Managementsystem betrachtet:

die philosophischen Aspekte
die rechtlichen Aspekte
die technischen Aspekte
die organisatorischen Aspekte

Zur Bestimmung der Risikovariablen in der RoSI-Methode helfen, wenn möglich:

Befragungen und Checklisten
historische Vorfallsdaten
Kenntnisse von Angriffsstrategien
Kenntnisse im Datenschutz

Welche/s der Beispiele entspricht/ entsprechen einer typischen Risikoreduktion?

Risiko Geschäftsunterbrechung: Das Aufgeben eines risikobehafteten Geschäftsprozesses
Risiko Serverausfall: Outsourcing eines Geschäftsprozesses und der damit verbundenen Risiken
Risiko Schadprogramme: Installation eines Anti-Viren-Programms
Risiko Datenabfluss durch private mobile Endgeräte: Die Nutzung privater mobiler Endgeräte zu Geschäftszwecken wird verboten

IS-Awarenesskampagnen sind:

Notfallübungen
Anleitungen für die Mitarbeiter zur Ersten Hilfe
Maßnahmen zur Sensibilisierung für die Informationssicherheit
Schulungsmaßnahmen für die Mitarbeiter zur Informationssicherheit

Welche der aufgeführten Schritte gehören in die Stufe "Zertifizierungsaudit"?

Festlegung der Prüfbereiche (Räumlichkeiten, Abteilungen, etc.)
Terminfestlegung und Benennung der Interviewpartner
Prüfung der Wirksamkeit des ISMS
Dokumentationsprüfung des ISMS

Die Abkürzung RoSI bedeutet:

Return On Security Inventory
Return On Safety Investment
Return On Security Investment
Reply Of Security Investment

Welche der folgenden Kenngrößen sind Messgrößen der IS-Governance?

Marktanteil
Umsetzungsgrad von IS-Maßnahmen (Controls)
Anzahl von IS-Vorfällen
Anzahl der Drucker pro Mitarbeiter

Die ISO/IEC 27001:2013 ist eine:

projektbasierte Norm für IS
Schritt-für-Schritt-Anleitung, um IS zu erreichen
prozessorientierte Norm für IS
Technik-orientierte Norm zur Erfassung aller IT-Objekte einer Organisation

Welche ISMS-Prozesse sind in die Plan-Phase einzuordnen?

Risikoanalyseprozess
Auditprozess
Prozess zur Erstellung der Informationssicherheitsleitlinie
Prozess zur Erstellung der Statement of Applicability (SoA) / Erklärung zur Anwendbarkeit

Wozu dient ein "internes Audit?"

Voraussetzung für die Ressourcenplanung im ISMS
Bestätigung der Normkonformität
Festlegung des Startpunktes für eine ISMS Implementation
Bestätigung der Erfüllung der IT-Compliance.

Was bedeutet Nichtkonformität im Sinne der ISO 27001

Nichterfüllung einer Anforderung
Die Erfüllung der Anforderung ist nicht notwendig.
Es gibt keine relevanten Bedrohungen für die Informationssicherheit.
Die Messung der Ergebnisse der Maßnahme ist nicht möglich

Welche Aussage/n ist/ sind richtig? Vorteil einer ISMS Einführung:

Die Aufmerksamkeit richtet sich auf die Informationsressourcen, die das größte Risiko bergen.
Schlüsselrisiken werden erkannt und verstanden.
„Owner” kennen das akzeptable Risikoniveau und sind motiviert, ihre Risiken entsprechend zu verringern.
Alle technischen Risiken werden zu 100% beseitigt

Welche Aussage(n) sind richtig? Wird der IS-Governance Gedanke in einem Unternehmen gelebt, sind die Vorteile:

eine vorhandene etablierte IS-Organisation
die Haftung aller Beteiligten für die IS ist ausgeschlossen
Klarheit und Transparenz bei der Steuerung und Kontrolle der IS
vorhandene etablierte IS-Prozesse

Der "Deutsche Corporate Governance Kodex" mit seinen Anforderungen richtet sich vorrangig:

an alle deutschen Börsenunternehmen
an alle deutschen Regierungsstellen
an alle deutschen Unternehmen
an alle deutschen Behörden

Welche/s der Beispiele entspricht/ entsprechen einem typischen Risikoübertrag?

