iso

Question 1

Für die Absicherung nach Standard entscheidet sich eine Organisation wann?

A. Das Unternehmen arbeitet längst mit dem IT-Grundschutz.
B. KRITIS-Unternehmen sind nach dem KRITIS-Gesetz verpflichtet, diese Form umzusetzen.
C. Den BSI IT-Grundschutz in der Standard-Absicherung umzusetzen, dazu sind Behörden gesetzlich verpflichtet.
D. Nach ISO 27001 oder IT-Grundschutz wurden schon Sicherheitskonzepte erstellt.

Answer 1

A. Das Unternehmen arbeitet längst mit dem IT-Grundschutz.
D. Nach ISO 27001 oder IT-Grundschutz wurden schon Sicherheitskonzepte erstellt.

Question 2

Die abzuarbeitenden Tätigkeiten im Annex A der Norm ISO/IEC 27001 werden in der Regel auch wie genannt?

A. Maßnahmenmeilenstein
B. Forderungen
C. Maßnahmen
D. Maßnahmenanzahl

Answer 2

C. Maßnahmen

Question 3

3. Bei einer ISO/IEC 27001-Zertifizierung gehören zur vorgeschriebenen Dokumentation welche Dokumente, die vorzulegen sind?

A. SOA
B. Richtlinie für Dokumentationen
C. Ergebnisse aus Monitoring und belastbare Kennzahlen
D. Politik der Informationssicherheit

Answer 3

A. SOA
C. Ergebnisse aus Monitoring und belastbare Kennzahlen
D. Politik der Informationssicherheit

Question 4

Ein IT-Sicherheitsbeauftragter unterliegt in der Regel welchen Kündigungsfristen?

A. Unkündbar
B. Gesetzliche Kündigungsfrist
C. Über die gesetzliche Kündigungsfrist hinausgehende vertraglich vereinbarte Fristen
D. 24 Monate

Answer 4

B. Gesetzliche Kündigungsfrist
C. Über die gesetzliche Kündigungsfrist hinausgehende vertraglich vereinbarte Fristen

Question 5

In der Norm ISO/IEC 27001 taucht auch der Begriff „Kontext der Organisation“ auf. Was ist darunter zu verstehen?

A. Fahndung im Darknet
B. Festlegung der Aufwendungen für IT-Security
C. Bestimmung externer Themen, welche die Organisation betreffen
D. Bestimmung interner Themen, welche die Organisation betreffen

Answer 5

C. Bestimmung externer Themen, welche die Organisation betreffen
D. Bestimmung interner Themen, welche die Organisation betreffen

Question 6

Laut BSI Kompendium gibt es welche Empfehlung zur Beschaffenheit der IS-Organisation?

A. Der ISB ist zwingender Teil der IT-Abteilung
B. Die Menge der Handelnden in der IT-Sicherheitsabteilung ist unterworfen von der Organisationsgröße.
C. Die Aufsicht der IT-Sicherheitsorganisation sollte regelmäßig wechseln
D. Der ISB ist im Idealfall eine Stabsstelle

Answer 6

B. Die Menge der Handelnden in der IT-Sicherheitsabteilung ist unterworfen von der Organisationsgröße.
D. Der ISB ist im Idealfall eine Stabsstelle

Question 7

Welche Akkreditierungen bzw. Zertifizierungen muss eine Person haben, die auf Anweisung einer Unternehmensleitung ein internes Audit

7. durchführt?
   A. ISO 17021
   B. ISO 19011
   C. ISO 27001
   D. Keine

Answer 7

D. Keine

Question 8

Wie viele Audits muss eine Organisation in eigener Leitung jahraus jahrein inmitten zweier ISO 27001-Zertifzierungsjahren durchlaufen?

A. Keines
B. Bestenfalls 4
C. Zwischen den Audits zur Zertifizierung nur ausnahmslos ein Audit, aufgeteilt 35% erstes und 65% zweites Jahr
D. Mindestens ein Audit pro Jahr

Answer 8

D. Mindestens ein Audit pro Jahr

Question 9

Nach der Einführung von Maßnahmen können diese wie bewertet werden?
A. Abgegrenzter Zeitraum, -punkt
B. Größe
C. Wiederholbarkeit des Resultates
D. Nutzbare Dokumentation

Answer 9

A. Abgegrenzter Zeitraum, -punkt
C. Wiederholbarkeit des Resultates
D. Nutzbare Dokumentation

Question 10

Die Information in dokumentierter Form eines Informationssicherheits-managementsystems innerhalb eines Unternehmens sollte wir geregelt sein?

