Frage 1:Die Eigenschaft, die Richtigkeit und Vollständigkeit von Waren zu

schützen, ist: (Beste Antwort auswählen)

a) Berichtigung
b) Ich lehne sie nicht ab.
c) Interoperabilität.
d) Integrität
Antwort: Integrität.
Frage 2:Eine Maßnahme, die das Risiko verändert, kann wie folgt bezeichnet
werden: (Wählen Sie die beste Antwort)
a) Sicherheitsmanagementsysteme (ISMS)
b) Behebung von Risiken.
c) Kontrolle.
d) Analyse der Auswirkungen auf das Geschäft
Antwort: Kontrolle.
Frage 3. Die koordinierten Aktivitäten zur Lenkung und Kontrolle einer
Organisation in Bezug auf Risiken sind bekannt als:
a) Schätzung der Bewässerung.
b) Risikobewertung.
c) Risikomanagement.
d) Risikobehandlung.

Antwort: Risikomanagement.

Frage 4. Die Konformität wird als Erfüllung der Anforderungen aus der Sicht des
Managementsystems betrachtet, während die Konformität als Erfüllung der
Anforderungen aus der rechtlichen Perspektive betrachtet wird:
a) Wahr
b) Falsch

Antwort: Richtig.

Frage 5. Welche der folgenden Anforderungen ist nicht in der ISO/IEC 27001
enthalten?
(Wählen Sie die beste Antwort aus)
a) Die Ziele der Informationssicherheit werden kommuniziert.
b) Dokumentieren Sie den Risikobehandlungsplan.
c) Die Geschäftsleitung soll die kontinuierliche Verbesserung fördern.
d) Sie haben eine spezielle Rolle als Informationssicherheitsmanager.

Antwort: Lassen Sie die Rolle als ...

Frage 6. Im Rahmen des ISMS eines Krankenhauses wurde eine physische

Kontrolle eingeführt. Sie haben festgestellt, dass ihre spezielle Kontrolle gemessen
werden muss und sorgen dafür, dass sie gemessen wird. Da sich die
Arbeitsbelastung und der Terminkalender ständig ändern, haben sie nicht eine
einzige Person für die Messung bestimmt. Dies steht im Einklang mit ISO/IEC
27001:
 a) Das stimmt.
b) Falsch.
Antwort: Richtig.

Frage 7. Ein Softwareentwicklungsunternehmen hat beschlossen, seinen Helpdesk

auszulagern, der auch Anrufe zu Sicherheitsvorfällen bearbeitet. Die Organisation
erhält vom ausgelagerten Helpdesk monatlich einen Bericht mit Angaben zur
Anrufleistung, bestehend aus der durchschnittlichen Wartezeit, der Leerlaufzeit
der Agenten und der durchschnittlichen Anzahl der Anrufe in der Warteschlange.
Die Organisation nutzt den Bericht als Mittel, um die Kontrolle über den Helpdesk
unter dem Gesichtspunkt der Informationssicherheitsanforderungen
nachzuweisen. Steht dies im Einklang mit ISO/IEC 27001?
a) Richtig.
b) Falsch.

Antwort: Falsch.

Frage 8. Ein Unternehmen hat mehrere Standorte, an denen Datensicherungen

durchgeführt werden, und hat festgestellt, dass es seinen Prozess dokumentieren
muss, um Konsistenz und Effektivität zu gewährleisten. Dieses Dokument sollte
sein: (Wählen Sie die beste Antwort aus).
a) Erhältlich in elektronischer und gedruckter Form.
b) Eine Auflistung in der Dokumentenstamm-Matrix.
c) Genehmigt durch den Lenkungsausschuss für Informationssicherheit.
d) Verfügbar und geeignet für den Einsatz, wann und wo er benötigt wird.

Antwort: Verfügbar und für den Einsatz geeignet, .....

Frage 9. Für die Genehmigung des Risikobehandlungsplans und die Übernahme des
Restrisikos ist zuständig: (Wählen Sie die beste Antwort aus)
a) Direktor für Information.
b) Leitende Angestellte.
c) Eigentümer des Risikos.
d) Direktor für Sicherheit.
Antwort: Risikoeigentümer.

Frage 10. Gemäß ISO/IEC 27001 muss eine Risikobewertung Folgendes umfassen:
(Wählen Sie die beste Antwort aus)
a) Optionen für die Behandlung von Sicherheitsrisiken.
b) Ergebnis der Kontrollmaßnahmen.
c) Möglichkeit des Eintretens eines Risikos.
d) IMS-Stakeholder.