Risiko Datenabfluss durch private mobile Endgeräte: Die Nutzung privater mobiler Endgeräte zu Geschäftszwecken wird verboten
Risiko Geschäftsunterbrechung: Die Aufgabe eines risikobehafteten Geschäftsprozesses
Risiko Serverausfall: Outsourcing eines Geschäftsprozesses und der damit verbundenen Risiken
Risiko Schadprogramme: Installation eines Anti-Viren-Programms

Die ISO/IEC 27001:2013 konzentriert sich:

auf die organisatorischen Aspekte der IS
auf den Vergleich mit der ISO/IEC 9001 und ISO/IEC 14001
auf juristische Aspekte der IS
auf ausschließlich technische Aspekte der IS

Zu welchem der folgenden Aspekte des Risikomanagements nach ISO 27005 gehört das Business Impact Assessment?

"Rahmenbedingungen"
"Risikoakzeptanz"
"Risikobewertung"
"Risikobehandlung"

In welche Phase des PDCA-Zyklus für das Risikomanagement nach ISO 27005 gehört der Aspekt "Risikoakzeptanz"?

zur Phase "Do"
zur Phase "Plan"
zur Phase "Check"
zur Phase "Act"

Der Geltungsbereich nach ISO/IEC 27001:2013 beschreibt:

weder den Anwendungsbereich noch die Grenzen des ISMS
sowohl den Anwendungsbereich als auch die Grenzen des ISMS
nur den Anwendungsbereich des ISMS
nur die Grenzen des ISMS

Was versteht man unter einem "Comprehensive Audit"?

mehrere Firmen mit der gleichen Unternehmensausrichtung schließen sich für die Zertifizierung zusammen
ein Audit, in dem bezüglich verschiedener Normen geprüft wird
ein Audit, in dem auch die Wirtschaftlichkeit der Maßnahmen berücksichtigt wird
ein Audit zur Überprüfung der Compliance-Vorgaben

Wozu dient der Kenngrößensteckbrief?

zu Revisions- und Auditzwecken
um Kenngrößen aufzuspüren
zur Transparenz von Kenngrößen
zur eindeutigen und umfassenden Dokumentation der Eigenschaften einer Kenngröße

Was versteht man unter Informationssicherheitsrisiken?

Risiken, die aus der Kreditwürdigkeit von Kunden entstehen
Risiken, die aus Marktschwankungen entstehen
Risiken, die durch Verletzung von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen entstehen
die Schadenshöhe bei einem Datenverlust

Was bezweckt das Business Impact Assessment?

Es dokumentiert die Einschätzung des maximalen Risikos für das Eintreten eines IS-Vorfalls.
Es dokumentiert die Einschätzung des maximalen Schadens bei einem IS-Vorfall.
Es dokumentiert die Einschätzung der Eintrittswahrscheinlichkeit für einen IS-Vorfall.
Es dokumentiert die Einschätzung des maximalen Restrisikos für das Eintreten eines IS-Vorfalls.

Welcher ISO 27x Standard befasst sich mit Key Performance Indicator (KPI)?

ISO27001
ISO27004
ISO27000
ISO27005

Welches ist ein neues Sicherheitsthema in ISO/IEC 27001:2013?

Information Security in Project Management
Compliance
Physical Security
Information Security Policy

Was bezweckt das Bedrohungs- und Schwachstellen-Assessment?

Es dokumentiert die Einschätzung des maximalen Schadens bei einem IS-Vorfall.
Es dokumentiert die Einschätzung des maximalen Risikos für das Eintreten eines IS-Vorfalls.
Es dokumentiert die Einschätzung des maximalen Restrisikos für das Eintreten eines IS-Vorfalls.
Es dokumentiert die Einschätzung der Eintrittswahrscheinlichkeit für einen IS-Vorfall.

