IT Security Manager

Question 1

Kenngroesse

Answer 1

ist Zustand (Status)

Question 2

KPI

Leistungskenngroessen

Answer 2

Ist Zustand in Bezug auf den soll Zustand

Question 3

Kenngrößen Beispiele

Answer 3

• Zeitspanne in der ein Risiko unbehandelt bleibt
• überfällige Dokumenten Reviews
• Anzahl Berichterstattungen.
• Anzahl abgelehnter audit Empfehlungen an allen Empfehlungen
• zeit seit letzter awareness Kampagne
• Anzahl der risikoanalysen für Prozesse pro Monat

Question 4

Kennzahlensteckbriefe

Answer 4

Dienen

• Zur Transparenz von Kenngroessen
• Doku der Eigenschaften von KG
• Revision und auditzwcke

Question 5

Strategische Kenngroesse

Answer 5

Entscheidungsgrundlagefuer das weiter Vorgehen in der IS

Question 6

Instrumente die KPIs visualisieren

Answer 6

Sollen

An den Anforderungen des addresaten angepasst

Einfach und schnell zu lesen

Schnell ins auge springen

Question 7

KPIs werden

Answer 7

Durch geeignete Instrumente visualisiert um komplexe Sachverhalten einfach darzustellen. Und vornehmlich an die GF berichtet

Question 8

Risiko

Answer 8

R = E x S

E - Eintrittswkt
S - schaden

Question 9

Wesen und Inhalte eines Management Systems

Answer 9

Struktur 
Grundsätze 
Planungsaktivitaeten 
Verantwortung 
Praktiken 
verfahren 
Prozesse 
Resources.

Question 10

ISMS

Answer 10

Informations

Sicherheits

Management

System.

Ist ein Prozess und kein Projekt

Question 11

Informationssicherheit

Answer 11

Schutz von Informationen vor einer Vielzahl von Bedrohungen.

• Die Aufrechterhaltung des Geschäftsbetriebs
• geschaeftrisiken zu minimieren.
• Gewinn und Geschäftechqncnen zu maximieren

Question 12

Schutzziele

Answer 12

Vertraulichkeit
Verfügbarkeit
Integrität

• weitere ..
  authenticity
  Nicht abstreitnarkeit

Question 13

Beteiligte

Answer 13

Organisationsleitung - Verantwortung

IT securty beauftr/Mgr
- kkoedineiert und Verantwortung

Mitarbeiter
- verantworten die Umsetung der IS Vorgaben

Question 14

Aufgaben der Organisationsleitungb

Answer 14

• Verantwortung des gesamten sicherheitsprozsss
• imitiert den IS prozess
• gibt IS Ziele und Strategien in from einer Leitlinie
• Vorbild
• sorgt für den Aufbau von Ressourcen
• unterstützt alle mit der IS vernundenen Aktivitäten

Question 15

Führung der OL

Answer 15

Festlegung von Info Sec ZIelen

Sicherstellung das Isms Anforderungen integration in Geschäftsprozesse

Bereitstellung

…

Question 16

IT security manager

Answer 16

Steuert und koordiniert den IS Prozess

Unterstützt und berät Leitung

Imitiert und koordiniert die Umsetzung von Sicherheitsmaßnahmen und Projekten

Untersucht sicherheitsrelevanten Vorfälle

Innitiert und koorindniert Sensibilisierungs und Schulungsmassnahmen

Question 17

Rolle/Aufgabe Mitarbeiter

Answer 17

Setzten IS Vorgaben um

Melden IS Vorfälle

Sind sich Ihrer Rolle im IS Prozess bewusst

Question 18

Weitere Rolle im IS Prozess

Answer 18

Info Sec Beauftragter
Notfall Beauftragter
Risiko Mangement Team
Auditor

Question 19

Informationssicherheitsleitlinie

Answer 19

Dokumentation der Sicherheitspolitik

Grundregeln zum Umgang mit Informationen

Question 20

IS Leitline

Answer 20

Ist ein strategisches Dokument der GF

Verbindliches Dokument für alle Mitarbeiter

Enthält die Anforderungen der Organisation and die Informationssicherheit und beschreibt Werte und Technologien der Organisation