Reaktion: Möglichkeit des Auftretens eines Risikos.

Frage 11. Der Geltungsbereich des ISMS einer Organisation, die sich mit der
Erbringung von Finanzdienstleistungen befasst. In der
Informationssicherheitspolitik hat die Geschäftsleitung ihre Absicht erklärt, die
staatlichen und bundesstaatlichen Anforderungen zu erfüllen. Der Rest der
Informationssicherheitspolitik konzentriert sich auf die Art und Weise, wie die IT
Finanzdienstleistungen erbringen wird. Diese Politik: (Bitte wählen Sie die beste
Antwort aus)
a) Sie ist ISO 27001-konform.
b) Es entspricht der Norm ISO 27001, könnte aber noch verbessert werden.
c) Nicht konform mit ISO 27001.
d) Gilt nicht für bestimmte Geschäftsbereiche.

Antwort: Erfüllt, könnte aber verbessert werden.

Frage 12. Das ISMS eines Krankenhauses unterliegt den gesetzlichen

Anforderungen. Aus Sicht des Managementsystems besteht die Bewertung der
Einhaltung der Rechtsvorschriften aus: (Wählen Sie die beste Antwort aus).
a) Überprüfen Sie eine Erklärung des Verwaltungsrats des Krankenhauses, in der er
sich zur Einhaltung der gesetzlichen Bestimmungen verpflichtet.
b) Bestätigen Sie, dass innerhalb des Krankenhauses ein Verfahren existiert, um die
Einhaltung der gesetzlichen und behördlichen Vorschriften zu gewährleisten.
c) Setzen Sie sich mit der Rechtsabteilung in Verbindung, um sich zu vergewissern,
dass es keine offenen rechtlichen Fragen gibt.
d) Keine weiteren Maßnahmen, da die ISO-Normen nur die Einhaltung der
Vorschriften betreffen.

Antwort: Bestätigen Sie, dass es ein Verfahren gibt ...

Frage 13. Was muss eine Organisation, die gesetzliche Anforderungen als externen
Faktor und die Einhaltung gesetzlicher Vorschriften als Ziel der
Informationssicherheit identifiziert hat, bei ihrer Risikobewertung beachten?
a) Das Risiko, das mit der Nichterfüllung vertraglicher Verpflichtungen verbunden
ist.
b) Die Möglichkeit, bei der Übertretung von Vorschriften erwischt zu werden.
c) Die möglichen Konsequenzen, die sich aus der Nichteinhaltung von Vorschriften
ergeben.
d) Ein dokumentiertes Verfahren zur Einhaltung der rechtlichen und behördlichen
Anforderungen.

Antwort: Die potenziellen Folgen, die mit ...

Frage 14. Ein Finanzunternehmen hat seinen Wertpapierhandel als

Anwendungsbereich für sein ISMS gewählt. Bei der Überprüfung seiner
Informationssicherheitspolitik ist nicht ersichtlich, wo sich das Unternehmen zur
Einhaltung der staatlichen Sicherheitsvorschriften verpflichtet. Entspricht dies den
Anforderungen von ISO/IEC 27001?
a) Das stimmt.
b) Falsch.
Frage 15. Eine Organisation hat ihre Schadenbearbeitungsvorgänge in den
Geltungsbereich ihres ISMS aufgenommen. Die von Ihnen ausgewählten
Kontrollen werden in welchem Prozess ermittelt? (Wählen Sie die beste Antwort
aus).
a) Risikomanagement.
b) Sicherheitspolitik.
c) Risikobewertung.
d) Management Review.

Antwort: Risikobehandlung.

Frage 16. Das ISMS einer Organisation kann als wirksam bezeichnet werden, wenn:
(Wählen Sie die beste Antwort aus)
a) Die Geschäftsleitung hat dem IT-Manager die uneingeschränkte Zuständigkeit
für die Sicherheit übertragen und der IT-Abteilung ein begrenztes Budget
zugewiesen.
b) Der Helpdesk hat sein Personal auf ein Minimum reduziert und erfüllt dennoch
seine Ziele.
c) Für alle Bereiche des Prozesses wurde nachgewiesen, dass sie Pläne haben, Ziele
setzen und Maßnahmen zur Verbesserung ergreifen.
d) Die internen Audit- und Compliance-Teams haben zahlreiche

Antwort: Es hat sich gezeigt, dass alle Bereiche des Prozesses ...

