Musterprüfung

Musterprüfung zur Informationssicherheit

Musterprüfungsinformationen zur Informationssicherheit

Das SECO-Institut gibt das offizielle Schulungsmaterial zur Informationssicherheit an akkreditierte Schulungszentren heraus, wo
Schüler werden von akkreditierten Ausbildern geschult. Schüler können ihre Prüfungen an einer akkreditierten Prüfungsstelle ablegen.
zentral oder direkt am SECO-Institut. Die Teilnahme an einem offiziellen Zertifizierungskurs ist keine Voraussetzung.
für die Ablegung einer Prüfung. Nach erfolgreichem Abschluss einer Grundlagenprüfung (mit einer Bestehensnote von 60 %),
Studierende können ihr digitales Abzeichen am SECO-Institut beantragen.

Dieses Dokument bietet ein Beispielprüfungsblatt, damit Sie sich mit der Struktur und dem Thema vertrautmachen können.
Bereiche der aktuellen Prüfung zur Datenschutzgrundlage. Wir empfehlen Ihnen dringend, zu testen.
Ihr Wissen vor der eigentlichen Bewertung. Die Ergebnisse dieses Tests zählen nicht für Ihre
Zertifizierungseinstufung.

Prüfungsart

• Computerbasiert
• 40 Multiple-Choice: 2,5 Punkte pro Frage

Zeit für die Prüfung

• 60 Minuten

Prüfungsdetails

• Bestehensdurchschnitt: 60 % (von 100)

• Offenes Buch/Notizen: nein
• Elektronische Geräte erlaubt: nein
• Die Regeln und Vorschriften für die Prüfungen des SECO-Instituts gelten für diese Prüfung.

1
 Beispielprüfung zur Informationssicherheitsgrundlage

Fragen

Frage 1

Welches System sorgt für eine kohärente Informationssicherheitsorganisation?

A. Bundesgesetz zur Informationssicherheitsverwaltung (FISMA)
B. Informations-Technologie-Service-Management-System (ITSM)
C. Informationssicherheits-Managementsystem (ISMS)

Frage 2
Sicherheitsorganisationen streben danach, die veröffentlichten Anforderungen einzuhalten. Für welchen Typ von Modell
Kann Nichteinhaltung zu rechtlichen Konsequenzen führen?

A. Informationssicherheitsstandard
B. Informationssicherheitsrahmen
C. Verhaltenskodex für Informationssicherheit

Frage 3
In welcher Reihenfolge wird ein Informationssicherheits-Managementsystem eingerichtet?

A. Implementierung, Betrieb, Wartung, Einrichtung

B. Implementierung, Betrieb, Verbesserung, Wartung
C. Einrichtung, Umsetzung, Betrieb, Wartung
D. Einrichtung, Betrieb, Überwachung, Verbesserung

Frage 4
Das DIKW-Modell wird häufig verwendet, um über Informationsmanagement und Wissensmanagement zu sprechen.
In welcher Phase dieses Modells fragen wir uns 'Was'?

A. Daten
B. Weisheit
C. Informationen
D. Wissen

2
 Musterprüfung zur Informationssicherheit Stiftung

Frage 5
Wie hängen Daten und Informationen zusammen?

A. Daten sind eine Sammlung von strukturierten und unstrukturierten Informationen

B. Informationen bestehen aus zusammengetragenen Fakten und Statistiken zur Referenz oder Analyse.
C. Wenn Bedeutung und Wert Daten zugewiesen werden, werden sie zu Informationen

Frage 6

Welcher der folgenden Faktoren trägt NICHT zum Wert von Daten für eine Organisation bei?

A. Die Richtigkeit der Daten

B. Die Unentbehrlichkeit von Daten
C. Die Bedeutung von Daten für Prozesse
D. Der Inhalt der Daten

Frage 7
Ein Hacker erhält Zugang zu einem Webserver und liest die auf diesem Server gespeicherten Kreditkartennummern.
Welches Sicherheitsprinzip wird verletzt?