Question 21

Informationssicherhiets leitline

Answer 21

Eine Rahmen für den sicheren Umgang mit Infos und IT Systems

Entwicklung und Pflege der Sicherheits Prozesse

Risiko gerechte Bewertung der Sicheheitsmassnahmen

Untenenemsweite Einführung g IS system

Question 22

Informationssicherheitsleitlime

Answer 22

Ziele und Plaene des ISMS 
Kontinuierliche Verbesserung 
Ausreichende Ressourcen 
Regelmäßige Audit 
NC müssen abgestellt werden

Question 23

Geltungsbereich Scope

Answer 23

27K Kapitel 4.1 - 3

Interessierte Parteien

Art des Geschäftes

Assets

Question 24

Definition Scope

Answer 24

Sollte immer mit einem Blick auf die Organisationsstruktur und die rechtliche Situation beginnen

Question 25

Was soll der Scope Beschreiben

Answer 25

Relevante Prozesse

Und Schnittstellen nach aussen (Grenzen des Anwendungsbereich)

Question 26

Grundregeln asset Management

Answer 26

Alle Werte müssen eindeutig definiert und in einem Iventar dokumentiert werden

Reglungen für Nutzung

Asset owner bestimmen

Rückführung muss geordnete sein

Question 27

Welche Werte Kategorien gibt es im Asset Management

Answer 27

Informationen

Software

Hardware

Services

Weiche werte

Personen

Question 28

Primäre Assets

Answer 28

Geschäftsprozesse

Informationen

Question 29

Sekundäre Assets

Answer 29

Physische 
Infrastruktur 
Kommunikationsmittel asset 
Immaterielle 
Personen

Question 30

3 Säulen eines ISMS

Answer 30

Technische

Organisatorische

Rechtliche

Question 31

ISO 27001 2013

Answer 31

Internationale Norm

Modell für den Einsatz eines ISMS

Prozessorientierter Ansatz - kein Projekt sondern ein Prozess der der kontinuierlichen Verbesserung unterliegt

Question 32

Top Down Ansatz ISO27001

Answer 32

Führungsaufgabe

Leitlinien

Richtlinien

Arbeitsanweisungen

Question 33

Durch die ISO27001 erhält die Lietung Unterstützung

Answer 33

Bei der DEF von neuen Infosec Prozesses

Sowie die Definition von Infosec Managemnet Aktivitäten

Question 34

PDCA

Answer 34

Plan Do Check Act

Alternative

DMAIC Define Measure Analyse Improve Control
Oder
OODA Observe Orient Decide Act

Question 35

PDCA mit Kapiteln

Answer 35

Plan
4 Kontext der ORG 5 Führung 6 Plannung

Do
7. Untertützung 8. Betrieb

Check
9 Leistungsbewertung

Act
10 Verbesserung

Question 36

Struktur 27001 2013

Answer 36

Teil 1 beschreibt organisatorische Anforderungen des Standards

Verlangt das das umgesetzt wird was da dring steht
Wenn ich diese Anforderungen erfülle kann ich zertifiziert werden

Teil2 beschreibt Massnahmenziele und Massnahmen

Question 37

Kapitel der ISO27001

Answer 37

0 Einleitung
1 Anwendungsbereiche
2 Normative Referenzen
3 Definitionen

1 Kapitel 4 - 10
Anhang A - Controls

Question 38

Kapitel 4 Kontext der Organisation

Answer 38

Rahmenbedingungen
Was wollen wir eigentlich erreichen was sind unsere Ziele
Schutzziele Schutzniveau

4. 1 Verständnis der ORG und des Umfeld
5. 2 Verst Anfoderungen an Stakeholder
6. 3. Geltungsbereich unter Berücksichtigung 4.1. und 4.2
7. 4. Betrieb eines ISMS auf Basis der Normanforderungen

