Exempel tenta Flashcards
Vad kan man analysera med en riskanalys?
a) Informationssäkerhetsrisker gällande IT-system
b) Informationssäkerhetsrisker gällande Människor
c) Informationssäkerhetsrisker gällande Molntjänster
d) Samtliga ovanstående
Samtliga ovanstående
Resultatet av GAP-analysen är en beskrivning av verksamhetens faktiska
informationssäkerhetsnivå genom främst en inventering av … ?
a) Existerande säkerhetshot
b) Konkurrentens säkerhetshot
c) Existerande säkerhetsåtgärder
d) Samtliga relevanta risker
Existerande säkerhetsåtgärder
En informationssäkerhetspolicy är ett exempel på … ?
a) Ett styrande dokument
b) Ett förande dokument
c) Ett ledande dokument
d) Ett legalt dokument
Ett styrande dokument
Vilken av följande räknas inte upp som en vanligen förekommande ”Riktlinje” för
informationssäkerhet i litteraturen?
a) Riktlinjer för skydd mot skadlig kod
b) Riktlinjer för användare/lathund
c) Riktlinjer för säkerhetskopiering
d) Riktlinjer för hotanalys
Riktlinjer för hotanalys
Föreläsaren Fredrik Blix kallade under kursen IT-system och informationen i dem
för ”guldet vi vill skydda”. Flera gånger under kursen betonade dock föreläsaren ytterligare en
aspekt som ingående i detta skyddsvärda ”guld”. Vad var det?
a) Molntjänster
b) Samtycket från individer
c) Den funktion IT-system tillhandahåller (ex. vattendistribution, betalning)
d) Personuppgifter
Den funktion IT-system tillhandahåller (ex. vattendistribution, betalning)
Vad är den högsta administrativa sanktionsavgiften som ett företag kan tvingas
betala om de inte efterlever bestämmelserna i GDPR (räknad i % av den totala globala
årsomsättningen)?
a) 1%
b) 2%
c) 3%
d) 4%
4%
Vilken myndighet i Sverige är tillsynsmyndighet för GDPR, det vill säga ska tillse
att den efterlevs?
a) Inspektionen för uppgiftsskydd
b) Integritetsskyddsmyndigheten
c) Försvarets integritetsnämnd
d) Post- och Telestyrelsen
Integritetsskyddsmyndigheten
Vilken myndighet i Sverige är huvudsaklig tillsynsmyndighet för operatörer av
allmänt tillgängliga kommunikationstjänster (som mobiloperatörer)?
a) FRA (Försvarets radioanstalt)
b) PTS (Post- och telestyrelsen)
c) MSB (Myndigheten för samhällsskydd och beredskap)
d) SÄPO (Säkerhetspolisen)
PTS
Gäller bestämmelserna i GDPR för en fysisk persons behandling av personuppgifter
i verksamhet av rent privat natur?
a) Ja
b) Nej
c) Ja, men bara ifall det är relaterat till personens hushåll
d) Nej, men bara ifall det är relaterat till personens hushåll
Nej
En av upphovsmännen till ”A Theory of Speech Acts” är
a) Earl
b) Searle
c) Curl
d) Curle
Searle
Med återkoppling (feedback) avses inom cybernetiken att…
a) Signalen kopplas tillbaks för att ytterligare öka effekten.
b) Effekten kopplas tillbaks för att ytterligare höja signalen.
c) Signalen återförs från ett senare (output) till ett tidigare stadium (input).
d) Signalen förs från ett tidigare (input) till ett senare stadium (output).
Signalen återförs från ett senare (output) till ett tidigare stadium (input).
Inom cybernetikens kontrollsystem, vad avses med positiv återkoppling?
a) Det är då differensen mellan verkligt och önskat värde initierar åtgärd för att få
kontroll, för att återgå till önskat värde.
b) Det är återkoppling som är fördelaktig för kontrollsystemet.
c) Det är då en del av utflödet förs tillbaks och sedan adderas till inflödet – skapar
tillväxt av den kontrollerade variabeln snarare än håller den konstant.
d) Det är återkoppling som inte är till fördel för kontrollsystemet.
Det är då en del av utflödet förs tillbaks och sedan adderas till inflödet – skapar
tillväxt av den kontrollerade variabeln snarare än håller den konstant.