A. Verfügbarkeit
B. Vertraulichkeit
C. Integrität
D. Authentizität

Frage 8
Oft holen Menschen ihre Ausdrucke von einem gemeinsamen Drucker nicht ab. Wie kann sich das auf die
Vertraulichkeit von Informationen?

A. Vertraulichkeit kann nicht garantiert werden

B. Integrität kann nicht garantiert werden
C. Die Authentizität kann nicht garantiert werden.
D. Die Verfügbarkeit kann nicht garantiert werden

Frage 9
Welcher Vertrauensaspekt von Informationen wird beeinträchtigt, wenn ein Mitarbeiter leugnet, eine gesendet zu haben?
Nachricht?

A. Vertraulichkeit
B. Integrität
C. Verfügbarkeit
D. Richtigkeit

3
 Musterprüfung zur Informationssicherheit

Frage 10

Welches der folgenden Ereignisse kann eine störende Auswirkung auf die Zuverlässigkeit haben?
Information?
A. Bedrohung
B. Risiko
C. Verwundbarkeit
D. Abhängigkeit

Frage 11

Was ist der Zweck des Risikomanagements?

A. Um die Bedrohungen zu skizzieren, denen IT-Ressourcen ausgesetzt sind
B. Um den Schaden zu bestimmen, der durch mögliche Sicherheitsvorfälle verursacht wurde
C. Maßnahmen zu ergreifen, um Risiken auf ein akzeptables Niveau zu reduzieren.
D. Um die Wahrscheinlichkeit zu bestimmen, dass ein gewisses Risiko eintreten wird.

Frage 12

What is a correct description of qualitative risk analysis?

A. Verwendung einer Reihe von Methoden, Prinzipien oder Regeln zur Bewertung von Risiken basierend auf der Verwendung von Zahlen
B. Verwendung eines Satzes von Methoden, Prinzipien oder Regeln zur Bewertung von Risiken basierend auf Kategorien oder Ebenen
C. Ein Risikobewertungsprozess, zusammen mit einem Risikomodell, einem Bewertungsansatz und einer Analyse
Ansatz

Frage 13
Backupmedien werden im selben sicheren Bereich wie die Server aufbewahrt. Welches Risiko könnte die Organisation darstellen?
ausgesetzt?
A. Unbefugte Personen haben Zugriff auf sowohl die Server als auch die Backups.
B. Die Verantwortung für die Sicherungen ist nicht gut definiert.
C. Nach einem Brand können die Informationssysteme nicht wiederhergestellt werden.
D. Nach einem Serverabsturz wird es zusätzliche Zeit in Anspruch nehmen, ihn wieder hochzufahren.

Frage 14
Welches der folgenden ist eine menschliche Bedrohung?

A. Die Verwendung eines Jumper-Adapters verursacht eine Virusinfektion

B. Der Serverraum enthält zu viel Staub

C. Blitze schlagen in das Rechenzentrum ein
D. Neue Gesetzgebung bedeutet, dass persönliche Daten von nun an kompromittiert sind.

4
 Beispielprüfung zur Informationssicherheit Foundation

Frage 15
Jemand von einem großen Technologieunternehmen ruft Sie im Auftrag Ihres Unternehmens an, um den Gesundheitszustand Ihrer ...
PC und benötigt daher Ihre Benutzer-ID und Ihr Passwort. Welche Art von Bedrohung ist das?

A. Bedrohung durch soziale Ingenieurtechnik

B. Organisatorische Bedrohung
C. Technische Bedrohung
D. Malware-Bedrohung

Frage 16
Welche Art von Malware führt zu einem Netzwerk von kontaminierten internetverbundenen Geräten?

Ein Wurm
B. Trojan
C. Spionagesoftware

D. Botnetz

Frage 17
Welches der folgenden ist ein Beispiel für indirekten Schaden, der durch Feuer verursacht wird?