Frage 17. Ein Krankenversicherer unterhält Datenbanken mit vertraulichen

Kundeninformationen. Die möglichen Folgen der Offenlegung privater
Kundeninformationen sollten wie folgt behandelt werden: (Wählen Sie die beste
Antwort)
a) Der Risikobehandlungsplan.
b) Das Leitbild der Organisation.
c) Risikobewertung.
d) Der Plan zur Einhaltung der Vorschriften.

Antwort: Risikobewertung.

Frage 18. Eine Organisation hat ein Verfahren zur Risikobewertung festgelegt.
Dieser wird jährlich in den lokalen Einrichtungen und an allen ausländischen
Standorten eingesetzt. Führt dies zu konsistenten und vergleichbaren Ergebnissen?
a) Falsch.
b) Das stimmt.

Antwort: Richtig.

Frage 19. Eine Organisation besteht aus zehn medizinischen Laboratorien, in denen
Patienten untersucht werden und die unter der Leitung einer zentralen Stelle
stehen. Die Unternehmensleitung hat festgelegt, dass der Geltungsbereich des ISMS
den Schutz aller personenbezogenen Daten der Patienten umfasst und sich auf die
Hauptverwaltung erstreckt. Entspricht dies den Anforderungen von ISO/IEC
27001?
a) Das stimmt.
 b) Falsch.

Antwort: Falsch.

Frage 20. Die Ziele der Informationssicherheit sollten im Einklang stehen mit:
(Bitte wählen Sie die beste Antwort aus)
a) Die Methodik der Risikobewertung.
b) Politik der Informationssicherheit.
c) Die Erklärung zur Anwendbarkeit
d) Der Risikobehandlungsplan.

Antwort: Die Informationssicherheitspolitik.

Frage 1. Wenn wesentliche Änderungen auftreten oder vorgeschlagen werden,

muss die Organisation: (Wählen Sie die beste Antwort aus).
a) Setzen Sie einen Managementprüfungsausschuss ein.
b) Führen Sie eine Risikobewertung der Informationssicherheit durch.
c) Überprüfung und Aktualisierung der Informationssicherheitsziele.
d) Implementierung von Kontrollen zur Abschwächung des neuen Risikos.

Reaktion: Führen Sie eine Sicherheitsrisikobewertung durch ....

Frage 2. Wenn eines der Informationssicherheitsziele einer Organisation darin

bestünde, die unbefugte Offenlegung vertraulicher Informationen im Falle des
Diebstahls eines Laptops zu verhindern, sollten die zur Bewältigung des Risikos
und in der Erklärung zur Anwendbarkeit ausgewählten Kontrollen Folgendes
umfassen: (Wählen Sie die beste Antwort aus)
a) Schutz vor Malware.
b) HR Security - Vor der Einstellung.
c) Verschlüsselung.
d) Verantwortung des Benutzers.

Antwort: Verschlüsselung.

Frage 3. Der Umfang eines Audits ist immer derselbe wie der des
Managementsystems.
a) Das stimmt.
b) Falsch.

Antwort: Falsch.

Frage 4. Welche Kontrolle wird ein Unternehmen anwenden, um die Einhaltung der
Softwarelizenzierungsanforderungen zu gewährleisten? (Wählen Sie die beste
Antwort aus).
a) A.12.1.4 - Trennung von Entwicklungs-, Test- und Betriebsressourcen.
b) A.5.1.1 - Maßnahmen zur Informationssicherheit.
c) A.18.1.2 - Rechte an geistigem Eigentum (IPR)
d) A.9.2.3 - Verwaltung der Zugriffsberechtigungen.
Antwort: IPR.

Frage 5. Eine Risikobewertung der Informationssicherheit sollte durchgeführt

werden: (Wählen Sie die beste Antwort aus).
a) Halbjährlich
b) In geplanten Abständen.
c) Jährlich.
d) Nur auf Anweisung des Rechnungsprüfers.

Antwort: In geplanten Abständen.

Frage 6. Der Prüfbericht wird verteilt an:

a) Die vom Leiter des Auditteams definierten geprüften Personen.
b) Die von der Leitung der geprüften Organisation definierten Adressaten
c) Die im Prüfungsplan/-verfahren festgelegten geprüften Personen.
d) Die vom Managementbeauftragten der geprüften Organisation definierten
Adressaten.

Antwort: Die im Prüfungsverfahren oder -plan festgelegten Adressaten.

