Prüfung Informationssicherheit ISO 27001

1 Punkt(e)

Was versteht ISO/IEC 27001 unter dem Begriff Vertraulichkeit (Confidentiality)?

Den Anschluss einer Vertraulichkeitsvereinbarung (Non-disclosure Agreement)
Die Geheimhaltungsverpflichtung aller Mitarbeiter, die Zugriff auf das ISMS haben
Die Vertraulichkeit schützt die Werte im Hinblick auf ihre Richtigkeit und Vollständigkeit
Eine Information ist für unautorisierte Personen, Entitäten oder Prozesse nicht zugänglich

1 Punkt(e)

Was versteht ISO/IEC 27000 unter dem Begriff Verfügbarkeit (Availability)?

Die Eigenschaft einer Information oder eines Wertes, für eine berechtigte Person oder Entität zugreifbar und nutzbar zu sein
Die Eigenschaft einer Informationsverarbeitenden Einrichtung, genügend Ressourcen für eine Aufgabe zur Verfügung zu haben
Die Eigenschaft einer Information oder eines Wertes, vor Manipulation geschützt zu sein
Die Eigenschaft einer Information oder eines Wertes, vor Offenlegung geschützt zu sein

1 Punkt(e)

Was versteht die ISO/IEC 27000 unter dem Begriff Nichtabstreitbarkeit (Non-repudiation)?

Die verbindliche Regelung interner Sicherheitsaudits
Nichtabstreitbarkeit bezeichnet die Eigenschaft eines Wertes, für einen berechtigten Nutzer verfügbar und nutzbar zu sein
Als Nichtabstreitbarkeit bezeichnet man den Vorgang, mit dem der Eintritt eines geforderten Ereignisses oder einer Aktion zweifelsfrei einem Verursacher zugerechnet werden kann. Dieser kann den Vorgang nicht leugnen.
Die Eigenschaft, ein konsistentes und bestimmungsgemäßes Verhalten zu zeigen und konsistente Ergebnisse zu liefern

1 Punkt(e)

Für welche Zielgruppe wurde der branchenspezifische Standard ISO/IEC 27011 entwickelt?

ISO/IEC 27011 definiert verbindlich umzusetzende Anforderungen für öffentliche Einrichtungen
Zielgruppe dieses Standards sind Unternehmen aus dem Gesundheitssektor
Der Standard stellt einen Leitfaden für Telekommunikationsunternehmen dar
Dieser Standard definiert Grundsätze für die Durchführung von Audits und ist damit für Zertifizierungsstellen relevant

1 Punkt(e)

Bei welchen der folgenden Standards handelt es sich nicht um einen allgemeinen Leitfaden?

ISO/IEC 27002
ISO/IEC 27003
ISO/IEC 27005
ISO/IEC 27019

1 Punkt(e)

Wie verhält sich ISO/IEC 27002 zu ISO/IEC 27001?

ISO/IEC 27002 schreibt konkrete technische Maßnahmen zur Umsetzung der in ISO/IEC 27001 definierten Mindestanforderungen vor
ISO/IEC 27002 enthält branchenspezifische Erweiterungen von ISO/IEC 27001
ISO/IEC 27002 wird als Grundlage für Audits durch externe Zertifizierungsstellen herangezogen
ISO/IEC 27002 basiert auf ausgewählten Best Practices, die bei der Auswahl und Implementierung geeigneter Maßnahmen aus ISO/IEC 27001 herangezogen werden können

1 Punkt(e)

Ein wichtiges Prinzip, dass ISO/IEC 27001 zugrunde liegt, ist der PDCA Zyklus. Welchen Zweck wird mit diesen Ansatz verfolgt?

Eindeutige Zuweisung von Verantwortlichkeiten, indem Rollen und Aktivitäten des ISMS in einer Matrix zugeordnet werden
Kontinuierliche Verbesserung des ISMS, indem Prozesse und Maßnahmen geplant, nach ihrer Umsetzung überprüft und Verbesserungsmöglichkeiten identifiziert werden.
Festlegung des Umfangs des ISMS, indem der Anwendungsbereich definiert und eine Erklärung zur Anwendbarkeit erstellt werden.
Abgleich des ISMS mit dem übergeordneten Qualitätsmanagementsystem, indem Schnittmengen zwischen ISO/IEC 27000 und ISO 9001 betrachtet werden.