Welche der folgenden Aussage(n) trifft/ treffen für die RoSI-Methode zu?

Viele Risikovariablen erlauben nur eine Abschätzung des möglichen Schadens.
Kosten in der IS können transparent gemacht werden.
RoSI bestimmt das Risiko für Informationssicherheitsvorfälle.
Es ist keine exakte Bestimmung des möglichen Schadens möglich

Welche Kritierien sind bei der Definition des Geltungsbereiches (Scope) für Informationssicherheit zu beachten?

Assets
Art des Geschäfts
Serverkonfiguration
Interessenten

Welche ISMS-Prozesse sind in die Check-Phase einzuordnen?

Incident-Management-Prozess
Auditprozess
Prozess der Managementbewertung
Prozess zur Überprüfung der Wirksamkeit des ISMS

Welche Person / Abteilung ist mein Ansprechpartner für ein Threat and Vulnerability Assessment?

die Geschäftsleitung
die Rechtsabteilung
der Assetverantwortliche oder der Risikoowner
der Prozessverantwortliche

An wen richten sich vornehmlich die KPIs zur Messung der Wirksamkeit der IS?

an den Betriebsrat
an die Mitarbeiter
an das Facility Management
an die Geschäftsführung

In welchem zeitlichen Abstand ist eine Re-Zertifizierung nach ISO 27001:2013 vorzunehmen?

alle 2 Jahre
jährlich
alle 3 Jahre
alle 4 Jahre

Was ist ein Restrisiko im Sinne der ISO/IEC 27005?

das Risiko, das sich nach der Risikobehandlung noch ergibt und bewusst akzeptiert werden muss
das Risiko, das sich für die IS einer Organisation nach einer ISO 27001-Zertifizierung noch ergibt
alle Risiken, die sich aus der Risikoanalyse ergeben
alle Risiken, die zu einem bestimmten Zeitpunkt noch nicht behandelt vorliegen

In welche Phase des PDCA-Zyklus für das Risikomanagement nach ISO 27005 gehört der Aspekt "Rahmenbedingungen"?

zur Phase "Plan"
zur Phase "Act"
zur Phase "Check"
zur Phase "Do"

Kreuzen Sie alles an, was wahr ist:
Die ISO/IEC 27005:2008 geht konform…

… mit ITIL v3.
… mit ISO/IEC 27001.
… mit ISO/IEC 27002.
… mit CobiT 5.0.

Welche Unternehmensbereiche regelt die "Corporate Governance"?

Informationstechnologie (IT)
Informationssicherheit (IS)
Legal & Compliance
Risikomanagement

Aufgabe(n) der Mitarbeiter im IS-Prozess ist/sind:

sich ihrer Rolle im IS-Prozess bewusst sein
die Umsetzung IS-bezogener Vorgaben
Meldung von sicherheitsrelevanten Vorfällen
Entscheidungen hinsichtlich der IS-Strategie zu treffen

Was sind Kenngrößen?

Sie drücken den Ist- in Bezug auf den Soll-Zustand aus.
Sie drücken lediglich einen Ist-Zustand (Status) aus.
Sie drücken lediglich einen Soll-Zustand aus.
Sie drücken den Soll- in Bezug auf den Ist-Zustand aus.

Welche Phasen sollte eine IS-Awarenesskampagne üblicherweise umfassen?

