certificatR

Zu den Angelegenheiten eines „Risk Owners“ gehören unter anderem?

Anlagegefahren bestimmen und einschätzen Sicherheitsrisiken innerhalb der IT beurteilen zu können und die damit eingebundenen Prüfungen erkennen. Gefahren (Risiken) die sicherheitsrelevant für die IT sind vorbeugend im Auge zu behalten Die Risiken bzgl. Investitionen des Betriebes bewerten

Werkzeuge zur Darstellung von KPIs …

… sollen den Zielgruppen ins Auge stechen. … sollen an die Forderungen des Empfängers entsprechend sein. … sollen für den Empfänger ansprechend und schnell zu lesen sein. … werden den Adressaten insbesondere bei komplexen KPIs von Nutzen sein.

In der ISO 27005 findet sich der Eintrag "Risikoakzeptanz". Das ist …?

… die bewusste Akzeptanz der Restrisiken nach Durchführung der Risikobehandlungsoptionen … das Tragen des belegten Risikos ohne weitere Anweisungen zu befolgen … die gewünschte Akzeptanz des Sammelsuriums des Risikomanagement-Teams … die bewusste Sicherstellung aller Gefahren vor der Behandlung der Risiken

Beim Management von Risiken wird unter anderem in (Plan) festgelegt:

der Scope die Kriterien für Risiken das Lastenheft das Gefüge des Risikomanagements

Eine Erklärung zur Anwendbarkeit nach Auslegung der ISO 27001 sollte welche Bestandteile mitbringen?

Klassifikation von Verträgen die Organisation der Incident-Response-Teams außerordentliche Anweisungen zu denen aus dem Anhang A der genannten Norm zusätzliche Risiken

Was versteht man unter einem "Umfassenden Audit"?

ein Audit zur Inspektion der Compliance-Vorgaben diverse Organisationen mit einer egalisierten Ausrichtung schließen sich zusammen für eine anstehende Zertifizierung ein Audit, in dem vielmehr auf abberufene Normen geprüft wird ein Audit, in dem auch die Wirtschaftlichkeit der Anordnungen bemessen wird

Risiken in der Informationssicherheit können folgendes sein:

Zufälle, die aus Schwankungen der EU-Märkte auftauchen Belange, die aus der Zahlungsfähigkeit von Geschäftsfreunden entstehen die Höhe des Imageschadens bei einem Informationsverlust Durch die tatsächliche Verletzung von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen entstehende Risiken

Im Zusammenspiel mit KRITIS wurde welches der genannten Gesetze auf den Weg gebracht?

IT-SiBe-Ordnung IT-DSGVO Normung zum IT-Sicherheitsgesetz IT-Sicherheitsgesetz mit Auswirkungen auch auf andere Gesetze

Assetmanagement in Anlehnung an die ISO 27001 oder auch ISO 27002 lässt sich mit folgenden Aussagen in Einklang bringen:

Zuordnung der jeweiligen Assets zu dem Eigentümer. Brauchbare Vorgaben zu Nutzung von Assets sind anzufertigen. Inventarisierung der in der Organisation vorgehaltenen Werte Wenn deren Vertragsverhältnis endet, dann müssen Werte an die Organisation zurückgeben werden, von Externen und Mitarbeitern

Sofern die bekannten Risiken angenommen oder gewichtige Aussagen bzgl. Risiken getroffen worden sind, ist dies …

… zu belegen und in einem Behälter zu sammeln. … vom Verantwortlichen oder Entscheidungsträger zu unterzeichnen. … der Betriebsleitung anzubieten. … unvermindert den Teams zu kommunizieren.

Eine Aufstellung der Risiken ist eine gute Gelegenheit …

… zur Darstellung der Priorisierung der Risiken … Risiken ihren Schäden und Eintrittswahrscheinlichkeiten entsprechend darstellerisch (z.B. grafisch) zu begegnen … um unter angenommenen und nicht-anerkannten Risiken visuell auswählen zu können … um eben diese bekannten Risiken zu minimieren

Welche Fragen bei der Konzeption von IS-Awarenesskampagnen sind zu klären?

Welche Ziele sind zu verfolgen? Wie lange sollen die Lektionen dauern? Welche Ressourcen stehen dafür bereit? Welche Zielgruppen sind zu schulen?

Maßgebend ist die IS-Leitlinie in einer Organisation unter anderem für…

… die Geschäftsleitung … alle Beschäftigten … IT-Mitarbeiter (ausschließlich) … ausschließlich das Personal, das regelmäßig mit vertraulichen Infos beauftragt wurde

Einige der dargestellten Schritte eignen sich für die "Auditplanung" Welche sind das?

Festlegung von Terminen und die Nennung der Interviewpartner Dokumentationsprüfung des ISMS Definition der Prüfgebiete (Abteilungen, Räume, etc.) Check der Dynamik des ISMS

Welche der folgenden Begriffspaarungen kommen dem Begriff „Risiko“ aus der ISO 27005 am nächsten?