A. Immer allen zugänglich und nur im Innenverhältnis
B. Klassifiziert
C. Als Ausdruck (beurkundeter Bericht)
D. Ausrichtung an den Zielgruppen

Answer 10

B. Klassifiziert
D. Ausrichtung an den Zielgruppen

Question 11

Die Planung und Konzeption des IT-Sicherheitsprozesses sollte nach Vorgabe des BSI GS Kompendium welche Schritte enthalten?

A. Für alle Geschäftsprozesse und Fachaufgaben Ansprechpartner angeben
B. Rahmenbedingungen (intern/extern) ermitteln
C. Trennung der Schlussrechnungen der letzten drei Jahre
D. Allgemeingültige Sicherheitsziele bestimmen

Answer 11

A. Für alle Geschäftsprozesse und Fachaufgaben Ansprechpartner angeben
B. Rahmenbedingungen (intern/extern) ermitteln
D. Allgemeingültige Sicherheitsziele bestimmen

Question 12

Die Unternehmenskultur für IT-Security kann mit welchen Methoden erfasst werden?

A. Selbstauskunft
B. Kennzahlen (evtl. gestützt auf Statistiken) aus dem Unternehmen
C. Flurfunk
D. Auftrag beim Statistischen Landesamt einreichen

Answer 12

A. Selbstauskunft
B. Kennzahlen (evtl. gestützt auf Statistiken) aus dem Unternehmen

Question 13

Was gehört definitiv zum Aufgabenbereich des ISB?

A. Audits
B. Ermessen, welches ISMS gestartet wird
C. Datenschutz (technisch)
D. Aufwendung für die IT-Sicherheitsorganisation freigeben

Answer 13

A. Audits
C. Datenschutz (technisch)
D. Aufwendung für die IT-Sicherheitsorganisation freigeben

Question 14

Welche Faktoren gehören zu den Basics der IT-Sicherheit?

A. Vollen Zugriff auf Alles
B. Dem Bedarf angepasste Rechte
C. 3-Zeugen-Prinzip
D. Ökonomie

Answer 14

B. Dem Bedarf angepasste Rechte
D. Ökonomie

Question 15

Sie stellen fest, dass eine wichtige IT-Grundschutz-Maßnahme für ein IT-System nicht umgesetzt ist, das nur noch kurze Zeit in Betrieb ist. Wie behandeln Sie diese Maßnahme beim Basis-Sicherheitscheck?

A. Sie dokumentieren diese als nicht umgesetzt und merken an, dass geprüft werden muss, ob die daraus resultierenden Risiken in der Restlaufzeit des IT-Systems noch tragbar sind.
B. Sie streichen die Maßnahme aus dem IT-Grundschutz-Modell.
C. Sie dokumentieren diese als entbehrlich, da ihre Umsetzung nicht mehr wirtschaftlich ist.
D. Sie dokumentieren diese als nicht umgesetzt, und merken gegebenenfalls an, dass geprüft werden muss, ob eine nachträgliche Umsetzung angesichts der kurzen Einsatzzeit des IT-Systems noch angemessen ist.

Answer 15

A. Sie dokumentieren diese als nicht umgesetzt und merken an, dass geprüft werden muss, ob die daraus resultierenden Risiken in der Restlaufzeit des IT-Systems noch tragbar sind.
D. Sie dokumentieren diese als nicht umgesetzt, und merken gegebenenfalls an, dass geprüft werden muss, ob eine nachträgliche Umsetzung angesichts der kurzen Einsatzzeit des IT-Systems noch angemessen ist.

Question 16

Welche Aussagen zum Basis-Sicherheitscheck sind zutreffend?

A. Ein Basis-Sicherheitscheck dient dazu, Sicherheitsprobleme zu identifizieren, die in einer Risikoanalyse genauer untersucht werden müssen.
B. Ein Basis-Sicherheitscheck ermöglicht, Defizite bei der Umsetzung von Sicherheits maßnahmen zu ermitteln.
C. Ein Basis-Sicherheitscheck ist ein Soll-Ist-Vergleich zwischen den erforderlichen und den tatsächlich umgesetzten
D. Sicherheitsmaßnahmen. Bei einem Basis-Sicherheitscheck werden lediglich die als elementar gekennzeichneten IT-Grundschutz-Maßnahmen geprüft.