Vilken typ av kontrollsystem kan reflektera över tidigare fattade beslut, är
självorganiserande och lärande?
a) Första ordningens kontrollsystem (first order)
b) Andra ordningens kontrollsystem (second order)
c) Tredje ordningens kontrollsystem (third order)
d) Både b och c har sådana egenskaper
Tredje ordningens kontrollsystem (third order)
Vilken av följande aktiviteter är normalt inte en del av en riskanalys?
a) Identifiera hot mot informationstillgångarna
b) Bedöm sannolikhet för att risken ska inträffa
c) Bedöm konsekvens ifall risken inträffar
d) Klassificera informationstillgången
Klassificera informationstillgången
Syftet med en GAP-analys är att ge vad (enligt kurslitteraturen)?
a) Bekräftelse på att skyddet är infört i tillräcklig utsträckning.
b) En uppfattning om kvalitén på säkerhetsarbetet.
c) Information om styrkor och svagheter i skyddet.
d) Alla ovanstående.
Alla ovanstående.
Vad innebär riktighet inom informationssäkerhet?
a) Det innebär att information eller system inte felaktigt förändras av misstag eller
av obehörig.
b) Det innebär att information och IT-system inte avslöjas eller görs tillgängliga för
obehöriga.
c) Det innebär att informationen är korrekt (med sanningen överensstämmande).
d) Det innebär att informationen är riktad till avsedda mottagare
Det innebär att information eller system inte felaktigt förändras av misstag eller
av obehörig.
Om du klassificerar ett system med avseende på sekretess, riktighet och
tillgänglighet, så att resultatet blir ”Sekretess HÖG, Riktighet MEDEL, Tillgänglighet LÅG”.
Vad är den huvudsakliga betydelsen av detta resultat?
a) Det visar hur stora risker som finns för de tre aspekterna av informationssäkerhet
b) Det visar ungefär vad det kommer att kosta för att få säkerheten i balans
c) Det är ett uttryck för behovet av informationssäkerhet för det aktuella systemet
d) Att systemet inte behöver krypteras
Det är ett uttryck för behovet av informationssäkerhet för det aktuella systemet
I ”Introduction to the systems approach” beskriver författarna något de kallar den
”konkretistiska fallgropen” (”the concretistic pitfall”). Vad menar de med det?
a) Att man kan förledas att tro att modeller av verkligheten är verkligheten.
b) Att man kan förledas att tro att verkligheten är modeller av verkligheten.
c) Att man kan riskera att bli för konkret i sitt informationssäkerhetsarbete.
d) Att man ska akta sig för fallgropar i projektet, oavsett ifall de är konkreta eller ej.
Att man kan förledas att tro att modeller av verkligheten är verkligheten.
Inom systemteorin beskrivs olika typer av relationer mellan delsystem eller objekt.
Vad menas främst med en synergistisk relation?
a) Att relationen är livsnödvändig för systemet
b) Att man kan klara sig utan relationen
c) Att komponenterna blir starkare tillsammans (genom relationen)
d) Att relationen håller på att fördjupas
Att komponenterna blir starkare tillsammans (genom relationen)
Vilken av följande är tydligast en säkerhetsåtgärd relaterad till konfidentialitet
inom informationssäkerhet?
a) Backup
b) Strömavbrott
c) Dieselgenerator för el
d) Kryptering
Kryptering
Bouldings fem postulat inom generell systemteori tar alla upp … :
a) Kaos
b) Ordning
c) Miljön
d) Tillit
Ordning
Ett öppet system …
a) Har i regel färre hierarkier än ett slutet system.
b) Är ändå oftast stängt med avseende på informationsresurserna.
c) Importerar resurser från miljön, och exporterar slutprodukten till miljön.
d) Har ingen egentlig miljö eftersom allt (principiellt sett hela universum) ingår i miljön.
Importerar resurser från miljön, och exporterar slutprodukten till miljön.
Vad är sant rörande ett stängt system (closed system)?
a) Ingen transformationsprocess kan ske inom systemet eftersom det är helt isolerat.
b) Inget kan föras in eller ut ur systemet.
c) Om ett fel sker blir det alltid mer omfattande, och får större konsekvenser än i ett
öppet system.
d) Stängda system har (per definition) inga informationstillgångar att skydda.
Inget kan föras in eller ut ur systemet.