Frage 7. Welche der folgenden Faktoren würden bei der Bestimmung der
Durchführbarkeit einer Prüfung berücksichtigt werden? (Wählen Sie die beste
Antwort aus).
a) Leitlinien des Zulassungsbeauftragten.
b) Verfügbarkeit von ausreichenden Informationen für die Planung der Prüfung.
c) Angemessene Zusammenarbeit des Prüfungsteams.
d) Fragen im Zusammenhang mit dem Prüfungsbericht.

Antwort: Verfügbarkeit von Informationen ....

Frage 8. Die Anwendbarkeitserklärung sollte die Kontrollen enthalten, die für die
Umsetzung der gewählten Risikobehandlungsoption erforderlich sind, unabhängig
davon, ob sie umgesetzt wurde oder nicht, und... (Wählen Sie die beste Antwort
aus)
a) Eine Liste aller Vermögenswerte, für die Kontrollen und damit verbundene
Risiken gelten.
b) Begründung für die Auswahl der Kontrollen und den Ausschluss von Kontrollen
c) Eine Liste aller zugehörigen Strategien und Verfahren und der Kontrollen, auf
die sie sich beziehen.
d) Die berechneten Gesamtrisikowerte, geordnet vom höchsten zum niedrigsten.

Antwort: Die Begründung für die Auswahl der Kontrollen und die ...

Frage 9. Die Arbeitspapiere des Prüfers können Folgendes enthalten: (Wählen Sie
die beste Antwort aus).
a) Checkliste, Pläne und Nachweisformulare.
b) Anweisungen für die zu prüfende Anlage
c) Der Verhaltenskodex des Wirtschaftsprüfers.
d) Identifizierung, einschließlich Foto.

Antwort: Checkliste, Pläne und Formate ...Frage 10. Die als Prüfungsnachweis
akzeptierten Informationen sollten sein: (Wählen Sie die beste Antwort).
a) Dokumentiert.
b) Identifizieren Sie sich mindestens zweimal.
c) Überprüfbar.
d) Bestätigt durch den Reiseführer.

Antwort: Überprüfbar.

Frage 11. Eine Organisation hat den Vertrieb in den Geltungsbereich ihres ISMS
aufgenommen. Eine Risikobewertung für die Verkaufsinformationen eines
Unternehmens sollte Folgendes umfassen: (Wählen Sie die beste Antwort aus)
a) Das Risiko, das damit verbunden ist, dass Verkäufer Verkaufsinformationen auf
ihren Laptops mit sich führen.
b) Der finanzielle Wert, der mit dem Verlust der Vertraulichkeit von
Verkaufsinformationen verbunden ist.
c) Verschlüsselung von Kundennamen und -adressen.
d) Eine Richtlinie über die zulässige Nutzung von Firmenvermögen.

Antwort: Risiko im Zusammenhang mit Anbietern, die die Informationen ....

Frage 12. Wenn eine Organisation eine Änderung eines Prozesses im Rahmen ihres
ISMS plant, muss sie: (Wählen Sie die beste Antwort)
a) Aktualisierung der ISMS-Richtlinie.
b) Kontrolle des Wandels.
c) Aktualisierung der Ziele des ISMS.
d) Berechnen Sie die Kosten des Wandels.

Antwort: Kontrolle des Wandels.

Frage 13. Zu den Prüfungszielen können gehören:

a) Bewertung der Wirksamkeit des Managementsystems.
b) Aufrechterhaltung von Prüfpfaden.
c) Angebot der Zertifizierung nach einem Standard.
d) Auswahl eines Teamleiters

Antwort: Bewertung der Wirksamkeit des Managementsystems.

Frage 14. Eine große nationale Einzelhandelskette möchte sicherstellen, dass die
Kunden in mindestens 98 % der Fälle auf ihre Kontoinformationen zugreifen
können. Die Risikobewertung sollte: (Wählen Sie die beste Antwort aus)
a) Berücksichtigen Sie das mit der Verfügbarkeit von Informationen verbundene
Risiko.
b) Berücksichtigen Sie das Risiko, das damit verbunden ist, dass die SW des
Kunden von einem ausgelagerten Entwicklungsunternehmen entwickelt wird.
c) Von der IT-Abteilung auszufüllen, da sie die Dateien der Kundenkonten
verwahrt.
d) Sicherstellen, dass der Zugang zu Kunden den gesetzlichen Anforderungen
entspricht.

Antwort: Geben Sie das mit der Verfügbarkeit von Informationen verbundene Risiko an.
Frage 15. Eine Person oder Organisation, die eine Prüfung beantragt, wird wie
folgt bezeichnet: (Wählen Sie die beste Antwort).
a) Wirtschaftsprüfer.
b) Audit-Team.
c) Geprüft.
d) Audit-Kunde.

