ICO & ITEMO Musterprüfungen

ICO ISMS 27001 fnd - de - sample set 1 - v2

Was ist Vertraulichkeit? (Mehrfachnennung möglich)

(168183)

Eigenschaft, dass eine Information wohlbekannt und kommuniziert ist.
(329101)

Eigenschaft, dass eine Entität das ist, was sie vorgibt zu sein.
(329100)

Eigenschaft, dass Informationen unbefugten Parteien nicht verfügbar gemacht oder offengelegt werden.
(329097)

Welche Eigenschaften von Informationen sollen im Rahmen der Informationssicherheit aufrechterhalten werden? (Mehrfachnennung möglich)

(168184)

Unverletzbarkeit
(329095)

Integrität
(329092)

Vertraulichkeit
(329091)

Bei welchen der folgenden Standards handelt es sich um allgemeine, nicht branchenspezifische Leitfäden aus der ISO/IEC 27000 Familie? (Mehrfachnennung möglich)

(168185)

ISO/IEC 27019
(329107)

ISO/IEC 27006
(329106)

ISO/IEC 27002
(329102)

Was trifft auf den Standard ISO/IEC 27001 zu? (Mehrfachnennung möglich)

(168186)

Die Norm legt die Anforderungen an Stellen fest, die ein Audit und eine Zertifizierung von Informationssicherheits-Managementsystemen anbieten.
(329113)

Er ist Teil einer größeren Standardfamilie
(329110)

Er formuliert die minimalen Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS)
(329108)

Was trifft auf den PDCA-Zyklus zu? (Mehrfachnennung möglich)

(168187)

PDCA beschreibt die Eigenschaften von Information, die im Rahmen der Informationssicherheit aufrechterhalten werden sollen.
(329118)

Die Struktur der ISO/IEC 27001 ist, zumindest in Teilen, an dem PDCA-Ansatz ausgerichtet.
(329116)

P steht für "Plan", D für "Do", C für "Check" und A für "Act".
(329114)

Was trifft auf Prozesse im Kontext der ISO/IEC 27000 Standardfamilie zu? (Mehrfachnennung möglich)

(168188)

ISO/IEC 27002 definiert 14 Informationssicherheitsprozesse, um das Erreichen der Maßnahmenziele des Anhangs A der Norm ISO/IEC 27001 sicherzustellen
(329125)

Prozesse stellen einen Teil bzw. Teile eines Managementsystems dar
(329121)

ISO/IEC 27000 definiert einen Prozess als einen Satz zusammenhängender und sich gegenseitig beeinflussender Tätigkeiten, der Eingaben in Ergebnisse umwandelt
(329120)

Was trifft im Kontext des Standards ISO/IEC 27000 auf Maßnahmen (Controls) zu? (Mehrfachnennung möglich)

(168189)

Im Anhang A der Norm ISO/IEC 27001 sind immer ein oder mehrere Maßnahmenziele (Control Objectives) einer Maßnahme (Control) zugeordnet.
(329131)

ISO/IEC 27002 behandelt die gleichen Maßnahmen (Controls), die auch im Anhang A der Norm ISO/IEC 27001 definiert sind
(329127)

Maßnahmen (Controls) sind in Anhang A der Norm ISO/IEC 27001 definiert.
(329126)

ISO/IEC 27001 definiert Maßnahmen (Controls) und Maßnahmenziele (Control Objectives) zu/zur ... (Mehrfachnennung möglich)

(168190)

physischen und umgebungsbezogenen Sicherheit (Physical and environmental security)
(329134)

Verwaltung der Werte (Asset management) einer Organisation
(329133)

Personalsicherheit (Human resource security)
(329132)

Welche der folgenden Rahmenwerke, Standards oder Standardfamilien befassen sich schwerpunktmäßig mit IT- oder Informationssicherheit (oder werden als Standard für IT- oder Informationssicherheit bezeichnet)? (Mehrfachnennung möglich)

(168191)

FitSM
(329141)

TISAX (Trusted Information Security Assessment Exchange)
(329139)

ISO/IEC 27000
(329138)

Was sind Schritte, die im Rahmen des Prozesses zur Beurteilung von Informationssicherheitsrisiken festgelegt und angewendet (durchgeführt) werden müssen? (Mehrfachnennung möglich)

(168193)

Informationssicherheitsrisiken behandeln
(329154)

Informationssicherheitsrisiken umgehen
(329153)

Informationssicherheitsrisiken identifizieren
(329150)

Wobei handelt es sich um Kriterien, die gemäß ISO/IEC 27001 im Rahmen des Prozesses zur Beurteilung von Informationssicherheitsrisiken festgelegt und angewendet werden müssen? (Mehrfachnennung möglich)

(168194)

Kriterien für die Risikodokumentation
(329159)

Kriterien zur Maßnahmenbewertung
(329158)

Kriterien zur Risikoakzeptanz
(329156)

Welche der folgenden Aussagen zum Anhang A aus ISO/IEC 27001 sind insbesondere vor dem Hintergrund der Behandlung von Informationssicherheitsrisiken korrekt? (Mehrfachnennung möglich)

(168195)

Anhang A enthält eine Übersicht der wesentlichen Bedrohungen auf die Informationssicherheit, die im Rahmen der Beurteilung von Informationssicherheitsrisiken berücksichtigt werden müssen
(329165)

Anhang A enthält eine Erklärung zum Geltungsbereich, die von allen Organisationen, die Konformität mit ISO/IEC 27001 beanspruchen, übernommen werden muss.
(329164)

Anhang A enthält eine umfassende Liste von Maßnahmenzielen und Maßnahmen.
(329161)

Was muss eine Organisation gemäß ISO/IEC 27001 im Rahmen ihres Prozesses zur Behandlung von Informationssicherheitsrisiken tun? (Mehrfachnennung möglich)

(168196)

Die Informationssicherheitsrisiken bewerten
(329170)

Einen Plan für die Behandlung von Informationssicherheitsrisiken formulieren
(329168)

Maßnahmen, die zur Umsetzung der gewählte(n) Option(en) für die Behandlung von Informationssicherheitsrisiken erforderlich sind, festlegen
(329167)

Worüber müssen sich Personen bewusst sein, die Tätigkeiten für eine Organisation ausüben, die Konformität mit ISO/IEC 27001 beansprucht? (Mehrfachnennung möglich)

(168197)

Über alle Maßnahmen zur Behandlung von Informationssicherheitsrisiken gemäß Risikobehandlungsplan
(329177)

Über Folgen einer Nichterfüllung der Anforderungen des ISMS
(329174)

Über ihren Beitrag zur Wirksamkeit des ISMS
(329173)

Worüber sollen interne Audits Informationen liefern? (Mehrfachnennung möglich)

(168198)

Darüber, welche Informationssicherheitsvorfälle vermeidbar gewesen wären
(329183)

Darüber, ob das ISMS wirksam umgesetzt und aufrechterhalten wird
(329181)

Darüber, ob das ISMS die Anforderungen der Organisation erfüllt
(329179)

Welche der folgenden Aussagen zu internen Audits und Managementbewertungen sind korrekt? (Mehrfachnennung möglich)

(168199)

Interne Audits werden durch die oberste Leitung (Top-Management) durchgeführt
(329188)

Managementbewertungen müssen in geplanten Abständen durchgeführt werden
(329187)

Eine Managementbewertung wird durch die oberste Leitung (Top-Management) durchgeführt
(329185)

Welche der folgenden Aussagen im Zusammenhang mit Vertraulichkeit und Integrität von Informationen sind korrekt? (Mehrfachnennung möglich)

(168204)

Ein angemessenes Niveau an Vertraulichkeit und Integrität lässt sich nur durch den Einsatz von Verschlüsselung und durch digitale Signaturen erreichen.
(329219)

Informationen, deren Vertraulichkeit nicht gegeben ist, können auch nicht in ihrer Integrität geschützt werden.
(329218)

Vertraulichkeit bedeutet Schutz vor Offenlegung von Informationen gegenüber unbefugten Personen.
(329215)

Welche der folgenden Aussagen zu Maßnahmen (Controls) sind korrekt? (Mehrfachnennung möglich)

(168205)

Alle Maßnahmen, die die Norm ISO/IEC 27001 im Anhang A formuliert, sind rein organisatorischer Natur.
(329225)

Alle Maßnahmen, die die Norm ISO/IEC 27001 im Anhang A formuliert, sind rein technischer Natur.
(329224)

Maßnahmen können Prozesse und Richtlinien umfassen
(329221)

Ein Audit ist ein Prozess, mit dem bestimmt werden soll, inwieweit Auditkriterien erfüllt sind. Welche der folgenden Eigenschaften muss dieser Prozess gemäß ISO/IEC 27000 unter anderem aufweisen? (Mehrfachnennung möglich)

(168206)

Er muss durch eine externe Partei gesteuert werden
(329230)

Er muss dokumentiert sein
(329229)

Er muss systematisch sein
(329227)

Welche der folgenden Schritte muss eine Organisation zur Einführung, Pflege und/oder Verbesserung eines ISMS unter anderem durchführen? (Mehrfachnennung möglich)

(168210)

Melden von schwerwiegenden Sicherheitsvorfällen an das BSI (Bundesamt für Sicherheit in der Informationstechnik) oder an andere Aufsichtsbehörden
(329255)

Offenlegung des Risikobehandlungsplans gegenüber allen interessierten Parteien
(329254)

Identifikation von Informationswerten und der mit ihnen verbundenen Informationssicherheitsanforderungen (Schutzbedarf)
(329251)

Zu welchen Themen definiert ISO/IEC 27001 (Anhang A) Maßnahmenziele und Maßnahmen im Zusammenhang mit dem Abschnitt "Betriebssicherheit" (A.12)? (Mehrfachnennung möglich)

(168212)

Informationsklassifizierung
(329268)

Protokollierung und Überwachung
(329265)

Schutz vor Schadsoftware
(329263)

Welche Aktivitäten sind für eine Organisation hinsichtlich des Kapitels "Kontext der Organisation" in der Norm ISO/IEC 27001 vorgeschrieben? (Mehrfachnennung möglich)

(168213)

Festlegen der organisatorischen Verantwortichkeiten für Lieferanten in Zusammenarbeit mit der zuständigen Stabsstelle.
(329275)

Bestimmen der Anforderungen von interessierten Parteien in Bezug auf die Informationssicherheit.
(329271)

Bestimmen der interessierten Parteien, die für das Informationssicherheitsmanagementsystem relevant sind.
(329270)

Was muss eine Organisation gemäß ISO/IEC 27001, Abschnitt "Unterstützung" (7), tun, um das ISMS effektiv etablieren und betreiben zu können? (Mehrfachnennung möglich)

(168214)

Sicherstellen, dass der Security Officer Informationssicherheitsleitlinie veröffentlicht und freigegeben hat
(329279)

Sicherstellen, dass relevante Personen über ein angemessenes Bewusstsein für ihren Beitrag zur Effektivität des ISMS verfügen
(329278)

Erforderliche Dokumentation festlegen und pflegen
(329277)

Welche der folgenden Aktivitäten fordert ISO/IEC 27001 in der Phase des Betriebs (Operation) eines ISMS im Zusammenhang mit dem Risikomanagement? (Mehrfachnennung möglich)

(168215)

Nach jeder neuen Risikobeurteilung muss eine Managementbewertung (Management-Review) des ISMS eingeplant werden.
(329286)

Im Falle erheblicher Veränderungen muss eine Risikobeurteilung vorgenommen werden.
(329283)

In regelmäßigen Abständen muss eine Risikobeurteilung vorgenommen werden.
(329282)

Was ist in der Phase "Verbesserung" nach ISO/IEC 27001 fortlaufend zu optimieren? (Mehrfachnennung möglich)

(168216)

Gesetzmäßigkeit des ISMS
(329293)

Genauigkeit des ISMS
(329291)

Wirksamkeit des ISMS
(329290)

Wobei handelt es sich gemäß ISO/IEC 27001, Abschnitt "Führung" (5), um Aufgaben des Top-Managements, um Verantwortung und Engagement für die Informationssicherheit und das ISMS zu demonstrieren? (Mehrfachnennung möglich)

(168217)

Regelmäßige Teilnahme an den Sitzungen des organisationsinternen Computer Emergency Response Teams (CERT).
(329299)

Bereitstellen der für das ISMS erforderlichen Ressourcen
(329295)

Gewährleistung, dass die Informationssicherheitspolitik und die Informationssicherheitsziele festgelegt und mit der strategischen Ausrichtung der Organisation vereinbar sind.
(329294)

In welchen der folgenden Fälle liegt eine Verletzung der Integrität vor? (Mehrfachnennung möglich)

(168218)

Ein Dokument ist unverschlüsselt.
(329305)

Auf ein Dokument wurde unberechtigterweise zugegriffen.
(329303)

Einem Dokument wurden unberechtigterweise weitere Informationen hinzugefügt.
(329301)

Wodurch zeichnet sich ein führungsstarkes Top-Management im Zusammenhang mit einem ISMS aus? (Mehrfachnennung möglich)

(168220)

Beurteilung aller Informationssicherheitsrisiken
(329316)

Durchführung von Auditgesprächen mit allen Mitarbeitern
(329315)

Klares Bekenntnis zu Informationssicherheitszielen
(329312)

Zu welchen Themen definiert ISO/IEC 27001 im Anhang A Maßnahmenziele und Maßnahmen? (Mehrfachnennung möglich)

(168222)

Energieeffizienz
(329329)

Compliance
(329326)

Organisation der Informationssicherheit
(329325)

Welche der folgenden Aussagen zum Anhang A der Norm ISO/IEC 27001 sind korrekt? (Mehrfachnennung möglich)

(168223)

Der Anhang A enthält Bedrohungs- und Gefährdungskataloge.
(329335)

Der Anhang A ist normativ, und sofern Ausschlüsse vorgenommen werden, müssen diese begründet werden.
(329333)

Im Anhang A sind Maßnahmenziele (Control Objectives) definiert.
(329331)

ICO ITSec fnd - de - sample set 1 - v1

Welche der folgenden Aussagen zum Thema "Cracker" sind richtig? (Mehrfachnennung möglich)

(168153)

Ein Cracker überprüft die Sicherheit von Programmen, Systemen und/oder Services im Bereich der IT.
(330176)

Der Begriff "Cracker" ist nicht eindeutig. Vor allem in der Presse werden Hacker und Cracker als Synonyme verwendet.
(330172)

Ein Cracker ist eine Person, die es mit dem Gesetz nicht so genau nimmt und bei ihrem Angriff bewusst oder absichtlich die Beschädigung von Informationen hinnimmt.
(329001)

Was sind grundlegende Voraussetzungen für die Sicherheit des Einmalschlüssel-Verfahrens
(One-Time-Pad)? (Mehrfachnennung möglich)

(168154)

Auch eine sichere Aufbewahrung des Schlüssels ist nicht essentiell.
(330181)

Der Einmalschlüssel muss für alle Zeiten geheim bleiben.
(329005)

Der Einmalschlüssel muss so lang sein wie die Nachricht.
(329004)

Die Verschlüsselung mit Rot13 (rotate by 13 places) ist ein bekanntes Verschlüsselungsverfahren. Welche Aussagen sind wahr? (Mehrfachnennung möglich)

(168155)

Es ist ein symmetrisches Verschlüsselungsverfahren, das auf der monographischen und monoalphabetischen Substitution basiert.
(329009)

Die Technik dient zum Verschleiern von Text z.B. bei Information, da der Leser aktiv etwas tun muss und nicht "zufällig" den Text lesen kann.
(329008)

Die Technik gilt als sicher, wenn der Schlüssel größer als 512 bit (2512 = 1,3407807929942597099574024998206e+154 ) ist.
(329007)

Bringen Sie diese Tätigkeiten einer forensischen Untersuchung in die richtige Reihenfolge. (Mehrfachnennung möglich)

(168156)

Datensicherung - Identifizierung - Analyse - Aufbereitung und Präsentation
(329012)

Datensicherung - Analyse - Identifizierung - Aufbereitung und Präsentation
(329011)

Identifizierung - Datensicherung - Analyse - Aufbereitung und Präsentation
(329010)

Welche Aussagen sind bezüglich der Tätigkeit "Identifizierung" bei einer forensischen Untersuchung wahr? (Mehrfachnennung möglich)

(168157)

Neben der Bestandsaufnahme des eigentlichen Sicherheitsvorfalles werden auch bei dieser Phase erste Vermutungen angestellt.
(330192)

Die Aktivität "Identifizierung" ist der erste Schritt einer forensischen Untersuchung.
(330190)

Der Tätigkeitsschwerpunkt liegt in der möglichst genauen Dokumentation der vorgefundenen Situation.
(329014)

Welche Aussagen sind bezüglich der Tätigkeit "Aufbereitung und Präsentation" bei einer forensischen Untersuchung wahr? (Mehrfachnennung möglich)

(168158)

In diesem Schritt wird als zweite Teilaktivität das Vorgehen in Form einer Präsentation vorgestellt.
(330187)

In dieser Phase wird die vorgefundene Situation anhand der gesicherten Informationen durch interne und externe Experten untersucht.
(329018)

In diesem Schritt werden als erster Teilschritt die Erkenntnisse einer Untersuchung in Form eines Berichtes dokumentiert.
(329017)

Welche Antworten sind bezüglich Sniffer wahr? (Mehrfachnennung möglich)

(168159)

Ein Sniffer ermöglicht das Mitlesen des Datenverkehrs.
(330196)

Ein Sniffer ist ein Tool der Netzwerkanalyse.
(330194)

Es ist von der Netzwerkstruktur abhängig, welche Daten ein Sniffer sehen kann.
(329020)

Welche Maßnahmen können getroffen werden, um das Risiko des versehentlichen Herunterladens (Drive-by-Download) von Schadsoftware zu verringern? (Mehrfachnennung möglich)

(168160)

Bei der Verwendung von HTTPS-Verbindungen sinkt das Risiko einer Infektion deutlich.
(330199)

Eine täglich aktualisierte Anti-Virus-Software minimiert das Risiko.
(330198)

Einführen von Domain Name System Security Extensions (DNSSEC), um die Integrität der heruntergeladenen Daten zu erhöhen.
(329024)

Welche Aussagen bezüglich ARP (Address Resolution Protocol) sind richtig? (Mehrfachnennung möglich)

(168161)

Sollte ein ARP Request lokal nicht erfolgreich sein, so wird die Anfrage an benachbarte Netzwerksegmente weitergeleitet. ARP Relay.
(330205)