Verstärkung des Gelernten
Aufmerksamkeit erregen
Wissen vermitteln, Einstellung ändern
Zur Abschreckung: Mitarbeiter bekannt machen, die Verfehlungen begangen haben

Die Verantwortung für die Einhaltung der Governance liegt:

beim Facility Manager
beim IT Sicherheitbeauftragten
beim Datenschutzbeauftragten
bei der Geschäftsführung

Was beinhaltet das Statement of Applicability?

die Organisation der Incident-Response-Teams.
Klassifizierung von Dokumenten
zusätzliche Risiken
zusätzliche Maßnahmen zu denen der ISO27001 Anhang A

Nach ISO 27005 ergibt sich das Risiko aus dem Produkt aus:

Schaden und Eintrittswahrscheinlichkeit
Gefährdung und Eintrittswahrscheinlichkeit
Bedrohung und Eintrittswahrscheinlichkeit
Schaden und Bedrohung

Bei wem liegt die Entscheidung für die Einführung eines ISMS?

Die Entscheidung liegt bei der Geschäftsleitung.
Die Entscheidung liegt bei den Mitarbeitern.
Die Entscheidung liegt beim IT-Security Manager.
Die Entscheidung liegt bei der IT-Abteilung

Wobei findet ein Informationsfluss statt?

beim Drucken
in Gesprächen
im E-Mail-Verkehr
bei Aufruf einer Webseite

Digital (unverschlüsselt) vorliegende Informationen sind gegenüber auf Papier gedruckten Informationen mit weniger Aufwand…

… zu vervielfältigen.
… zu merken.
… zu verändern.
… zu transportieren.

In einem Unternehmen umfasst die IS-Governance …

… das Management von Informationssicherheitsvorfällen.
… die Entwicklung einer Strategie für die Informationssicherheit.
… die Entwicklung einer Geschäftsstrategie.
… die Erstellung der Informationssicherheitsleitlinie.

SPRINT ist eine Form:

der Bedrohungs- und Schwachstellenanalyse
der verkürzten, kompakten Risikoanalyse
der ausführlichen Risikoanalyse
des Business Impact Assessment

Sobald Risiken akzeptiert oder risikorelevante Aussagen getroffen worden sind, ist dies…

… vom Entscheidungsträger bzw. Verantwortlichen zu unterschreiben.
… zu dokumentieren und in einem Tresor aufzubewahren.
… dem Management vorzulegen.
… allen Mitarbeitern zu kommunizieren.

Was beinhaltet ein Statement of Applicability?

die Entscheidungen zum Einsetzen von Maßnahmen
die Entscheidungen zur Risikobehandlung
die Entscheidungen zum Nicht-Einsetzen von Maßnahmen inkl. Begründung
eine Auflistung der Kosten für die Maßnahmen zur Informationssicherheit

IT-Compliance beschreibt die Einhaltung

der gesetzlichen Regelungen
der persönlichen Regelungen der Geschäftsführung
der vertraglichen Regelungen
der unternehmensinternen Regelungen

Nach BSI modernisierter GS (Kompendium) erfolgt eine Risikoanalyse im Bereich Standardabsicherung, …

wenn das Zielobjekt in mind. einem der 3 Schutzbedarfe "hoch" oder "sehr hoch" kategorisiert ist
wenn dem Zielobjekt kein IT-Grundschutz-Baustein zugeordnet werden kann
wenn das Zielobjekt in einem Einsatzszenario betrieben wird, das im Rahmen des IT-Grundschutzes nicht vorgesehen ist.
wenn das Zielobjekt neu angeschafft wurde

Nach BSI modernisierter GS ist es möglich zusätzliche Gefährdungen für den It-Verbund zu defininieren. Welche Stichworte sind hilfreich bei der Ermittlung zusätzlicher Gefährdungen?

menschliches Fehlverhalten
Anschaffungspreis von IT-Systemen und Systemtools
Innentäter
Publikationen über Schwachstellen

Was sind die Behandlungsoptionen der "Risikobehandlung"?

Risikoreduktion / Risikomitigierung
Risikoübernahme / Risikobeibehaltung
Risikoübertrag / Risikoabwälzung
Risikovermeidung

Wer muss sich an die Informationssicherheitsleitlinie halten?

alle interne Mitarbeiter
Externe, Dritte und Lieferanten
der IT-Security Manager
das Management

Der Aspekt "Rahmenbedingungen" des Risikomanagements nach ISO 27005 enthält welche Aktivitäten?