Answer 16

B. Ein Basis-Sicherheitscheck ermöglicht, Defizite bei der Umsetzung von Sicherheits maßnahmen zu ermitteln.
C. Ein Basis-Sicherheitscheck ist ein Soll-Ist-Vergleich zwischen den erforderlichen und den tatsächlich umgesetzten

Question 17

Integrität als Schutzziel wird unter anderem durch welche der folgenden Möglichkeiten sichergestellt?
A. Geringste Privilegien
B. Prüfsumme berechnen
C. Datensicherung
D. Redundanz

Answer 17

B. Prüfsumme berechnen

Question 18

Damit eine ISO 27001 Zertifizierung auf Basis von IT-Grundschutz erreicht werden kann sollten unter anderem welche Basics erfüllt sein?

A. BSI Basis-Absicherung
B. Vollumfänglicher Start des angestrebten Zertifizierungs-prozesses
C. BSI Kern-Absicherung
D. BSI Standard-Absicherung

Answer 18

B. Vollumfänglicher Start des angestrebten Zertifizierungs-prozesses
C. BSI Kern-Absicherung
D. BSI Standard-Absicherung

Question 19

Wodurch verlagern Sie ein Risiko?
A. durch Outsourcing des risikobehafteten Geschäftsprozesses an einen externen Dienstleister
B. durch Umstrukturierung des risikobehafteten Geschäftsprozesses
C. durch die Entscheidung, risikomindernde Maßnahmen erst dann umzusetzen, wenn die erforderlichen Finanzmittel dafür
bereitstehen.
D. durch den Abschluss einer Versicherung

Answer 19

A. durch Outsourcing des risikobehafteten Geschäftsprozesses an einen externen Dienstleister
D. durch den Abschluss einer Versicherung

Question 20

In welchen Fällen können Sie gemäß IT-Grundschutz-Vorgehensweise auf die Schutzbedarfsfeststellung für ein IT-System verzichten?

A. wenn die Anwendungen, die es unterstützt, nur einen normalen Schutzbedarf haben
B. wenn das IT-System nicht eingesetzt wird
C. wenn der Schutzbedarf bereits im Rahmen einer vor einem Jahr durchgeführten Revision festgestellt wurde
D. wenn das IT-System spätestens innerhalb von 18 Monaten ausgesondert wird

Answer 20

B. wenn das IT-System nicht eingesetzt wird

Question 21

Wer ist für die Bekanntgabe der Leitlinie zur Informationssicherheit verantwortlich?

A. die Öffentlichkeitsabteilung eines Unternehmens oder einer Behörde
B. das IS-Management-Team
C. die Unternehmens- oder Behördenleitung
D. der Sicherheitsbeauftragte

Answer 21

C. die Unternehmens- oder Behördenleitung

Question 22

Welches Modell liegt dem in BSI-Standard 200-1 beschriebenen Sicherheitsprozess Zugrunde?

A. ein auf stetige Weiterentwicklung angelegtes Spiralmodell
B. das IT-Grundschutz-Modell
C. ein Zyklus aus den Schritten Plan, Do, Check und Act
D. das Informationssicherheitsmodell

Answer 22

C. ein Zyklus aus den Schritten Plan, Do, Check und Act

Question 23

eMails sicher vom Sender zum Empfänger zu übermitteln gelingt unter anderem durch…

A. Sicherer Übertragungsprotokolle wie SMTPS, IMAPS, POP3S verwenden
B. Es gibt derzeit keine unsichere Übertragung für Emails
C. STARTTLS
D. End-To-End-Verschlüsselung

Answer 23

D. End-To-End-Verschlüsselung

Question 24

Dokumentierte Information werden je nach Organisation anders aufbereitet. Welche Faktoren können hierbei Einfluss nehmen?

A. Aufbau, Struktur und der Komplexität der Prozesse und deren Wechselwirkungen
B. Verbandsvorgaben der Handwerks- und Handelskammern
C. Organisationsgröße und der Art ihrer Prozesse, Produkte und Dienstleistungen
D. In dem Fachwissen der handelnden Personen

Answer 24

A. Aufbau, Struktur und der Komplexität der Prozesse und deren Wechselwirkungen
C. Organisationsgröße und der Art ihrer Prozesse, Produkte und Dienstleistungen
D. In dem Fachwissen der handelnden Personen

Question 25

Wann bietet es sich an, IT-Systeme bei der Strukturanalyse zu gruppieren?