Die MAC-Adressen jeder Schnittstelle sind theoretisch weltweit eindeutig.
(330201)

ARP wird in Ethernet-Netzen (IPv6) zur Ermittlung von MAC-Adressen bei gegebenen IP-Adressen verwendet.
(329026)

Welche der folgenden Ziele hat ein Penetrationstest? (Mehrfachnennung möglich)

(168162)

Die Identifikation von Schwachstellen.
(330216)

Aufdecken von organisatorischen Mängeln bei der Untersuchung von Sicherheitsvorfällen.
(330214)

Bestätigung der Sicherheit durch eine unabhängige Person.
(329029)

Welche der folgenden Kriterien sind im Klassifikationsschema für Penetrationstests nach BSI vorhanden? (Mehrfachnennung möglich)

(168163)

Zuverlässigkeit
(329033)

Verbreitungskoeffizienz
(330224)

Umfang
(330220)

Welche der folgenden Aussagen zum Begriff "Google Hacking" sind wahr? (Mehrfachnennung möglich)

(168164)

site: ist ein Befehl, der verwendet werden kann, wenn man gezielt eine Information auf einer speziellen Seite sucht.
(330232)

Google Hacking ist eine Software von Google für Penetrationstests.
(330229)

Mit Hilfe des Parameters "intitle" kann man in URLs nach einer bestimmten Zeichenfolge suchen.
(329036)

Welche der folgenden Aussagen zum Thema OS-Fingerprinting sind wahr? (Mehrfachnennung möglich)

(168165)

Man unterscheidet implizites und explizites OS-Fingerprinting.
(330241)

Unter OS-Fingerprinting versteht man das Ermitteln des Betriebssystems über ein Netz unter Beobachtung von diversen Reaktionsarten.
(330239)

Um sich gegen OS-Fingerprinting zu schützen, kann man z.B. die sog. Banner der Service, wie z.B. FTP verfälschen.
(330237)

Welche der folgenden Antworten zum Thema Session Hijacking sind wahr? (Mehrfachnennung möglich)

(168166)

Session Hijacking findet nur auf der zweiten Ebene - die Sicherungsschicht Data Link Layer - des OSI-Schichtenmodells statt.
(330243)

Session Hijacking kann auch durchgeführt werden, wenn man sich nicht im selben Netzwerksegment wie einer der beiden Kommunikationspartner befindet.
(329041)

Bei Session Hijacking ist das Ziel des Angreifers, sich bei Verbindungsaufbau zwischen den beiden Kommunikationspartnern zu platzieren.
(329040)

Welche der folgenden Antworten bezüglich DNS-Spoofing bzw. Cache Poisoning sind wahr? (Mehrfachnennung möglich)

(168167)

Unter DNS-Spoofing bzw. Cache Poisoning versteht man das Blockieren aller DNS-Server einer Infrastruktur, so, dass nicht mehr im Internet gesurft werden kann.
(329045)

Das Ziel von DNS-Spoofing bzw. Cache Poisoning ist es, den Datenverkehr unbemerkt zu einem anderen Computer zu lenken.
(329044)

DNS-Spoofing ist ein Angriff auf das Domain Name System.
(329043)

Welche der folgenden Antworten in Bezug auf ARP-Spoofing und dem Adress-Resolution-Protocol (ARP) sind wahr? (Mehrfachnennung möglich)

(168168)

ARP-Spoofing kann erkannt werden, wenn auf höheren Protokollebenen, z.B. bei SSH Verbindungen, der Kommunikationspartner erneut überprüft wird.
(330208)

Das ARP-Protocol dient der Zuordnung von IP-Adressen auf MAC-Adressen.
(329047)

Das Ziel von ARP-Spoofing ist es, durch Manipulation der TCP-Adresse, Datenkommunikation abzuhören.
(329046)

Welche Aussagen bezüglich IP-Spoofing bzw. dem Internet-Protocol sind wahr? (Mehrfachnennung möglich)

(168169)

IPv4 benutzt 32-Bit-Adressen.
(330252)

Das Internet-Protocol ist in der ersten Schicht (Netzzugang) der Internetprotokollfamilie zugeordnet.
(330250)

Bei IP-Spoofing wird dafür gesorgt, dass der DHCP-Server falsche IP-Adressen ausgibt.
(329051)

Welche Aussage ist bezüglich eines Angriffs durch Manipulation der URL-Parameter wahr? (Mehrfachnennung möglich)

(168170)

Nur ältere Webserver verarbeiten manipulierte URL-Parameter falsch. Neuere Versionen der gängigen Webserver sind durch ihre Default-Konfiguration geschützt.
(330256)

Verantwortlich für die Anfälligkeit ist die Applikation bzw. die Verarbeitung der Parameter in derselben und nicht die Konfiguration des Webservers.
(329054)

Die Manipulation von URL-Parametern ist nur zusammen mit einer http-Fake-Attacke sinnvoll.
(329053)

Welche Aussagen bezüglich des Angriffes Directory Traversal sind wahr? (Mehrfachnennung möglich)

(168171)

Ein Penetrationstest ist eine Möglichkeit, um Directory Traversal zu entdecken.
(330259)

Unter Directory Traversal versteht man einen Angriff, bei dem einem Webserver ein falsches Betriebssystem vorgetäuscht wird.
(329056)

Bei einem Directory Traversal Angriff versucht der Angreifer, auf Verzeichnisse oder Dateien außerhalb der Webserver-Root zuzugreifen.
(329055)

Welche Aussagen sind bezüglich Cross-Site-Scripting wahr? (Mehrfachnennung möglich)

(168172)

Nur Applikationen, die in Java Script geschrieben sind, sind von Cross-Site-Scripting betroffen.
(330262)

Unter Cross-Site-Scripting versteht man das Ausnutzen einer Sicherheitslücke im Zusammenhang mit einer Datenbank, die durch den Mangel der Maskierung oder Überprüfung von Metazeichen, bei einer Benutzereingabe entstehen.
(330261)

Bei einem Cross-Site-Scripting Angriff kann der Angreifer dem Benutzer eine andere, als die aufgerufene Webseite unterschieben.
(329058)

Welche der folgenden Aussagen sind bezüglich SQL-Injection wahr? (Mehrfachnennung möglich)

(168173)

SQL-Injections sind dann möglich, wenn Daten wie beispielsweise Benutzereingaben ungeprüft in den SQL-Interpreter gelangen.
(330267)

Das Ziel von SQL-Injection ist das Ausspionieren von Informationen oder das Zerstören von Daten.
(329062)

SQL-Injection ist meist dann möglich, wenn durch mangelnde Maskierung bzw. Überprüfung von Benutzer-Eingaben SQL-Befehle ausgeführt werden.
(329061)

Welche der folgenden Aussagen bezüglich Drive-by-Download sind wahr? (Mehrfachnennung möglich)

(168174)

Unter Drive-by-Download versteht man das unbewusste und unabsichtliche Herunterladen von Schadsoftware auf einem Rechner.
(330271)

Beim Drive-by-Download werden auch Sicherheitslücken des Browsers ausgenutzt.
(330270)

Unter Drive-by-Download versteht man ausschließlich das bewusste Herunterladen von Schadsoftware auf einem Rechner.
(329064)

Welche der folgenden Aussagen zum Man-in-the-Middle-Angriff (MITM) sind wahr? (Mehrfachnennung möglich)

(168175)

Ein Man-in-the-Middle-Angriff ist immer damit verbunden, dass ein falscher DHCP-Server vorgespielt werden muss. Dieser falsche DHCP-Server gibt an einen falschen DNS-an Server bzw. Gateway aus, der vom Angreifer kontrolliert wird.
(330276)

Bei einem Man-in-the-Middle Angriff können Daten mitgelesen werden, jedoch ist keine Datenmanipulation möglich.
(329068)

Bei einem Man-in-the-Middle-Angriff versucht der Angreifer, sich physisch oder logisch zwischen zwei Kommunikationspartner zu schieben.
(329067)

Welche der folgenden Aussagen sind zum Thema asymmetrische Verschlüsselungen korrekt? (Mehrfachnennung möglich)

(168176)

RSA (Rivest, Shamir und Adleman) ist ein asymmetrisches kryptographisches Verfahren, das sowohl zum Verschlüsseln, als auch zum digitalen Signieren verwendet werden kann.
(330284)

„Asymmetrisches Kryptosystem“ ist ein Oberbegriff für Public-Key-Verschlüsselungsverfahren, Public-Key-Authentifizierung und digitale Signaturen.
(330283)

AES (Advanced Encryption Standard) ist ein Beispiel für einen asymmetrischen Verschlüsselungsstandard.
(329070)

Welche der folgenden Aussagen bezüglich Hash-Funktionen sind wahr? (Mehrfachnennung möglich)

(168177)

Die kryptologische Hashfunktion ist eine spezielle Form der Hashfunktion, welche kollisionsresistent oder eine Einwegfunktion (oder beides) ist.
(330286)

Eine Hash-Funktion ist eine zwischen zwei Parteien vereinbarte Zeichenfolge, die zur Authentifizierung benutzt wird.
(330285)

Bei einer Hash-Funktion sollte man immer vom Hash-Wert auf die ursprüngliche Zeichenfolge schließen können.
(329073)

Welche der folgenden Aussagen bezüglich eines Wörterbuch-Angriffs auf Passwort-Hashes sind korrekt? (Mehrfachnennung möglich)

(168178)

Wörterbuch-Angriffe werden erschwert, wenn der "Verteidiger" vor der Anwendung der Hash-Funktion eine zufällige Zeichenfolge (Salt) hinzufügt.
(330291)

Der Wörterbuch-Angriff ist eine Methode der Kryptographie, ein bekanntes Passwort mit Hilfe eines Wörterbuchs auf seine Sicherheit hin zu überprüfen.
(329078)

Wörterbuch-Angriffe werden erleichtert, wenn der „Verteidiger“ vor der Anwendung der Hash-Funktion eine zufällige Zeichenfolge (Salt) hinzufügt.
(329076)

Welche Aussagen bezüglich der Brute-Force-Methode auf Passwort-Hashes sind wahr? (Mehrfachnennung möglich)

(168179)

Sollte ein 8-stelliges Passwort nur aus Zahlen bestehen, so ist die Brute-Force-Methode durchschnittlich schneller erfolgreich, als bei einem gleichlangen Passwort, das aus alphanumerischen Zeichen besteht.
(330292)

Sollte ein 12-stelliges Passwort nur aus alphanumerischen Zeichen bestehen, so ist die Brute-Force-Methode durchschnittlich schneller erfolgreich, als bei einem gleichlangen Passwort, das nur aus Klein- und Großbuchstaben besteht.
(329081)

Bei der Brute-Force-Methode ist die Rechenleistung kein entscheidendes Kriterium, wie schnell ein Passwort geknackt werden kann.
(329080)

Welche Aussagen bezüglich IT-Forensik sind wahr? (Mehrfachnennung möglich)

(168180)

Die IT-Forensik dient der Aufklärung von Sicherheitsvorfällen.
(330296)

Bei einer forensischen Analyse ist es prinzipiell wichtig, nach Spuren zu suchen, die die These, wie ein Angriff stattgefunden haben könnte, untermauern oder widerlegen.
(329085)

Die IT-Forensik ist eine Datenanalyse, bei der es nicht auf ein methodisches Vorgehen ankommt, da nur die Ergebnisse in einem Bericht dokumentiert werden.
(329082)

Welche Anforderungen an eine forensische Untersuchung sind wahr? (Mehrfachnennung möglich)

(168182)

Bei der Anfertigung einer forensischen Duplikation müssen Lesefehler eindeutig erkannt, protokolliert und durch ein vorher festgelegtes Füllmuster ersetzt werden.
(330301)

Mit demselben Ausgangsmaterial müssen Dritte bei gleicher Methodik und den gleichen Hilfsmitteln zu identischen Ergebnissen kommen.
(329089)

Es sind ausschließlich Methoden erlaubt, die von der Fachwelt beschrieben und allgemein akzeptiert sind.
(329088)

Welche der folgenden Tätigkeiten gelten als aktives Footprinting? (Mehrfachnennung möglich)

(168318)

Besuch auf der Webseite
(330309)

WHOIS-Abfrage
(330304)

OS-Fingerprinting
(330303)

ICO ITSec prof PT - de - sample set 1 - v1

Laut der Passwortrichtlinie müssen für die Wahl des Passworts Klein- und Großbuchstaben aus dem englischen Alphabet (a-z entspricht 26 Zeichen) sowie Ziffern verwendet werden. Alle anderen Zeichen sind nicht erlaubt. Welche Aussagen sind richtig? (Mehrfachnennung möglich)

(168242)

Die Länge des Passwortes ist wichtiger als die Größe des Zeichensatzes.
(329912)

Die Erhöhung der Passwortlänge um 1 Zeichen erhöht die Komplexität um den Faktor 26.
(329508)

Der Zeichensatz besteht aus 62 Elementen.
(329506)

Ein Passwort mit einer Länge von genau 12 Zeichen hat eine Komplexität von 12^62.
(329504)

Welche grundsätzlichen Phasen hat ein Penetration Test? (Mehrfachnennung möglich)

(168243)

Pflege von Kontakten zu Behörden
(329517)

Definition von Messzahlen (KPI) zu Information Security Incidents
(329516)

Abschlussanalyse
(329514)

Informationsbeschaffung
(329512)

Was gehöhrt zu einer vollständigen Dokumentation eines Penetrationstests? (Mehrfachnennung möglich)

(168244)

Dokumentation aller Sicherheitsvorfälle vor dem Penetration Test
(329525)

Abschlussbericht
(329522)

Dokumentation der durchgeführten aktiven Angriffe (inkl. Logfiles der eingesetzten Tools)
(329521)

Dokumentation der abgearbeiteten Prüfungsschritte zur Informationsbeschaffung
(329520)

Welche Aktivitäten müssen laut der allgemeinen Methodik beim Threat Modeling durchgeführt werden? (Mehrfachnennung möglich)

(168245)

Aufklärendes Gespräch mit dem CEO des Unternehmens
(329534)

Identifizierung von Messzahlen zu Information Security Incidents
(329533)

Dokumentation der durchgeführten aktiven Angriffe (inkl. Logfiles der eingesetzten Tools)
(329531)

Entwicklung eines Security Threat Response Plans
(329528)

Welche Aussagen sind bezüglich Thread Modeling wahr? (Mehrfachnennung möglich)

(168246)

Neben einem Threat Model wird beim Threat Modeling typischerweise auch eine priorisierte Liste von potenziellen künftigen Sicherheitsvorfällen erzeugt.
(329541)

Threat Modeling ist ein Prozess zur Erfassung, Organisation und Analyse aller eingesetzten Tools im Unternehmen.
(329540)

Threat Modeling ermöglicht eine fundierte Entscheidungsfindung über das Sicherheitsrisiko.
(329537)

Threat Modeling ist ein Prozess zur Erfassung, Organisation und Analyse aller Informationen, die sich auf die Sicherheit eines Systems auswirken.
(329536)

Welche grundsätzlichen persönlichen Voraussetzungen sollte ein Penetration Tester mitbringen? (Mehrfachnennung möglich)

(168247)

Ein Penetration Tester muss beim BSI (Bundesamt für Sicherheit in der Informationstechnologie) registriert sein.
(329550)

Hin und wieder muss der Penetration Tester "um die Ecke" denken und sollte daher kreativ sein.
(329545)

Da Penetration Tests als Projekte verwaltet werden sollten, muss der Penetration Tester Projektmanagement Skills mitbringen.
(329544)

Ein Penetration Tester sollte Kenntnisse u.a. in Systemadministration, Betriebssysteme, Netzwerkprotokolle und Programmiersprachen besitzen.
(329543)

Welche der folgenden Antworten beschreiben Methoden für den aktiven Angriff? (Mehrfachnennung möglich)

(168248)

Computerbasiertes Social-Engineering
(329554)

Test der Zutrittskontrollen
(329553)

Test von Vertrauensbeziehungen zwischen Systemen
(329552)

Brute Force Attacke
(329551)

Welche der folgenden Antworten beschreiben Methoden für die Informationsbeschaffung? (Mehrfachnennung möglich)

(168249)

Verdeckte und offensichtliche Angriffe auf tatsächliche Schwachstellen
(329566)

Test der administrativen Zugänge zur Telefonanlage
(329565)

Test der Zutrittskontrollen
(329563)

Verdeckte und offensichtliche Identifikation der Firewallsysteme
(329560)

Welche der folgenden Aussagen sind bezüglich Brute-Force wahr? (Mehrfachnennung möglich)

(168250)

Die Entzifferungsdauer ist abhängig von den möglichen Kombinationen und der Leistung des verwendeten Rechners.
(329570)

Die Anzahl der möglichen Kombinationen ist abhängig von dem verwendeten Zeichensatz.
(329569)

Die Anzahl der möglichen Kombinationen ist abhängig von der Passwortlänge.
(329568)

Die Brute-Force-Methode ist eine Lösungsmethode für Probleme aus den Bereichen Informatik, Kryptologie und Spieltheorie, die auf dem Ausprobieren aller möglichen Fälle beruht.
(329567)

Welche der folgenden Systeme beschreiben symmetrische Kryptosysteme? (Mehrfachnennung möglich)

(168251)

Diffie Hellman
(329580)

Caesar-Verschlüsselung
(329578)

One-Time-Pad
(329577)

AES - Advanced Encryption Standard
(329575)

Welche Aussagen sind bezüglich eines TCP Handshakes wahr? (Mehrfachnennung möglich)

(168252)

Nach dem Drei-Wege-Handschlag ist die Verbindung für beide Kommunikationspartner gleichberechtigt. Man kann einer bestehenden Verbindung auf TCP-Ebene nicht ansehen, wer der Server und wer der Client ist.
(329916)

Der Destination Port muss beim Drei-Wege-Handschlag immer kleiner 1024 sein.
(329915)

Sequenznummern werden bei TCP verwendet, um eine vollständige Übertragung in der richtigen Reihenfolge und ohne Duplikate (also einen Datenstrom) zu realisieren.
(329584)

Er läuft wie folgt ab:
1. SYN seq= x ack = 0 (Client)
2. SYN ACK seq= y ack = x +1 (Server)
3. ACK seq= x +1 ack = y +1 (Client)
(329583)

Welche Aussagen sind bezüglich "OS-Fingerprinting" und "Banner Grabbing" wahr? (Mehrfachnennung möglich)

(168253)