Geltungsbereich des Risikomanagement abstecken
Organisation des IS-Risikomanagements
Risikokriterien definieren
Maßnahmen umsetzen

In welche Phase des PDCA-Zyklus für das Risikomanagement nach ISO 27005 gehört der Aspekt "Risikobehandlung"?

zur Phase "Check"
zur Phase "Plan"
zur Phase "Act"
zur Phase "Do"

Schwachstellen werden bewertet nach…

der Ausnutzbarkeit
der Eintrittshäufigkeit
der Auswirkung
der Schutzbedarfskategorie

Die Informationssicherheitsleitlinie ist:

eine Sammlung von IT-Sicherheitsmaßnahmen
ein Sicherheitskonzept für IT-Anwendungen
ein verbindliches Dokument für alle Mitarbeiter des Geltungsbereiches
ein strategisches Dokument der Geschäftsleitung

Was versteht die ISO 27005 unter dem Aspekt "Maßnahmen umsetzen" in der Do-Phase des PDCA-Zyklus?

die Entscheidung zur Behandlung jedes einzelnen identifizierten Risikos
das Umsetzen von Maßnahmen zur Risikobehandlung
die Planung von Maßnahmen zur Risikobehandlung
die Übertragung der Aufgabe der Risikobehandlung an Dritte

Was bedeutet "Control" (Kontrolle) im englischen Sprachgebrauch der ISO 27001?

ein Maßnahmenziel
eine Hauptsicherungskategorie
der Hinweis zur Implementierung der Maßnahmen
eine oder mehrere Maßnahmen zur Erreichung eines Maßnahmenziels

Was bedeutet "Gruppenzertifizierung"?

ein Audit zur Überprüfung der Compliance-Vorgaben
ein Audit, in dem bezüglich verschiedener Normen geprüft wird
Mehrere Firmen mit der gleichen Unternehmensausrichtung schließen sich für die Zertifizierung zusammen
ein Audit, in dem auch die Wirtschaftlichkeit der Maßnahmen berücksichtigt wird

ie Risikoakzeptanzgrenze in einer Risikomatrix ist die Grenze zwischen:

tatsächlichen und erwarteten IS-Vorfällen
Schäden und Eintrittswahrscheinlichkeiten
nicht zu behandelnden und zu behandelnden Risiken
Risiken und Restrisiken

Eine Risikomatrix ist eine Möglichkeit

zur Visualisierung der Risikopriorisierung
um zwischen akzeptierten und nicht-akzeptierten Risiken visuell zu unterscheiden
Risiken ihren Schäden und Eintrittswahrscheinlichkeiten visuell zuzuordnen
Risiken zu minimieren

In welche Phase des PDCA-Zyklus für das Risikomanagement nach ISO 27005 gehört der Aspekt "Risikobewertung"?

zur Phase "Act"
zur Phase "Check"
zur Phase "Do"
zur Phase "Plan"

Gem. ISO 27001 soll die Planung zum Erreichen der Informationssicherheitsziele folgende Inhalte haben:

Festlegung erforderlicher Ressourcen.
Verantwortlichkeiten für das Erreichen der Informationssicherheitsziele festlegen?
Festlegung des Zeitrahmens.
Ergebnisbewertung.

Welche der aufgeführten Schritte gehören in die Stufe "Auditplanung"?

Festlegung der Prüfbereiche (Räumlichkeiten, Abteilungen, etc.)
Terminfestlegung und Benennung der Interviewpartner
Prüfung der Wirksamkeit des ISMS
Dokumentationsprüfung des ISMS

Welches sind typische Maßnahmen, um die IS-Awarness zu steigern?

von den Mitarbeitern aufgerufene Webseiten analysieren
Poster und Flyer
Berichte im Intranet der Organisation
Zusätze zum Arbeitsvertrag

Was ist das Ziel des Notfallmanagements?