A. Schäden, die durch die Sprinkleranlage verursacht wurden

B. Gebrannte Computer-Netzwerkausrüstung
C. Geschmolzene Sicherungsmedien
D. Schäden verursacht durch die Hitze des Feuers

Frage 18
Nachdem Sie eine Risikoanalyse durchgeführt haben, möchten Sie nun Ihre Risikostrategie festlegen. Sie entscheiden sich dafür,
Maßnahmen für die großen Risiken, aber nicht für die kleinen Risiken. Wie nennt man diese Risikostrategie?

A. Risiko neutral
B. Risikoübernahme
C. Risikobereit
D. Risiko vermeiden

5
 Musterprüfung zur Informationssicherheit Stiftung

Frage 19

Was ist der Zweck einer Informationssicherheitspolitik?

Eine Informationssicherheitspolitik konkretisiert den Sicherheitsplan, indem sie die notwendigen

Einzelheiten
B. Eine Informationssicherheitspolitik liefert Einblicke in Bedrohungen und die möglichen Konsequenzen.
C. Eine Informationssicherheitspolitik bietet der Verwaltung Orientierung und Unterstützung hinsichtlich
Informationssicherheit
D. Eine Informationssicherheitspolitik dokumentiert die Analyse von Risiken und die Suche nach
Gegenmaßnahmen

Frage 20
Ein Sicherheitsbeauftragter findet einen virusinfizierten Arbeitsplatz. Die Infektion wurde durch gezieltes Phishing verursacht.
E-Mail. Wie kann diese Art von Bedrohung in Zukunft am besten vermieden werden?

A. Durch die Installation von MAC-Schutzmaßnahmen im Netzwerk.

B. Durch das Aktualisieren der Firewall-Software.
C. Durch die Einführung einer neuen Risikostrategie.
D. Durch den Start einer Sensibilisierungskampagne

Frage 21
Ein Manager stellt fest, dass Mitarbeiter das Unternehmens-E-Mail-System regelmäßig nutzen, um persönliche Nachrichten zu senden.
Wie kann diese Art der Nutzung am besten geregelt werden?

A. Implementierung eines Verhaltenskodex

B. Implementierung von Datenschutzbestimmungen
C. Installation eines Überwachungssystems
D. Entwurf eines Verhaltenskodex

Frage 22
Nach einem verheerenden Bürobbrand werden alle Mitarbeiter in andere Niederlassungen des Unternehmens versetzt.
In welchem Moment im Incident-Management-Prozess wird diese Maßnahme durchgeführt?

A. Zwischen Vorfall und Schaden

B. Zwischen Erkennung und Klassifizierung
C. Zwischen Wiederherstellung und Normalbetrieb
D. Zwischen Klassifikation und Eskalation

6
 Musterprüfung zur Informationssicherheit

Frage 23
Ein Mitarbeiter stellt fest, dass unbefugte Änderungen an ihrer Arbeit vorgenommen wurden. Sie ruft die
Helpdesk und wird gebeten, die folgenden Informationen bereitzustellen: Datum/Uhrzeit, Beschreibung des Ereignisses.
Folgen des Ereignisses.
Welche entscheidende Information fehlt noch, um den Vorfall zu lösen?

A. Name und Position

B. Name des Anrufers
C. PC-Identifikationstag
D. Liste der informierten Personen

Frage 24

Welche Art von Maßnahme beinhaltet das Stoppen möglicher Folgen von Sicherheitsvorfällen?

A. Korrektiv
B. Detektiv
C. Repressiv
D. Präventiv

Frage 25
Was ist ein Grund für die Klassifizierung von Informationen?
A. Um klare Identifizierungsetiketten bereitzustellen
B. Die Informationen entsprechend ihrer Sensibilität zu strukturieren
C. Erstellung eines Handbuchs zur Beschreibung der BYOD-Richtlinie

Frage 26

Welche Rolle ist befugt, die Klassifizierung eines Dokuments zu ändern?