”Interna kontrollmekanismer kräver löpande och automatisk jämförelse av
kontrollobjektet mot en given standard, samt löpande och automatisk återkoppling för att
korrigera avvikelser från standarden.” Vilken princip är det som beskrivs?
a) Beers första kontrollprincip
b) Beers andra kontrollprincip
c) Beers första OCH andra kontrollprincip
d) Ingen av ovanstående
Beers första kontrollprincip
Kontrollsystemet måste kunna uppvisa minst lika många olika lägen som det
kontrollerade systemet har, om man skall kunna vara säker på att man verkligen har kontroll,
enligt …?
a) Ashbys lag om tillräcklig variation (requisite variety)
b) Beers lag om tillräcklig variation (requisite variety)
c) Bouldings lag om tillräcklig variation (requisite variety)
d) Den så kallade kontrollprincipen inom generell systemteori
Ashbys lag om tillräcklig variation (requisite variety)
Institutionell teori kan endast tillämpas när det man vill analysera uppvisar någon
form av:
a) säkerhetsbrist
b) socialt beteende
c) juridisk avvikelse
d) avvikande beteende
socialt beteende
Föreläsaren Blix argumenterade på kursen att graden av säkerhet i alla
informationssystem bestäms i slutändan av …?
a) administratörens kunskap
b) människors handlande
c) den tekniska utvecklingen
d) användaren
människors handlande
: Scott beskriver i sin three pillars-modell (tre pelare) tre olika typer av institutioner,
nämligen …?
a) Regulativa, Normativa och Kognitiva
b) Regulativa, Normativa och Legala
c) Regulativa, Normativa och Kulturella-kognitiva
d) Informella, Formella och Tekniska
Regulativa, Normativa och Kulturella-kognitiva
Vilket av följande alternativ beskriver en institution vilken är av regulativ typ?
a) Styrs av moral
b) Styrs av lag
c) Styrs av kultur (värderingar)
d) Styrs av både lag och kultur
Styrs av lag
Vad är menas med ett teckens denotation inom Semiotiken?
a) Det tecknet direkt refererar till
b) Tecknets kontext (dess sammanhang)
c) Det tecknet indirekt refererar till
d) Tecknets form
Det tecknet direkt refererar till
Vilken av följande är inte en del av den semiotiska ”stegen”?
a) Syntax (Syntactics)
b) Teknik (Technology)
c) Semantik (Semantics)
d) Pragmatik (Pragmatics)
Teknik (Technology)
Den semiotiska stegen kan sägas ha olika fokus på olika nivåer. Antag att du ska
analysera en elektronisk kommunikation mellan två personer. Vilket av följande är korrekt?
a) På lägre nivåer i stegen är det mer handling än på högre nivåer
b) På högre nivåer i stegen är det mer teknikfokus än på lägre nivåer
c) Lägre nivåer handlar mer om den elektroniska kommunikationen medans den
övre handlar om människorna som kommunicerar
d) Man kan inte analysera en elektronisk kommunikation med den semiotiska stegen
eftersom den enbart handlar om kommunikation mellan människor
Lägre nivåer handlar mer om den elektroniska kommunikationen medans den
övre handlar om människorna som kommunicerar
Standarden ISO/IEC 27001 används främst för att …?
a) Hantera alla typer av incidenter
b) Styra informationssäkerhet i organisationer
c) Styra informationssäkerheten för en individs behov
d) Leda ett företags generella kvalitetsarbete
Styra informationssäkerhet i organisationer
En lag om informationssäkerhet är ett exempel på ….?
a) Ett externt krav
b) Ett internt krav
c) Ett extrovert krav
d) Ett introvert krav
Ett externt krav
På kursen togs olika typer av skydd eller säkerhetsåtgärder upp, som en
organisation kan använda för sin informationssäkerhet. Vilka var det?
a) Logiska, pragmatiska och empiriska säkerhetsåtgärder
b) Logiska, pragmatiska och administrativa säkerhetsåtgärder
c) Sociala respektive tekniska säkerhetsåtgärder
d) Logiska, fysiska samt administrativa
Logiska, fysiska samt administrativa
: Vad innebär det att en viss informationstillgång klassats på ett visst sätt i samband
med så kallad informationsklassning?:
a) Att informationssäkerhetsrisken är fastställd
b) Att informationssäkerhetskraven är fastställda
c) Att informationstillgången är tydligt definierad
d) Att informationstillgången anses vara antingen intern eller extern
Att informationssäkerhetskraven är fastställda
Vad menas med en ”personuppgift” enligt GDPR?
a) Uppgifter som innehåller exempelvis ett ID-nummer
b) Uppgifter (information) som avser en identifierad eller identifierbar fysisk
person
c) Uppgifter (information) som avser en fysisk person oavsett om den är
identifierad eller kan identifieras
d) All information som avser personer, oavsett om de är juridiska eller fysiska personer
Uppgifter (information) som avser en identifierad eller identifierbar fysisk
person
eller
Uppgifter (information) som avser en fysisk person oavsett om den är
identifierad eller kan identifieras
Vilken informationssäkerhetsaspekt är den viktigaste?