A. wenn diese in denselben Räumlichkeiten untergebracht sind
B. wenn der Umfang der insgesamt erfassten Objekte zu groß zu werden droht
C. wenn diese den gleichen Schutzbedarf und ähnliche Eigenschaften (Betriebssystem,Netzanbindung, unterstützte Anwendungen
etc.) haben
D. wenn es für diese IT-Systeme eigene und geeignete IT-Grundschutz-Bausteine gib

Answer 25

C. wenn diese den gleichen Schutzbedarf und ähnliche Eigenschaften (Betriebssystem,Netzanbindung, unterstützte Anwendungen
etc.) haben

Question 26

Data-Leakage bedeutet unter anderem…?
A. Verfügbarkeit verletzt
B. Datenabfluss unkontroliert
C. Vertraulichkeit verletzt
D. Integrität verletzt

Answer 26

B. Datenabfluss unkontroliert
C. Vertraulichkeit verletzt

Question 27

Wie wird zweckmäßig ein IS-Management-Team gebildet?

A. Der IT-Leiter beauftragt fachkundige Mitarbeiter aus der IT-Abteilung.
B. Alle Personen werden in das Team aufgenommen, die sich für die Aufgabe interessieren und sich freiwillig melden.
C. Die Geschäftsleitung setzt ein IS-Management-Team aus Verantwortlichen für bestimmte IT-Systeme, Anwendungen,
D. Datenschutz und IT-Service zusammen. Alle Abteilungs- oder Bereichsleitungen entsenden einen Vertreter aus ihrem jeweiligen Zuständigkeitsbereich in das Team.

Answer 27

C. Die Geschäftsleitung setzt ein IS-Management-Team aus Verantwortlichen für bestimmte IT-Systeme, Anwendungen

Question 28

Welche Verantwortlichkeiten und Tätigkeiten fallen dem/der ISB zu?

A. Projekte die sicherheitsrelevante Bestandteile haben abzustimmen
B. Sicherheitsvorfälle zu durchleuchten
C. Die Unternehmensführung bei der Erstellung der Leitlinie zur IS zu unterstützen
D. Die Verwirklichung von Sicherheitsmaßnahmen zu veranlassen und zu kontrollieren

Answer 28

A. Projekte die sicherheitsrelevante Bestandteile haben abzustimmen
B. Sicherheitsvorfälle zu durchleuchten
C. Die Unternehmensführung bei der Erstellung der Leitlinie zur IS zu unterstützen
D. Die Verwirklichung von Sicherheitsmaßnahmen zu veranlassen und zu kontrollieren

Question 29

Welche Schutzziele werden bei der Schutzbedarfsfeststellung gemäß IT-Grundschutz betrachtet?

A. Verfügbarkeit
B. Authentizität
C. Vertraulichkeit
D. Integrität

Answer 29

A. Verfügbarkeit
C. Vertraulichkeit
D. Integrität

Question 30

Wann ist es vertretbar, ein Risiko zu akzeptieren?

A. wenn die möglichen Schutzmaßnahmen verhindern, dass die Geschäftsprozesse hinreichend effizient durchgeführt werden können
B. wenn es bislang noch zu keinem nennenswerten Sicherheitsvorfall aufgrund der dem Risiko zugrunde liegenden Gefährdung gekommen ist
C. wenn der Aufwand für mögliche Schutzmaßnahmen unangemessen hoch ist
D. wenn vergleichbare Institutionen das Risiko auch akzeptieren

Answer 30

A. wenn die möglichen Schutzmaßnahmen verhindern, dass die Geschäftsprozesse hinreichend effizient durchgeführt werden können
C. wenn der Aufwand für mögliche Schutzmaßnahmen unangemessen hoch ist

Question 31

Welche Informationen sollten Netzpläne enthalten, die für die Strukturanalyse benötigt Werden?

A. die bei der Erarbeitung des Sicherheitskonzepts beteiligten Organisationseinheiten
B. die Art der Vernetzung der IT-Systeme eines Informationsverbundes
C. die Außenverbindungen des Netzes eines Informationsverbundes
D. die Art der IT-Systeme eines Informationsverbundes

Answer 31

B. die Art der Vernetzung der IT-Systeme eines Informationsverbundes
C. die Außenverbindungen des Netzes eines Informationsverbundes
D. die Art der IT-Systeme eines Informationsverbundes

Question 32

Wer sollte in der Regel dafür zuständig sein, technische Maßnahmen zur Absicherung eines bestimmten IT-Systems umzusetzen?

A. die Leitung der IT-Abteilung
B. der IT-Sicherheitsbeauftragte
C. der zuständige Systemadministrator
D. der Benutzer des IT-Systems

Answer 32

C. der zuständige Systemadministrator

Question 33

Ist der Annex A der ISO 27001 normativ? Wo ist das in der Norm fixiert?