A. Autor
B. Manager
C. Eigentümer
D. Administrator

Frage 27
Welche der folgenden Maßnahmen ist eine vorbeugende Sicherheitsmaßnahme?

A. Installation von Protokollierungs- und Überwachungssoftware

B. Die Internetverbindung nach einem Angriff trennen

C. Sensible Informationen in einem Datenspeicher speichern

7
 Musterprüfung zur Informationssicherheit

Frage 28
Welche repressiven Maßnahmen können nach einem Brand ergriffen werden?

A. Den Brand löschen, nachdem der Feueralarm ertönt

B. Abschluss einer ordnungsgemäßen Feuerversicherungspolice

C. Reparatur aller Systeme nach dem Feuer

Frage 29
Ein Computerraum ist durch ein biometrisches Identitätssystem geschützt, bei dem nur Systemadministratoren
registriert. Welche Art von Sicherheitsmaßnahme ist das?

A. Organisatorische Bedrohung
B. Physisch
C. Technisch
D. Repressiv

Frage 30
Im physischen Sicherheitsbereich können Schutzringe mit speziellen Maßnahmen (verschiedene Stufen usw.) angewendet werden.
In welchem Ring befinden sich die Arbeitsräume?

A. Intern
B. Öffentlich
C. Objekt
D. Sensibel

Frage 31
Als neues Mitglied der IT-Abteilung haben Sie bemerkt, dass vertrauliche Informationen vorhanden sind
mehrere Male geleakt. Dies könnte dem Ruf des Unternehmens schaden. Sie wurden gebeten, ...
Schlagen Sie eine organisatorische Maßnahme vor, um Laptops zu schützen.
Was ist der erste Schritt in einem strukturierten Ansatz, um diese Maßnahme zu entwickeln?

A. Sicherheitspersonal ernennen
B. Alle sensiblen Informationen verschlüsseln
C. Formulieren Sie eine Richtlinie
D. Richten Sie ein Zugriffssteuerungsverfahren ein

Frage 32
Welche der folgenden ist eine technische Sicherheitsmaßnahme?

A. Verschlüsselung
B. Sicherheitsrichtlinie
C. Sichere Aufbewahrung von Backups
D. Benutzerrollenprofile.

8
 Musterprüfung zur Informationssicherheit Stiftung

Frage 33
Welche Bedrohung könnte auftreten, wenn keine physikalischen Maßnahmen ergriffen werden?

A. Unbefugte Personen, die auf sensible Dateien zugreifen

B. Vertrauliche Drucke werden am Drucker hinterlassen
Ein Server, der wegen Überhitzung heruntergefahren wird
D. Hacker, die in das Unternehmensnetzwerk eindringen

Frage 34
In welchem Teil des Prozesses zur Gewährung des Zugangs zu einem System präsentiert der Benutzer ein Token?

A. Genehmigung
B. Überprüfung
C. Authentifizierung
D. Identifikation

Frage 35
Was ist der Begriff im Sicherheitsmanagement, um festzustellen, ob die Identität einer Person korrekt ist?

A. Identifikation
B. Authentifizierung
C. Autorisierung
D. Überprüfung

Frage 36
Warum müssen wir einen Notfallwiederherstellungsplan regelmäßig testen und auf dem neuesten Stand halten?

A. Andernfalls könnten die ergriffenen Maßnahmen und die geplanten Incident-Verfahren unzureichend sein.
B. Ansonsten ist es nicht mehr auf dem neuesten Stand bei der Registrierung täglich auftretender Fehler.
C. Andernfalls sind die aus der Ferne gespeicherten Backups möglicherweise nicht mehr für das Sicherheitsteam verfügbar.

Frage 37
Welcher Typ von Compliance-Standard, Vorschrift oder Gesetzgebung bietet einen Verhaltenskodex für
Informationssicherheit?