1 Punkt(e)

Wie definiert sich der Begriff Informationswert oder auch Asset?

Alles, was eine Inventarnummer hat.
Alles, was für die Organisation von Wert ist.
Alle Gegenstände, die zum Gesamtvermögen des Unternehmens gehören.
Alles, was durch den Anhang A aus ISO/IEC 27001 abgedeckt ist.

1 Punkt(e)

Was bezeichnet ISO/IEC 27000 mit dem Begriff “dokumentierte Information” (documented Information)?

Beschreibung dessen, was als Ergebnis umgesetzter Maßnahmen erzielt werden soll.
Information, die von einer Organisation gelenkt und aufrechterhalten werden muss, und das Medium, auf dem sie enthalten ist.
Satz von Wechselbeziehungen stehenden Mitteln und Tätigkeiten, die Eingaben in Ergebnisse umwandeln.
Alles, was für eine Organisation von Wert ist.

1 Punkt(e)

An welchem Grundprinzip sollte sich die kontinuierliche Verbesserung des ISMS orientieren?

Am Prinzip der maximalen Wertschöpfung.
Am COBIT-Prinzip.
Am PDCA-Prinzip.
Am Prinzip der sachlichen Nachweisführung.

1 Punkt(e)

Was versteht man gemäß ISO/IEC 27000 unter einem Prozess?

Eine Maßnahme zur Veränderung eines Risikos.
Die Ausführung eines Computerprogramms durch eine Informationsverarbeitende Einrichtung.
Ein Satz von zusammenhängenden und sich gegenseitig beeinflussenden Tätigkeiten, der Eingaben in Ergebnisse umwandelt.
Eine Gerichtsverhandlung.

1 Punkt(e)

Wann spricht man von einem ISMS, dass zu ISO/IEC 27001 konform ist?

Wenn alle Anforderungen aus den Abschnitt 4 bis 10 erfüllt und die Maßnahmen aus dem Anhang A in ISO/IEC 27001 umgesetzt wurden, sofern anwendbar
Wenn für alle Maßnahmen aus dem Anhang A in ISO/IEC 27001 eine solide und nachvollziehbare Planung existiert.
Wenn alle Maßnahmen exakt nach den Vorgaben aus ISO/IEC 27002 umgesetzt wurden.
Wenn mindestens 80% der identifizierten Risiken durch geeignete Maßnahmen behandelt wurden.

1 Punkt(e)

Wobei handelt es sich nicht um einen relevanten Aspekt der Informationssicherheitsrisikobehandlung gemäß ISO/IEC 27001?

Auswahl angemessener Optionen für die Risikobehandlung.
Erstellung einer Erklärung zur Anwendbarkeit.
Löschen von Restrisiken auf Basis der Risikokriterien.
Erstellung eines Risikobehandlungsplans.

1 Punkt(e)

Wie definiert ISO/IEC 27000 den Begriff Risikoanalyse?

Koordinierte Aktivitäten zur Leitung und Kontrolle einer Organisation in Bezug auf Risiken.
Prozess für die Auswahl von Maßnahmen zur Behandlung von identifizierten Risiken.
Festlegungen, um die Signifikanz eines Risikos zu bewerten.
Prozess, um die Beschaffenheit eines Risikos zu verstehen und das Risikoniveau zu bestimmen.

1 Punkt(e)

Welche der folgenden Tätigkeiten ist keine von ISO/IEC 27001 geforderte Verpflichtung des Managements?

Sicherstellung, dass interne ISMS Audits durchgeführt werden.
Bestimmung der Aufgaben und Verantwortlichkeiten für Informationssicherheit.
Lenkung von Dokumenten und Aufzeichnungen.
Festlegen der ISMS Leitlinie.

1 Punkt(e)

Welche Arten von Audits sind in der Regel nach ISO/IEC 27000 zu unterscheiden?

Vollständige und unvollständige.
Interne und externe.
Objektive und subjektive.
Angekündigte und unangekündigten.

1 Punkt(e)

Im Verlauf der Festlegung des ISMS sind nach ISO/IEC 27001 die Definition der ISMS-Leitlinie und der Vorgehensweise zur Risikoeinschätzung zu erstellen. Welcher Schritt muss nach ISO/IEC 27001 bereits zuvor erfolgt sein?