A. Abs. 8.3
B. In der Büroklammer hinter Annex A.
C. Abs. 6.1.3
D. Der Annex A ist immer normativ

Answer 33

C. Abs. 6.1.3

Question 34

Das BSI GS Kompendium gibt für die IT-Sicherheitsorganisation welche Empfehlungen für das Personal mit auf den Weg?

A. ICS-ISB
B. BPS
C. DSB
D. ISB

Answer 34

A. ICS-ISB
C. DSB
D. ISB

Question 35

Wer sollte üblicherweise prüfen, ob eine Sicherheitsmaßnahme wie geplant umgesetzt ist?
A. die Geschäftsführung
B. der zuständige IT-Administrator
C. der IT-Sicherheitsbeauftragte
D. die Leitung der IT-Abteilung

Answer 35

C. der IT-Sicherheitsbeauftragte

Question 36

Systembaustein(e) nach Auslegung des BSI-Grundschutz Kompendiums sind unter anderem?

A. CON
B. APP
C. ORP
D. IND

Answer 36

B. APP
D. IND

Question 37

Welche Kriterien berücksichtigen Sie bei der Bestimmung des Bedarfs an Verfügbarkeit eines IT-Systems?

A. den Aufwand, der erforderlich ist, das IT-System nach einer Beschädigung wiederherzustellen
B. die Anzahl der Benutzer des IT-Systems
C. die maximal tolerierbare Ausfallzeit des IT-Systems
D. die Anschaffungskosten des IT-Systems

Answer 37

C. die maximal tolerierbare Ausfallzeit des IT-Systems

Question 38

Bei der Schutzbedarfsfeststellung wird das Maximumprinzip wie angewendet?

A. Das Maximumprinzip ist nicht brauchbar
B. Der befriedigende Schutzbedarf wird dualisiert
C. Der höchste Schutzbedarf bestimmt den gesamten Schutzbedarf des Systems
D. Der erhabenste Schutzbedarf wird mit einem vorher bestimmten Faktor vervielfacht

Answer 38

C. Der höchste Schutzbedarf bestimmt den gesamten Schutzbedarf des Systems

Question 39

Was bewerten Sie bei der Risikoeinschätzung?

A. die Häufigkeit des Eintretens einer Gefährdung
B. das mit einer Gefährdung verbundene Schadensausmaß
C. welche Schutzziele von einer Gefährdung betroffen sind
D. die Wirksamkeit der geplanten und umgesetzten Maßnahmen gegen eine Gefährdung

Answer 39

A. die Häufigkeit des Eintretens einer Gefährdung
B. das mit einer Gefährdung verbundene Schadensausmaß

Question 40

Dem BSI nach ist eine Krise laut BSI-Standard 200-4 was?

A. Massive Unterbrechung eines (zeit-) kritischen Geschäftsprozesses
B. Erweiterung der Befugnisse der Besondere Aufbauorganisation (BAO) erforderlich
C. Es liegen keine Notfallpläne vor oder diese greifen nicht ausreichend
D. Verzweiflungsaktionen der Geschäftsführung im Bereich Marketing

Answer 40

A. Massive Unterbrechung eines (zeit-) kritischen Geschäftsprozesses
B. Erweiterung der Befugnisse der Besondere Aufbauorganisation (BAO) erforderlich
C. Es liegen keine Notfallpläne vor oder diese greifen nicht ausreichend

Question 41

Welche Angaben aus den IT-Grundschutz-Katalogen unterstützen Sie bei der Planung der Umsetzungsreihenfolge von Maßnahmen?

A. die Angabe einer Priorität bei dem Verweis auf eine Maßnahme
B. die Einordnung der Maßnahme in einen Lebenszyklus
C. die Verweise auf die Gefährdungslage am Beginn der Beschreibung einer Maßnahme
D. die Kontrollfragen am Ende der Beschreibung einer Maßnahme

Answer 41

B ein Einordnung der Maßnahmen in einem Lebensmzyklus

Question 42

Dem Begriff Cybercrime würden Sie welche der nachfolgenden Punkte zuordnen
A. Sabotage
B. Ausspähen
C. Betrug
D. Zerstörung

Answer 42

A. Sabotage
B. Ausspähen
C. Betrug

Question 43

Was versteht man unter dem Anwendungsbereich eines ISMS?
A. Der Anwendungsbereich kann die gesamte Organisation, bestimmte Teile davon, wie z. B. einzelne Standorte (durch geografische Abgrenzung) oder nur einzelne Abteilungen umfassen.
B. Der Anwendungsbereich ist die Bewertung von Maßnahmen und die Auswahl von Maßnahmenzielen, zu deren Erreichung sie sinnvoll eingesetzt werden können.
C.
Der Anwendungsbereich beschreibt die Werte einer Organisation und das Minimum ihres notwendigen Schutzbedarfs.
D. Der Anwendungsbereich definiert die Mindestanzahl an Mitarbeitern, die notwendig sind, um eine Zertifizierung nach ISO/IEC
27001 erlangen zu können.