A. ISO/IEC 27002
B. Gesetz zum Schutz personenbezogener Daten
C. Gesetz über Computerkriminalität
D. IT-Service-Management

9
 Beispielprüfung zur Informationssicherheitsstiftung

Frage 38

Auf welcher Grundlage kann jemand die Einsicht in die Daten beantragen, die erhalten wurden
über sie registriert?*
A. Gesetz über öffentliche Aufzeichnungen

B. Gesetz über Computerkriminalität

C. Datenschutzgesetz
D. Gesetz über geistiges Eigentum

Frage 39
Was ist eine Definition von Compliance?
A. Gesetze, kollektiv betrachtet oder der Prozess der Schaffung oder Verabschiedung von Gesetzen
B. Der Zustand oder die Tatsache, den Regeln oder Standards zu entsprechen oder sie zu erfüllen

C. Eine offizielle oder autoritative Anweisung

D. Eine Regel oder Richtlinie, die von einer Autorität erlassen und aufrechterhalten wird.

Frage 40
Welche Art von Gesetzgebung erfordert einen ordnungsgemäßen kontrollierten Einkaufsprozess?

A. Datenschutzgesetz
B. Gesetz über Computerkriminalität
C. Informationsfreiheitsgesetz
D. Gesetz über das geistige Eigentum

10
 Musterprüfung zur Informationssicherheit Stiftung

Antworten

Antwort

eins C Das ISMS wird in ISO/IEC 27001 beschrieben. (Kapitel 3)

Eine Norm formuliert formale Anforderungen, die manchmal durchgesetzt werden.
2 Ein
Satzungen.
Einführung, Implementierung, Betrieb, Überwachung, Überprüfung
3 C Die Aufrechterhaltung und Verbesserung eines dokumentierten ISMS im Kontext von der
Gesamtgeschäftsrisiken für die Organisation.
4 C Information: Who, what, when, where
Information ist Daten, die eine Bedeutung (in einem bestimmten Kontext) für ihre
5 C
Empfänger.
6 D Der Inhalt von Daten bestimmt nicht ihren Wert.
7 B Der Hacker konnte die Datei lesen (Vertraulichkeit)
Die Informationen können von nicht autorisierten Personen gelesen werden, was bedeutet, dass
8 Ein
Die Vertraulichkeit ist gefährdet.
Die Ablehnung des Versendens einer Nachricht betrifft die Nichtabstreitbarkeit, dies ist eine Bedrohung für
9 B
Integrität.
Eine Bedrohung ist ein mögliches Ereignis, das eine disruptive Wirkung auf die
10 A Zuverlässigkeit der Informationen.
11 C Der Zweck des Risikomanagements besteht darin, Risiken auf ein akzeptables Niveau zu reduzieren.
12 B Der qualitative Ansatz ist nicht numerisch.
Die Bänder sind gesichert, können jedoch zusammen mit den Systemen verloren gehen, ohne dass ...
13 C gar keine Sicherung.
14 Ein Die Nutzung des Sprungantriebs ist eine Bedrohung für die Menschheit.

15 Ein
16 D Die Geräte werden netzwerkfähige Roboter, daher Botnet.
17 Ein Die Auslösung der Sprinkleranlage ist eine Nebenwirkung des Feuers.
18 B Bestimmte Risiken werden als Teil des Lebens akzeptiert.
19 C
20 D Dieses Problem erfordert eine organisatorische Maßnahme.
Ein Verhaltenskodex ist, wie dies geregelt werden kann. Z.B. die Erlaubnis zur Nutzung während
21 D Mittagspause oder das vollständige Verbot dieser Art der Nutzung.
Diese Maßnahme, eine Standby-Vereinbarung, wird ergriffen, um weiteren Schaden zu mindern.
22 A Die Organisation. Das Personal kann nun seine Arbeit fortsetzen.
Ohne den Anrufer zu protokollieren, können keine Folgeaktionen unternommen werden. Der Name ist
23 Ein verbunden mit anderen wichtigen Informationen wie Position, Abteilung,
Genehmigungen usw.
24 C Repressiv
25 B Die Klassifikation wird verwendet, um verschiedene Ebenen innerhalb der Gruppe zu definieren.