Das Budget für das ISMS-Vorhaben muss geklärt sein.
Das Management muss die Umsetzung und Durchführung des ISMS genehmigen.
Im Rahmen eines Audits müssen Verbesserungsmöglichkeiten identifiziert werden.
Der Anwendungsbereich (Scope) des ISMS muss festgelegt sein.

1 Punkt(e)

Welche Aufgabe hat ein Risikoeigentümer im Hinblick auf die Informationssicherheitsrisikobehandlung?

Der Risikoeigentümer muss alle Restrisiken identifizieren und beseitigen.
Der Risikoeigentümer muss den vorgeschlagenen Restrisiken zustimmen.
Der Risikoeigentümer ist für die Umsetzung des ISMS zuständig.
Der Risikoeigentümer schreibt die Festlegungen des ISMS in einem Managementplan nieder.

1 Punkt(e)

Welcher Schritt gehört nicht zur Beurteilung von Informationssicherheitsrisiken?

Identifizierung der Risiken und zugehörigen Risikoeigentümer.
Analyse der Risiken einschliesslich Bestimmung der Risikoniveaus.
Bewertung der Risiken einschliesslich Priorisierung für die Risikobehandlung.
Festlegung der Maßnahmen zur Risikobehandlung.

1 Punkt(e)

Worauf ist im Zusammenhang mit internen Audits des ISMS zu achten?

Dass in jedem internen Audit alle Anforderungen der Norm ISO/IEC 27001 vollumfänglich geprüft werden.
Dass die Ergebnisse der Audits gegenüber der zuständigen Leitung berichtet werden.
Dass die Auditkriterien im Vorfeld gegenüber den auditierten Personen und Bereichen nicht offengelegt werden.
Dass als Auditoren nur Personen ausgewählt werden, die selbst in dem auditierten Bereich tätig sind.

1 Punkt(e)

Wobei handelt es sich nicht um eine Aktivität, die gemäß ISO/IEC 27001 umgesetzt werden muss, um ein ISMS zu planen oder zu betreiben?

Bestimmen von Chancen und Risiken in Verbindung mit dem ISMS.
Festlegung von Informationssicherheitszielen.
Etablierung eines Prozesses zur Ermittlung der Mitarbeiterzufriedenheit in Bezug auf die festgelegten Sicherheitsrichtlinien.
Erstellung einer Erklärung zur Anwendbarkeit des ISMS.

1 Punkt(e)

Welches Ziel wird mit der von ISO/IEC 27001 in Anhang A.12.1.4 geforderten Aufteilung von Entwicklungs-, Test- und Produktiveinrichtungen verfolgt?

Es soll verhindert werden, dass ungetestete Software produktiv eingesetzt wird.
Der Aufwand zur Pflege der Systeme soll reduziert werden, damit die Administratoren mehr Zeit haben, sich um die Informationssicherheit zu kümmern.
Angriffe auf das Produktivsystem sollen das Testsystem nicht beeinträchtigen.
Das Risiko eines unbefugten Zugriffs auf das Produktivsystem soll verhindert werden.

1 Punkt(e)

Welche der folgenden Aussagen entspricht nicht den Maßnahmen zur Sicherheit der Geräte und Betriebsmittel (A.11.2)?

Betriebsmittel müssen so platziert und geschützt werden, dass das Risiko durch Bedrohungen aus der Umgebung und die Gelegenheit für unerlaubten Zugriff reduziert werden.
Betriebsmittel sind nach der Verwendung in einem geschlossenen Behältnis aufzubewahren. Der Zugang zum Schlüssel ist geeignet zu überwachen.
Vorsorgeleitungen für Strom und Telekommunikation, die Daten transportieren oder die Informationssysteme versorgen, müssen vor Unterbrechung, Störung und Beschädigung geschützt sein.
Betriebsmittel, Informationen oder Software dürfen nicht unberechtigt aus dem Standort entfernt werden.

1 Punkt(e)

Welche Aufgabe hat das Management im Kontext der Personalsicherheit (Anhang A.7) während der Anstellung eines Mitarbeiters nach ISO/IEC 27001?

Das Management muss den Mitarbeiter kontinuierlich überwachen und verbessern.
Das Management muss verlangen, dass sich der Mitarbeiter an die festgelegten Richtlinien und Verfahren der Organisation hält.
Es müssen Sicherheitszonen und eine entsprechende Zutrittskontrolle definiert werden.
Das Management muss sicherstellen, dass Speichermedien sicher entsorgt werden.