OS-Fingerprinting kann sowohl eine aktive, als auch eine passive Informationsbeschaffungsmethode darstellen.
(329594)

Die 67-Bit-Signatur kann Aufschluss darüber geben, welches Betriebssystem auf einem Host läuft.
(329593)

UDPrint ist ein Tool, um OS Fingerprinting via UDP durchzuführen.
(329598)

Nmap ist ein Tool, um OS Fingerprinting durchzuführen.
(329591)

Welche Aussagen sind bezüglich "Session Hijacking" wahr? (Mehrfachnennung möglich)

(168254)

UDP Sitzungen können nicht entführt werden.
(329602)

TCP Sitzungen können entführt werden.
(329601)

Ziel des Angreifers ist es, durch die „Entführung“ dieser Sitzung die Vertrauensstellung auszunutzen, um dieselben Privilegien wie der rechtmäßig authentifizierte Benutzer zu erlangen.
(329600)

Session Hijacking ist ein Angriff auf eine verbindungsbehaftete Datenkommunikation zwischen zwei Computern.
(329599)

Welche Felder hat ein UDP Header? (Mehrfachnennung möglich)

(168255)

UDP Flag
(329614)

FIN Flag
(329613)

ACK Flag
(329612)

Länge
(329608)

Welche Felder hat ein TCP Header? (Mehrfachnennung möglich)

(168256)

Session ID
(329621)

OS Version
(329622)

Sequenznummern
(329616)

Acknowledgement Nummer
(329617)

Welche Aussagen sind bezüglich dem TLS Protokoll (Transport Layer Security) wahr? (Mehrfachnennung möglich)

(168257)

Wenn der Client sich mit einem eigenen Zertifikat auch gegenüber dem Server authentifiziert, gilt TLS als sicher.
(329918)

Im OSI-Modell ist TLS in der Sicherungsschicht (Data Link Layer) angeordnet.
(329628)

TLS-Implementierungen sind in wiederkehrender Regelmäßigkeit von sicherheitsrelevanten Implementierungsfehlern betroffen.
(329626)

Mit Hilfe des BEAST Angriffes kann ein Hacker mit einem Chosen-Plaintext-Angriff auf verschlüsselte Infomationen zugreifen.
(329623)

Welche Aussagen sind bezüglich IP Adressen wahr? (Mehrfachnennung möglich)

(168258)

IPv4 benutzt 64-Bit-Adressen.
(329639)

IPv6 benutzt 265-Bit-Adressen.
(329635)

Mehrere Rechner befinden sich im selben Teilnetz (= lokal), wenn der Netzanteil ihrer Adresse (IPv4) gleich ist.
(329634)

Eine IPv4-Adresse besteht aus einem Netzanteil und einem Hostanteil.
(329633)

Welche Zuordnungen von standardisierten Ports zu Diensten sind richtig? (nach Definition der Internet Assigned Numbers Authority (IANA)) (Mehrfachnennung möglich)

(168259)

Port: 110
Dienst: FTP
(329648)

Port: 8888
Dienst: TOMCAT
(329646)

Port: 80
Dienst: HTTP
(329645)

Port: 443
Dienst: HTTPS
(329644)

Welche Aussagen sind bezüglich Ping of Death und ICMP wahr? (Mehrfachnennung möglich)

(168260)

Das Blockieren von ICMP an einer Firewall ist das einzige Mittel den PoD Angriff erfolgreich zu verhindern.
(329920)

Das Ziel ist es, das angegriffene System so zu manipulieren, dass es ICMP Pakete an andere Rechner im Netzwerk sendet.
(329655)

Ein manipuliertes ICMP-Datenpaket erzeugt aufgrund eines Fehlers in der Implementierung des Internet Protocols einen Buffer Overflow.
(329652)

Der Ping of Death ist eine Denial-of-Service-Attacke (DoS-Attacke).
(329650)

Welche Angriffe auf der Netzwerkebene gibt es tatsächlich? (Mehrfachnennung möglich)

(168261)

SSL-Spoofing
(329669)

ARP-Spoofing
(329667)

TCP Sequence Prediction
(329666)

Smurf-Angriff
(329664)

Welche Aussagen sind bezüglich Kernel Rootkits wahr? (Mehrfachnennung möglich)

(168262)

Da eine hundertprozentige Entfernung von Rootkits durch einen Rootkit-Cleaner möglich ist, kann meist auf eine vollständige Neuinstallation des Betriebssystems verzichtet werden.
(329921)

Kernel-Rootkits ersetzen Teile des Compilers durch eigenen Code, um sich selbst zu tarnen („stealth“).
(329678)

Die Funktionalitäten des Kernel Rootkits werden am häufigsten durch Nachladen von Task-Modulen (LTE: linked task extensions) erweitert.
(329677)

Unter Windows werden Kernel-Rootkits häufig durch die Einbindung neuer .sys-Treiber realisiert.
(329673)

Welche Aussagen sind bezüglich Userland Rootkits wahr? (Mehrfachnennung möglich)

(168263)

Userland-Rootkits können nur in Assemblercode programmiert werden.
(329687)

Userland-Rootkits stellen jeweils eine DLL (Dynamic Link Library) bereit, die sich anhand verschiedener API-Methoden direkt in alle Prozesse einklinkt.
(329681)

Userland-Rootkits sind vor allem unter MacOS populär, da sie unter Windows nicht funktionieren.
(329684)

Userland-Rootkits benötigen keinen Zugriff auf der Kernel-Ebene.
(329683)

Welche Angriffsmöglichkeiten gibt es, um das Betriebssystem anzugreifen? (Mehrfachnennung möglich)

(168264)

OS-Force-Breaking
(329695)

Jailbreaking
(329691)

Dumping Cached Passwords
(329690)

Buffer Overflow
(329688)

Welche Aussagen sind bezüglich NTLM (NT LAN Manager) wahr? (Mehrfachnennung möglich)

(168265)

Der Nachfolger des NTLM-Protokolls ist RADIUS.
(329700)

NTLM verwendet eine FaceID-Authentifizierung.
(329701)

NTLM verwendet eine Challenge-Response-Authentifizierung.
(329697)

NTLM ist ein Authentifizierungsverfahren für Rechnernetze.
(329696)

Welche Aussagen bezüglich Kerberos sind wahr? (Mehrfachnennung möglich)

(168266)

Das Kerberos Protokoll bietet keinen Schutz gegenüber Replay-Angriffen, bei denen zuvor aufgezeichnete Daten erneut versendet werden.
(329711)

Nur auf dem Server muss ein Kerberos-Client installiert und konfiguriert sein, mit dem Client kommuniziert der Kerberos Server nicht.
(329710)

Der Kerberos-Server selbst authentifiziert sich nicht gegenüber dem Client sondern nur gegenüber dem Server.
(329709)

Mit Kerberos können Man-in-the-Middle-Angriffe abgewehrt werden.
(329706)

Welche Aussagen sind bezüglich Pass-the-Hash (PtH) wahr? (Mehrfachnennung möglich)

(168267)

Die einzige Möglichkeit, an zusätzliche Hashes zu kommen (Hash harvesting), ist das Auslesen der Hashes aus dem Arbeitsspeicher (bei Windows konkret der LSASS.EXE) des beherrschten Rechners.
(329719)

Ein Pass-the-Hash Angriff ist eine modifizierte Man-in-The-Middle-Attack, bei der Angreifer den Hash durch seine Position in der Kommunikationstruktur abfangen können.
(329717)

Pass-the-Hash läuft wie folgt ab:
1. User schickt eine Zugangsanfrage
2. Server schickt eine Challenge Message
3. User schickt Username und gestohlenes Hash
4. Server validiert Hash und gewährt Zugang
(329714)

Diese Technik kann gegen jeden Server oder Dienst ausgeführt werden, der die LM- oder NTLM-Authentifizierung akzeptiert, unabhängig davon, ob auf einer Maschine Windows, Unix oder ein anderes Betriebssystem läuft.
(329713)

Welche Aussagen sind bezüglich Privelege Escalation (Rechteausweitung) wahr? (Mehrfachnennung möglich)

(168268)

Das primäre Ziel einer Privelege Escalation ist das Umleiten von Geld auf das Konto des Angreifers.
(329727)

Aktuelle Malware Protection und Anti Virus Software verhindert horizontale aber nicht vertikale Privilegienerweiterung.
(329726)

Eine Unterform der Privelege Escalation ist die Horizontal Privelege Escalation.
(329723)

Ein Beispielszenario für Horizontal Privelege Escalation ist: Internet Banking User A greift auf das Internet Bankkonto von User B zu.
(329721)

Welche Aussagen sind bezüglich Speicher Rootkits wahr? (Mehrfachnennung möglich)

(168269)

Speicher-Rootkits verstecken sich im BIOS des Rechners und werden vor dem Betriebssystem in den Speicher geladen.
(329734)

Die beste Methode zur Entfernung ist die vollständige Neuinstallation des Betriebssystems.
(329731)

Nach dem Neustart („reboot“) des Systems sind diese Rootkits nicht mehr aktiv.
(329729)

Speicher-Rootkits existieren nur im Arbeitsspeicher des laufenden Systems.
(329728)

Welche Gegenmaßnahmen können helfen, Rootkits zu entfernen bzw. sich gegen diese zu schützen? (Mehrfachnennung möglich)

(168270)

Einsatz von Betriebssystemvirtualisierung in Containern um Rootkits zu isolieren
(329740)

BIOS hardwareseitig mit einem Schreibschutz versehen
(329738)

Austausch der Hardware
(329737)

Neuinstallation des Betriebssystems
(329736)

Welche Aussagen sind bezüglich Dumping Cached Passwords wahr? (Mehrfachnennung möglich)

(168271)

Das primäre Ziel von Dumping Cached Passwords ist das Installieren von Rootkits und Backdoors.
(329751)

Dumping Cached Passwords ist ein Synonym für Pass-the-Hash.
(329750)

Kerberos oder NTLM sind anfällig für Dumping Cached Passwords Angriffe.
(329747)

Windows speichert die letzten zehn Domänenanmeldeinformationen für den Fall, dass der Domänencontroller offline geschaltet wird.
(329745)

Welche Aussagen sind bezüglich "A1 - Injection" (OWASP Top 10) wahr? (Mehrfachnennung möglich)

(168272)

Injection ermöglicht es Angreifern, Skripte im Browser des Opfers auszuführen. Diese Skripte können Benutzer-Sessions kapern, Webseiten verunstalten oder den Benutzer auf bösartige Websites umleiten.
(329759)

Injektionsfehler betreffen nur Systeme, die ein Web-Formular haben, über das der Angreifer schädliche Befehle injizieren kann.
(329757)

Injection funktioniert nur bei SQL-Datenbanken, nicht jedoch bei NoSQL-Datenbanken. Daher sollten SQL-Datenbanken vermieden werden.
(329758)

Die bösartigen Daten des Angreifers können den Interpreter zur Ausführung von ungenehmigten Befehlen oder zum unbefugten Zugriff auf Daten bewegen.
(329753)

Welche Aussagen sind bezüglich "A3 - Cross-Site Scripting (XSS)" (OWASP Top 10) wahr? (Mehrfachnennung möglich)

(168273)

XSS bezeichnet das Ausnutzen einer Sicherheitslücke in Zusammenhang mit Datenbanken, die durch mangelnde Maskierung oder Überprüfung von Metazeichen in Benutzereingaben entsteht.
(329766)

Die einzig sinnvolle Maßnahme gegen XSS ist die clientseitige Validierung der nicht vertrauenswürdigen Daten.
(329765)

JavaScript ist eine Programmiersprache, die für XSS ausgenutzt werden kann.
(329762)

XSS ermöglicht es Angreifern, Skripte im Browser des Opfers auszuführen, die Benutzer-Sessions kapern, Webseiten verunstalten oder den Benutzer auf bösartige Websites umleiten können.
(329761)

Welche Aussagen sind bezüglich "A4 - Unsichere direkte Objektreferenzen" (OWASP Top 10) wahr? (Mehrfachnennung möglich)

(168274)

Unsichere direkte Objektreferenzen können auch auf Systemdateien auf der Festplatte des Benutzers verweisen.
(329775)

Diese Sicherheitlücke lässt sich mit einem "Stored Procedure" beheben.
(329773)

Die Secure Coding Richtlinie sollte jeden Programmierer darauf aufmerksam machen, dass direkte Objektreferenzen einen effektiven Schutz vor unberechtigtem Zugriff benötigen.
(329770)

Ohne eine Zugriffsprüfung oder anderen Schutz, können Angreifer u.U. direkte Verweise manipulieren, um unberechtigt auf Daten zuzugreifen.
(329769)

Welche Aussagen sind bezüglich "A5 - Sicherheitsrelevante Fehlkonfiguration" (OWASP Top 10) wahr? (Mehrfachnennung möglich)

(168275)

ISO/IEC 27001 zertifizierte Software bietet einen besonderen Schutz gegen diese Art von Schwachstellen.
(329782)

Die Konfiguration von Servern sollte stets vom Informationssicherheitsbeauftragten (ISB) abgenommen werden.
(329781)

Software, die Defaultpasswörter verwendet, darf unter keinen Umständen eingesetzt werden, selbst wenn diese änderbar wären.
(329780)

Sichere Einstellungen sollten definiert, umgesetzt und gepflegt werden, da Defaultwerte oft unsicher sind.
(329777)

Welche Aussagen sind bezüglich "A6 - Verlust der Vertraulichkeit sensibler Daten" (OWASP Top 10) wahr? (Mehrfachnennung möglich)

(168276)

Vor dem Persistieren von Daten, sollten diese stets mit TLS verschlüsselt werden.
(329789)

"Der Angreifer stiehlt das Sitzungscookie des Nutzers durch einfaches Mitlesen der unverschlüsselten Kommunikation" ist ein Beispielszenario für diese Schwachstelle.
(329787)

Um Passwörter, die persistiert werden müssen, zu schützen, sollten diese zuerst "gesalzen" und dann zu einem Hashwert transformiert werden, bevor sie in der Datenbank abgelegt werden.
(329786)

Sensible Daten erfordern einen zusätzlichen Schutz, wie Verschlüsselung auf dem Speicher oder in der Kommunikation, sowie besondere Vorsichtsmaßnahmen, wenn sie mit dem Browser ausgetauscht werden.
(329785)

Welche Aussagen sind bezüglich "A8 - Cross-Site Request Forgery (CSRF)" (OWASP Top 10) wahr? (Mehrfachnennung möglich)

(168277)

CSRF funktioniert nur, wenn der Nutzer die Ausführung von Skripten erlaubt.
(329799)

Die Ursache für CSRF ist eine Sicherheitslücke im Browser des Nutzers.
(329798)

Der Angreifer manipuliert beim CSRF Angriff die Session ID des Nutzers.
(329797)

Das Opfer muss auf der anfälligen Web-Anwendung eingeloggt sein, damit der Angreifer seinen Angriff ausführen kann.
(329793)

Welche Aussagen sind bezüglich "A9 - Verwendung von Komponenten mit Schwachstellen" (OWASP Top 10) wahr? (Mehrfachnennung möglich)

(168278)

Selbstentwickelte Komponenten haben selten Sicherheitslücken.
(329805)

Bei der Verwendung von Komponenten sollte vorab gecheckt werden, ob diese bekannte Sicherheitslücken enthalten.
(329803)

Anwendungen, die Komponenten mit bekannten Schwachstellen nutzen, können die Verteidigungsmechanismen der Anwendung aushebeln und so eine Reihe von Angriffen ermöglichen.
(329802)

Komponenten wie Bibliotheken, Frameworks und andere Software-Module laufen oft unter den gleichen Rechten wie die Anwendung selbst.
(329800)

Welche Aussagen sind bezüglich "Buffer Overflow" wahr? (Mehrfachnennung möglich)

(168279)

Um sich gegen Buffer Overflow zu schützen, sollte stets ein verschlüsselter Arbeitsspeicher eingesetzt werden.
(329815)

Auf Grund der Architektur des Prozessors sind Buffer Overflow Fehler nur bei Software, die auf einem PC installiert ist, möglich.
(329813)

Buffer Overflow ist eine alte Sicherheitslücke und kann auf modernen Systemen nicht mehr auftreten.
(329812)

Buffer Overflow kann beim Kopieren von Daten von einem Puffer zum anderen erfolgen.
(329809)

Warum wird der Mensch bei einem Hacking Angriff als "schwächstes Glied in der Kette" gesehen? (Mehrfachnennung möglich)

(168280)

Die meisten Mitarbeiter haben Angst vor Disziplinarmaßnamen, weswegen sie die Sicherheitsmaßnahmen heimlich, aber bewusst, umgehen. Sie achten stets darauf, dass der Vorgesetzte es nie erfährt.
(329823)

ISO/IEC 27001 bietet einen Standard für ein Managementsystem, das die Informationssicherheit erhöht. Nicht nach ISO/IEC 27001 zertifizierte Unternehmen haben deshalb schwache Mitarbeiter.
(329821)

Eine Erhöhung der Sicherheit kann auch dazu führen, dass die Usability sinkt. Deshalb suchen manche Mitarbeiter Wege, um die Sicherheitsmaßnahmen zu umgehen.
(329818)

Eine fehlende Klassifizierung von Informationen kann leicht dazu führen, dass diese aus Versehen offengelegt werden.
(329817)

Was sind mögliche Angriffsvektoren beim reinen Social Engineering? (Mehrfachnennung möglich)

(168281)

Der Social Engineer manipuliert den Drucker, um an die Druckdaten zu gelangen.
(329829)

Der Social Engineer beschafft sich Informationen über das Opfer aus öffentlichen Quellen, um sich auf weitere Angriffe vorzubereiten.
(329827)

Der Social Engineer knackt die Türen zu den Büroräumen, um Zutritt zu erhalten.
(329826)

Der Social Engineer ruft das Opfer per Telefon an, um es zu einer bestimmten Handlung zu bewegen.
(329824)

Welche öffentliche Quellen sind geeignet, um an Informationen über das Opfer zu gelangen? (Mehrfachnennung möglich)

(168282)

Der Eintrag im Domain Name Service kann Informationen zum Vorstand bzw. Geschäftsführer, zu täglichem Traffic und zu Domainnamen enthalten.
(329836)

E-Mail Adressen auf der Homepage des Unternehmen können den Namen von Mitarbeitern enthalten.
(329834)

Die Homepage des Unternehmens ist eine gute Quelle, um Informationen über das Unternehmen zu bekommen.
(329833)