Antwort: Audit Client.

Frage 16. Der Begriff "Auditfeststellung" bedeutet automatisch Nichtkonformität.

a) Das stimmt.
b) Falsch

Antwort: Falsch.

Frage 17. Bei der Erstellung eines Auditprogramms für ein Managementsystem
muss die Organisation die Auditressourcen vorrangig auf folgende Punkte
ausrichten: (Wählen Sie die beste Antwort aus).
a) Risiko.
b) Integration in Geschäftskontinuitätspläne.
c) Geschäftliche Bedürfnisse.
d) Marktchancen.

Antwort: Risiko.

Frage 18. Welche der in Anhang A aufgeführten Kontrollen würde ausgewählt

werden, um das Risiko zu mindern, dass Mitarbeiter Schulungsausrüstung, die der
Organisation gehört, für ihren persönlichen Gebrauch nutzen? (Wählen Sie die
beste Antwort aus)
a) A.18.2.2 - Einhaltung von Sicherheitsrichtlinien und -standards.
b) A.72.3 - Disziplinarverfahren.
c) A.8.13 - Zulässige Verwendung von Vermögenswerten.
d) 1.7.1.2 - Arbeits- und Beschäftigungsbedingungen.

Antwort: A.8.1.3 - Zulässige Nutzung von Vermögenswerten.

Frage 19. Welche Kontrolle könnte gewählt werden, um das mit der Aktualisierung
von Software auf Unternehmensservern verbundene Risiko zu mindern? (Wählen
Sie die beste Antwort aus)
a) A.12.1.2- Verwaltung von Änderungen.
b) A.14.2.2 - Verfahren zur Kontrolle von Systemänderungen.
c) A.9.4.5 - Kontrolle des Zugangs zum Programmquellcode.
d) A.12.7.1 - Kontrollen zur Prüfung von Informationssystemen.

Antwort: A.14.2.2 - Kontrollverfahren...

Frage 20. Ein Prüfbericht muss Folgendes enthalten oder sich darauf beziehen:
a) Eine vollständige Liste aller Mitarbeiter der überprüften Organisation.
b) Eine Zusammenfassung der Prüfungsergebnisse.
c) Eine vollständige und detaillierte Beschreibung des Prüfungsverfahrens.
 d) Eine vollständige Liste aller während des Audits verwendeten Dokumente.

Antwort: Eine Zusammenfassung der Prüfungsfeststellungen.

Frage 1. Welche der folgenden Rollen ist für die Festlegung der Politik und der
Ziele des Informationssicherheitsmanagementsystems verantwortlich?
a) Der Ausschuss für Informationssicherheit.
b) Der Beauftragte für Informationssicherheit.
c) Der Vertreter der Direktion.
d) An die Geschäftsleitung.

Antwort: Top-Management!

Frage 2. Wenn Ziele für die Informationssicherheit festgelegt werden, sollten sie es
auch sein:
a) Im Einklang mit der Informationssicherheitspolitik und messbar.
b) gegebenenfalls mitgeteilt und aktualisiert werden.
c) Berücksichtigung der geltenden Anforderungen an die Informationssicherheit
und der Ergebnisse der Risikobewertung und Risikobehandlung.
d) Alle der oben genannten Punkte.

Antwort: Alle der oben genannten Punkte.

Frage 3. Der Besitz von Informationen, die unzugänglich aufbewahrt und nicht an
unbefugte Personen, Einrichtungen oder Prozesse weitergegeben werden, ist?
a) Integrität.
b) Verfügbarkeit.
c) Wahrheitsliebe.
d) Vertraulichkeit.

Antwort: Vertraulichkeit.

Frage 4. Die Informationssicherheitspolitik gemäß Anforderung 5.2 der ISO/IEC

27001 muss:
a) Geben Sie die Rolle des Vertreters der Geschäftsführung an.
b) Sie müssen dem Zweck der Organisation entsprechen.
c) Einbeziehung von Informationssicherheitszielen, um einen Rahmen für deren
Festlegung zu schaffen.
d) Nur ay b.

Antwort: Nur A und B!

Frage 5. Gemäß Anforderung 4.3 der ISO/IEC 27001 müssen Sie den Umfang des
Informationssicherheitsmanagementsystems festlegen:
a) Berücksichtigung interner und externer Fragen, die die Organisation betreffen
b) Ermittlung der Interessengruppen und ihrer Anforderungen.
c) Ziele der Informationssicherheit einbeziehen
d) Nur a und b.