1 Punkt(e)

Was ist das Ziel der Sicherstellung des Geschäftsbetriebs (A.17 Informationssicherheitsaspekte beim Business Continuity Management)?

Ausgelagerte Software-Entwicklung.
der Grundsatz des aufgeräumten Schreibtisches.
Schutz vor Unterbrechungen von Geschäftsaktivitäten.
Geräteidentifikation in Netzen.

1 Punkt(e)

Welche Maßnahmen entspricht dem Maßnahmenziel A.12.4 “Protokollierung und Überwachung”?

Betriebsmittel und Geräte dürfen nicht ohne Genehmigung vom Betriebsgelände entfernt werden.
In allen systemkritischen Anlagenteilen sind Videokameras zu installieren und die gelieferten Bilder zu überwachen.
Protokollierungseinrichtungen und Informationen aus Protokollen sollten vor Verfälschung und unbefugten Zugang geschützt werden.
Die Überwachung des ISMS ist nicht notwendig.

1 Punkt(e)

ISO/IEC 27001 beschreibt in Anhang A.9.4 mit Maßnahme A.9.4.5 die Zugangssteuerung für Quellcode von Programmen. Worin besteht sie inhaltlich?

Für jede im Unternehmen benötigte Software soll der Quelltext verfügbar sein und geprüft werden, bevor die Software eingesetzt wird.
Bei Softwareentwicklungen muss ein Software-Configuration-Management-Werkzeug eingesetzt werden.
Der Zugriff auf den Quellcode muss beschränkt sein.
Der Quellcode muss auf einer isolierten Maschine gespeichert werden, auf die ein manueller Zugriff nur nach Genehmigung durch den Informationssicherheitsbeauftragten erlaubt wird.

1 Punkt(e)

Welcher der folgenden Aspekte muss nach ISO/IEC 27001 in einer ISMS Richtlinie berücksichtigt werden?

Die Identifikation von Auswirkungen, die sich aus Störungen der Verfügbarkeit von Diensten und Informationen auf Assets ergeben können.
Die Intervalle, in denen externe Zertifizierungsaudits nach ISO/IEC 27001 durchgeführt werden.
Geschäftliche und gesetzliche Anforderungen.
Das Budget, das für die Umsetzung von Maßnahmen nach ISO/IEC 27001 im aktuellen Planungszeitraum verfügbar ist.

1 Punkt(e)

Welche Maßnahme ist nicht Bestandteil des Maßnahmenziels A.11.1 Sicherheitsbereiche zur Durchsetzung der physischen und umgebungsbezogenen Sicherheit aus ISO/IEC 27001?

Sicherheitsbereiche müssen durch Zutrittssteuerung geschützt sein.
Es muss ein Schutz vor Bedrohungen von aussen gegeben sein.
Die Sicherheit von Büros, Räumen und Einrichtungen muss gewährleistet werden.
Die Sensibilisieren und Schulung des Personals zur Informationssicherheit muss durchgeführt werden.

1 Punkt(e)

Welche Maßnahmen ist nach ISO/IEC 27001 bei der Handhabung von Informationssicherheitsvorfällen (A.16) notwendig?

Prüfung der Einhaltung technischer Vorgaben.
Identifikation der anwendbaren Gesetze.
Lernen aus Informationssicherheitsvorfällen.
Benutzerregistierung

1 Punkt(e)

Was ist keine inhaltliche Forderung im Rahmen des Maßnahmenziels A.12.3 Datensicherung?

Die Verfügbarkeit von Daten sicherzustellen.
Sicherheitskopien sind entsprechend einer Sicherungsrichtlinie zu erstellen.
Sicherheitskopien sind regelmäßig zu testen.
Gespeicherte Informationen sind nur im Rahmen eines Zertifizierungsaudits wiederherzustellen, um die Funktionalität des Backups nachzuweisen.

1 Punkt(e)

Welches Ziel wird nicht vom Maßnahmenziel A.10.1 Kryptographische Maßnahmen verfolgt?

Vertraulichkeit von Informationen
Integrität von Informationen
Sammeln von Beweisen
Authentizität von Informationen

1 Punkt(e)

Wie hängen die drei Standards ISO 9000, ISO/IEC 2000 und ISO/IEC 27001 zusammen?

