Beruflich Dokumente
Kultur Dokumente
Antwort: Risikomanagement.
Frage 4. Die Konformität wird als Erfüllung der Anforderungen aus der Sicht des
Managementsystems betrachtet, während die Konformität als Erfüllung der
Anforderungen aus der rechtlichen Perspektive betrachtet wird:
a) Wahr
b) Falsch
Antwort: Richtig.
Frage 5. Welche der folgenden Anforderungen ist nicht in der ISO/IEC 27001
enthalten?
(Wählen Sie die beste Antwort aus)
a) Die Ziele der Informationssicherheit werden kommuniziert.
b) Dokumentieren Sie den Risikobehandlungsplan.
c) Die Geschäftsleitung soll die kontinuierliche Verbesserung fördern.
d) Sie haben eine spezielle Rolle als Informationssicherheitsmanager.
Antwort: Falsch.
Frage 9. Für die Genehmigung des Risikobehandlungsplans und die Übernahme des
Restrisikos ist zuständig: (Wählen Sie die beste Antwort aus)
a) Direktor für Information.
b) Leitende Angestellte.
c) Eigentümer des Risikos.
d) Direktor für Sicherheit.
Antwort: Risikoeigentümer.
Frage 10. Gemäß ISO/IEC 27001 muss eine Risikobewertung Folgendes umfassen:
(Wählen Sie die beste Antwort aus)
a) Optionen für die Behandlung von Sicherheitsrisiken.
b) Ergebnis der Kontrollmaßnahmen.
c) Möglichkeit des Eintretens eines Risikos.
d) IMS-Stakeholder.
Frage 13. Was muss eine Organisation, die gesetzliche Anforderungen als externen
Faktor und die Einhaltung gesetzlicher Vorschriften als Ziel der
Informationssicherheit identifiziert hat, bei ihrer Risikobewertung beachten?
a) Das Risiko, das mit der Nichterfüllung vertraglicher Verpflichtungen verbunden
ist.
b) Die Möglichkeit, bei der Übertretung von Vorschriften erwischt zu werden.
c) Die möglichen Konsequenzen, die sich aus der Nichteinhaltung von Vorschriften
ergeben.
d) Ein dokumentiertes Verfahren zur Einhaltung der rechtlichen und behördlichen
Anforderungen.
Antwort: Risikobehandlung.
Frage 16. Das ISMS einer Organisation kann als wirksam bezeichnet werden, wenn:
(Wählen Sie die beste Antwort aus)
a) Die Geschäftsleitung hat dem IT-Manager die uneingeschränkte Zuständigkeit
für die Sicherheit übertragen und der IT-Abteilung ein begrenztes Budget
zugewiesen.
b) Der Helpdesk hat sein Personal auf ein Minimum reduziert und erfüllt dennoch
seine Ziele.
c) Für alle Bereiche des Prozesses wurde nachgewiesen, dass sie Pläne haben, Ziele
setzen und Maßnahmen zur Verbesserung ergreifen.
d) Die internen Audit- und Compliance-Teams haben zahlreiche
Antwort: Es hat sich gezeigt, dass alle Bereiche des Prozesses ...
Antwort: Risikobewertung.
Frage 18. Eine Organisation hat ein Verfahren zur Risikobewertung festgelegt.
Dieser wird jährlich in den lokalen Einrichtungen und an allen ausländischen
Standorten eingesetzt. Führt dies zu konsistenten und vergleichbaren Ergebnissen?
a) Falsch.
b) Das stimmt.
Antwort: Richtig.
Frage 19. Eine Organisation besteht aus zehn medizinischen Laboratorien, in denen
Patienten untersucht werden und die unter der Leitung einer zentralen Stelle
stehen. Die Unternehmensleitung hat festgelegt, dass der Geltungsbereich des ISMS
den Schutz aller personenbezogenen Daten der Patienten umfasst und sich auf die
Hauptverwaltung erstreckt. Entspricht dies den Anforderungen von ISO/IEC
27001?
a) Das stimmt.
b) Falsch.
Antwort: Falsch.
Frage 20. Die Ziele der Informationssicherheit sollten im Einklang stehen mit:
(Bitte wählen Sie die beste Antwort aus)
a) Die Methodik der Risikobewertung.
b) Politik der Informationssicherheit.
c) Die Erklärung zur Anwendbarkeit
d) Der Risikobehandlungsplan.