Question 39

Kapitel 5

Answer 39

Führung Ziele definiert Möglichkeit Ziele zu erreichen müssen geschaffen werden - Kompetenzen

5. 1. Verantwortung des Management
6. 2. Informstionsec Richtlinien — Leitlinie muss in Kraft gesetzt werden
7. 3 Organisation des ISMS

Question 40

Kapitel 6

Answer 40

Planung

Risikomanagement Massnahmen identfizieren und umsetzen -welche Risiken existieren Wo sind Schwachstellen — Bedrohungen werden zu Gefährdungen

6.1. Konzeption einer Risikoanalyse (inkl Festlegung der Risikokriterien Risikobewertung Rissikobehandlung mit SoA) und Formulierung der Kontrollen für die Behandlung

RISK OWNER

6.2. DEF der Anforderungen and die Kontrollziele und erreichen der Kontrollziele in allen ORG Einheiten und auf allen Management ebenen

Question 41

Kapitel 7

Answer 41

Unterstützung

7. 1 Bereitstellung der Resourcen allgemein (Plan)
8. 2 Anforderngen an die Kompetenzen (Do)
9. 3 IS Sensibilisierung der MItarbeiter (Do)
10. 4. Notwendigkeit der Kommunikation intern/extern
11. 5. Anforderungen and die Erstellung und Kontrolle von Dokumenten

Was nicht dokumentiert ist hat nicht stattgefunden.

Question 42

Kapitel 8

Answer 42

Betrieb
Umsetzung !!!

8. 1 Planen Duchführen und Kontrolle der ISMS Prozesse
9. 2. Durchführen regelmäßiger Risikoberwertzungen nach 6.1
10. 3 Ausführung de Risikobehandlungplanes

Question 43

Kapitel 9

Answer 43

Leistungsbewertung

9. 1. Messung und Überwachung des Erfüllungsgrades und der Wirksamkeit des ISMS
10. 2. Durchführung regelmäßiger unabhängiger interner audits zur Prüfung des ISMS
11. 3. Durchführung der Managementbewertungen

Question 44

Kapitel 10

Answer 44

Verbesserung

10. 1. Nichtknformität des ISMS korrigieren die Auswirkungen überprüfen und bei Bedarf Änderungen am ISMS vornehmen
       - Herkunft der Nicht Konformitäten klären
       - Ergebnis der Korrekturmassnahmen dokumentieren
11. 2. Kontinuierliche Verbesserug des ISMS

Question 45

Anhang A

Answer 45

Enthält 14 Abschnitte mit 114 Massnahmen /zielen

Code of Practice - branchenübergreifend best practice Ansatz
114 Controls Ratschläge zur Umsetzung

A5 - A18

Question 46

A5

Answer 46

Sicherheitsleitlinien

Regelmäßige Überprüfung der Richtlinien - 7.5. Dokumentation - maximal 1 Jahr

Einmal anfassen muss nicht geändert werden

Regelmäßiger Zyklus

Question 47

A6

Answer 47

Organisation der Informationssicherheit

Informationssicherheit im Projektmanagement

Kap 5

Question 48

A7

Answer 48

Personal und Sicherheit

Sicherstellen das Angestellte Auftragnehmer und Drittnutzer Ihre Verantwortlichkeiten verstehen und geeignet sind

Question 49

A8

Answer 49

Management der Werte

Assets identifizieren und schützen

Question 50

A9

Answer 50

Zugang Zugriff

Schutz vor unerlaubten Zugang/Zugriff zu Informationsverarbeitung Einrichtngen Systemen und Anwendungen

Question 51

A10

Answer 51

Kryptographische

Sicherstellung und korrekte und wirksame Anwendung von Kryptogrpahie

Question 52

A11

Answer 52

Physische und umweltbezogenen Sicherheit

Schutz vor unerlaubten Zutritt Beschädigung und Störung von ORG Infratsuktur und Information