ISO/IEC 27000 ist eine Kombination aus ISO 9000 und ISO/IEC 2000
Diese drei Normen behandeln Managementsysteme in zum Teil überlappenden Anwendungsbereichen
Diese drei Normen behandeln Management und Qualitätssicherung für drei unterschiedliche Branchen
Die Zertifizierungen für diese Standards bauen aufeinander auf, d.h. eine Zertifizierung nach ISO/IEC 27001 ist nur möglich, wenn das Unternehmen auch nach ISO 9000 zertifiziert ist.

1 Punkt(e)

Mit welchen Themengebiet befasst sich die Norm ISO 9000 schwerpunktmäßig?

Bewertung der Informationssicherheit
Informationssicherheitsleitlinie
IT-Service Management
Qualitätsmanagement

1 Punkt(e)

Welcher der nachfolgend genannten Standards behandelt nicht den Themenbereich IT- oder Informationssicherheit?

ISO/IEC 15408
ISO/IEC 20000
ISO/IEC 27000
ISO 9000

1 Punkt(e)

Welche Organisation ist Herausgeber des IT-Grundschutz Kompendiums?

Bayerischer IT-Sicherheitscluster e.V.
National Institute of Standards and Technology (NIST)
International Electrotechnical Commission (IEC)
Deutsches Bundesamt für Sicherheit in der Informationstechnik (BSI)

1 Punkt(e)

Zu welchen Zweck wurde die Normenreihe ISO/IEC 15408 (Common Criteria) entwickelt?

ISO/IEC 15408 definiert ein formales Verfahren zur Bewertung von Sicherheitseigenschaften von IT-Produkten
Die Common Criteria enthalten Kriterien, die es bei der Speicherung von Logdaten zu berücksichtigen gilt.
Die Normenreihe ISO/IEC 15408 wurde entwickelt zur Bewertung der Netzsicherheit und enthält eine dafür geeignete Sammlung von Evaluationskriterien.
ISO/IEC 15408 definiert ein international anerkanntes Format für die Beschreibung von sicherheitsrelevanten Ereignissen.

1 Punkt(e)

Welche Aussage zur Standardfamilie ISO/IEC 20000 trifft zu?

ISO/IEC 20000-1 definiert Anforderungen an ein Service Management System (SMS)
Die Bewertung der Informationssicherheit ist das maßgebliche Ziel, das ISO/IEC 20000-2 verfolgt
ISO/IEC 20000-3 steht in direkter Konkurrenz zu ISO/IEC 27000, da die beiden Standards das gleiche Ziel des Managements der Informationssicherheit verfolgen
ISO/IEC 20001 legt Anforderungen für ISMS Konformitätsbewertungsstellen fest.

1 Punkt(e)

Welche Arten der Zertifizierung sieht ISO/IEC 27000 vor?

Organisations- und Personenzertifizierung
ISO/IEC 27000 ist rein normativ und sieht keine Zertifizierung vor
Zertifizierungen von Server-Hardware
Zertifizierung von Software-Produkten

1 Punkt(e)

Welcher Schritt gehört nicht zu einem typischen Ablauf eines Zertifizierungsaudits nach ISO/IEC 27001?

Unterlagenprüfung
Personenzertifizierung des Management
Vor-Ort-Audit
Erstellung und Bewertung eines Auditsberichts

1 Punkt(e)

Welche der genannten sind Prinzipien des Qualitätsmanagements (nach ISO 9004)?

Faktengestützte Entscheidungsfindung
Risikobasierter Ansatz
Kundenorientierung

1 Punkt(e)

Welche der folgenden Rahmenwerke, Standards oder Standardfamilien befassen sich schwerpunktmäßig mit IT- oder Informationssicherheit (oder werden als Standard für IT- und Informationssicherheit bezeichnet)?

BSI Grundschutz
FitSM
ISO/IEC 27000

1 Punkt(e)

Was ist das Ziel des Standards ISO/IEC 20000-1?

Effektives und effizientes IT-Service Management durch einen prozessorientierten Ansatz
Beschreibung zulässiger Betriebsmittel im Rahmen eines ISMS
Aufbau eines Qualitätsmanagementsystems

1 Punkt(e)

Welche der folgenden Aussagen zum Anhang A der Norm ISO/IEC 27001 sind korrekt?