Antwort: Verschlüsselung.
Frage 3. Der Umfang eines Audits ist immer derselbe wie der des
Managementsystems.
a) Das stimmt.
b) Falsch.
Antwort: Falsch.
Frage 4. Welche Kontrolle wird ein Unternehmen anwenden, um die Einhaltung der
Softwarelizenzierungsanforderungen zu gewährleisten? (Wählen Sie die beste
Antwort aus).
a) A.12.1.4 - Trennung von Entwicklungs-, Test- und Betriebsressourcen.
b) A.5.1.1 - Maßnahmen zur Informationssicherheit.
c) A.18.1.2 - Rechte an geistigem Eigentum (IPR)
d) A.9.2.3 - Verwaltung der Zugriffsberechtigungen.
Antwort: IPR.
Frage 7. Welche der folgenden Faktoren würden bei der Bestimmung der
Durchführbarkeit einer Prüfung berücksichtigt werden? (Wählen Sie die beste
Antwort aus).
a) Leitlinien des Zulassungsbeauftragten.
b) Verfügbarkeit von ausreichenden Informationen für die Planung der Prüfung.
c) Angemessene Zusammenarbeit des Prüfungsteams.
d) Fragen im Zusammenhang mit dem Prüfungsbericht.
Frage 8. Die Anwendbarkeitserklärung sollte die Kontrollen enthalten, die für die
Umsetzung der gewählten Risikobehandlungsoption erforderlich sind, unabhängig
davon, ob sie umgesetzt wurde oder nicht, und... (Wählen Sie die beste Antwort
aus)
a) Eine Liste aller Vermögenswerte, für die Kontrollen und damit verbundene
Risiken gelten.
b) Begründung für die Auswahl der Kontrollen und den Ausschluss von Kontrollen
c) Eine Liste aller zugehörigen Strategien und Verfahren und der Kontrollen, auf
die sie sich beziehen.
d) Die berechneten Gesamtrisikowerte, geordnet vom höchsten zum niedrigsten.
Antwort: Die Begründung für die Auswahl der Kontrollen und die ...
Frage 9. Die Arbeitspapiere des Prüfers können Folgendes enthalten: (Wählen Sie
die beste Antwort aus).
a) Checkliste, Pläne und Nachweisformulare.
b) Anweisungen für die zu prüfende Anlage
c) Der Verhaltenskodex des Wirtschaftsprüfers.
d) Identifizierung, einschließlich Foto.
Antwort: Checkliste, Pläne und Formate ...Frage 10. Die als Prüfungsnachweis
akzeptierten Informationen sollten sein: (Wählen Sie die beste Antwort).
a) Dokumentiert.
b) Identifizieren Sie sich mindestens zweimal.
c) Überprüfbar.
d) Bestätigt durch den Reiseführer.
Antwort: Überprüfbar.
Frage 11. Eine Organisation hat den Vertrieb in den Geltungsbereich ihres ISMS
aufgenommen. Eine Risikobewertung für die Verkaufsinformationen eines
Unternehmens sollte Folgendes umfassen: (Wählen Sie die beste Antwort aus)
a) Das Risiko, das damit verbunden ist, dass Verkäufer Verkaufsinformationen auf
ihren Laptops mit sich führen.
b) Der finanzielle Wert, der mit dem Verlust der Vertraulichkeit von
Verkaufsinformationen verbunden ist.
c) Verschlüsselung von Kundennamen und -adressen.
d) Eine Richtlinie über die zulässige Nutzung von Firmenvermögen.
Frage 12. Wenn eine Organisation eine Änderung eines Prozesses im Rahmen ihres
ISMS plant, muss sie: (Wählen Sie die beste Antwort)
a) Aktualisierung der ISMS-Richtlinie.
b) Kontrolle des Wandels.
c) Aktualisierung der Ziele des ISMS.
d) Berechnen Sie die Kosten des Wandels.