Antwort: Solo Ay B !!!!

Frage 6. Der aktuelle Standard der ISO-Norm für Informationssicherheit ist?
a) ISO/IEC 27001:2013
b) ISO/IEC 27000:2013
c) Keine der oben genannten Möglichkeiten.
d) ISO/IEC 27001:2005

Antwort: ISO/IEC 27001:2013

Frage 7. Ein Managementsystem für die Informationssicherheit besteht aus einer

Reihe von Strategien, Verfahren, Leitlinien, Ressourcen und Aktivitäten, die mit
einer Organisation verbunden sind und von ihr gemeinsam verwaltet werden, um
ihre Informationswerte zu schützen.
a) Das stimmt.
b) Falsch

Antwort: Richtig.

Frage 8. Der Prozess der Risikobewertung der Informationssicherheit umfasst:

a) Identifizierung von Informationssicherheitsrisiken
b) Bewertung von Informationssicherheitsrisiken
c) Risikoanalyse der Informationssicherheit.
d) Alle der oben genannten Punkte.

Antwort: Alle der oben genannten Punkte.

Frage 9. Für die Bestimmung des Kontextes der Organisation empfiehlt ISO/IEC
27001 die Anwendung der Methodik:
a) Pestel.
b) Die 5 Kräfte von Porter.
c) SWOT.
d) Keiner der oben genannten Punkte, da die Norm keine Empfehlung für die
Methodik zur Bestimmung des Kontexts enthält.

Antwort: Keine der oben genannten Möglichkeiten.

Frage 10. Sollten die dokumentierten Informationen des

Sicherheitsmanagementsystems die von ISO/IEC 27001 geforderten und die von
der Organisation selbst festgelegten Informationen umfassen?
a) Das stimmt.
b) Falsch

Antwort: Richtig.

Frage 11. ISO/IEC 27001 berücksichtigt die folgenden Informationsmerkmale:

a) Qualität, Nützlichkeit und Genauigkeit.
b) Sicherheit, Integrität und Verfügbarkeit.
c) Vertraulichkeit, Integrität und Verfügbarkeit.
d) Keine der oben genannten Möglichkeiten.

Antwort: CIA
Frage 12. WelchenZweck hat die Ermittlung von Risiken und Chancen in
Managementsystemen für die Informationssicherheit?
a) Sicherstellen, dass das Sicherheitsmanagementsystem die beabsichtigten
Ergebnisse erzielen kann.
b) Unerwünschte Wirkungen zu verhindern oder zu verringern
c) Ermitteln Sie den Kontext der Organisation.
d) Nur a und b

Antwort: Nur A und B !!!

Frage 13. Die Eigenschaft der Informationen, auf Anfrage durch eine autorisierte
Stelle zugänglich und nutzbar zu sein, ist:
a) Vertraulichkeit der Informationen.
b) Der Wahrheitsgehalt von Informationen
c) Die Integrität von Informationen
d) Die Verfügbarkeit von Informationen
e) Keine der oben genannten Möglichkeiten.

Antwort: Verfügbarkeit

Frage 14. Wählen Sie aus den folgenden Optionen, die einige der Anforderungen
von ISO 27001 darstellen.
a) Führungsqualitäten und Teamarbeit
b) Organisatorischer Kontext, Führung und Planung
c) Teamarbeit, Betrieb und Verbesserung
d) Alle der oben genannten Punkte.

Antwort: Organisatorischer Kontext, Führung, ...

Frage 15. Nach ISO/IEC sind folgende Kriterien für das

Informationssicherheitsrisiko zu berücksichtigen:
a) Die Kriterien für die Erstellung einer Risikomatrix.
b) Die Risikoakzeptanzkriterien und die Kriterien für die Durchführung der
Risikobewertung der Informationssicherheit.
c) Kriterien für die Bewertung der Wirksamkeit der Risikobehandlung
d) Alle der oben genannten Punkte.

Antwort: Die Risikoakzeptanzkriterien und die Kriterien für die Durchführung...

Frage 16. Handelt es sich bei der Anwendbarkeitserklärung um das Dokument, das
die Kontrollen in Anhang A enthält, die zur Bewältigung der Risiken
durchzuführen sind, und diejenigen, die mit Begründung ausgeschlossen sind?
a) Das stimmt.
b) Falsch.