Die wirtschaftliche Existenz der Organsiation bei größeren Schadensereignis zu sichern.
Elementargefährdungen zu bewerten.
Defekt von IT-Sytemen zu verhindern.
Wichtige Geschäftsprozesse in kritischen Situationen werden nicht oder nur temporär unterbrochen

Die ISO/IEC 27002:2013:

beschreibt das Auditmanagement im Detail
beschreibt Lösungen für die Umsetzung der Ziele des Anhangs A der ISO/IEC 27001
beschreibt das Risikomanagement für IS im Detail
beschreibt das Business Continuity Management im Detail

Wobei unterstützt die ISO/IEC 27001?

bei der Definition von Informationssicherheits-Managementaktivitäten
bei der Erstellung von Pflichtenheften
bei der konkreten Umsetzung von Verkabelungsplänen für Netzwerke
bei der Definition von Informationssicherheits-Managementaktivitäten

Was bedeutet die Abkürzung ISMS?

Information Security Management System
Information Safety Management System
Informative Security Management System
Information Source Management System

Die Abkürzung KPI bedeutet:

Key Performance Indicator
Key Project Indicator
Key People Indicator
Key Performance Inventory

Instrumente zur Visualisierung von KPIs…

… sollen für den Adressaten einfach und schnell zu lesen sein.
… sollen dem Adressaten ins Auge springen / auffallen.
… helfen den Adressaten insbesondere bei komplexen KPIs.
… sollen an die Anforderungen des Adressaten angepasst sein

Was bedeutet die Abkürzung BIA?

Business Information Assessment
Business Impact Assessment / Analysis
Business Improvement Analysis
Business Information Analysis

Welche der aufgeführten Kosten zählen zu den indirekten Kosten, die ein Sicherheitsvorfall verursachen kann?

Kosten für die Wiederbeschaffung, Konfiguration und Installation eines neuen Unternehmenswerts
Kosten, die durch die potenzielle Verletzung gesetzlicher und behördlicher Verpflichtungen anfallen
Opportunitätskosten (da finanzielle Ressourcen für die Wiederherstellung des Unternehmenswertes verbraucht werden)
Kosten für den Ausfall des Unternehmenswerts, bis der Service des Unternehmenswerts wieder anläuft

Aufgabe der IS-Governance in einem Unternehmen ist es, …

… den Erfolg von Informationssicherheit messbar zu machen.
… Kosten-Nutzen-Analysen für IS-Maßnahmen durchzuführen.
… Ressourcen zur Aufrechterhaltung der Informationssicherheit bereitzustellen.
… die IT-Ausstattung zu managen.

Eine Schwachstelle…

… kann nicht mit geeigneten Maßnahmen abgeschwächt werden.
..ist ein sicherheitsrelevanter Fehler eines IT-Systems oder einer Institution.
… betrifft nur die Mitarbeiter der Organsiation.
… lässt ein Objekt (eine Institution oder ein System) anfällig für Bedrohungen werden.

Welche Rollen sind Teil des Informationssicherheitsprozesses?

Risikomanager
Die Geschäftsführung
IT-Security Beauftragter
IT-Security Manager

Welche Aussage/n ist/ sind richtig, wenn IS nach ISO 27001 etabliert werden soll?

Sicherheit ist Führungsaufgabe
Sicherheit muss einen Top-Down-Ansatz verfolgen
Sicherheit lässt sich nicht wirtschaftlich rechtfertigen
Sicherheit spielt sich nur in der IT ab

Key Performance Indicators (KPIs)…

… sind physikalische Kenngrößen.
… sind keine Leistungskenngrößen.
… sind bestimmte, wichtige Leistungskenngrößen.
… sind Instrumente, mit denen man Kenngrößen aller Art visualisieren kann.