26 C Nur der Eigentümer (Vermögensinhaber) darf dies tun.

27 C Die anderen beiden sind respektive detektivisch und repressiv.
28 Ein Diese repressive Maßnahme minimiert die durch das Feuer verursachten Schäden.

11
 Musterprüfung zur Informationssicherheit Stiftung

29 B Dies ist eine physische Sicherheitsmaßnahme.

30 D Arbeitsräume befinden sich innerhalb des empfindlichen Rings.
Die Formulierung einer Richtlinie über die richtige Nutzung der Unternehmenscomputerressourcen ist die
31 C erster Schritt.
32 A Verschlüsselung ist eine technische Maßnahme.
Die physische Sicherheit umfasst den Schutz von Geräten durch Klima.
33 C
Kontrolle.
Die Identifizierung ist der erste Schritt im Prozess, um Zugang zu gewähren.
34 D Bei der Identifikation präsentiert die Person oder das System ein Token, zum Beispiel einen Schlüssel,
Benutzername oder Passwort
35 B Authentifizierung ist der Prozess, das Vertrauen in die Authentizität herzustellen.
36 Ein Große Störungen erfordern einen aktuellen und bewährten Plan, um effektiv zu sein.
ISO/IEC 27002; Informationstechnologie -- Sicherheitstechniken -- Kodex von
37 Ein
Übung für Informationssicherheitskontrollen
38 C Gesetz(e) zum Schutz personenbezogener Daten.
39 B Siehe: ISF-Modul 06, Abschnitt 'Gesetzgebung und Vorschriften'
IPR-Kontrollen umfassen:
- Richtlinien
Kontrollierter Einkaufsprozess
40 D
Bewusstsein schaffen und aufrechterhalten
Asset-Register, die Informationen über geistiges Eigentum (IPR) enthalten

- usw.

12
 Prüfungsbeispiel zur Informationssicherheitsstiftung

How to book your exam?

Alle unsere Prüfungen werden über ein Online-Prüfungssystem namens ProctorU durchgeführt. Um sich für eine Anmeldung zu registrieren,

Prüfung, gehe zu:Die angegebene URL kann nicht übersetzt werden.

Stellen Sie sicher, dass Sie vollständig vorbereitet sind. Verwenden SiedasProctorU Vorbereitungslisteum zu beurteilen, ob Sie sind
Bereit für die Prüfung.
Überprüfen Sie die Prüfungsregeln bei
Unable to access external content for translation.
Institut-Prüfungen-2017-11.pdf

Digitale Abzeichen
Das SECO-Institut und der Anbieter digitaler Abzeichen Acclaim haben eine Partnerschaft gegründet, um

zertifizieren Sie die Inhaber mit einem digitalen Abzeichen ihrer SECO-
Institutszertifizierung. Digitale Abzeichen können in E-Mail-Signaturen verwendet werden
sowie auf persönlichen Websites, sozialen Medien wie LinkedIn
und Twitter, sowie elektronische Kopien von Lebensläufen. Digitale Abzeichen helfen
Zertifikatsinhaber informieren Arbeitgeber, potenzielle Arbeitgeber und
Interessierte Parteien die Fähigkeiten, die sie erworben haben, um zu verdienen und aufrechtzuerhalten ein

spezialisierte Zertifizierung.

Das SECO-Institut vergibt keine Zertifikatstitel für Grundkurse.

Nach bestandener Foundation-Prüfung können Sie Ihr digitales Abzeichen beantragen.
kostenlos am SECO-Institut.

https://www.seco-institute.org/claim-your-foundation-badge

13
Musterprüfung zur Informationssicherheit

ISF-Prüfungsbeispiel-EN-v1.0

14