Im Anhang A sind Maßnahmenziele (Control Objektives) definiert.
Der Anhang A ist normativ, und sofern Ausschlüsse vorgenommen werden, müssen diese begründet werden.
Der Anhang A enthält Bedrohung- und Gefährdungskataloge

1 Punkt(e)

Was trifft im Kontext des Standards ISO/IEC 27000 auf Maßnahmen (Controls) zu?

Im Anhang A der Norm ISO/IEC 27001 sind immer ein oder mehrere Maßnahmenziele (Control Objektives) einer Maßnahme (Control) zugeordnet.
Maßnahmen (Controls) sind im Anhang A der Norm ISO/IEC 27001 definiert
ISO/IEC 27002 behandelt die gleichen Maßnahmen (Controls), die auch im Anhang A der Norm ISO/IEC 27001 definiert sind.

1 Punkt(e)

Welche der folgenden Aussagen zu Maßnahmen (Controls) sind korrekt?

Alle Maßnahmen, die die Norm ISO/IEC 27001 im Anhang A formuliert, sind rein organisatorischer Natur.
Maßnahmen können Prozesse und Richtlinien umfassen
Alle Maßnahmen, die die Norm ISO/IEC 27001 im Anhang A formuliert, sind rech technischer Natur.

1 Punkt(e)

Welche der folgenden Aussagen zum Anhang A aus ISO/IEC 27001 sind insbesondere vor dem Hintergrund der Behandlung von Informationssicherheitsrisiken korrekt?

Anhang A enthält eine umfassende Liste von Maßnahmenzielen und Maßnahmen.
Anhang A enthält eine Übersicht der wesentlichen Bedrohungen auf die Informationssicherheit, die im Rahmen der Beurteilung von Informationssicherheitsrisiken berücksichtigt werden müssen.
Anhang A enthält eine Erklärung zum Geltungsbereich, die von allen Organisationen, die Konformität mit ISO/IEC 27001 beanspruchen, übernommen werden muss.

1 Punkt(e)

Zu welchen Themen definiert ISO/IEC 27001 (Anhang A) Maßnahmenziele und Maßnahmen im Zusammenhang mit dem Abschnitt “Betriebssicherheit” (A.12)?

Schutz vor Schadsoftware
Informationsklassifizierung
Protokollierung und Überwachung

1 Punkt(e)

ISO/IEC 27001 definiert Maßnahmen (Controls) und Maßnahmenziele (Controls Objektives) zu/zur …?

physischen und umgebungsbezogene Sicherheit (Physical and environmental security)
Verwaltung der Werte (Asset Management) einer Organisation
Personalsicherheit (Human resource security)

1 Punkt(e)

Zu welchen Themen definiert ISO/IEC 27001 im Anhang A Maßnahmenziele und Maßnahmen?

Compliance
Organisation der Informationssicherheit
Energieeffizienz

1 Punkt(e)

Welche Aktivitäten sind für eine Organisation hinsichtlich des Kapitals “Kontext der Organisation” in der Norm ISO/IEC 27001 vorgeschrieben?

Festlegen der organisatorischen Verantwortlichkeiten für Lieferanten in Zusammenarbeit mit der zuständigen Stabsstelle
Bestimmen der interessierten Parteien, die für das Informationssicherheitsmanagementsystem relevant sind
Bestimmen der Anforderungen von interessierten Parteien in Bezug auf die Informationssicherheit

1 Punkt(e)

Wodurch zeichnet sich ein führungsstarkes Top-Management im Zusammenhang mit einem ISMS aus?

Klares Bekenntnis zu Informationssicherheitszielen
Durchführung von Auditgesprächen mit allen Mitarbeitern
Beurteilung aller Informationssicherheitsrisiken

1 Punkt(e)

Wobei handelt es sich gemäß ISO/IEC 27001, Abschnitt “Führung” (5), um Aufgaben des Top-Managements, um Verantwortung und Engagement für die Informationssicherheit und das ISMS zu demonstrieren?

Bereitstellen der für das ISMS erforderlichen Ressourcen
Gewährleistung, dass die Informationssicherheitspolitik und die Informationssicherheitsziele festgelegt und mit der strategischen Ausrichtung der Organisation vereinbar sind.
Regelmäßige Teilnahme an den Sitzungen des organisationsinternen Computer Emergency Teams (CERT)

1 Punkt(e)

Wobei handelt es sich um Kriterien, die gemäß ISO/IEC 27001 im Rahmen des Prozesses zur Beurteilung von Informationssicherheitsrisiken festgelegt und angewendet werden müssen?