Question 53

A13

Answer 53

Sicherheit der Kommunikation

Netzwerk Sicherheit
Zonen
FW Regelungen etc

Question 54

A14

Answer 54

Beschaffung Entwicklung und Instandhaltung von Systemen

Question 55

A15

Answer 55

Lieferantenbeziehungen

Question 56

A16

Answer 56

Management von Informtionssicherheitsvorfällen

Question 57

A17

Answer 57

Business Continuity Management

Question 58

A18

Answer 58

Richtlinienkonformität

Question 59

27005 Vorteile

Answer 59

Universal anwendbare

Erfüllt Anforfderungen an ein Risikomanagement nach ISO27001

4 Schritte - Rahmendedingungen Bewertung Behandlung Akzeptnz

Question 60

Risiko Management (Plan)

Rahmenbedingungen
Geltungsbereich

Answer 60

Geltungsbereich abstecken
Risikokriterien definieren
ORG des ISRM

Question 61

Risiko Bewertung

Answer 61

Beinhaltet

Identifikation

Abschätzung

Priorisieren

BIA —- Prozessverantwortlicher

T&VA — Risk owner

Question 62

Risikoakzeptanzgrenze

Answer 62

Abgrenzung zwischen zu behandelnden und nicht zu behandelnden Risiken

Question 63

Behandlungsoptionen

Answer 63

Risikoreduktion Mitigation
Übernahme/Beibehlatung
Vermeidung
Übertrag/Abwälzung

Question 64

Risikoakzeptanz

Answer 64

Nach Ausschöpfung aller Risikobehandlungsoptionen (ink Übernahme) die bewusste Akzeptanz der Restrisiken

Question 65

Massnahmenumsetzung

Answer 65

Die Massnahmen zur Risikoumsetzung müssen auch umgesetzt werden

Question 66

Risikoanalzyse Sprint

Answer 66

Verkürzte Version der Risiko Identfikation

Question 67

Bewertung der Geschäftsrisiken nach IsF

Answer 67

A Unternehmensgefährdend 
B Hoch 
C Erheblich 
D Störend 
E Vernachlässigbar 
...

Question 68

Massnahmenplan

Answer 68

Massnahme = BIA + TVA

Pro asset

• Ausmaß BIA
• Eintrittswkt TVA

Massnahmen priorisieren

Question 69

Information Risk Scorcard

Answer 69

Alternative Risikoanalyse zur Bestimmung von IS Risiken dar

Erfüllt Anforderungen der ISO27005 an eine Risikoanalyse

Question 70

Warum ist Awareness notwendig

Answer 70

Positive sicherheitskuktur
Wissen über Sicherheit
Human FW are a Must

Das schwächste Glied in der Kette bestimmt das Sicherheitsniveau

Question 71

Standort Bestimmung awareness

Answer 71

Wissen Kognition
Können Organiation
Wollen Handlungsabsicht

Question 72

Externe Faktoren Awareness

Answer 72

Staatlich gesellschaftliche Normen 
- Privatssphäre 
- Transparenz Verbindlichkeit 
- Kritis 
Integrativer Bestandteil der ISO27001 
Grundlage für die Anforderungen aus Gesetzen

Question 73

Rechtlich Anforderungen Awareness

Answer 73

AktG GmbH G Sorgfaltspflicht
Organisatorische Maßnahmen relativieren die unebschränkte Haftung der GF
Internes Kontrollsystem soll Geschäftsrisiken frühzeitig aufdecken
Schutz personenbezogener Daten

Question 74

Internationale Anforderungen Awareness

Answer 74

ISMS nach ISO27
…
…

Question 75

Sicherheitskultur und Awareness

Answer 75

Unternehmenskultur und Awareness zentrale Grundlage

Teil der Security Identity

Verhalten entsprechend der Sicheheitsregeln
Kooperation des Management (alle Level)

Question 76

Planungen Awareness

Answer 76

Ziele

Dauer der Massnahmen

Ressourcen

Question 77

Zielgruppen

Answer 77

IT Abteilung 
Informationssicherheit 
DS Beauftragter 
Personalabteilung 
Rechtsabteilung
Facility Management