Answer 43

A. Der Anwendungsbereich kann die gesamte Organisation, bestimmte Teile davon, wie z. B. einzelne Standorte (durch geografische Abgrenzung) oder nur einzelne Abteilungen umfassen.

Question 44

Welche Aussage zur Informationssicherheitsleitlinie ist nicht korrekt?
A. Das Management muss die Informationssicherheitsleitlinie genehmigen.
B. Die Informationssicherheitsleitlinie spezifiziert verschiedene Sicherheitszonen und Zutrittsrechte innerhalb einer Organisation. C. In einer Informationssicherheitsleitlinie muss ihr Geltungsbereich festgelegt Werden.
D. Die Informationssicherheitsleitlinie muss in regelmäßigen Abständen überprüft werden, um ihre Eignung, Angemessenheit und
Wirksamkeit auf Dauer Sicherzustellen.

Answer 44

B. Die Informationssicherheitsleitlinie spezifiziert verschiedene Sicherheitszonen und Zutrittsrechte innerhalb einer Organisation.

Question 45

Welche Maßnahmen sind laut ISO/IEC 27001 nicht zur Zugangssteuerung für Systeme und Anwendungen notwendig?

A. Sichere Anmeldeverfahren
B. Richtlinie zum Gebrauch von kryptographischen Maßnahmen
C. System zur Verwaltung von Kennwörtern
D. Zugangssteuerung für Quellcode von Programmen

Answer 45

B. Richtlinie zum Gebrauch von kryptographischen Maßnahmen

Question 46

Was ist nach ISO/IEC 27000 ein Managementsystem?
A. Ein Managementsystem ist nach ISO/IEC 27000 ein Rahmenwerk von Leitlinien, Verfahren, Regelungen sowie zugehörigen Ressourcen, die dazu dienen, die Ziele der Organisation zu erreichen.
B. Der Begriff des Managementsystems wird in ISO/IEC 27000 nicht verwendet.
C. Ein Managementsystem bezeichnet ein System, das die Sicherheit eines Unternehmens garantiert.
D. Keine der Antworten trifft zu.

Answer 46

A. Ein Managementsystem ist nach ISO/IEC 27000 ein Rahmenwerk von Leitlinien, Verfahren, Regelungen sowie zugehörigen Ressourcen, die dazu dienen, die Ziele der Organisation zu erreichen.

Question 47

Welche der folgenden Aussagen trifft auf den Begriff Standardisierung zu?
A. Standardisierung von IT-Systemen erhöht die IT-Gesamtkosten eines Unternehmens um ca. 30%.
B. Bei dem Begriff Standardisierung handelt es sich um einen rein technischen Begriff.
C. Unter Standardisierung versteht man allgemein Vereinheitlichung.
D. Der Wettbewerb verschiedener Hersteller eines Produktes wird durch Standardisierung negativ beeinflusst.

Answer 47

C. Unter Standardisierung versteht man allgemein Vereinheitlichung.

Question 48

Welche der folgenden Rollen sind im Rahmen des Informationssicherheitsmanagementsystems in großen Unternehmen unmittelbar relevant? 1.Gesamtsicherheitsverantwortlicher 2. Management 3. Mitarbeiter 4. Zulieferer 5. Sales Manager

A. Nur 1, 2, 3 und 4.
B. Nur 1, 2, 3 und 5.
C. Nur 2, 3, 4 und 5.
D. Alle Rollen sind relevant.

Answer 48

A. Nur 1, 2, 3 und 4.

Question 49

Welcher der folgenden Standards der ISO/IEC 27000-Familie ist normativ?
A. ISO/IEC 27002
B. ISO/IEC 27006
C. ISO/IEC 27007
D. ISO/IEC 27011

Answer 49

B. ISO/IEC 27006

Question 50

Was wird im Kontext von ISO/IEC 27001 unter einem Restrisiko verstanden?
A. Ein nach der Risikobehandlung verbleibendes Risiko.
B. Ein Risiko, für das entschieden wurde, dass es akzeptiert werden kann.
C. Ein inhärentes Risiko, für das es keine Risikobehandlung gibt.
D. Ein Risiko, das im Rahmen der Risikoanalyse nicht weiter betrachtet wird.