Soziale Netzwerke sind gute Quellen, um an private Informationen über das Opfer zu gelangen.
(329832)

Was sind mögliche Angriffsszenarien, um die Autoritätshörigkeit von Mitarbeitern auszunutzen? (Mehrfachnennung möglich)

(168283)

Der Social Engineer manipuliert das Smartphone des Chefs, um an seine Kontaktliste zu gelangen.
(329847)

Der Social Engineer gibt sich als Teil des Managements aus.
(329843)

Der Social Engineer gibt sich als Bürgermeister aus.
(329842)

Der Social Engineer verkleidet sich als Polizeibeamter.
(329840)

Welche Fragen sollte sich ein Social Engineer stellen, um sich auf einen Angriff über das Telefon vorzubereiten, bei dem eine Identität vorgetäuscht wird? (Mehrfachnennung möglich)

(168284)

Welche Skills hat die gespielte Person?
(329851)

Wie beschäftigt ist die gespielte Person?
(329850)

Welchen Akzent hat die gespielte Person?
(329849)

Wie sprachgewandt ist die gespielte Person?
(329848)

Welche Aussagen sind bezüglich der Grundtechniken des Social Engineerings wahr? (Mehrfachnennung möglich)

(168285)

Um die Glaubwürdigkeit zu erhöhen, sollten in einem Gespräch mit dem Opfer möglichst wenige Insider-Informationen eingebunden werden.
(329860)

Autoritätshörigkeit bedeutet, dass die meisten Mitarbeiter stets darauf bedacht sind, Anordnungen von Vorgesetzten pflichtbewusst nachzugehen.
(329859)

Beim "Aufbau einer Vertrauenskette" soll das Opfer annehmen, dass der Social Engineer von einer anderen Stelle bereits überprüft wurde.
(329858)

Beim Social Proof wird der Einfluss der Gesellschaft genutzt, denn der Mensch passt sich i.d.R. seiner sozialen Umgebung an.
(329856)

Was sind mögliche Beispielsszenarien für schnelle Attacken? (Mehrfachnennung möglich)

(168286)

Der Angreifer lässt sich beim Zielunternehmen als Praktikant anstellen, um näher am Opfer zu sein.
(329868)

Der Social Engineer verfasst eine Spear-Phishing E-Mail, um einen Mitarbeiter zum Anklicken auf einen Link zu animieren.
(329866)

Der Angreifer versucht mit Hilfe einer Umfrage, Informationen über das Unternehmen zu gewinnen.
(329865)

Der Angreifer kontaktiert den Help Desk, um ein neues Passwort zu bekommen.
(329864)

Was sind mögliche Beispielsszenarien für längere Attacken? (Mehrfachnennung möglich)

(168287)

Der Social Engineer verfasst eine Spear-Phishing E-Mail, um einen Mitarbeiter zum Anklicken auf einen Link zu animieren.
(329878)

Der Angreifer versucht mit Hilfe einer Umfrage, Informationen über das Unternehmen zu gewinnen.
(329877)

Der Social Engineer installiert Spionagewerkzeuge, um das Opfer über einen längeren Zeitraum zu überwachen.
(329874)

Der Angreifer lässt sich bei einem Partnerunternehmen als Mitarbeiter anstellen, um die Glaubwürdigkeit bei einem Angriff zu erhöhen.
(329873)

Welche Aussagen sind bezüglich unterstützenden Technologien beim Social Engineering wahr? (Mehrfachnennung möglich)

(168288)

Ein Rogue Access Point ist der Access Point des Zielunternehmens.
(329885)

WIFI Pineapple ist ein Gerät, das jede SSID imitieren kann.
(329883)

Audio Recording Tools eignen sich, um Tonaufnahmen von Gesprächen zu machen.
(329882)

Ein Rogue Access Point kann den Datenverkehr, der über ihn läuft, mitschneiden.
(329881)

Welche Aussagen sind bezüglich Credential Harvesting wahr? (Mehrfachnennung möglich)

(168289)

Das "Nmap Tool" ist ein Programm, das Credential Harvesting unterstützt.
(329892)

Um an die Zugangsdaten des Opfers zu gelangen, kann einem Credential Harvesting Angriff ein SMiShing Angriff vorausgehen.
(329891)

Credential Harvesting ist eine Social Engineering Methode.
(329889)

Beim Credential Harvesting werden über eine "Fake" Loginseite Zugangsdaten gesammelt.
(329888)

Welche Antwortmöglichkeiten beschreiben Grundtechniken des Social Engineerings? (Mehrfachnennung möglich)

(168290)

Tailoring
(329901)

Aufbau einer Vertrauenskette
(329899)

Social Proof
(329897)

Vortäuschen von Identitäten
(329896)

Welche Aussagen sind bezüglich "A2 - Fehler im Authentifizierungs- und Session Management" (OWASP Top 10) wahr? (Mehrfachnennung möglich)

(168291)

Die Session IDs, die vom Browser generiert werden, sollten immer eindeutig sein, da ein Angreifer ansonsten die Webapplikation hacken kann.
(329911)

Nutzersitzungen sollten erst beendet werden, wenn sich der Nutzer abmeldet. Dies unterstützt die Verfügbarkeit und Performance des Systems.
(329910)

Session IDs sollten nie im Klartext persistiert werden, da sie ansonsten entführt werden können.
(329909)

Durch ein fehlerhaftes Session-Management könnten Sitzungen entführt (Session Hijacking) werden.
(329905)

ICO ISMS 27001 Prof - de - sample set 1 - v1

Welche der folgenden Maßnahmen sind unter anderem mit dem Maßnahmenziel einer konsistenten und wirksamen Herangehensweise für die Handhabung von Informationssicherheitsvorfällen (A.16.1) gemäß ISO/IEC 27001 (Anhang A) verbunden? (Mehrfachnennung möglich)

(168202)

Maßnahmen gegen Schadsoftware
(329206)

Sammeln von Beweismaterial
(329205)

Reaktion auf Informationssicherheitsvorfälle
(329204)

Meldung von Informationssicherheitsereignissen
(329203)

Welche der folgenden Maßnahmen sind unter anderem mit dem Maßnahmenziel der Identifikation von Werten (Assets), sowie der Festlegung angemessener Verantwortlichkeiten zu ihrem Schutz (A.8.1) gemäß ISO/IEC 27001 (Anhang A) verbunden? (Mehrfachnennung möglich)

(168203)

Physische Zutrittssteuerung
(329214)

Sichere Anmeldeverfahren
(329213)

Zulässiger Gebrauch von Werten
(329211)

Zuständigkeit für Werte
(329210)

Was ist nach der ISO/IEC 27001 Teil der Beurteilung von Informationssicherheitsrisiken bzw. der Planung für diesen Prozess? (Mehrfachnennung möglich)

(168235)

Abschätzung der realistischen Eintrittswahrscheinlichkeiten der identifizierten Risiken
(329420)

Abschätzung der möglichen Folgen bei Eintritt der identifizierten Risiken
(329419)

Sicherstellung, dass wiederholte Informationssicherheitsrisikobeurteilungen zu konsistenten, gültigen und vergleichbaren Ergebnissen führen
(329415)

Festlegung von Kriterien zur Durchführung von Informationssicherheitsrisikobeurteilungen
(329413)

Welche der folgenden Aussagen im Zusammenhang mit dem Risikomanagement und seinen Teilprozessen nach ISO/IEC 27000 und ISO/IEC 27001 sind korrekt? (Mehrfachnennung möglich)

(168236)

Im Rahmen der Risikobeurteilung wird das Risikoniveau bestimmt.
(329429)

Im Rahmen der Risikobeurteilung fließen Ergebnisse der Risikoanalyse in die Risikobewertung ein.
(329427)

Risikobewertung ist Teil der Risikobeurteilung
(329424)

Risikoanalyse ist Teil der Risikobeurteilung
(329423)

Welche Aussagen zur Normenfamilie ISO/IEC 27000 sind korrekt? (Mehrfachnennung möglich)

(168239)

Die Umsetzung von ISO/IEC 27002 ist eine zwingende Voraussetzung für eine Zertifizierung nach ISO/IEC 27003
(329463)

ISO/IEC 27003 enthält Anforderungen an die Umsetzung von Maßnahmen.
(329460)

ISO/IEC 27001 enthält Anforderungen an ein ISMS.
(329456)

ISO/IEC 27000 beschreibt die Grundlagen von Informationssicherheitsmanagementsystemen und definiert zugehörige Begriffe.
(329455)

Was muss eine Organisation gemäß ISO/IEC 27001 unter anderem für die interne und externe Kommunikation in Bezug auf das ISMS festlegen? (Mehrfachnennung möglich)

(168241)

Welche Kommunikation als unerwünscht zu klassifizieren ist
(329482)

Obergrenze für die Kommunikationskosten
(329481)

Mit wem kommuniziert wird
(329478)

Worüber kommuniziert wird
(329476)

Zu welchen Themen definiert die ISO/IEC 27001 im Kapitel 7 "Unterstützung" (Support) Anforderungen? (Mehrfachnennung möglich)

(168292)

Risikounterstützung
(329932)

24h Support
(329931)

Service-Desk
(329930)

Dokumentierte Information
(329929)

Was sind Anforderungen an den Betrieb eines ISMS (ISO/IEC 27001, Kapitel 8)? (Mehrfachnennung möglich)

(168295)

Die Organisation muss sicherstellen, dass ausgegliederte Prozesse bestimmt und gesteuert werden.
(329955)

Die Organisation muss dokumentierte Information über die Ergebnisse der Beurteilung von Informationssicherheitsrisiken aufbewahren.
(329954)

Die Organisation muss dokumentierte Information im notwendigen Umfang aufbewahren, so dass darauf vertraut werden kann, dass die Prozesse wie geplant umgesetzt wurden.
(329953)

Die Organisation muss die Prozesse zur Erfüllung der Informationssicherheitsanforderungen planen, verwirklichen und steuern.
(329952)

Welche Anforderungen stellt die ISO/IEC 27001 an interne Audits? (Mehrfachnennung möglich)

(168298)

Die Organisation muss ihre Kunden auditieren.
(329988)

Die Organisation muss mindestens alle 6 Monate ein Audit durchführen.
(329986)

Die Organisation muss für jedes Audit die Auditkriterien festlegen.
(329982)

Die Organisation muss ein Auditprogramm aufbauen.
(329981)

Ihre Aufgabe ist es, eine Organisation bei der Erreichung des Schutzziels "Die Informationssicherheit bei Telearbeit und der Nutzung von Mobilgeräten ist sichergestellt." (A.6.2) zu unterstützen.

Die Organisation erlaubt sowohl die Nutzung von Mobilgeräten wie auch Telearbeit.

Beides ist, insbesondere in Hinblick auf Informationssicherheit, aber noch weitestgehend ungeregelt.

Was müssen Sie umsetzen bzw. sicherstellen, um in diesem Bereich Konformität zu ISO/IEC 27001 herzustellen? (Mehrfachnennung möglich)

(168303)

Sicherstellen, dass für Telearbeit und Arbeit auf Dienstreisen identische Regelungen existieren
(330037)

Beurteilung von Risiken im Zusammenhang mit der Nutzung von Mobilgeräten und Telearbeit
(330036)

Maßnahmen zur Handhabung von Risiken bei der Nutzung von Laptops.
(330035)

Erstellung einer Richtlinie zu Mobilgeräten
(330032)

Im Rahmen eines Projektes zur Etablierung eines nach ISO/IEC 27001 konformen ISMS überprüfen Sie, welche Regelungen ihre Organisation in Hinblick auf die Auswahl und Einstellung von neuem Personal implementiert hat. Einige Regelungen empfinden Sie als nicht optimal. Welche Regelungen stellen eine Abweichung dar, die korrigiert werden muss? (Mehrfachnennung möglich)

(168304)

Die Sicherheitsüberprüfung von Bewerbern umfasst nicht die Überprüfung von Profilen in sozialen Medien.
(330049)

In den vertraglichen Vereinbarungen mit Beschäftigten werden Verantwortlichkeiten in Bezug auf Informationssicherheit festgelegt. Diese sind aber in der Vereinbarung nicht explizit aufgeführt, es wird nur auf die Pflicht zur Einhaltung der relevanten Richtlinien verwiesen.
(330048)

Eine Sicherheitsüberprüfung von Bewerbern findet grundsätzlich statt, aber in unterschiedlicher Gründlichkeit.

Dies ist von der Position, auf welche die Einstellung des neuen Mitarbeiters erfolgt, abhängig.
(330047)

Einige Bewerber werden überprüft. Regelungen dafür welche, existieren aber nicht - es kommt hauptsächlich darauf an, welcher Mitarbeiter der Personalabteilung die Bewerbung bearbeitet.
(330045)

Was muss nach der ISO/IEC 27001 in Bezug auf die Personalsicherheit während der Beschäftigung gewährleistet sein? (Mehrfachnennung möglich)

(168305)

Die Personalakten aller Mitarbeiter sind durch den Information Security Officer überprüft und genehmigt.
(330056)

Der Maßregelungsprozess ist vertraulich und nur den leitenden Mitarbeitern bekannt.
(330054)

Durch Ausbildung, Schulung und ähnliche Maßnahmen wird bei allen Beschäftigten das Bewusstsein (Awareness) für Informationssicherheit gefördert.
(330053)

Die Leitung verlangt von allen Beschäftigten die Einhaltung der relevanten Richtlinien.
(330051)

Welche Regelungen zur Handhabung von Datenträgern können dazu beitragen, die Vertraulichkeit der gespeicherten Information zu schützen? (Mehrfachnennung möglich)

(168308)

Datenträger, die vertrauliche Daten enthalten, dürfen nur unter Einhaltung sicherer Verfahren entsorgt werden (z.B. mehrfaches Überschreiben vor der Entsorgung, schreddern ...).
(330088)

Als vertraulich klassifizierte Daten sind bei Speicherung auf Wechseldatenträgern grundsätzlich zu verschlüsseln.
(330087)

Die Verwendung von Wechseldatenträgern ist nur zulässig, wenn es dafür geschäftliche Gründe gibt.
(330086)

Nicht mehr benötigte Inhalte auf Wechseldatenträgern sind so zu löschen, dass sie nicht (ohne erheblichen Aufwand) wiederhergestellt werden können.
(330085)

Kryptographische Maßnahmen können zur Erreichung verschiedener Ziele der Informationsicherheit beitragen. Welche Schutzziele lassen sich mittels Einsatz von Verschlüsselung und digitaler Signaturen unterstützen? (Mehrfachnennung möglich)

(168311)

Verlässlichkeit
(330117)

Authentizität
(330115)

Integrität
(330114)

Vertraulichkeit
(330113)

Welche Controls sind in Anhang A der ISO/IEC 27001 dem Maßnahmenziel "Geräte und Betriebsmittel" (A.11.2) zugeordnet? (Mehrfachnennung möglich)

(168312)

Zuteilung von Benutzerzugängen
(330130)

Richtlinie für eine aufgeräumte Arbeitsumgebung und Bildschirmsperren
(330125)

Unbeaufsichtigte Benutzergeräte
(330124)

Entfernen von Werten
(330123)

Ihre Aufgabe ist es, die in Ihrer Organisation umgesetzten Maßnahmen im Bereich "Physische und umgebungsbezogene Sicherheit" (A.11) auf Konformität zu ISO/IEC 27001 zu überprüfen. In der Erklärung zur Anwendbarkeit wurden keine Maßnahmen ausgeschlossen. Welche Umstände stellen (bereits für sich alleine genommen) eine Abweichung bzw. eine Nichtkonformität dar? (Mehrfachnennung möglich)

(168313)

Es existieren auf dem Betriebsgelände mehrere Anlieferungs- und Ladebereiche.
(330139)

Gegen die Auswirkungen von Erdbeben sind keinerlei vorbeugende Maßnahmen umgesetzt.
(330138)

Es existiert kein elektronisches Schließsystem. Alle Türen sind nur mit mechanischen Schlössern gesichert.
(330137)

Welchen Anforderungen muss die Informationssicherheitspolitik (allgemeine Informationssicherheitsrichtlinie) genügen? (Mehrfachnennung möglich)

(168316)

Sie muss innerhalb der Organisation bekanntgemacht werden.
(330163)

Ihre Aufgabe ist es, die in Ihrer Organisation umgesetzten Maßnahmen im Bereich "Physische und umgebungsbezogene Sicherheit" (A.11) auf Konformität zu ISO/IEC 27001 zu überprüfen. In der Erklärung zur Anwendbarkeit wurden keine Maßnahmen ausgeschlossen. Welche Umstände stellen (bereits für sich alleine genommen) eine Abweichung bzw. eine Nichtkonformität dar? (Mehrfachnennung möglich)

(168313)

Es kommt regelmäßig vor, dass Administratoren und andere Mitarbeiter ohne vorherige Genehmigung PCs und Laptops z.B. über ein Wochenende mit nach Hause nehmen. Da bisher alle Geräte wiedergebracht wurden, wird dies von der Geschäftsleitung toleriert.
(330133)

Welchen Anforderungen muss die Informationssicherheitspolitik (allgemeine Informationssicherheitsrichtlinie) genügen? (Mehrfachnennung möglich)

(168316)

Sie muss eine Verpflichtung zur fortlaufenden Verbesserung beinhalten.
(330161)

Sie muss Informationssicherheitsziele beinhalten.
(330160)

Sie muss für den Zweck der Organisation angemessen sein.
(330159)

Welche der folgenden Beschreibungen von Zielen gehören zu Maßnahmenzielen aus Anhang A.12 "Betriebssicherheit" der ISO/IEC 27001? (Mehrfachnennung möglich)

(168317)

Audittätigkeiten während des Betriebs werden wirksam unterbunden.
(330321)

Die Ehrlichkeit von Anwendern und Mitarbeitern ist im Betrieb garantiert.
(330320)

Der Schutz von Daten, die für das Testen verwendet werden, ist sichergestellt.
(330318)

Information und informationsverarbeitende Einrichtungen sind vor Schadsoftware geschützt.
(330317)

Welche Maßnahmen sind in der ISO/IEC 27001 dem Maßnahmenziel A.12.1 "Betriebsabläufe und -verantwortlichkeiten" zugeordnet? (Mehrfachnennung möglich)

(168319)

Uhrensynchronisation
(330327)

Kapazitätssteuerung
(330325)

Änderungssteuerung
(330324)

Dokumentierte Bedienabläufe
(330323)