Kriterien zur Maßnahmenbewertung
Kriterien für die Risikodokumentation
Kriterien zur Risikoakzeptanz

1 Punkt(e)

Was sind Schritte, die im Rahmen des Prozesses zur Beurteilung von Informationssicherheitsrisiken festgelegt und angewendet (durchgeführt) werden müssen?

Informationsicherheitsrisiken identifizieren
Informationssicherheitsrisiken umgehen
Informationssicherheitsrisiken behandeln

1 Punkt(e)

Was muss eine Organisation gemäß ISO/IEC 27001 im Rahmen ihres Prozesses zur Behandlung von Informationssicherheitsrisiken tun?

Die Informationssicherheitsrisiken bewerten
Einen Plan für die Behandlung von Informationssicherheitsrisiken formulieren
Maßnahmen, die zur Umsetzung der gewählte(n) Option(en) für die Behandlung von Informationssicherheitsrisiken erforderlich sind, festlegen

1 Punkt(e)

Was muss eine Organisation gemäß ISO/IEC 27001, Abschnitt Unterstützung (7) tun, um das ISMS effektiv etablieren und betreiben zu können?

Sicherstellen, dass der Security Officer Informationssicherheitsleitlinie veröffentlicht und freigegeben hat
Erforderliche Dokumente festlegen und pflegen
Sicherstellen, dass relevante Personen über ein angemessenes Bewusstsein für ihre Belange zur Effektivität des ISMS verfügen

1 Punkt(e)

Worüber müssen sich Personen bewusst sein, die Tätigkeiten für eine Organisation ausüben, die Konformität mit ISO/IEC 27001 beansprucht?

Über alle Maßnahmen zur Behandlung von Informationssicherheitsrisiken gemäß Risikobehandlungsplan
Über Folgen einer Nichterfüllung der Anforderungen des ISMS
Über ihren Beitrag zur Wirksamkeit des ISMS

1 Punkt(e)

Welche der folgenden Aktivitäten fordert ISO/IEC 27001 in der Phase des Betriebs (Operation) eines ISMS im Zusammenhang mit dem Risikomanagement?

Nach jeder neuen Risikobeurteilung muss eine Managementbewertung des ISMS eingeplant werden
In regelmäßigen Abständen muss eine Risikobeurteilung vorgenommen werden
Im Falle erheblicher Veränderungen muss eine Risikobeurteilung vorgenommen werden.

1 Punkt(e)

Worüber sollen interne Audits Informationen liefern?

Darüber, welche Informationssicherheitsvorfälle vermeidbar gewesen wären
Darüber, ob das ISMS wirksam umgesetzt und aufrechterhalten wird
Darüber, ob das ISMS die Anforderungen der Organisation erfüllt.

1 Punkt(e)

Ein Audit ist ein Prozess, mit dem bestimmt werden soll, inwieweit Auditkriterien erfüllt sind. Welche der folgenden Eigenschaften muss dieser Prozess gemäß ISO/IEC 27000 unter anderem aufweisen?

Er muss systematisch sein
Er muss dokumentiert werden
Er muss durch eine externe Partei gesteuert werden

1 Punkt(e)

Welche der folgenden Aussagen zu internen Audits und Managementbewertungen sind korrekt?

Managementbewertungen müssen in geplanten Abständen durchgeführt werden
Eine Managementbewertung wird durch die oberste Leitung (Top-Management) durchgeführt.
Interne Audits werden durch die oberste Leitung (Top-Management) durchgeführt.

1 Punkt(e)

Was ist in der Phase “Verbesserung” nach ISO/IEC 27001 fortlaufend zu optimieren?

Wirksamkeit des ISMS
Genauigkeit des ISMS
Gesetzmäßigkeit des ISMS

1 Punkt(e)

Welche der folgenden Schritte muss eine Organisation zur Einführung, Pflege und/oder Verbesserung eines ISMS unter anderem durchführen?

Offenlegung des Risikobehandlungsplans gegenüber allen interessierten Parteien
Identifikation von Informationswerten und der mit ihnen verbundenen Informationssicherheitsanforderungen (Schutzbedarf)
Melden von schwerwiegenden Sicherheitsvorfällen an das BSI (Bundesamt für Sicherheit in der Informationstechnik) oder an andere Aufsichtsbehörden.