Answer 50

A. Ein nach der Risikobehandlung verbleibendes Risiko.

Question 51

Ein neuer Mitarbeiter beginnt ein Beschäftigungsverhältnis. Welche Maßnahmen sind im Sinne des Anhangs A.7 „Personalsicherheit“ der ISO/IEC 27001 zu Ergreifen?

A. Der Mitarbeiter erhält mit seinem Arbeitsvertrag auch stets ein Notebook.
B. Alle Zugangsrechte des neuen Mitarbeiters sind unverzüglich aufzuheben und alle unter seiner Kennung erzeugten Daten
unverzüglich zu löschen, wenn er das Unternehmen wieder verlässt.
C. Der neue Mitarbeiter verpflichtet sich schriftlich, den Kontakt mit Behörden zu Pflegen.
D. Der Mitarbeiter muss vor seiner Anstellung einer Sicherheitsprüfung unterzogen worden sein.

Answer 51

D. Der Mitarbeiter muss vor seiner Anstellung einer Sicherheitsprüfung unterzogen worden sein.

Question 52

Aus welchem Standard ging ISO/IEC 27001 hervor?
A. Aus dem internationalen Standard ISO 9001.
B. Aus dem internationalen Standard ISO/IEC 20000-1.
C. Aus den deutschen BSI IT-Grundschutzkatalogen.
D. Aus dem britischen Standard BS 7799-2.

Answer 52

D. Aus dem britischen Standard BS 7799-2.

Question 53

Ein Unternehmen hat zur Sicherstellung des Geschäftsbetriebs einen Business Continuity Plan (BCP) erstellt. Welche Aktionen sind
durchzuführen, damit der BCP erfolgreich sein kann?

A. Der BCP ist streng vertraulich zu behandeln. Die darin enthaltenen Informationen könnte ein Angreifer verwenden, um Schwachstellen zu identifizieren.
B. Pläne zur Sicherstellung des Geschäftsbetriebs müssen regelmäßig getestet und aktualisiert werden, um sicherzustellen, dass sie auf dem neuesten Stand und effektiv sind.
C. Die Mitarbeiter, die den BCP im Ernstfall umsetzen sollen, sind regelmäßig einem Stresstest zu unterziehen.
D.Der BCP muss inhaltlich stark fokussiert werden (z. B. nur auf die Behandlung von Sicherheitsvorfällen), um erfolgreich zu sein.

Answer 53

B. Pläne zur Sicherstellung des Geschäftsbetriebs müssen regelmäßig getestet und aktualisiert werden, um sicherzustellen, dass sie auf dem neuesten Stand und effektiv sind.

Question 54

In welchem Zusammenhang stehen die BSI IT-Grundschutzkataloge mit der Norm ISO/IEC 27001?

A. Die BSI IT-Grundschutzkataloge sind genauso wie ISO/IEC 27001 strukturiert, vertiefen die einzelnen Punkte aber mit konkreten technischen Aspekten.
B. Die BSI IT-Grundschutzkataloge ergänzen genau solche Maßnahmen, die in ISO/IEC 27001 nicht berücksichtigt wurden. C. BSI IT-Grundschutz und ISO/IEC 27001 konkurrieren miteinander und schließen sich gegenseitig aus.
D. Das IT-Grundschutz-Zertifikat des BSI deckt auch ISO/IEC 27001 mit ab.

Answer 54

D. Das IT-Grundschutz-Zertifikat des BSI deckt auch ISO/IEC 27001 mit ab.

Question 55

Welche Ziele verfolgt das Maßnahmenziel A.17.2 „Redundanzen“?
A. Die Verfügbarkeit von informationsverarbeitenden Einrichtungen sicherzustellen.
B. Alle neu zu planenden Systeme vor der Abnahme auf Sicherheitsmängel zu Evaluieren.
C. Das Risiko von Systemabstürzen und Abnahmefehlern zu minimieren.
D. Die Einhaltung geltender Gesetze zu garantieren.