Welche Aussagen zu Informationssicherheitsvorfällen (information security incidents) sind zutreffend? (Mehrfachnennung möglich)

(168321)

Eine Häufung von mehreren auch kleinen Informationsicherheitsereignissen ist als Informationsicherheitsproblem zu definieren.
(330421)

Jedes Informationssicherheitsereignis ist auch ein Informationssicherheitsvorfall.
(330343)

Ein Informationssicherheitsvorfall ist ein einzelnes oder eine Reihe von Informationssicherheitsereignissen.
(330342)

Ein Informationssicherheitsvorfall kann z.B. dann entstehen, wenn eine Schwachstelle (vulnerability) durch einen Angreifer ausgenutzt wird.
(330341)

In ihrer Organisation sind verschiedene Richtlinien, Verfahren und Maßnahmen umgesetzt. Welche hiervon lassen sich klar den Referenzmaßnahmen der ISO/IEC 27001 aus A.12 "Betriebssicherheit" oder A.14 "Anschaffung, Entwicklung und Instandhalten von Systemen" zuordnen? (Mehrfachnennung möglich)

(168328)

Zuteilung von Benutzerzugängen
(330393)

Maßnahmen gegen Schadsoftware
(330390)

Schutz der Transaktionen bei Anwendungsdiensten
(330389)

Trennung von Entwicklungs-, Test- und Betriebsumgebungen
(330388)

In ihrer Organisation sollen in einigen Monaten die Controls zur Kommunikationssicherheit (A.13) auditiert werden. Sie haben ein erstes Self-Assessment durchgeführt und dabei einige Feststellungen gemacht. Welche der festgestellten Umstände würden auf alle Fälle im Audit eine Abweichung darstellen und sollten daher unbedingt vor dem Audit behandelt werden? (Mehrfachnennung möglich)

(168329)

Zur Sicherung von Anwendungsdiensten in öffentlichen Netzwerken existieren keine Vorgaben und keine Dokumentation.
(330402)

Zum Thema Informationsübertragung existiert keine Richtlinie.
(330400)

Nicht der gesamte Datenverkehr über die Kommunikationssnetze ist verschlüsselt.
(330397)

Die Trennung von Netzwerken erfolgt nur über VPNs.
(330396)

Welche Aussagen sind im Zusammenhang mit Business Continuity Management richtig, wenn Konformität mit ISO/IEC 27001 angestrebt wird? (Mehrfachnennung möglich)

(168330)

Die Anforderungen zum Business Continuity Management können ohne ausreichende Begründung in der Erklärung zur Anwendbarkeit (statement of applicability) weggelassen werden.
(330423)

Zum Continuity-Management gehört auch die Planung ausreichender Redundanzen von informationsverarbeitenden Einrichtungen.
(330406)

Continuity- bzw. Notfallpläne müssen in regelmäßigen Abständen überprüft werden.
(330405)

Die Aufrechterhaltung eines angemessenen Maßes an Informationssicherheit in Krisen- und Katastrophenfällen muss geplant werden.
(330403)

Welche der folgenden elementaren Grundsätze tragen nach ISO/IEC 27000 zur erfolgreichen Umsetzung eines ISMS bei? (Mehrfachnennung möglich)

(168331)

Sicherstellung der Nicht-Nachweisbarkeit von Compliance-Verstößen
(330418)

Redundante Verteilung von Verantwortlichkeiten für Informationssicherheit
(330416)

Backend-Sicherheit vor Client-Sicherheit
(330415)

Sicherstellung einer ganzheitlichen Herangehensweise an das Management von Informationssicherheit
(330413)

ISO/IEC 27001 definiert Maßnahmen (Controls) und Maßnahmenziele (Control Objectives) zu/zur ... (Mehrfachnennung möglich)

(168190)

Klassifizierungstypen für Informationswerte (Information Assets)
(329490)

Sicherung rechtlicher Ansprüche (Defense of legal claims) im Zusammenhang mit Informationssicherheitsvorfällen
(329136)

Personalsicherheit (Human resource security)
(329132)

Was trifft auf ISMS-Zertifizierungen nach ISO/IEC 27001 (in Europa) grundsätzlich zu? (Mehrfachnennung möglich)

(168192)

Die Zertifizierungsstelle erfüllt die Anforderungen der ISO/IEC 27021.
(330171)

Im Rahmen der Zertifizierung lässt die Zertifizierungsstelle die Konformität des ISMS zu den Anforderungen der Norm ISO/IEC 27001 durch ein sogenanntes Zertifzierungsaudit überprüfen.
(329146)

Die Zertifizierungsstelle muss bei einer nationalen Akkredierungsstelle (z.B. in Deutschland die DAkkS) akkreditiert sein.
(329144)

Welche der folgenden Maßnahmen sind unter anderem mit dem Maßnahmenziel der Unterbindung der unerlaubten Offenlegung, Veränderung, Entfernung oder Zerstörung von Information, die auf Datenträgern gespeichert ist (A.8.3), gemäß ISO/IEC 27001 (Anhang A) verbunden? (Mehrfachnennung möglich)

(168207)

Klassifizierung von Datenträgern
(329237)

Inventarisierung von Datenträgern
(329236)

Handhabung von Wechseldatenträgern
(329233)

Für welche Begriffe aus der ISO/IEC 27000 trifft eine der folgenden Definitionen zu?

Satz zusammenhängender und sich gegenseitig beeinflussender Tätigkeiten, der Eingaben in Ergebnisse umwandelt

Absichten und Ausrichtung einer Organisation, wie von der obersten Leitung formell ausgedrückt

Nichterfüllung einer Anforderung

Satz zusammenhängender und sich gegenseitig beeinflussender Elemente einer Organisation, um Politiken (Richtlinien), Ziele und Prozesse zum Erreichen dieser Ziele festzulegen

Person oder Personengruppe, die die rechtliche Verantwortung (accountability) für die Leistung und Konformität der Organisation trägt

Eigenschaft der Richtigkeit und Vollständigkeit

(Mehrfachnennung möglich)

(168233)

Prozess (process)
(329392)

Politik / Richtlinie (policy)
(329391)

Steuerungsgremium (governing body)
(329387)

Ein Verfahren für das Risikomanagement sieht vor, dass jedes Risiko in Hinblick auf zwei Faktoren analysiert wird: Schadensauswirkung (in Tausenden von Euro) und Eintrittswahrscheinlichkeit innerhalb eines Jahres (in Prozent). Als Risikoniveau ist der Erwartungswert des Schadens pro Jahr, also die Eintrittswahrscheinlichkeit multipliziert mit der Schadensauswirkung, definiert.

Beispiel: Für das Risiko A wird geschätzt, dass es mit 10% Wahrscheinlichkeit pro Jahr auftritt und einen Schaden von 50.000 Euro verursacht. Entsprechend wird sein Risikoniveau mit 5.000 Euro pro Jahr berechnet. In den Akzeptanzkriterien wurde (im Rahmen eines anderen Verfahrens) definiert, dass nur Risiken mit einem Niveau von unter 10.000 Euro pro Jahr akzeptiert werden.

Welche Aussagen treffen zu? (Mehrfachnennung möglich)

(168234)

Im beschriebenen Verfahren fehlt ein wichtiger dritter Risikofaktor
(329409)

Es handelt sich hier um ein Verfahren zur Risikoidentifikation
(329406)

Was ist bei der Festlegung des Anwendungsbereichs des Informationssicherheitsmanagementsystems (scope of the information security management system) zu beachten? (Mehrfachnennung möglich)

(168240)

Der Anwendungsbereich des ISMS muss vor Offenlegung (Verlust der Vertraulichkeit) geschützt werden.
(329473)

Der Anwendungsbereich des ISMS kann, zumindest grundsätzlich, danach eingeschränkt werden, welche Anforderungen der ISO/IEC 27001 erfüllt werden müssen.
(329471)

Ein Verfahren für das Risikomanagement sieht vor, dass jedes Risiko in Hinblick auf zwei Faktoren analysiert wird: Schadensauswirkung (in Tausenden von Euro) und Eintrittswahrscheinlichkeit innerhalb eines Jahres (in Prozent). Als Risikoniveau ist der Erwartungswert des Schadens pro Jahr, also die Eintrittswahrscheinlichkeit multipliziert mit der Schadensauswirkung, definiert.

Beispiel: Für das Risiko A wird geschätzt, dass es mit 10% Wahrscheinlichkeit pro Jahr auftritt und einen Schaden von 50.000 Euro verursacht. Entsprechend wird sein Risikoniveau mit 5.000 Euro pro Jahr berechnet. In den Akzeptanzkriterien wurde (im Rahmen eines anderen Verfahrens) definiert, dass nur Risiken mit einem Niveau von unter 10.000 Euro pro Jahr akzeptiert werden.

Welche Aussagen treffen zu? (Mehrfachnennung möglich)

(168234)

Das Risiko A entspricht dem genannten Risikoakzeptanzkriterium
(329401)

Was ist bei der Festlegung des Anwendungsbereichs des Informationssicherheitsmanagementsystems (scope of the information security management system) zu beachten? (Mehrfachnennung möglich)

(168240)

Der festgelegte Anwendungsbereich muss dokumentiert sein.
(329465)

Welche Dokumentation ist nach der ISO/IEC 27001 gefordert? (Mehrfachnennung möglich)

(168293)

Prozessdefinition Customer Relationship Management
(329940)

Zugangssteuerungsrichtlinie
(329935)

Informationssicherheitsrichtlinie
(329933)

Welche Tätigkeiten sind nach ISO/IEC 27001 im Rahmen der Lenkung von dokumentierter Information zu berücksichtigen? (Mehrfachnennung möglich)

(168294)

Aufbewahrung und Verfügung über den weiteren Verbleib
(329946)

Ablage/Speicherung und Erhaltung, einschließlich Erhaltung der Lesbarkeit
(329944)

Verteilung, Zugriff, Auffindung und Verwendung
(329943)

Was sind grundsätzliche Methoden zur Bewertung der Leistung eines ISMS? (Mehrfachnennung möglich)

(168296)

Umsetzung von Korrekturmaßnahmen
(329965)

Kontinuierliche Leistungsbeurteilung der Mitarbeiter
(329963)

Managementbewertungen
(329962)

Was trifft auf interne Audits im Kontext eines ISMS zu? (Mehrfachnennung möglich)

(168297)

Ihre Ergebnisse sind Basis für die Erklärung zur Anwendbarkeit.
(330419)

Sie dienen dazu, die Konformität des ISMS mit den Anforderungen der Organisation an ihr ISMS zu überprüfen
(329978)

Sie dienen dazu, die Konformität des ISMS mit den Anforderungen aus ISO/IEC 27001 zu überprüfen.
(329975)

Bei einer Managementbewertung sind Rückmeldungen über die Informationssicherheitsleistung miteinzubeziehen.

Zu welchen Aspekten bzw. Themen sind hierbei die Entwicklungen zu berücksichtigen? (Mehrfachnennung möglich)

(168299)

Gesamtkosten für das ISMS
(330000)

Ergebnisse von Überwachungen und Messungen
(329992)

Nichtkonformitäten und Korrekturmaßnahmen
(329991)

Welche Apekte muss eine Managementbewertung nach ISO/IEC 27001 behandeln? (Mehrfachnennung möglich)

(168300)

Status der aktuell in Bearbeitung befindlichen Sicherheitsereignisse
(330010)

Veränderungen bei externen und internen Themen
(330005)

Status von Maßnahmen vorheriger Managementbewertungen
(330004)

Sie beraten eine Organisation, die eine Zertfizierung nach ISO/IEC 27001 anstrebt, in Bezug auf ihren Umgang mit Informationssicherheitsrichtlinien. Welche Aussagen sind in diesem Zusammenhang richtig? (Mehrfachnennung möglich)

(168301)

Informationssicherheitsrichtlinien müssen in geplanten Abständen überprüft werden
(330014)

Informationssicherheitsrichtlinien müssen vom Information Security Officer genehmigt werden.
(330020)

Informationssicherheitsrichtlinien müssen an die Verfahren zum Umgang mit Informationssicherheitsvorfällen angeglichen werden.
(330018)

Welche Maßnahmen (Controls) gehören zum Maßnahmenziel "Interne Organisation" (A.6.1)? (Mehrfachnennung möglich)

(168302)

Beschäftigungs- und Vertragsbedingungen
(330027)

Informationssicherheit im Projektmanagement
(330026)

Kontakt mit speziellen Interessensgruppen
(330025)

Was ist im Kontext eines ISMS in Bezug auf die Informationsklassifizierung (Maßnahmenziel A.8.2) zu beachten? (Mehrfachnennung möglich)

(168306)

Bei der Klassifikation von Information ist ihre Kritikalität zu berücksichtigen.
(330060)

Bei der Klassifikation von Information ist ihr Wert zu berücksichtigen.
(330059)

Bei der Klassifikation von Information sind gesetzliche Anforderungen zu berücksichtigen.
(330058)

Was kann erwartet werden, wenn alle Maßnahmen zur Verwaltung der Werte (A.8) sinnvoll umgesetzt wurden? (Mehrfachnennung möglich)

(168307)

Die Rückgabe von Werten ist geregelt.
(330075)

Verantwortlichkeiten bzw. Zuständigkeiten für die Werte sind dokumentiert.
(330068)

Informationswerte der Organisation sind in einem Inventar der Werte (Asset-Inventar) erfasst.
(330067)

Welche der genannten Maßnahmen (controls) gehören zum Maßnahmenziel "Benutzerzugangsverwaltung" (A.9.2)? (Mehrfachnennung möglich)

(168309)

Physische Zutrittssteuerung
(330099)

Entzug oder Anpassung von Zugangsrechten
(330097)

Registrierung und Deregistrierung von Benutzern
(330093)

Was sollte im Zusammenhang mit Benutzerkennungen, Kennwörtern und weiterer Information zur Authentifizierung von Benutzern sichergestellt sein? (Mehrfachnennung möglich)

(168310)

Kennwörter basieren nicht auf relativ einfach zu ermittelnden Sachverhalten (z.B. Geburtsdatum, Namen von Familienangehörigen usw.)
(330105)

Kennwörter haben eine ausreichende Mindestlänge.
(330104)

Benutzer sind verpflichtet, die Regeln der Organisation zur Verwendung geheimer Authentisierungsinformation zu befolgen.
(330103)

Was sind Schutzziele für Informationen (Eigenschaften, die im Rahmen der Informationssicherheit erhalten werden sollen)? (Mehrfachnennung möglich)

(168314)

Anonymität
(330146)

Fachliche Korrektheit
(330143)

Nicht-Abstreitbarkeit (non-repudiation)
(330142)

Was umfasst ein (Informationssicherheits-)Managementsystem im Sinne der ISO/IEC 27000? (Mehrfachnennung möglich)

(168315)

Zuständigkeiten (Verantwortlichkeiten)
(330152)

Richtlinien
(330151)

Organisationsstrukturen
(330150)

Welche der folgenden Kontrollen beziehen sich auf das Kontrollziel "Einhaltung der gesetzlichen und vertraglichen Anforderungen" (A.18.1)? (Mehrfachnennung möglich)

(168320)

Einhaltung physikalischer Gesetze
(330339)

Datenschutz bzw. Schutz personenbezogener Information
(330333)

Wahrung geistiger Eigentumsrechte bzw. des Urheberrechts
(330332)

Man kann die Handhabung von Informationssicherheitsvorfällen und Verbesserungen, so wie sie in ISO/IEC 27001 A.16.1 beschrieben ist, als Prozess verstehen.

Welche Aktivitäten wären notwendig, um die Konformität zu ISO/IEC 27001 mit diesem Prozess zu erreichen? (Mehrfachnennung möglich)

(168322)

Veränderungen an der Infrastruktur vornehmen um zukünftige Informationssicherheitsereignisse zu vermeiden
(330353)

Informationssicherheitsereignisse beurteilen und klassifzieren (insbesondere in Hinblick darauf, ob ein Informationssicherheitsvorfall vorliegt oder nicht)
(330348)

Informationssicherheitsereignisse melden
(330346)

Ihre Organisation plant, die Langzeitarchivierung von Geschäftsdaten auszulagern (zu outsourcen). Unter anderem bewirbt sich die Firma ACME IT um diesen Auftrag. ACME IT wirbt damit, dass sie "nach ISO/IEC 27001 zertifziert sind". Sie wissen, dass das Zertifikat aktuell und gültig ist, nähere Informationen haben Sie aber nicht. Was bedeutet das grundlegende Vorliegen des Zertifikats bzw. welche folgenden Aussagen sind auf jeden Fall richtig? (Mehrfachnennung möglich)

(168323)

Eine akkreditierte Zertifzierungsstelle hat bestätigt, dass das ISMS der ACME IT die Anforderungen der ISO/IEC 27001 erfüllt.
(330360)

Alle von ACME IT erbrachten IT-Dienste unterliegen der Lenkung des ISMS.
(330357)

ACME IT betreibt ein ISMS.
(330356)

Welche Aussagen sind im Zusammenhang von Audits zutreffend? (Mehrfachnennung möglich)

(168325)

ISO/IEC 27007 beinhaltet einen Leifaden zur Auditierung von Informationssicherheitsmanagementsystemen und ergänzt ISO 19011.
(330367)

ISO 19011 beinhaltet einen Leitfaden zur Auditierung von Managementsystemen.
(330365)

Zertifizierungsaudits sind externe Audits.
(330364)

In ihrer Organisation sollen in einigen Monaten die Controls zu Lieferantenbeziehungen (A.15) auditiert werden. Welche Umstände würden auf alle Fälle eine Abweichung darstellen und sollten daher unbedingt vor dem Audit geändert werden? (Mehrfachnennung möglich)

(168326)

Einige Dienste werden von mehreren Lieferanten erbracht (co-sourcing).
(330376)

Informationssicherheitsanforderungen sind bezüglich der Kommunikation von Sicherheitsvorfällen mit den Hauptlieferanten nicht berücksichtigt.
(330375)

Die Informationssicherheitsanforderungen im Zusammenhang mit dem Zugriff von Lieferanten auf Werte sind nicht dokumentiert.
(330372)

Welche Controls sind Teil von A.14 "Anschaffung, Entwicklung und Instandhalten von Systemen" in der ISO/IEC 27001? (Mehrfachnennung möglich)

(168327)

Richtlinie für Entwicklung von Prototypen
(330382)

Richtlinie für sichere Entwicklung
(330381)

Schutz von Testdaten
(330377)

ICO IT Security Basics - de - sample set 1 - v2

Welche der folgenden Aussagen zum Thema "Cracker" sind richtig? (Mehrfachnennung möglich)