Was versteht man unter einem "kombinierten Audit"?

ein Audit, in dem bezüglich verschiedener Normen geprüft wird
ein Audit, in dem auch die Wirtschaftlichkeit der Maßnahmen berücksichtigt wird
mehrere Firmen mit der gleichen Unternehmensausrichtung schließen sich für die Zertifizierung zusammen
ein Audit zur Überprüfung der Compliance-Vorgaben

Gem. ISO 27001 trifft auf den Begriff "Dokumentierte Information" zu:

Eine angemessene Kennzeichnung und Beschreibung ist sicherzustellen
Ein angemssener Schutz der ist sicherzustellen
Eine angemessene Kennzeichnung und Beschreibung ist möglichst durchzuführen
Eine Versionskontrolle (Überwachung von Änderungen) ist zu berücksichtigen

In der ACT Phase des Risikomanagements erfolgt die:

Reflexion des Prozesses
Zertifizierung
Umsetzung der Verbesserungsmaßnahmen
Verbesserung des Prozesses

Die ISO/IEC 27001 Norm…

… ist prozessorientiert und betrachtet die IS auf Prozessebene.
… findet nur im angelsächsischen Raum Anwendung.
… findet nur im deutschsprachigen Raum Anwendung
… ist international ausgerichtet, da sie weltweit Anwendung findet.

Informationen erlangen ihre Bedeutung durch:

Syntax der Zeichen und Kontext
den Zahlenraum
einen Zeichenvorrat
das Alphabet

Eine Bedrohung…

… ist auch dann vorhanden, wenn es im Unternehmen keine zugehörige Schwachstelle gibt
… ist nur dann vorhanden, wenn man sie misst.
… ist nicht vorhanden, wenn es im Unternehmen auch keine zugehörige Schwachstelle gibt.
… kann nicht mit geeigneten Maßnahmen abgeschwächt werden.

Welche der aufgeführten Kosten zählen zu den direkten Kosten, die ein Sicherheitsvorfall verursachen kann?

Kosten für die Wiederbeschaffung, Konfiguration und Installation eines neuen Unternehmenswerts
Kosten, die durch die potenzielle Verletzung gesetzlicher und behördlicher Verpflichtungen anfallen
Kosten für den Ausfall des Unternehmenswerts, bis der Service des Unternehmenswerts wieder anläuft;
Opportunitätskosten (da finanzielle Ressourcen für die Wiederherstellung des Unternehmenswertes verbraucht werden)

Bei der Planung von IS-Awarenesskampagnen sind im Vorfeld welche Fragen zu klären?

Wie lange sollen die Schulungen dauern?
Welche Ressourcen stehen dafür bereit?
Welche Zielgruppen sind zu bedienen?
Welche Ziele sind zu verfolgen?

Was versteht die ISO 27005 unter dem Aspekt "Risikobehandlung" in der Plan-Phase des PDCA-Zyklus?

Welche Aussage trifft auf "PDCA Zyklus" zu?

Ergibt sich aus der ISO 27001
Stellt den Wartungszyklus von IT-Systemen dar
Ist wesentlicher Anteil der Entscheidungsfindung im Rahmen der Regeneration von IT-Systemen
Ist Anteil eines kontinuierlichen Verbesserungsprogramms

Eine Gefährdung wird zu einem Risiko, wenn…

… dokumentiert ist und von der Geschaäftsleitung veröffentlicht wurde.
… diese hinsichtlich der Eintrittswahrscheinlichkeit und dem potentiellen Schaden bewertet wurde
… diese hinsichtlich der Eintrittswahrscheinlichkeit und dem potentiellen Eintritt bewertet wurde.
… diese hinsichtlich der Bedrohung und der Schwachstelle bewertet wurde.

Was fordern ISO/IEC 27001/2:2013 in Bezug auf das Assetmanagement?

Assets sind zu inventarisieren.
Den Assets sind Eigentümer zuzuweisen.
Es sind geeignete Regeln zu Nutzung von Assets zu erstellen.
Mitarbeiter und Externe müssen Assets an die Organisation zurückgeben, sobald deren Vertragsverhältnis endet.

Info cartes d'apprentissage

ISMS / Risiko / Audit Fragen