Eintrittswahrscheinlichkeit und Schaden Einschüchterung und Eintrittswahrscheinlichkeit Ernst und Eintrittswahrscheinlichkeit Beeinträchtigen und Demonstration

Welcher der hier abgebildeten Sachverhalte stammt aus der ISO 27002:2013? Der Standard …

… zählt das Management von Audits in allen Einzelheiten auf … schildert das Business Continuity Management in Ausschnitten … skizziert das Risikomanagement für die ITK in allen Facetten … stellt Lösungen für die Umsetzung der Ziele des Annex A der ISO 27001 vor

Eine sogenannte „Re-Zertifizierung“ ist nach Auslegung der ISO 27001 in welchen zeitlichen Zyklen vorzunehmen?

alle 48 Monate alle 3 Jahre mindestens 1x jährlich abhängig vom Zertifizierungsgrad alle 18 Monate

Wie können Risiken vermieden werden? Nennen Sie mögliche Szenarien.

Die Einstellung eines risikobehafteten Prozesses im Unternehmen Einrichtung eines AV-Programms (Virenschutz) Der Gebrauch mobiler Endgeräte privaten Ursprungs zu Unternehmenszwecken wird untersagt Auslagerung eines Prozesses des Betriebes und der damit verbundenen Risiken

Aufbau, Pflege und die Entwicklung der Prozesse der IS Das Umgebungsfeld für den sicheren Umgang mit Informationen und IT-Systemen zu stellen eine risikogerechte Bemessung der Sicherheitsmaßnahmen zu sicherstellen die Festigung der Informationssicherheit im gesamten Unternehmen

Eine Bekannte Abkürzung lautet „ISMS“. Was würden Sie hier interpretieren?

Information Security Management System Information Safety Management System Informative Securitas Management System Informativ Sauce Management System

Kenngrößen werden in der Informationssicherheit für was benötigt?

Weil sie zur Messung und Steuerung der Wirksamkeit der Informationssicherheit dienen Um sie in der Leitlinie zur IS vorzuführen Um Entscheidungen bzgl. der Informationssicherheit von Entscheidungsträgern zu erhalten Um das Management "in Sicherheit" zu wiegen

ISO/IEC 27001 fordert im Zusammenhang mit Verfahren und Verantwortlichkeiten: Pflichten und Verantwortungsbereiche müssen aufgeteilt werden, um …

eine schnelle, effektive und planmäßige Reaktion auf Informationssicherheitsvorfälle sicherzustellen die geforderte Systemleistung sicherzustellen die Möglichkeiten für unbefugte oder vorsätzliche Veränderung oder Missbrauch von Assets zu reduzieren. unvollständige Übertragungen von Informationen, Fehlleitungen, unbefugte Veränderungen der Inhalte, Veröffentlichung, Kopieren und Wiedereinspielen zu verhindern

Die "Unternehmensführung" regelt unter anderem folgende Einheiten in einer Organisation:

Informationstechnologie Riskmanagement Recht & Konformität Information Security

Seit dem 1. Februar 2018 dient das IT-Grundschutz-Kompendium als Prüfgrundlage für Zertifizierungen nach ISO 27001 auf Basis von IT-Grundschutz. Diese ist … machbar.

möglicherweise bereits nach Beendigung der Kernabsicherung unter unbestimmbaren Faktoren bereits nach Abbruch der Basisabsicherung durch die Nachfrage des IT-Sicherheitsbeauftragten nach Verstehen der IT-Sicherheitsvorgaben der Siegelstufen A, B und C

Welche der folgenden Standards sind normativ?

ISO/IEC 27006 ISO/IEC 27001 ISO/IEC 27002 nur Annex A

Hinter dem Begriff „Unternehmensführung“ verbergen sich:

Aufsicht über eine aufreibende Arbeitsgemeinschaft in allen Rangfolgen Kooperation von Behörden gewissenhafte Corporate Governance Teamleitung in Distrikten

Das Risikomanagement nach dem Standard ISO/IEC 27005 …

… stellt den Betrieb eines ISMS in grafischer Form da … schildert eine vorzugsweislich anwendbare Behandlungsweise bei der Risikoanalyse … ist verwendbar für alle Organisationsformen … erfüllt die Ansprüche an ein Risikomanagement nach ISO 27001

Mit welcher der folgenden Aussagen bringen Sie nach Auslegung der ISO 27001 den Begriff "Control" (Kontrolle) in Verbindung?

Ein Maßnahmenziel Eine Einordnung in Hauptsicherungsblöcke Mehrere und/oder einzelne Maßnahmen dienen der Umsetzung und Erfüllung eines Ziels Der Anhaltspunkt zur Einführung der Maßnahmen

Welche der Anregungen entspricht einer allgemeingültigen Vermeidung von Risiken?

Risiko Datenabfluss durch private mobile Endgeräte: Die Verwertung persönlicher beweglicher Endgeräte zu Geschäftszwecken wird untersagt Risiko Serverausfall: Externe Auslagerung eines Geschäftsprozesses und der damit festgehaltenen Gefahren Risiko Geschäftsunterbrechung: Das Kapitulieren eines risikobehafteten Geschäftsprozesses Risiko Schadprogramme: Einrichtung eines Anti-Viren-Programms

Die Norm ISO 27001 kennt Begriffe wie, Führung und Verpflichtung. Was bedeutet das?

die Sicherheit, dass die ISMS-Ansprüche in die Geschäftsprozesse aufgenommen werden. die Bereitstellung erforderlicher Ressourcen durch die oberste Leitung. die Definition der Informationssicherheitsziele. die Förderung andauernder Verbesserung.