Antwort: Richtig

Frage 17. Die in der Anforderung 7.2 der ISO/IEC 27001 genannte Kompetenz der
Personen umfasst:
a) Fertigkeiten und Fähigkeiten.
b) Entsprechende Bildung, Ausbildung oder Erfahrung
c) Postgraduierte Studien
 d) Keine der oben genannten Möglichkeiten.

Antwort: Die Bildung, Ausbildung oder Erfahrung...

Frage 18. Der Deming-Zyklus, der allgemein als kontinuierlicher

Verbesserungszyklus bezeichnet wird, besteht aus welchen der folgenden Phasen?
a) Planen, Tun, Prüfen und Handeln.
b) Planen, Tun, Messen und Verbessern.
c) Entwerfen, Umsetzen, Messen, Verbessern.
d) Planen, Verbessern, Umsetzen und Überprüfen.

Antwort: PDCA

Frage 19. Bezieht sich das Eigentum an der Richtigkeit und Vollständigkeit von
Informationen auf die Vollständigkeit?
a) Falsch
b) Das stimmt.

Antwort: Richtig.

Frage 20. Eine Verpflichtung, die in die Informationssicherheitspolitik

aufgenommen werden "muss", ist die kontinuierliche Verbesserung des
Informationssicherheitsmanagementsystems?
a) Wahr
b) Falsch

Antwort: Richtig.

Frage 1. Sollte die oberste Leitung in bestimmten Abständen eine Überprüfung des
Informationssicherheits-Managementsystems durchführen, um dessen Eignung,
Angemessenheit und fortgesetzte Wirksamkeit sicherzustellen?
a) NO
b) YES
Frage 2. Im Bereich A.15 der Beziehungen zu Lieferanten wird festgestellt, dass:
a) Die Zulieferer müssen nach ISO 27001 zertifiziert sein.
b) In den Beziehungen zu den Lieferanten sollte eine Informationssicherheitspolitik
vorhanden sein.
c) Jährliche Audits der Informationssicherheit von Lieferanten sollten durchgeführt
werden.
d) Nur a und c

Antwort: Es muss eine Sicherheitspolitik geben...

Frage 3. Die Nichteinhaltung einer Anforderung ist?

a) Eine Beobachtung
b) Eine Gelegenheit zur Verbesserung.
c) Eine Nichtübereinstimmung
d) Keine der oben genannten Möglichkeiten.

Antwort: Eine Nichtkonformität.

Frage 4. In welcher der folgenden Phasen des Informationssicherheitsmanagements

im Personalwesen wird im Bereich A.7 die Durchführung von Kontrollen
berücksichtigt?
a) Vor der Beschäftigung.
b) Während der Beschäftigung.
c) Bei Beendigung des Arbeitsverhältnisses oder Wechsel des Arbeitsplatzes.
d) Alle der oben genannten Punkte.

Antwort: Alle der oben genannten Punkte.

Frage 5. Welche der folgenden Bedingungen sind Teil des Bereichs A.8, Anhang A
der ISO/IEC 27001.
a) Die Informationsbestände müssen identifiziert und inventarisiert werden.
b) Es besteht keine Verpflichtung, ein Inventar der Vermögenswerte zu führen.
c) Vermögenswerte müssen einen Eigentümer haben.
d) Nur a und c

Antwort: Nur A und C.

Frage 6. Werden Korrekturmaßnahmen zur Beseitigung der Grundursache einer

Nichtkonformität eingesetzt?
a) NO
b) YES

Antwort: Ja

Frage 7. Auf der Grundlage der Ergebnisse der Risikobewertung der

Informationssicherheit sollten Sie:
a) Dokumentierte Informationen aufbewahren
b) Dokumentierte Informationen aufbewahren
c) Anwendung statistischer Methoden zur Bewertung und Analyse.
d) Nur a und b
Antworten: Bewahren Sie die dokumentierten Informationen auf.

Frage 8. Die Sensibilisierung des Personals für die Informationssicherheit sollte in

Betracht gezogen werden:
a) Die Folgen einer Nichteinhaltung des Managementsystems.
b) Ihr Beitrag zur Wirksamkeit des Informationssicherheitssystems
c) Die Sicherheitspolitik.
d) Alle der oben genannten Punkte.

Antworten: Alle Antworten.

Frage 9. Ist es möglich, die Nichtanwendbarkeit einiger der Kontrollen in Anhang

A der ISO/IEC 27001 zu erklären?
a) Nein
b) Ja, aber begründete Nichtanwendbarkeit
c) Ja
d) Keine der oben genannten Möglichkeiten.

Antwort: Ja, aber mit der Begründung der Nichtanwendbarkeit.