Answer 55

A. Die Verfügbarkeit von informationsverarbeitenden Einrichtungen sicherzustellen.

Question 56

Was ist ein entscheidender Schritt, um das Ziel der Einhaltung gesetzlicher Vorgaben zu erreichen?
A. Die Identifikation der anwendbaren Gesetze
B. Telearbeitsplätze einzurichten
C. Isolation sensibler Systeme
D. Regelwerk zur Nutzung von Netzen

Answer 56

A. Die Identifikation der anwendbaren Gesetze

Question 57

Im Rahmen der Überprüfungsphase des PDCA-Zyklus werden verschiedene Begrifflichkeiten einschlägig verwendet. Was bedeutet der Begriff. „Effektivität“ bzw. „Wirksamkeit“?

A. Ob ein Prozess, ein Verfahren oder eine Maßnahme gemäß der Planung durchgeführt bzw. umgesetzt wurde oder ob die tatsächliche Umsetzung von den Planungsvorgaben abweicht.
B. Ob durch einen Prozess, ein Verfahren oder eine Maßnahme die damit verbundenen Ziele auch tatsächlich erreicht wurden.
C. Wenn die eingesetzten Ressourcen in einem möglichst optimalen (aber mindestens vertretbaren) Verhältnis zum Ergebnis stehen.
D. Keine der oben genannten Antworten trifft zu.

Answer 57

B. Ob durch einen Prozess, ein Verfahren oder eine Maßnahme die damit verbundenen Ziele auch tatsächlich erreicht wurden.

Question 58

Warum sollten Sie Ihr Sicherheitskonzept regelmäßig überprüfen?
A. weil sich die Gefährdungslage ändert
B. weil sich die Prozesse und Strukturen einer Institution ändern
C. weil sich die Zielsetzungen und Prioritäten einer Institution ändern
D. weil die IT-Sicherheitsbranche ständig neuen Trends unterliegt

Answer 58

A. weil sich die Gefährdungslage ändert
B. weil sich die Prozesse und Strukturen einer Institution ändern
C. weil sich die Zielsetzungen und Prioritäten einer Institution ändern

Question 59

Welche Vorteile bieten Reifegradmodelle für die Bewertung eines ISMS?
A. Mit einem Reifegradmodell können der Grad der Strukturiertheit und das Maß der systematischen Steuerung eines Prozesses bewertet werden.
B. Die Anwendung eines Reifegradmodells ist Voraussetzung für den Erwerb eines IT-Grundschutz-Zertifikats.
C. Ein Reifegradmodell kann auf Teilaspekte des ISMS angewendet werden und Defizite bei einzelnen Prozessen abbilden.
D. Durch Anwendung eines Reifegradmodells wird eine zentrale Forderung der Norm ISO 27001 erfüllt.

Answer 59

A. Mit einem Reifegradmodell können der Grad der Strukturiertheit und das Maß der systematischen Steuerung eines Prozesses bewertet werden.
C. Ein Reifegradmodell kann auf Teilaspekte des ISMS angewendet werden und Defizite bei einzelnen Prozessen abbilden.

Question 60

Welche der folgenden Untersuchungen haben die systematische Überprüfung der Informationssicherheit in einer Institution zum Ziel?
A. die Auswertung von IT-Sicherheitsvorfällen
B. Penetrationstests
C. die IT-Sicherheitsrevision
D. ein Audit im Rahmen einer ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz

Answer 60

C. die IT-Sicherheitsrevision
D. ein Audit im Rahmen einer ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz

Question 61

Welches Modell liegt dem in BSI-Standard 200-1 beschriebenen Sicherheitsprozess zugrunde?
A. ein Zyklus aus den Schritten Plan, Do, Check und Act
B. ein Verfahren zur Definition eines State-of-the-Art-Informationssicherheitsniveaus
C. ein auf stetige Verbesserung angelegtes Modell
D. ein Modell aus technischen Sicherheitsmaßnahmen

Answer 61

B. ein Verfahren zur Definition eines State-of-the-Art-Informationssicherheitsniveaus
C. ein auf stetige Verbesserung angelegtes Modell

Question 62

Welche Aufgaben haben üblicherweise Informationssicherheitsbeauftragte?
A. die Entwicklung von Sicherheitskonzepten zu koordinieren
B. die eingesetzte Sicherheitstechnik zu konfigurieren
C. der Leitungsebene über den Stand der Informationssicherheit zu berichten
D. Presseanfragen zum den Stand der Informationssicherheit im Unternehmen zu beantworten

Answer 62

A. die Entwicklung von Sicherheitskonzepten zu koordinieren
C. der Leitungsebene über den Stand der Informationssicherheit zu berichten