(168153)

Als Cracker werden Personen bezeichnet, die auf den angegriffenen Systemen Schaden verursachen.
(330175)

Eine Person, die von einer Firma mit einem Penetration Test beauftragt worden ist, wird als Cracker bezeichnet.
(330173)

Cracker sind oft Angestellte von Nachrichtendiensten, die Industriespionage betreiben.
(329003)

Welche der folgenden Ziele hat ein Penetrationstest? (Mehrfachnennung möglich)

(168162)

Feststellen der Identität des Angreifers.
(330209)

Die Identifikation von Schwachstellen.
(330216)

Bestätigung der Sicherheit durch eine unabhängige Person.
(329029)

Welche der folgenden Aussagen zum Begriff "Google Hacking" sind wahr? (Mehrfachnennung möglich)

(168164)

Google Hacking ist nur für registrierte Google Nutzer zugänglich.
(330231)

Mit Google Hacking ist der Angriff auf die Google Infrastruktur gemeint.
(329034)

site: ist ein Befehl, der verwendet werden kann, wenn man gezielt eine Information auf einer speziellen Seite sucht.
(330232)

Welche Aussagen bezüglich IT-Forensik sind wahr? (Mehrfachnennung möglich)

(168180)

Bei einer forensischen Analyse ist es prinzipiell wichtig, nach Spuren zu suchen, die die These, wie ein Angriff stattgefunden haben könnte, untermauern oder widerlegen.
(329085)

Die IT-Forensik ist eine streng methodisch vorgenommene Datenanalyse.
(330295)

Die IT-Forensik ist eine reine Post-Mortem-Analyse und beginnt immer erst dann, wenn der Sicherheitsvorfall bereits stattgefunden hat.
(330297)

Welche Anforderungen an eine forensische Untersuchung sind wahr? (Mehrfachnennung möglich)

(168182)

Der Einsatz von neuen Verfahren und Methoden ist prinzipiell nicht ausgeschlossen. Es sollte jedoch dann ein Nachweis der Korrektheit erfolgen.
(330300)

Es ist irrelevant, wenn zwei Experten durch Anwendung derselben Methode unter Zuhilfenahme derselben Tools zu unterschiedlichen Ergebnissen kommen.
(330302)

Mit demselben Ausgangsmaterial müssen Dritte bei gleicher Methodik und den gleichen Hilfsmitteln zu identischen Ergebnissen kommen.
(329089)

Was ist Vertraulichkeit? (Mehrfachnennung möglich)

(168183)

Eigenschaft, dass eine Information wohlbekannt und kommuniziert ist.
(329101)

Eine der Eigenschaften von Informationen, die im Rahmen der Informationssicherheit aufrechterhalten werden soll.
(329098)

Eigenschaft, dass Informationen unbefugten Parteien nicht verfügbar gemacht oder offengelegt werden.
(329097)

Welche Eigenschaften von Informationen sollen im Rahmen der Informationssicherheit aufrechterhalten werden? (Mehrfachnennung möglich)

(168184)

Stabilität
(329094)

Integrität
(329092)

Vertraulichkeit
(329091)

Bei welchen der folgenden Standards handelt es sich um allgemeine, nicht branchenspezifische Leitfäden aus der ISO/IEC 27000 Familie? (Mehrfachnennung möglich)

(168185)

ISO/IEC 27006
(329106)

ISO/IEC 27001
(329105)

ISO/IEC 27002
(329102)

Was trifft auf den Standard ISO/IEC 27001 zu? (Mehrfachnennung möglich)

(168186)

Die Norm legt die Anforderungen an Stellen fest, die ein Audit und eine Zertifizierung von Informationssicherheits-Managementsystemen anbieten.
(329113)

Er definiert Eigenschaften, die sichere informationsverarbeitende Systeme aufweisen müssen
(329112)

Er ist Teil einer größeren Standardfamilie
(329110)

Was trifft auf den PDCA-Zyklus zu? (Mehrfachnennung möglich)

(168187)

PDCA beschreibt die Prinzipien der Informationssicherheit.
(329119)

PDCA ist ein grundlegender Ansatz zur kontinuierlichen Verbesserung.
(329115)

P steht für "Plan", D für "Do", C für "Check" und A für "Act".
(329114)

Was trifft auf Prozesse im Kontext der ISO/IEC 27000 Standardfamilie zu? (Mehrfachnennung möglich)

(168188)

ISO/IEC 27002 definiert 14 Informationssicherheitsprozesse, um das Erreichen der Maßnahmenziele des Anhangs A der Norm ISO/IEC 27001 sicherzustellen
(329125)

Prozesse sind der formelle Ausdruck der von der obersten Leitung definierten Absichten und Ausrichtung einer Organisation
(329124)

Für Prozesse sollten klare Verantwortlichkeiten und ggf. Schnittstellen mit anderen Prozessen definiert sein
(329122)

Wobei handelt es sich um Kriterien, die gemäß ISO/IEC 27001 im Rahmen des Prozesses zur Beurteilung von Informationssicherheitsrisiken festgelegt und angewendet werden müssen? (Mehrfachnennung möglich)

(168194)

Kriterien zur Festlegung des Konformitätsgrades des ISMS
(329160)

Kriterien für die Risikodokumentation
(329159)

Kriterien zur Risikoakzeptanz
(329156)

Worüber sollen interne Audits Informationen liefern? (Mehrfachnennung möglich)

(168198)

Darüber, in welchen Abständen Überwachungs- und Wiederholungsaudits zur Aufrechterhaltung der Zertifizierung nach ISO/IEC 27001 durchgeführt werden müssen
(329184)

Darüber, ob ein maximales Informationssicherheitsniveau auf aktuellem Stand der Technik erzielt wurde
(329182)

Darüber, ob das ISMS die Anforderungen der Norm ISO/IEC 27001 erfüllt
(329180)

In welchen der folgenden Fälle liegt eine Verletzung der Integrität vor? (Mehrfachnennung möglich)

(168218)

Aus einem Dokument wurden unberechtigterweise Informationen entfernt.
(329302)

Einem Dokument wurden unberechtigterweise weitere Informationen hinzugefügt.
(329301)

Informationen in einem Dokument wurden unberechtigterweise umorganisiert, also in ihrer Reihenfolge verändert.
(329300)

Welche der folgenden Aussagen zum Anhang A der Norm ISO/IEC 27001 sind korrekt? (Mehrfachnennung möglich)

(168223)

Der Anhang A ist normativ, und sofern Ausschlüsse vorgenommen werden, müssen diese begründet werden.
(329333)

Im Anhang A sind Maßnahmen (Controls) definiert.
(329332)

Im Anhang A sind Maßnahmenziele (Control Objectives) definiert.
(329331)

Welche der folgenden Antworten beschreiben Methoden für die Informationsbeschaffung? (Mehrfachnennung möglich)

(168249)

Identifikation von Zutrittskontrollen
(329562)

Test der Zutrittskontrollen
(329563)

Identifikation von Systemen
(329559)

Was sind mögliche Angriffsvektoren beim reinen Social Engineering? (Mehrfachnennung möglich)

(168281)

Der Social Engineer knackt die Türen zu den Büroräumen, um Zutritt zu erhalten.
(329826)

Der Social Engineer schreibt dem Opfer eine E-Mail, um dieses zu einer bestimmten Handlung zu bewegen.
(329825)

Der Social Engineer ruft das Opfer per Telefon an, um es zu einer bestimmten Handlung zu bewegen.
(329824)

Welche öffentliche Quellen sind geeignet, um an Informationen über das Opfer zu gelangen? (Mehrfachnennung möglich)

(168282)

E-Mail Adressen auf der Homepage des Unternehmen können den Namen von Mitarbeitern enthalten.
(329834)

Die Homepage des Unternehmens ist eine gute Quelle, um an private Informationen über das Opfer zu gelangen.
(329837)

Soziale Netzwerke sind gute Quellen, um an private Informationen über das Opfer zu gelangen.
(329832)

Was sind mögliche Angriffsszenarien, um die Autoritätshörigkeit von Mitarbeitern auszunutzen? (Mehrfachnennung möglich)

(168283)

Der Social Engineer manipuliert den Systemadministror PC.
(329845)

Der Social Engineer manipuliert das Smartphone des Chefs, um an seine Kontaktliste zu gelangen.
(329847)

Der Social Engineer verkleidet sich als Polizeibeamter.
(329840)

Welche der folgenden Tätigkeiten gelten als aktives Footprinting? (Mehrfachnennung möglich)

(168318)

Portscan auf der Zielwebseite
(330308)

OS-Fingerprinting
(330303)

Besuch auf der Webseite
(330309)

ICO ITSM 20000:2018 fnd - de - sample set 1 - v1

Welche der folgenden Aussagen sind im Hinblick auf die Begriffe und Definitionen aus ISO/IEC 20000-1 korrekt? (Mehrfachnennung möglich)

(168715)

Eine Anfrage eines Anwenders nach Informationen oder Beratung / Unterstützung ist ein Service Request.
(333328)

Ein bekannter Fehler (Known Error) ist ein Incident, der in den letzten 28 Tagen mehr als 3 mal aufgetreten ist.
(333327)

Eine ungeplante Verminderung der Service-Qualität ist ein Incident.
(333325)

Welche der folgenden Aussagen sind im Hinblick auf Services, Prozesse, Richtlinien und Verfahren in einem Service Management System (SMS) korrekt? (Mehrfachnennung möglich)

(168716)

Während ein Verfahren Absichten und Richtungen vorgibt, die durch das Top-Management formell zum Ausdruck gebracht werden, ist eine Richtlinie eine definierte Art und Weise, eine Aktivität oder einen Prozess durchzuführen.
(333334)

In einem SMS sind Prozesse erforderlich, um sicherzustellen, dass die für das Service Management erforderlichen Aktivitäten strukturiert durchgeführt werden und zu wiederholbaren Ergebnissen führen.
(333330)

Durch einen Service wird dem Kunden des Service ein Nutzen / Mehrwert geboten.
(333329)

Welche der folgenden Aussagen sind in Bezug auf den Geltungsbereich (Scope) eines Service Management Systems (SMS) korrekt? (Mehrfachnennung möglich)

(168717)

Der Geltungsbereich bestimmt die Anzahl der internen Audits, die durchgeführt werden, um die Leistung des SMS zu bewerten.
(333338)

Der Geltungsbereich des SMS muss alle von der Organisation erbrachten Services umfassen.
(333337)

Der Geltungsbereich bestimmt die Grenzen und die Anwendbarkeit des SMS.
(333335)

Durch welche der folgenden Aktivitäten muss das Top-Management gemäß ISO/IEC 20000-1 seine Führungsrolle und sein Engagement für das Service Management System (SMS) unter Beweis stellen? (Mehrfachnennung möglich)

(168718)

Freigabe jedes Dokuments, das Teil der SMS ist
(333345)

Sicherstellen, dass ein Service-Management-Plan erstellt wird
(333341)

Sicherstellen, dass eine Service-Management-Richtlinie etabliert wird
(333340)

Welche der folgenden Aussagen sind in Bezug auf die Service-Management-Richtlinie korrekt? (Mehrfachnennung möglich)

(168719)

Sie muss alle Anforderungen der Norm ISO/IEC 20000-1 enthalten.
(333351)

Sie muss detaillierte Verfahren für jeden Service-Management-Prozess enthalten.
(333349)

Sie ist innerhalb der Organisation zu kommunizieren und, soweit erforderlich, interessierten Parteien zur Verfügung zu stellen.
(333348)

Um sein Service Management System (SMS) zu planen, muss eine Organisation einen Service-Management-Plan erstellen. Welche der folgenden Aussagen sind gemäß ISO/IEC 20000-1 in Bezug auf den Service-Management-Plan korrekt? (Mehrfachnennung möglich)

(168720)

Der Service-Management-Plan muss die für den Betrieb des SMS und der Services erforderlichen Ressourcen enthalten oder darauf referenzieren.
(333355)

Der Service-Management-Plan muss die Befugnisse und Verantwortlichkeiten für das SMS und die Services enthalten oder darauf referenzieren.
(333354)

Der Service-Management-Plan muss die Liste der Services enthalten oder darauf referenzieren.
(333353)

Was muss in einem Service Management System (SMS), das Konformität mit ISO/IEC 20000-1 beansprucht, dokumentiert sein? (Mehrfachnennung möglich)

(168721)

Aufzeichnungen aller Aktivitäten, die von der Organisation ausgeführt werden
(333363)

Service Level Agreements (SLAs)
(333361)

Service-Katalog(e)
(333360)

Welche der folgenden Aussagen sind gemäß ISO/IEC 20000-1 in Bezug auf Kompetenz und Bewusstsein von Personen, die unter der Kontrolle der Organisation arbeiten, korrekt? (Mehrfachnennung möglich)

(168722)

Die entsprechenden Personen müssen sich darüber bewusst sein, welchen Beitrag sie zur Wirksamkeit des SMS leisten.
(333366)

Die entsprechenden Personen müssen auf der Grundlage angemessener Ausbildung, Schulung oder Erfahrung kompetent sein.
(333365)

Die erforderlichen Kompetenzen von Personen, die Aktivitäten ausführen, die die Leistung und Wirksamkeit des SMS beeinflussen, müssen bestimmt werden.
(333364)

Welche der folgenden Aussagen sind hinsichtlich der Beziehungen und Vereinbarungen zwischen den am Service Lifecycle beteiligten Parteien korrekt (ISO/IEC 20000-1, Abschnitt 8.3.1)? (Mehrfachnennung möglich)

(168723)

Um Konformität mit ISO/IEC 20000-1 zu erzielen, dürfen in der Lieferkette der Organisation keine Unterauftragnehmer (unterbeauftragte Supplier) auftreten.
(333372)

Das Management von SLAs unterliegt den Prozessen Business Relationship Management und Service Level Management.
(333370)

Das Management von Verträgen mit externen Suppliern unterliegt dem Prozess Supplier Management.
(333369)

Welche der folgenden Aussagen sind in Bezug auf Services und das Serviceportfolio korrekt (ISO/IEC 20000-1, Abschnitt 8.2)? (Mehrfachnennung möglich)

(168724)

Die Pflege des Servicekatalogs unterliegt dem Prozess Configuration Management.
(333378)

Ein Servicekatalog kann vorgeschlagene Services, in der Entwicklung befindliche Services, Live-Services und stillgelegte Services umfassen.
(333377)

Das Serviceportfolio kann vorgeschlagene Services, in der Entwicklung befindliche Services, Live-Services und stillgelegte Services umfassen.
(333374)

Welche der folgenden Informationen müssen gemäß ISO/IEC 20000-1 für jedes Configuration Item (CI) erfasst werden? (Mehrfachnennung möglich)

(168725)

Priorität
(333383)

Beziehung zu anderen CIs
(333381)

Typ des CI
(333379)

Welche der folgenden Aktivitäten sind im Rahmen der Service-Management-Prozesse zu Supply & Demand erforderlich (ISO/IEC 20000-1, Abschnitt 8.4)? (Mehrfachnennung möglich)

(168726)

Kapazitätsplanung mit dem Ziel, ausreichende Kapazitäten bereitzustellen, um den vereinbarten Bedarf (Demand) zu decken.
(333387)

Ermittlung des aktuellen und prognostizierten zukünftigen Bedarfs (Demand) an Services
(333386)

Budgetierung der Service-Kosten
(333385)

Welche der folgenden Aussagen sind im Hinblick auf ein effektives Informationssicherheits-Management (ISO/IEC 20000-1, Abschnitt 8.7.3) korrekt? (Mehrfachnennung möglich)

(168727)

Informationssicherheitsmaßnahmen (Information Security Controls) werden implementiert, um alle potenziellen Informationssicherheitsrisiken zu minimieren und ein Höchstmaß an Informationssicherheit zu erreichen.
(333394)

Informationssicherheitsmaßnahmen (Information Security Controls) werden festgelegt, um identifizierte Informationssicherheitsrisiken zu behandeln.
(333392)

Die Informationssicherheits-Richtlinie wird zur Verfügung gestellt und ihre Bedeutung an relevante Personen innerhalb der Organisation, an Kunden und Anwender sowie Lieferanten und andere interessierte Parteien kommuniziert.
(333391)

Welche der folgenden Prozesse sind Teil der Service-Lifecycle-Phase „Service Design, Build & Transition" (ISO/IEC 20000-1, Abschnitt 8.5)? (Mehrfachnennung möglich)

(168728)

Capacity Management
(333401)

Configuration Management
(333399)

Change Management
(333396)

Welche der folgenden Faktoren sind gemäß ISO/IEC 20000-1 bei der Entscheidung über die Genehmigung und Priorität von Änderungsanträgen (Requests for Changes) zu berücksichtigen? (Mehrfachnennung möglich)

(168729)

Anzahl der bereits auf die Genehmigung wartenden Änderungsanträge
(333406)

Nutzen aus Business-/Kundensicht
(333403)

Risiken
(333402)

Welche der folgenden Aussagen sind im Hinblick auf ein effektives Change Management (ISO/IEC 20000-1, Abschnitt 8.5.1) korrekt? (Mehrfachnennung möglich)

(168730)

Die Aktivitäten zur Rücknahme oder Mängelbeseitigung eines erfolglosen Changes werden geplant und, wenn möglich, getestet.
(333410)

Genehmigte Changes werden, soweit möglich, getestet.
(333409)

Es gibt eine Change-Management-Richtlinie, die die Kategorien von Changes definiert.
(333408)

Welche der folgenden Aspekte müssen in die Planung neuer oder geänderter Services aufgenommen werden? (Mehrfachnennung möglich)

(168731)

Anzahl der Probleme, die während der Transition-Phase auftreten dürfen
(333417)

Service-Abnahmekriterien
(333415)

Verantwortlichkeiten für Design, Build- und Transition-Aktivitäten
(333413)

Welche der folgenden Prozesse sind Teil der Service-Lifecycle-Phase "Resolution & Fulfilment" (ISO/IEC 20000-1, Abschnitt 8.6)? (Mehrfachnennung möglich)

(168732)

Change Management
(333421)

Service Request Management
(333419)

Incident Management
(333418)

Welche der folgenden Aktivitäten sind im Rahmen eines effektiven Incident Managements (ISO/IEC 20000-1, Abschnitt 8.6.1) für jeden Incident erforderlich? (Mehrfachnennung möglich)

(168733)

Verifizierung
(333428)

Priorisierung
(333425)