a) Tillgänglighet
b) Riktighet
c) Sekretess (konfidentialitet)
d) Det kan variera
Det kan variera
Loggning av händelser i ett IT-system är främst ett sätt att skapa förutsättningar
för:
a) Tillgänglighet (availability)
b) Sekretess (confidentiality)
c) Spårbarhet (traceability)
d) Autenticitet (authenticity)
Spårbarhet (traceability)
: Vad menas med logiskt skydd?
a) Åtgärder för att främja informationssäkerheten och som är rationella.
b) Åtgärder som främst ska påverka beteende.
c) Åtgärder som brandväggar, behörighetskontrollsystem och antivirusprogram.
d) Åtgärder som inte kräver någon närmare analys innan man inför dem.
Åtgärder som brandväggar, behörighetskontrollsystem och antivirusprogram.
Vad kan systemteori användas för inom informationssäkerhet?
a) Analys av endast tekniska system
b) Analys av endast sociala system (bestående av människor)
c) Analys av alla typer av system som kan förekomma inom informationssäkerhet
d) Analys av endast administrativa, logiska och fysiska system
Analys av alla typer av system som kan förekomma inom informationssäkerhet
Vilket alternativ beskriver närmast ett dataskyddsombud?
a) En människa som på ett oberoende sätt granskar dataskyddsarbetet i en
verksamhet
b) Ett företag som på ett oberoende sätt granskar dataskyddsarbetet i en verksamhet
c) En människa som styr och leder dataskyddsarbetet i en verksamhet
d) Ett företag som på uppdrag av ett annat företag styr och leder dataskyddsarbetet i en
verksamhet
En människa som på ett oberoende sätt granskar dataskyddsarbetet i en
verksamhet
Vilket av följande var ett av de huvudsakliga målen med Generell Systemteori
(GST)?
a) Att främja vetenskapen genom tillväxt av kunskap.
b) Att överföra resultat från en disciplin (kunskapsområde) till ett annat.
c) Att framföra att människor egentligen uppvisar stora likheter med djuren (och andra
sociala varelser).
d) Att främja kunskapen inom analytiska och systemiska angreppssätt.
Att överföra resultat från en disciplin (kunskapsområde) till ett annat.
Vad menas med miljö inom systemteorin?:
a) Samtliga nedanstående alternativ (b, c och d)
b) Något som ligger utanför systemet
c) Något utanför systemets direkta kontroll
d) Något som påverkar systemet
Samtliga nedanstående alternativ
Churchman beskriver fem grundläggande karaktärsdrag vilka system har. Ett av
dem är att de är målsökande. Ett annat ord för målsökande är:
a) Objektifierande
b) Målbiologisk
c) Objektologisk
d) Teleologisk
Teleologisk
En ”samling i förväg uttänkta, länkade och dokumenterade aktiviteter som svarar
mot ett fastställt behov inom informationssäkerhetsarbetet” kallas i kurslitteraturen för vad?
a) Aktivitetspaket
b) Informationssäkerhetsprojekt
c) Processer
d) Ingen av de ovanstående (a, b eller c).
Processer
Vad kan nackdelen vara med för mycket informationssäkerhet i en organisation?
a) Det blir kostsamt
b) De anställda blir mindre produktiva på grund av säkerhetsåtgärder som hindrar
c) Verksamheten blir lidande
d) Alla ovanstående
Alla ovanstående
Stafford Beer, om han levat, skulle betecknat en organisation bestående av
människor som
a) Ett probabilistiskt (baserat på sannolikhet) och ytterligt komplext system.
b) Ett levande och deterministiskt system för samarbete.
c) Ett probabilistiskt men ändock relativt enkelt system.
d) Ett deterministiskt men komplext system.
Ett probabilistiskt (baserat på sannolikhet) och ytterligt komplext system.
Inom GDPR (dataskyddsförordningen artikel 30) ställs krav på ett ”Register över
behandling”, vilket av följande är inte information som måste finnas i registret?:
a) Beskrivning av kategorier av registrerade (de personer uppgifterna handlar om)
b) Ändamålet med behandlingen (varför de behandlas, syftet)
c) Mottagare av registrerade personuppgifter (vem/vilka som ska ta emot uppgifter)
d) Inträffade personuppgiftsincidenter
Inträffade personuppgiftsincidenter
Vilken typ av säkerhetsåtgärd kan du införa själv för att få god sekretess
(konfidentialitet)?
a) Säkerhetskopiering
b) Loggning
c) Kryptering (t.ex. av hårddisken i datorn)
d) Ingen av de ovanstående
Kryptering (t.ex. av hårddisken i datorn)