1 Punkt(e)

Was trifft auf Prozesse im Kontext der ISO/IEC 27000 Standardfamilie zu?

ISO/IEC 27000 definiert einen Prozess als einen Satz zusammenhängender und sich gegenseitig beeinflussender Tätigkeiten, der Eingaben in Ergebnisse umwandelt.
Prozesse stellen einen Teil bzw. Teile eines Managementsystems dar
ISO/IEC 27002 definiert 14 Informationssicherheitsprozesse, um das Erreichen der Maßnahmenziele des Anhangs A der Norm ISO/IEC 27001 sicherzustellen

1 Punkt(e)

Was trifft auf den PDCA Zyklus zu?

Die Struktur der ISO/IEC 27001 ist, zumindest in Teilen, an dem PDCA-Ansatz ausgerichtet
PDCA beschreibt die Eigenschaften von Informationen, die im Rahmen der Informationssicherheit aufrechterhalten werden sollen
P steht für Plan, D für Do, C für Check und A für Act

1 Punkt(e)

Was trifft auf den Standard ISO/IEC 27001 zu?

Er formuliert die minimalen Anforderungen an ein Informationssicherheitsmanagementsystem ISMS
Er legt Anforderungen an Konformitätsbewertungsstellen fest
Er ist Teil einer grösseren Standardfamilie

1 Punkt(e)

Bei welchen der folgenden Standards handelt es sich um allgemeine, nicht branchenspezifische Leitfäden aus der ISO/IEC 27000 Familie?

ISO/IEC 27002
ISO/IEC 27006
ISO/IEC 27019

1 Punkt(e)

Welche der folgenden Aussagen im Zusammenhang mit Vertraulichkeit und Integrität von Informationen sind korrekt?

Vertraulichkeit bedeutet Schutz vor Offenlegung von Informationen gegenüber unbefugten Personen
Ein angemessenes Niveau an Vertraulichkeit und Integrität lässt sich nur durch den Einsatz von Verschlüsselung und durch digitale Signaturen erreichen
Informationen, deren Vertraulichkeit nicht gegeben ist, können auch nicht in ihrer Integrität geschützt werden.

1 Punkt(e)

In welchen der folgenden Fällen liegt eine Verletzung der Integrität vor?

Ein Dokument ist unverschlüsselt
Auf ein Dokument wurde unberechtigterweise zugegriffen
Einem Dokument wurden unberechtigterweise weitere Informationen hinzugefügt

1 Punkt(e)

Welche Eigenschaften von Informationen sollen im Rahmen der Informationssicherheit aufrechterhalten werden?

Unverletzbarkeit
Integrität
Vertraulichkeit

1 Punkt(e)

Was ist Vertraulichkeit?

Eigenschaft, dass eine Entität das ist, was sie vorgibt zu sein
Eigenschaft, dass Informationen unbefugten Parteien nicht verfügbar gemacht oder offengelegt werden
Eigenschaft, dass eine Information wohlbekannt und kommuniziert ist.

Prüfung Informationssicherheit ISO 27001

Quiz – Zusammenfassung

Information

Ergebnisse

Ergebnisse

Kategorien

1. Frage

2. Frage

3. Frage

4. Frage

5. Frage

6. Frage

7. Frage

8. Frage

9. Frage

10. Frage

11. Frage

12. Frage

13. Frage

14. Frage

15. Frage

16. Frage

17. Frage

18. Frage

19. Frage

20. Frage

21. Frage

22. Frage

23. Frage

24. Frage

25. Frage

26. Frage

27. Frage

28. Frage

29. Frage

30. Frage

31. Frage

32. Frage

33. Frage

34. Frage

35. Frage

36. Frage

37. Frage

38. Frage

39. Frage

40. Frage

41. Frage

42. Frage

43. Frage

44. Frage

45. Frage

46. Frage

47. Frage

48. Frage

49. Frage

50. Frage

51. Frage

52. Frage

53. Frage

54. Frage

55. Frage

56. Frage

57. Frage

58. Frage

59. Frage

60. Frage

61. Frage

62. Frage

63. Frage

64. Frage

65. Frage

66. Frage

67. Frage

68. Frage

69. Frage

70. Frage

71. Frage

72. Frage