Question 78

Aufbau eine Kampagne

Answer 78

Merksatz: Alarme (1), das weiss (2) jeder, verstärken (3) die öffentliche Wahrnehmung (4)

Aufmerksamkeit

Wissen und Einstellungen

Verstärkung

Öffentlichkeit

Question 79

Die Kampagne Handlungsprinzipien

Answer 79

Botschaften definieren, sensibilisieren und rüberbringen

Definiere Security awareness Botschaften
Sensiblere für Pronlem Botschaften rüberbringen

Question 80

Effektivität der Kampagne

Answer 80

Bewerte Effektivität

Überprüfe Program

Führe weitere Kampagnen durch

Question 81

Erfolgsfaktoren für die berufliche Weiterbildung

Answer 81

Unternehmenskultur

Stellenwert der Weiterbildung

Vermittlungstechniken

Verfügbare Resourncen

Question 82

Methoden und Tools

Answer 82

Bewährtes nutzen

Experimente

Direkter und persönlicher Kontakt

Question 83

Awareness Branding

Answer 83

Marke

Unternehmensweit kommuniziert

Gleichwertige Wirkung auf Zielgruppen

Question 84

BSI Grundschutz

Answer 84

Standard Absicherung

Kernabsicherung - Kronjuwelen besondere Bedeutung

Question 85

Standardabsicherung

Answer 85

7 insgesamt —>. (Merksatz) Globale (1) Strukturen (2) schützen (3) Modelle (4) , checken (5) das Risiko (6) und werden
umgesetzt (7)

Ähnlich ISO27K Vorgehen

1 Geltungsbereich (organisatorische Aspekte) —- „Globale“
2 Strukturanalyse (Ist Analyse) Asset Management —- „Strukturen“
3 Schutzbedarf (Gundlage primäre assets) —— „schützen“
4 Modellierung (Kompendium). Wählen anhand des Schutzbedarfs aus —- „Modelle“
5 IT Grundschutz Check - genügen wir den Anforderungen oder muss nachgebessert werden —- „checken“
6 Risikoanalyse und weiterführende Sicherheitsmaßnahmen (Risiko Management). BSI hat das schon vorgemacht für normalen Schutzbedarf —- „das Risiko“
7 Umsetzung und weitere Schritte — „und werden umgesetzt“

Question 86

Kernabsicherung

Answer 86

Geltungsbereich abgegrenzt und klein

Gleiche Schritte wir zur Standardabsicherung

Question 87

Standarabsicherung Geltungsbereich

Answer 87

Infoverbund IT Verbund

Ausgehend von Geschäftsprozessen

Question 88

Standardabsicherung Strukturanalyse

Answer 88

Assetmanagement

IT, OT, Comms & physical

GP & Infos

Erfassung IT Anwendungen mittles derer Infos verarbeitet werden
Erfassung IT Systeme ICS IOT Systeme
Erfassung Räume und Gebäude
Erfassung Komms Verb

Komplexitätreduktion durch Gruppenbildung

Question 89

Standardabsicherung Netzplanerhebung

Answer 89

IT Systeme
Netzverbindungen
Verbindungen des betrachteten Bereich

Kann nicht so im vorbeigehen erledigt werden

Question 90

Strukturanalyse Komplexitätsreduction durch Gruppenbildung

Answer 90

Von gleichen Typ
Gleich oder nahezu gleich konfiguriert
Gleich oder nahezu gleich in Netz eingebunden
Gleiche Administration und Infrastucture Rahmenbedungungen
Die gleichen Anwendungen bedienen

Ständige Aktualisierung notwendig

Question 91

Erfassung der IT Anwendungen

Answer 91

Höchster Bedard and CIA

Question 92

BSI Grundschutz

Schutzbedarfsfestellung

Answer 92

Für CIA jede erfasste IT Anwendung

Normal - begrenzt und überschaubar
Hoch - beträchtlich
Sehr hoch - Katastrophe