Aufzeichnung und Klassifizierung
(333424)

Welche der folgenden Aussagen sind im Hinblick auf den effektiven Umgang mit Major Incidents im Rahmen des Prozesses Incident Management (ISO/IEC 20000-1, Abschnitt 8.6.1) korrekt? (Mehrfachnennung möglich)

(168734)

Nach der Behebung wird jeder Major Incident einem Review unterzogen, um Verbesserungsmöglichkeiten zu identifizieren.
(333432)

Das Top-Management wird über Major Incidents auf dem Laufenden gehalten.
(333431)

Kriterien zur Identifizierung eines Major Incident sind festgelegt.
(333430)

Welche der folgenden Aussagen sind im Hinblick auf eine effektive Priorisierung von Incidents, Problemen und Service Requests korrekt (ISO/IEC 20000-1, Abschnitte 8.6.1, 8.6.2 und 8.6.3)? (Mehrfachnennung möglich)

(168735)

Während Incidents und Probleme priorisiert werden, ist das bei Service Requests nicht der Fall.
(333441)

Die Dringlichkeit, mit der ein Incident gelöst werden muss, ist unabhängig von jeglichen SLAs mit Kunden.
(333440)

Die Priorisierung von Incidents berücksichtigt deren Auswirkungen und Dringlichkeit.
(333436)

Welche der folgenden Faktoren sind gemäß ISO/IEC 20000-1 bei der Festlegung der Anforderungen und Ziele für die Service-Verfügbarkeit zu berücksichtigen? (Mehrfachnennung möglich)

(168736)

Service-Abnahmekriterien
(333446)

Risiken
(333444)

SLAs
(333443)

Welche der folgenden Aktivitäten sind Gegenstand eines effektiven Prozesses zum Service Continuity Management (ISO/IEC 20000-1, Abschnitt 8.7.2)? (Mehrfachnennung möglich)

(168737)

Pflege und Aktualisierung von Informationen über bekannte Fehler
(333451)

Erstellen von Service-Continuity-Plänen
(333449)

Ermittlung der Anforderungen an die Service Continuity
(333448)

Unter welchen Umständen müssen die Service-Continuity-Pläne gemäß ISO/IEC 20000-1 getestet oder erneut getestet werden? (Mehrfachnennung möglich)

(168738)

Nach einem Major Incident
(333458)

Nachdem ein neues Problem identifiziert wurde.
(333456)

Nach einer erheblichen Änderung (Major Change) der Serviceumgebung
(333455)

Welche der folgenden Aktivitäten müssen gemäß ISO/IEC 20000-1 in geplanten Abständen durchgeführt werden, um die Leistung eines Service Management Systems (SMS) zu bewerten? (Mehrfachnennung möglich)

(168739)

Wirtschaftlichkeitsanalyse
(333464)

Balanced Scorecard-Analyse
(333463)

Interne Audits
(333460)

Welche der folgenden Aussagen sind im Hinblick auf interne Audits und Management-Reviews in einem Service Management System (SMS) korrekt? (Mehrfachnennung möglich)

(168740)

Management-Reviews können von Senior Consultants im Auftrag des Top-Managements der Organisation durchgeführt werden.
(333469)

Die Ergebnisse interner Audits sind ein Input für das Management-Review.
(333468)

Auditoren dürfen ihre eigene Arbeit oder ihren eigenen Verantwortungsbereich nicht auditieren, um die Objektivität und Unparteilichkeit des Auditprozesses zu gewährleisten.
(333467)

Welche der folgenden Aussagen sind angesichts der Anforderungen der ISO/IEC 20000-1 im Hinblick auf die kontinuierliche Verbesserung eines Service Management Systems (SMS) korrekt? (Mehrfachnennung möglich)

(168741)

Auditergebnisse können genutzt werden, um Verbesserungspotenziale zu identifizieren.
(333474)

Die Services unterliegen der kontinuierlichen Verbesserung.
(333473)

Alle Elemente des SMS, einschließlich der Prozesse und Verfahren, unterliegen der kontinuierlichen Verbesserung.
(333472)

Welche der folgenden Zuweisungen von Hauptschlüsselwörtern sind für das jeweils genannte Management-Framework oder die genannte Norm korrekt? (Mehrfachnennung möglich)

(168742)

ITIL: Auditierbare Anforderungen ans IT Service Management
(333481)

ISO 9001: Qualitätsmanagementsysteme
(333478)

FitSM: Leichtgewichtiges / schlankes IT Service Management
(333477)

Welche der folgenden Aussagen sind in Bezug auf die Beziehungen zwischen der Norm ISO/IEC 20000-1 und den verwandten Management-Rahmenwerken oder Standards korrekt? (Mehrfachnennung möglich)

(168743)

Sowohl ISO/IEC 20000-1 als auch FitSM (Teil 1) definieren Anforderungen an ein Service Management System (SMS).
(333484)

Die Anforderungen an das Informationssicherheitsmanagement in ISO/IEC 20000-1 (Abschnitt 8.7.3) stellen einen Auszug aus den Anforderungen der ISO/IEC 27001 dar.
(333483)

ISO 9001 kann als gemeinsame Grundlage für die meisten Managementsystem-Normen angesehen werden, einschließlich ISO/IEC 20000-1.
(333482)

Welche der folgenden Aussagen sind im Hinblick auf die Zertifizierung eines Service Management Systems (SMS) nach ISO/IEC 20000-1 korrekt? (Mehrfachnennung möglich)

(168744)

Das Zertifikat nach ISO/IEC 20000-1 bescheinigt, dass für alle Services im Zertifizierungsumfang (Scope) das höchstmögliche Service-Level erreicht wurde.
(333489)

Nach der Ausstellung beträgt die Gültigkeit des Zertifikats in der Regel 3 Jahre, mit jährlichen Überwachungsaudits.
(333488)

Das Zertifizierungsaudit wird von einer anerkannten Zertifizierungsstelle durchgeführt.
(333487)

ICO BlockChain:2018 fnd - de - sample set 1 - v1

Welche der folgenden Aussagen sind zum Thema asymmetrische Verschlüsselungen korrekt? (Mehrfachnennung möglich)

(168176)

RSA (Rivest, Shamir und Adleman) ist ein asymmetrisches kryptographisches Verfahren, das sowohl zum Verschlüsseln, als auch zum digitalen Signieren verwendet werden kann.
(330284)

„Asymmetrisches Kryptosystem“ ist ein Oberbegriff für Public-Key-Verschlüsselungsverfahren, Public-Key-Authentifizierung und digitale Signaturen.
(330283)

Bei einem asymmetrischen Verschlüsselungsverfahren werden speziell aufeinander abgestimmte Schlüsselpaare verwendet.
(330281)

Welche der folgenden Aussagen bezüglich Hash-Funktionen sind wahr? (Mehrfachnennung möglich)

(168177)

Die kryptologische Hashfunktion ist eine spezielle Form der Hashfunktion, welche kollisionsresistent oder eine Einwegfunktion (oder beides) ist.
(330286)

Eine Hash-Funktion ist eine zwischen zwei Parteien vereinbarte Zeichenfolge, die zur Authentifizierung benutzt wird.
(330285)

MD5 (Message-Digest-Algorithmus 5) ist ein Beispiel für eine Hash-Funktion.
(329075)

Was ist Vertraulichkeit? (Mehrfachnennung möglich)

(168183)

Eigenschaft, dass eine Information wohlbekannt und kommuniziert ist.
(329101)

Eigenschaft, dass eine Entität das ist, was sie vorgibt zu sein.
(329100)

Eine der Eigenschaften von Informationen, die im Rahmen der Informationssicherheit aufrechterhalten werden soll.
(329098)

Welche der folgenden Systeme beschreiben symmetrische Kryptosysteme? (Mehrfachnennung möglich)

(168251)

RSA
(329579)

DES - Data Encryption Standard
(329576)

AES - Advanced Encryption Standard
(329575)

Welche der folgenden Aussagen über Bitcoin sind wahr? (Mehrfachnennung möglich)

(168776)

Bitcoin ermöglichte zum ersten Mal sichere Online-Zahlungen.

(333669)

Die Zufuhr von frischem Bitcoin ist vorhersehbar.
(333667)

Der Bitcoin-Preis wird durch Nachfrage und Angebot des Marktes bestimmt.
(333666)

Welche der folgenden Aussagen bezüglich digitaler Währung sind wahr? (Mehrfachnennung möglich)

(168796)

Jeder Teilnehmer des Bitcoin-Netzwerks ist durch seinen einzigen öffentlichen Schlüssel identifizierbar.
(333788)

Die Transaktionen von Bitcoin basieren auf anonymen Identitäten.
(333786)

Die Transaktionen von Bitcoin basieren auf pseudonymen Identitäten.
(333783)

Welche Aussagen treffen auf die Distributed-Ledger-Technologie zu? (Mehrfachnennung möglich)

(168805)

Nur Blockchains mit verschlüsselten Nutzdaten werden Distributed-Ledger-Ketten genannt.
(333841)

Die Distributed-Ledger-Technologien unterscheiden sich durch die Art, wie eine Vereinbarung erzielt wird (Konsensus).
(333838)

Es wird auch von dezentral geführten Kontobüchern oder Transaktionsdatenbanken gesprochen.
(333837)

Was ist bezüglich der Definition von zentralen bzw. dezentralen Systemen richtig? (Mehrfachnennung möglich)

(168806)

Bei dezentralen Systemen muss jeder Knoten immer mit jedem anderen Knoten kommunizieren.
(333846)

Bei einem dezentralen System gibt es immer einen Single Point of Failure, der das System zum Stillstand bringen kann.
(333845)

Ein verteiltes (dezentrales) System ist ein Zusammenschluss unabhängiger Computer, die sich für den Benutzer als ein einziges System präsentieren.
(333843)

Welche Art von Blockchain liegt vor, wenn jeder Teilnehmer einen neuen Block erzeugen kann? (Mehrfachnennung möglich)

(168807)

symmetrische Blockchain
(333855)

public Blockchain
(333853)

private Blockchain
(333852)

Welche Aussagen sind bezüglich Hash-Funktionen richtig? (Mehrfachnennung möglich)

(168808)

Die Hash-Funktion wird bei Blockchains benötigt, um einen Konsens im Verbund zu erreichen.
(333863)

Bei gegebenem Hash-Wert muss man immer auf die ursprüngliche Information schließen können (Prüffunktion).
(333859)

Zwei identische Zeichenfolgen sollten immer den gleichen Hash-Wert ergeben.
(333857)

Was ist bezüglich Anonymisierung und Pseudonymisierung richtig? (Mehrfachnennung möglich)

(168809)

Die Anonymisierung ist das Verändern personenbezogener Daten derart, dass diese Daten nicht mehr einer Person zugeordnet werden können.
(333867)

Bei Pseudonymisierung ist darauf zu achten, dass jede beteiligte Person nur genau ein Pseudonym hat.
(333866)

Bei Anonymisierung werden die personenbezogenen Daten derart verändert, dass diese Daten nur noch mit Hilfe der Person selbst widerhergestellt werden können.
(333865)

Bewerten Sie die Aussagen zum Thema Eigentum und Blockchain. Kreuzen Sie nur wahre Aussagen an. (Mehrfachnennung möglich)

(168810)

Bei einer Blockchain-Transaktion geht das Eigentum kurz auf den neutralen Dritten über, damit er die Echtheit bestätigen kann.
(333874)

Durch Übergabe des privaten Schlüssels kann ein Eigentumswechsel herbeigeführt werden, der die Blockchain nicht verändert.
(333872)

Bei einer Blockchain kann der Eigentümer sich ausweisen, weil er zu einem Pseudonym bzw. dessen veröffentlichten Schlüssel genau den passenden privaten Schlüssel besitzt.
(333871)

Welche Aussagen sind zum Thema Proof-of-Work (POW) richtig? (Mehrfachnennung möglich)

(168811)

Die Teilnehmer versuchen beim POW durch Ausführung von intensiven Rechenoperationen ein Ergebnis mit bestimmten Eigenschaften zu finden.
(333882)

POW dient dazu, einen Konsens zu erzielen.
(333878)

POW wird nur bei Bitcoins eingesetzt.
(333877)

Welche Aussagen sind zum Thema Proof-of-Stake (POS) richtig? (Mehrfachnennung möglich)

(168812)

Die Aktivität wird "Schmieden" genannt.
(333891)

Bei POS ist es nicht möglich, das Netzwerk allein durch Besitz von Rechenleistung zu übernehmen.
(333889)

POS wird derzeit NICHT bei Bitcoin eingesetzt.
(333885)

Welche Anforderungen werden an ein Proof-of-Work (POW) gestellt? (Mehrfachnennung möglich)

(168813)

nur mit Vorwissen lösbar
(333898)

schwer zu überprüfen
(333895)

schwer zu lösen
(333893)

Markieren Sie nur wahre Aussagen zum Thema Kryptowährung: (Mehrfachnennung möglich)

(168814)

Eine Kryptowährung ist stets inflationär.
(333906)

Der Wert einer solchen Währung entsteht ausschließlich durch Angebot und Nachfrage einer spezifischen Gruppe von Menschen, die an diese Währung glauben.
(333903)

Eine Kryptowährung muss nicht zwangsläufig in einer Blockchain verwaltet werden.
(333901)

Welche Aussagen zu den gängigen Einheiten eines Bitcoins sind korrekt? (Mehrfachnennung möglich)

(168815)

10 Bitcent sind ein Bitcoin.
(333913)

10.000.000 Satoshi ergeben einen Bitcoin.
(333911)

Bitcoins unterteilen sich jeweils in 100 Millionen Teile.
(333907)

Um eine Bitcoin-Transaktion anzustoßen, benötigt der Sender … (Mehrfachnennung möglich)

(168816)

... den privaten Schlüssel des Empfängerkontos.
(333918)

... den Überweisungsbetrag.
(333915)

... die Bitcoin Adresse des Empfängerkontos.
(333914)

Welche Konsens-Algorithmen sind derzeit bekannt? (Mehrfachnennung möglich)

(168817)

Proof of Peer
(333924)

Proof of Time
(333923)

Proof of Work
(333919)

Welche Aussagen treffen auf Smart Contracts zu? (Mehrfachnennung möglich)

(168818)

Smart Contracts können eine Blockchain ersetzen.
(333933)

Smart Contracts sind Verträge, die auf Computerprotokollen und einer Blockchain basieren, aber sich nicht selbst ausführen und prüfen können.
(333931)

Smart Contracts sind vergleichbar mit herkömmlichen Verträgen.
(333929)

Was sind die Vorteile von Smart Contracts? (Mehrfachnennung möglich)

(168819)

Ausgereifte Technologie
(333941)

Effizienz
(333937)

Sicherheit
(333936)

Welche sind die verschiedenen Token-Klassen (nach BaFin - Bundesanstalt für Finanzdienstleistungsaufsicht)? (Mehrfachnennung möglich)

(168820)

Utility-Token
(333945)

Security-Token
(333944)

Payment-Token
(333943)

Welche Aussagen treffen auf Initial Coin Offering (ICO) zu? (Mehrfachnennung möglich)

(168821)

Bitcoin wird als bevorzugte Plattform für ICOs genutzt.
(333955)

ICO Token basieren häufig auf INFLUE-Token.
(333954)

ICO ist eine Möglichkeit, Geldmittel für Krypto-Projekte zu sammeln.
(333951)

Was ist bezüglich des Block Rewards bei Bitcoin eine korrekte Aussage? (Mehrfachnennung möglich)

(168822)

Zu dem Zeitpunkt an dem der Block Reward auf unter 100 BTC sinkt ist vorgesehen auch die Transaktionsgebühren nicht mehr zu erheben.
(333962)

Alle Miner die das Computational Puzzle gelöst haben werden belohnt, egal ob Ihre Blockkette fortgeführt wird oder nicht.
(333961)

Ein Block Reward bezieht sich auf die Kryptowährung, die ein Miner erhält, wenn er einen neuen Block erfolgreich validiert.
(333957)

Welche Vorschriften der Datenschutz-Grundverordnung (DSGVO/GDPR) sind besonders kritisch hinsichtlich einer Public Blockchain? (Mehrfachnennung möglich)

(168823)

Die Integrität von personenbezogenen Daten muss gegeben sein.
(333969)

Das Recht auf Vergessenwerden.
(333965)

Personenbezogene Daten dürfen die EU nicht verlassen.
(333964)

Was verspricht man sich beim Betreiben einer Blockchain durch das Weglassen des zentralen, vertrauenswürdigen Dritten (Intermediär)? (Mehrfachnennung möglich)

(168824)

Die Transaktionen sind unlöschbar und durch niemanden fälschbar.
(333973)

Die Transaktionen werden schneller.
(333971)

Die Transaktionen werden günstiger.
(333970)

Welche Möglicheiten bestehen, um Inkompatibilitäten mit der Datenschutz-Grundverodnung (DSGVO/GDPR) zu umgehen? (Mehrfachnennung möglich)

(168825)

SegWit
(333981)

Lightning Protokoll
(333980)

vom Gesetzgeber zu publizierende Sonderregelungen für Blockchains im Rahmen der GDPR
(333978)

Welche Eigenschaften hat eine Wallet (Geldbörse)? (Mehrfachnennung möglich)

(168826)

Das Key-Paar (Public & Private Key) wird in eine öffentliche Adresse (Kontonummer) umgewandelt.
(333989)

Die Wallet generiert für jede Adresse ein Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel.
(333985)

Bitcoins können mit Hilfe einer Wallet (Geldbörse) verwaltet werden.
(333984)

Welche Aussagen treffen auf die Bitcoin Blockchain zu? (Mehrfachnennung möglich)

(168827)

Ein Bitcoin kann nicht verloren gehen.
(333998)

Es gibt keine Obergrenze für die erzeugbare Bitcoin-Gesamtzahl.
(333997)

Der Konsens-Mechanismus ist Proof of Work.
(333993)

Was sind Nachteile der Blockchain-Technologie? (Mehrfachnennung möglich)

(168828)

Kaum Schutz vor Datenverlust
(334001)

Keine einfache Einbindung in bestehende Regulationen (z.B. DSGVO/GDPR)
(334000)

Geringer Datendurchsatz und geringe Anzahl an Transaktionen
(333999)

BaySec ISIS12 - de - sample set 1 - v2

Welche der folgenden Schritte gehören zur "Initialisierungsphase"? (Mehrfachnennung möglich)

(168511)

Revision einleiten
(331777)