Frage 10. Der Bereich A.13 der Kommunikationssicherheit ist darauf ausgerichtet:
a) Sicherstellung des Schutzes von Informationsverarbeitungsressourcen und
Informationen vor Schadsoftware.
b) Sicherstellung des Schutzes von Informationen in Netzen und
Informationsverarbeitungsressourcen.
c) Gewährleistung einer sicheren Softwareentwicklung.
d) Gewährleistung des ordnungsgemäßen und sicheren Betriebs der
Datenverarbeitungsanlagen.

Antwort: Sicherstellung des Schutzes von Informationen in Netzen und

Informationsverarbeitungsressourcen.

Frage 11. Anhang A der ISO/IEC 27001 18 Bereiche umfasst?

a) Das stimmt.
b) Falsch.

Antwort: Falsch.

Frage 12. Im Bereich A.18 Compliance muss ein Informationssicherheitssystem:

a) Durchführung von unabhängigen Prüfungen der Informationssicherheit.
b) Sicherstellung der Einhaltung von Rechtsvorschriften bei der Verwendung von
Materialien, für die Rechte am geistigen Eigentum bestehen.
c) Einhaltung der geltenden gesetzlichen Bestimmungen zum Schutz der
Privatsphäre und der personenbezogenen Daten.
d) Alle der oben genannten Punkte.

Antwort: Alle der oben genannten Punkte.

Frage 13. Interne Audits des Informationssicherheitsmanagementsystems sollten

durchgeführt werden:
a) Monatlich.
 b) Zweimal im Jahr.
c) Vierteljährlich.
d) In geplanten Abständen.

Antwort: In geplanten Abständen.

Frage 14. Sollten dokumentierte Informationen über die Ergebnisse der

Behandlung von Informationssicherheitsrisiken aufbewahrt werden?
a) Ja
b) Nein.

Antwort: Ja

Frage 15. Wählen Sie den Begriff aus, der mit der Definition verbunden ist: "ein
erklärtes Bedürfnis oder eine Erwartung, normalerweise implizit oder
obligatorisch".
a) Erfordernis.
b) Einhaltung der Vorschriften
c) Prozess.
d) Vertraulichkeit.

Antwort: Bedingung.

Frage 16. Was ist das Ziel der A.12-Kontrolle zur Sicherheit der Operationen?
a) Gewährleistung des ordnungsgemäßen und sicheren Betriebs der
Datenverarbeitungsanlagen.
b) Gewährleistung der sicheren Telearbeit und der Nutzung mobiler Geräte.
c) Sicherstellung des Schutzes der Testdaten.
d) Vorbeugung gegen Beschädigung oder Verlust von Informationswerten.

Antwort: Gewährleistung des ordnungsgemäßen und sicheren Betriebs von

Datenverarbeitungsanlagen.

Frage 17. Sollten Zuständigkeiten und Verwaltungsverfahren festgelegt werden, um

eine wirksame Reaktion auf Informationssicherheitsvorfälle zu gewährleisten?
Wenn ja, welche Kontrolle ist damit gemeint?
a) Nein
b) Ja, Kontrolle A.16
c) Ja, Kontrolle A.14
d) Keine der oben genannten Möglichkeiten.

Antwort: Ja, Kontrolle A.16.

Frage 18. Die Kontrolle der dokumentierten Informationen muss unter

Berücksichtigung der folgenden Aspekte erfolgen:
a) Lagerung und Konservierung
b) Verbreitung, Zugang, Abruf und Nutzung.
c) Änderungskontrolle, Aufbewahrung und Vernichtung.
d) Alle der oben genannten Punkte.

Antworten: Alle oben genannten Punkte.

Frage 19. Der Bereich A.9 von Anhang A der ISO/IEC 27001 bezieht sich auf:
a) Physische und ökologische Sicherheit.
b) Sicherheit in den Entwicklungs- und Supportprozessen.
c) Zugangskontrolle.
d) Kryptographie.

Antwort: Zugangskontrolle.

Frage 20. Der Bereich A.17 bestimmt das:

a) Die Organisation sollte über einen Notfallwiederherstellungsplan verfügen.
b) Die Organisation muss über eine externe Beratung zur Unterstützung der
Geschäftskontinuität verfügen.
c) Die Organisation muss über einen Plan zur Aufrechterhaltung des
Geschäftsbetriebs verfügen.
d) Keine der oben genannten Möglichkeiten.

Antwort: Die Organisation sollte über einen Plan zur Aufrechterhaltung des
Geschäftsbetriebs verfügen.