Frage 14. Eine große nationale Einzelhandelskette möchte sicherstellen, dass die
Kunden in mindestens 98 % der Fälle auf ihre Kontoinformationen zugreifen
können. Die Risikobewertung sollte: (Wählen Sie die beste Antwort aus)
a) Berücksichtigen Sie das mit der Verfügbarkeit von Informationen verbundene
Risiko.
b) Berücksichtigen Sie das Risiko, das damit verbunden ist, dass die SW des
Kunden von einem ausgelagerten Entwicklungsunternehmen entwickelt wird.
c) Von der IT-Abteilung auszufüllen, da sie die Dateien der Kundenkonten
verwahrt.
d) Sicherstellen, dass der Zugang zu Kunden den gesetzlichen Anforderungen
entspricht.
Antwort: Geben Sie das mit der Verfügbarkeit von Informationen verbundene Risiko an.
Frage 15. Eine Person oder Organisation, die eine Prüfung beantragt, wird wie
folgt bezeichnet: (Wählen Sie die beste Antwort).
a) Wirtschaftsprüfer.
b) Audit-Team.
c) Geprüft.
d) Audit-Kunde.
Antwort: Falsch.
Frage 17. Bei der Erstellung eines Auditprogramms für ein Managementsystem
muss die Organisation die Auditressourcen vorrangig auf folgende Punkte
ausrichten: (Wählen Sie die beste Antwort aus).
a) Risiko.
b) Integration in Geschäftskontinuitätspläne.
c) Geschäftliche Bedürfnisse.
d) Marktchancen.
Antwort: Risiko.
Frage 19. Welche Kontrolle könnte gewählt werden, um das mit der Aktualisierung
von Software auf Unternehmensservern verbundene Risiko zu mindern? (Wählen
Sie die beste Antwort aus)
a) A.12.1.2- Verwaltung von Änderungen.
b) A.14.2.2 - Verfahren zur Kontrolle von Systemänderungen.
c) A.9.4.5 - Kontrolle des Zugangs zum Programmquellcode.
d) A.12.7.1 - Kontrollen zur Prüfung von Informationssystemen.
Frage 20. Ein Prüfbericht muss Folgendes enthalten oder sich darauf beziehen:
a) Eine vollständige Liste aller Mitarbeiter der überprüften Organisation.
b) Eine Zusammenfassung der Prüfungsergebnisse.
c) Eine vollständige und detaillierte Beschreibung des Prüfungsverfahrens.
d) Eine vollständige Liste aller während des Audits verwendeten Dokumente.
Frage 1. Welche der folgenden Rollen ist für die Festlegung der Politik und der
Ziele des Informationssicherheitsmanagementsystems verantwortlich?
a) Der Ausschuss für Informationssicherheit.
b) Der Beauftragte für Informationssicherheit.
c) Der Vertreter der Direktion.
d) An die Geschäftsleitung.
Antwort: Top-Management!
Frage 2. Wenn Ziele für die Informationssicherheit festgelegt werden, sollten sie es
auch sein:
a) Im Einklang mit der Informationssicherheitspolitik und messbar.
b) gegebenenfalls mitgeteilt und aktualisiert werden.
c) Berücksichtigung der geltenden Anforderungen an die Informationssicherheit
und der Ergebnisse der Risikobewertung und Risikobehandlung.
d) Alle der oben genannten Punkte.
Frage 3. Der Besitz von Informationen, die unzugänglich aufbewahrt und nicht an
unbefugte Personen, Einrichtungen oder Prozesse weitergegeben werden, ist?
a) Integrität.
b) Verfügbarkeit.
c) Wahrheitsliebe.
d) Vertraulichkeit.
Antwort: Vertraulichkeit.
Frage 5. Gemäß Anforderung 4.3 der ISO/IEC 27001 müssen Sie den Umfang des
Informationssicherheitsmanagementsystems festlegen:
a) Berücksichtigung interner und externer Fragen, die die Organisation betreffen
b) Ermittlung der Interessengruppen und ihrer Anforderungen.
c) Ziele der Informationssicherheit einbeziehen
d) Nur a und b.
Antwort: Richtig.
Frage 9. Für die Bestimmung des Kontextes der Organisation empfiehlt ISO/IEC
27001 die Anwendung der Methodik:
a) Pestel.
b) Die 5 Kräfte von Porter.
c) SWOT.
d) Keiner der oben genannten Punkte, da die Norm keine Empfehlung für die
Methodik zur Bestimmung des Kontexts enthält.
Antwort: Richtig.
Antwort: CIA
Frage 12. WelchenZweck hat die Ermittlung von Risiken und Chancen in
Managementsystemen für die Informationssicherheit?
a) Sicherstellen, dass das Sicherheitsmanagementsystem die beabsichtigten
Ergebnisse erzielen kann.
b) Unerwünschte Wirkungen zu verhindern oder zu verringern
c) Ermitteln Sie den Kontext der Organisation.
d) Nur a und b
Frage 13. Die Eigenschaft der Informationen, auf Anfrage durch eine autorisierte
Stelle zugänglich und nutzbar zu sein, ist:
a) Vertraulichkeit der Informationen.
b) Der Wahrheitsgehalt von Informationen
c) Die Integrität von Informationen
d) Die Verfügbarkeit von Informationen
e) Keine der oben genannten Möglichkeiten.
Antwort: Verfügbarkeit
Frage 14. Wählen Sie aus den folgenden Optionen, die einige der Anforderungen
von ISO 27001 darstellen.
a) Führungsqualitäten und Teamarbeit
b) Organisatorischer Kontext, Führung und Planung
c) Teamarbeit, Betrieb und Verbesserung
d) Alle der oben genannten Punkte.
Antwort: Richtig
Frage 17. Die in der Anforderung 7.2 der ISO/IEC 27001 genannte Kompetenz der
Personen umfasst:
a) Fertigkeiten und Fähigkeiten.
b) Entsprechende Bildung, Ausbildung oder Erfahrung
c) Postgraduierte Studien
d) Keine der oben genannten Möglichkeiten.
Antwort: PDCA
Frage 19. Bezieht sich das Eigentum an der Richtigkeit und Vollständigkeit von
Informationen auf die Vollständigkeit?
a) Falsch
b) Das stimmt.
Antwort: Richtig.
Antwort: Richtig.
Frage 1. Sollte die oberste Leitung in bestimmten Abständen eine Überprüfung des
Informationssicherheits-Managementsystems durchführen, um dessen Eignung,
Angemessenheit und fortgesetzte Wirksamkeit sicherzustellen?
a) NO
b) YES
Frage 2. Im Bereich A.15 der Beziehungen zu Lieferanten wird festgestellt, dass:
a) Die Zulieferer müssen nach ISO 27001 zertifiziert sein.
b) In den Beziehungen zu den Lieferanten sollte eine Informationssicherheitspolitik
vorhanden sein.
c) Jährliche Audits der Informationssicherheit von Lieferanten sollten durchgeführt
werden.
d) Nur a und c
Frage 5. Welche der folgenden Bedingungen sind Teil des Bereichs A.8, Anhang A
der ISO/IEC 27001.
a) Die Informationsbestände müssen identifiziert und inventarisiert werden.
b) Es besteht keine Verpflichtung, ein Inventar der Vermögenswerte zu führen.
c) Vermögenswerte müssen einen Eigentümer haben.
d) Nur a und c
Antwort: Ja
Frage 10. Der Bereich A.13 der Kommunikationssicherheit ist darauf ausgerichtet:
a) Sicherstellung des Schutzes von Informationsverarbeitungsressourcen und
Informationen vor Schadsoftware.
b) Sicherstellung des Schutzes von Informationen in Netzen und
Informationsverarbeitungsressourcen.
c) Gewährleistung einer sicheren Softwareentwicklung.
d) Gewährleistung des ordnungsgemäßen und sicheren Betriebs der
Datenverarbeitungsanlagen.
Antwort: Falsch.
Antwort: Ja
Frage 15. Wählen Sie den Begriff aus, der mit der Definition verbunden ist: "ein
erklärtes Bedürfnis oder eine Erwartung, normalerweise implizit oder
obligatorisch".
a) Erfordernis.
b) Einhaltung der Vorschriften
c) Prozess.
d) Vertraulichkeit.
Antwort: Bedingung.
Frage 16. Was ist das Ziel der A.12-Kontrolle zur Sicherheit der Operationen?
a) Gewährleistung des ordnungsgemäßen und sicheren Betriebs der
Datenverarbeitungsanlagen.
b) Gewährleistung der sicheren Telearbeit und der Nutzung mobiler Geräte.
c) Sicherstellung des Schutzes der Testdaten.
d) Vorbeugung gegen Beschädigung oder Verlust von Informationswerten.
Antwort: Zugangskontrolle.
Antwort: Die Organisation sollte über einen Plan zur Aufrechterhaltung des
Geschäftsbetriebs verfügen.