Informationssicherheitsteam aufbauen
(331774)

Mitarbeiter prüfen
(331773)

Mitarbeiter sensibilisieren
(331772)

Welche der folgenden Schritte gehören zur Phase "Festlegung der Aufbau- und Ablauforganisation"? (Mehrfachnennung möglich)

(168512)

Umsetzen
(331786)

IT-Service-Management-Prozesse einführen
(331783)

Mitarbeiter sensibilisieren
(331780)

Leitlinie für Informationssicherheit erstellen
(331779)

Welche der folgenden Schritte gehören zur Phase "Entwicklung und Umsetzung Sicherheitskonzept"? (Mehrfachnennung möglich)

(168513)

Bericht erstellen
(331797)

Revision
(331795)

IT-Struktur analysieren
(331790)

Kritische Applikationen identifizieren
(331789)

Welche der folgenden Schritte sind laut ISIS12 direkte Vorgänger und Nachfolger? (Mehrfachnennung möglich)

(168514)

Zuerst die IT-Service-Management-Prozesse erstellen und dann die Mitarbeiter instruieren
(331819)

Zuerst die Modellierung und dann IT-Servicemanagement einführen
(331818)

Zuerst die IT-Dokumentation erstellen und dann den IT-Servicemanagement einführen
(331805)

Zuerst das Informationssicherheitsteam aufbauen und dann die IT-Dokumentation erstellen
(331804)

Welche der folgenden Aussagen sind bzgl. der Leitlinie für Informationssicherheit korrekt? (Mehrfachnennung möglich)

(168515)

Die Leitlinie für Informationssicherheit definiert die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit
(333144)

Die Mitarbeiter müssen die Leitungsebene zur Einhaltung der Leitlinie für Informationssicherheit motivieren
(333143)

Die Leitlinie für Informationssicherheit ist das zentrale Strategiepapier zum Thema Informationssicherheit
(333139)

Die Leitlinie für Informationssicherheit beschreibt die Sicherheitsziele der Organisation
(332958)

Welche der folgenden Aussagen bezüglich der Zertifizierung von Organisationen sind richtig? (Mehrfachnennung möglich)

(168521)

Empfehlungen des Auditors, die im Rahmen der kontinuierlichen Verbesserung geprüft wurden, aber nicht umgesetzt sind, führen im Folgeaudit immer zu einer geringfügigen Abweichung.
(331866)

Bei Vorliegen einer schwerwiegenden Abweichung ist die Ausstellung eines ISIS12-Zertifikats möglich, wenn diese bis zum nächsten Überwachungsaudit ausgebessert wird. Ab zwei schwerwiegenden Abweichungen ist die Ausstellung nicht möglich.
(331859)

Der Auditor muss nach Wichtigkeit entscheiden, welcher Standort von Bedeutung ist und somit bei der Planung Vorrang hat.
(331850)

Das Erstzertifizierungsaudit erfolgt in einer einzigen Phase. Ein Vor-Audit ist nicht zwingend vorgesehen.
(331848)

Welche der folgenden Aussagen sind bezüglich der Phase "Umsetzungsprüfung – ISIS12-Sicherheitsmaßnahmen" und der Auswahl der Bausteinen bei einem Überwachungsaudit richtig? (Mehrfachnennung möglich)

(168527)

Der Auditor muss einen Baustein aus Schicht 3 oder 4 wählen.
(331897)

Der Auditor muss einen Baustein aus Schicht 2 wählen.
(331896)

Der Auditor muss einen Baustein aus Schicht 1 wählen.
(331895)

Der Auditor hat die wirksame Umsetzung von Sicherheitsmaßnahmen aus 2 Bausteinen zu prüfen.
(331893)

Welche Eigenschaften haben Überwachungsaudits bei einer nach ISIS12 zertifizierten Organisation? (Mehrfachnennung möglich)

(168529)

Es findet ein Überwachungsaudit pro Jahr statt
(332991)

Die Anzahl der Überwachungsaudits wird im Auditbericht der Erstzertifizierung festgelegt
(332990)

Überwachungsaudits müssen von ISIS12-lizenzierten Auditoren durchgeführt werden
(332988)

Überwachungsaudits sind unabhängig vom Zertifizierungsprozess
(332987)

In welchen der folgenden Fälle liegt eine Verletzung der Integrität vor? (Mehrfachnennung möglich)

(168531)

Informationen in einem Dokument wurden unberechtigterweise umgeordnet, also in ihrer Reihenfolge verändert.
(331918)

Zu einem Dokument liegt keine Datensicherung vor.
(331917)

Auf ein Dokument wurde unberechtigterweise zugegriffen.
(331915)

Einem Dokument wurden unberechtigterweise weitere Informationen hinzugefügt.
(331914)

Welche Eigenschaften von Informationen sollen im Rahmen der Informationssicherheit aufrechterhalten werden? (Mehrfachnennung möglich)

(168532)

Vertraulichkeit
(331924)

Integrität
(331923)

Stabilität
(331921)

Souveränität
(331925)

Welche der folgenden Aussagen im Zusammenhang mit Vertraulichkeit und Integrität von Informationen sind korrekt? (Mehrfachnennung möglich)

(168533)

Integrität bedeutet Schutz vor Manipulation der Richtigkeit oder Vollständigkeit von Informationen.
(331929)

Vertraulichkeit bedeutet Schutz vor Offenlegung von Informationen gegenüber unbefugten Personen.
(331928)

Ein angemessenes Niveau an Vertraulichkeit und Integrität lässt sich nur durch den Einsatz von Verschlüsselung und durch digitale Signaturen erreichen.
(331927)

Vertraulichkeit und Integrität sind Synonyme.
(331926)

Was trifft auf den PDCA-Zyklus zu? (Mehrfachnennung möglich)

(168535)

PDCA ist ein grundlegender Ansatz zur kontinuierlichen Verbesserung
(331943)

Der PDCA-Zyklus ist die Grundlage von ISIS12
(331940)

PDCA beschreibt die Prinzipien der Informationssicherheit
(331939)

PDCA beschreibt die Eigenschaften von Information, die im Rahmen der Informationssicherheit aufrechterhalten werden sollen
(331938)

Welche der folgenden Rahmenwerke, Standards oder Standardfamilien befassen sich schwerpunktmäßig mit IT- oder Informationssicherheit (oder werden als Standard für IT- oder Informationssicherheit bezeichnet)? (Mehrfachnennung möglich)

(168536)

ISO 9000
(331948)

BSI IT-Grundschutz
(331947)

ISO/IEC 27000
(331946)

ISO/IEC 15408 (Common Criteria)
(331944)

Welche der folgenden Aktivitäten gehören zum Schritt 7: "IT-Struktur analysieren"? (Mehrfachnennung möglich)

(168539)

Untersuchung, welche Sicherheitsmaßnahmen aus dem ISIS12-Katalog bezogen auf die IT-Zielobjekte noch nicht oder nur teilweise wirksam umgesetzt wurden
(333028)

Modellierung von Sicherheitsmaßnahmen für Applikationen
(333026)

Modellierung von Sicherheitsmaßnahmen für IT-Systeme
(333025)

Vererbung der Schutzbedarfe
(333024)

Welche der folgenden Aktivitäten gehören zu Schritt 8: "Modellierung"? (Mehrfachnennung möglich)

(168540)

Ermittlung des Umsetzungsgrades der Sicherheitsmaßnahmen
(333056)

Anwendung des ISIS12 Maßnahmenkatalogs
(333054)

Zuordnung der Objekte aus der Strukturanalyse zu Sicherheitsmaßnahmen
(333053)

Prüfung der Strukturanalyse auf Plausibilität
(333052)

Was sind die typischen Kontrollfragen zu Schritt 1: "Leitlinie für Informationssicherheit erstellen"? (Mehrfachnennung möglich)

(168545)

Die Unternehmensrichtlinie wurde vom IT-Sicherheitsteam bestätigt.
(332880)

Die Unternehmensrichtlinie wurde an alle Kunden verteilt.
(332876)

Wurde der Stellenwert der Informationssicherheit bezogen auf die spezifischen Unternehmensziele dargestellt?
(331952)

Hat die Organisationsleitung die Leitlinie für Informationssicherheit unterzeichnet?
(331951)

Was sind typische Kontrollfragen zu Schritt 8: "Modellierung"? (Mehrfachnennung möglich)

(168552)

Wurden die gefundenen IT-Objekte hinreichend mit den entsprechenden Bausteinen aus den Schichten 2-4 modelliert?
(331988)

Wurde ein (neuer) Revisionstermin gesetzt und eine verantwortliche Person genannt?
(331987)

Wurden die Bausteine der Schicht 1 dem Prüfplan komplett zugeordnet?
(331986)

Wurde der aktuelle ISIS12-Katalog zur Modellierung verwendet?
(331985)

Welche Objekte werden in Schritt 7: "IT-Struktur analysieren" erfasst? (Mehrfachnennung möglich)

(168662)

Alle Anwendungen (Applikationen)
(332902)

Personen
(332900)

TK-Komponenten
(332897)

Gebäude
(332894)

Welche der folgenden Aussagen sind bezüglich der ISIS12-Software richtig? (Mehrfachnennung möglich)

(168663)

Die ISIS12-Software richtet sich an Organisationen, die ISIS12 einführen wollen und wird für eine schlanke und effiziente Einführung dringend empfohlen.
(332910)

Die ISIS12-Software ist eine Web-Applikation.
(332909)

Die ISIS12-Software ist eine Software, die Auditoren dabei hilft, bei einer Zertifizierungsprüfung die notwendigen Dokumentationen zu erstellen.
(332906)

Die ISIS12-Software ist ein Open-Source-Produkt und kann jederzeit von jedem heruntergeladen und verwendet werden.
(332905)

Welche der folgenden Aussagen sind hinsichtlich des IT-Notfallhandbuches richtig? (Mehrfachnennung möglich)

(168664)

Das Notfallhandbuch darf nur in Papierform vorliegen
(333074)

Ein Grund, ein IT-Notfallhandbuch anzupassen ist, wenn sich gesetzliche und andere Vorschriften sowie Verträge mit Kunden ändern.
(332924)

Notfallhandbücher sind mindestens halbjährlich einem Review zu unterziehen, und dieser Vorgang ist entsprechend zu dokumentieren.
(332918)

Das IT-Notfallhandbuch darf nur nach einem fehlgeschlagenen Notfalltest aktualisiert werden.
(332916)

Welche der folgenden Themen sind Inhalte der Leitlinie für Informationssicherheit? (Mehrfachnennung möglich)

(168668)

Prozessbeschreibung zur Änderung
(332973)

Organisationsstruktur für die Umsetzung des Informationssicherheitsprozesses
(332965)

Leitaussagen zur Durchsetzung und Erfolgskontrolle
(332964)

Unternehmensspezifische Sicherheitsziele
(332963)

Was ist bezüglich des ISIS12-Zertifikats korrekt? (Mehrfachnennung möglich)

(168669)

Der Geltungsbereich des Informationssicherheitsmanagementsystems ist auf dem Zertifikat angegeben
(332980)

Das Zertifikat wird vom Bayerischen IT-Sicherheitscluster ausgestellt
(332978)

Die Gültigkeit des Zertifikats beträgt 2 Jahre
(332975)

Die Gültigkeit des Zertifikats beträgt 1 Jahr
(332974)

Welche Personen müssen laut ISIS12 Standard dem Informationssicherheitsteam (Kern-Team) angehören? (Mehrfachnennung möglich)

(168674)

Vertreter der Arbeitnehmer
(333072)

Vertreter der Lieferanten
(333070)

ein Mitglied aus der Geschäftsführung
(333069)

Informationssicherheitsbeauftragter (ISB)
(333044)

Was gilt für den ISIS12-Katalog? (Mehrfachnennung möglich)

(168676)

Der ISIS12-Katalog enthält empfohlene Sicherheitsmaßnahmen für Infrastruktur, IT-Systeme, Anwendungen
(333064)

Der ISIS12-Katalog enthält universale Aspekte, die unabhängig von der Strukturanalyse anzuwenden sind
(333063)

Der ISIS12-Katalog wurde unter anderem auf Basis des internationalen Standards ISO/IEC 27001 erstellt
(333062)

Der ISIS12-Katalog wurde auf Basis freier Schätzung erstellt
(333061)

Welche Effekte werden bei der Vererbung des Schutzbedarfs angewandt? (Mehrfachnennung möglich)

(168677)

Bildungsprinzip
(333080)

Verteilungseffekt
(333077)

Kumulationseffekt
(333076)

Maximumprinzip
(333075)

Welche der folgenden Aussagen sind hinsichtlich des IT-Betriebshandbuchs richtig? (Mehrfachnennung möglich)

(168678)

Das IT-Betriebshandbuch muss in Papierform vorliegen
(333093)

Verantwortlichkeiten für Aktualität und Freigabe des IT-Betriebshandbuchs müssen klar geregelt sein
(333086)

Das IT-Betriebshandbuch gehört zu den Referenzdokumenten von ISIS12
(333083)

Das IT-Betriebshandbuch ist vertraulich
(333082)

Was sagt das Maximumprinzip in der IT-Sicherheit aus? (Mehrfachnennung möglich)

(168681)

Aufgrund des Maximumprinzips kann ein ISIS12-Zertifikat nur erteilt werden, wenn maximal möglicher Schutz der Informationssicherheit vorhanden ist
(333107)

Nach dem Maximumprinzip müssen alle IT-Systeme immer maximal geschützt werden
(333106)

Das Maximumprinzip wird für die Ableitung des Schutzbedarfs verwendet
(333105)

Jeweils der höchste Schutzbedarf eines Objektes bezüglich Vertraulichkeit, Integrität und Verfügbarkeit wird auf das übergeordnete Objekt übertragen
(333103)

Welche Aussagen zu ISIS12 treffen zu? (Mehrfachnennung möglich)

(168684)

ISIS12 gibt dem Anwender die 12 wichtigsten Sicherheitsmaßnahmen an die Hand
(333136)

Ein Informationssicherheitsmanagementsystem nach ISIS12 endet mit Schritt 12
(333135)

Ein Informationssicherheitsmanagement nach ISIS12 muss zertifiziert werden
(333134)

ISIS12 ist ein zertifizierungsfähiges Managementsystem für Informationssicherheit
(333129)

Welche Aussagen treffen auf den Baustein Datenschutz zu?: (Mehrfachnennung möglich)

(168829)

Datenschutz ist kein Bestandteil der IT-Compliance
(334013)

Der Baustein basiert auf Baustein 1.5 Datenschutz des BSI.
(334011)

Der Baustein hat keine Relevanz für das ISMS und ist optional.
(334010)

Der Baustein basiert auf Regelungen der DSGVO, des BDSG und Checklisten der Aufsichtsbehörden
(334008)

Welche der folgenden IT-Servicemanagement-Prozesse werden in Schritt 5 eingeführt? (Mehrfachnennung möglich)

(168857)

Abnahmeprozess
(334216)

Störungsbeseitigungsprozess
(334215)

Änderungsprozess
(334214)

Wartungsprozess
(334213)

ICO ITSM 20000:2018 Prof - de - sample set 1 - v1

Welche der folgenden Aktivitäten sind laut ISO/IEC 20000-1 im Rahmen des Incident Managements (8.6.1) umzusetzen? (Mehrfachnennung möglich)

(1158383)

Kontrolle
(1210784)

Reporting und Review von Major Incidents
(1210772)

Priorisierung
(1210771)

Aufzeichnung und Klassifikation
(1210770)

Welche der folgenden Aussagen sind laut ISO/IEC 20000-1 im Zusammenhang mit Incident Management (8.6.1) und Service Request Management (8.6.2) richtig? (Mehrfachnennung möglich)

(1158384)

Major Incidents sind nur dann einem Review zu unterziehen, wenn die Gefahr eines Wiederauftretens droht.
(1210797)

Das Top Management ist über Major Incidents nur bei klaren Sicherheitsverstößen zu unterrichten.
(1210794)

Bei der Priorisierung von Incidents muss die Auswirkung berücksichtigt werden.
(1210787)

Für die Abwicklung von Service Requests müssen den involvierten Personen entsprechende Anleitungen zur Verfügung gestellt werden.
(1210785)

Welche der folgenden Aktivitäten sind laut ISO/IEC 20000-1 im Rahmen des Problem Managements (8.6.3) umzusetzen? (Mehrfachnennung möglich)

(1158385)

Kontrolle
(1210814)

Test
(1210807)

Abschluss
(1210806)

Priorisierung
(1210801)

Welche der folgenden Aussagen sind laut ISO/IEC 20000-1 im Zusammenhang mit Problem Management (8.6.3) richtig? (Mehrfachnennung möglich)

(1158386)

Wenn die zugrundeliegende Ursache identifiziert, aber das Problem nicht dauerhaft gelöst werden kann, muss der Service-Continuity-Plan ausgelöst werden.
(1210825)

Wo sinnvoll, müssen aktuelle Informationen über Known Errors und Problemlösungen für andere Service-Management-Aktivitäten zur Verfügung stehen.
(1210820)

Die Wirksamkeit der Problemlösungsmaßnahmen muss überwacht und überprüft werden.
(1210819)

Ein Ziel des Problem Managements ist die Vermeidung von Incidents.
(1210816)

Welche der folgenden Informationen müssen gemäß ISO/IEC 20000-1 im Rahmen des Configuration Managements (8.2.6) für jedes CI erfasst sein? (Mehrfachnennung möglich)

(1158387)

zugehörige Beschwerden
(1210839)

Eindeutige ID
(1210833)

Status
(1210832)

Beziehung(en) zwischen diesem und anderen CIs
(1210830)

Nach welchen der folgenden Faktoren kann der Geltungsbereich (scope) eines Service-Management- Systems in der Erklärung zum Geltungsbereich (scope statement) eingeschränkt werden? (Mehrfachnennung möglich)

(1158388)

Produkte
(1210854)

Bestimmte IT Service Management-Prozesse
(1210847)

Kunden, Kundengruppen oder Kundenstandorte
(1210846)

Services
(1210845)

Welche der folgenden Aussagen zu Management Reviews sind korrekt? (Mehrfachnennung möglich)

(1158389)

Management Reviews müssen nur durchgeführt werden, wenn Mitglieder des Managements ausgetauscht werden.
(1210864)

Management Reviews dienen nur dazu, die Verantwortlichen für Nichtkonformitäten zu identifizieren.
(1210860)

Management Reviews müssen Ergebnisse interner Audits berücksichtigen.
(1210856)

Management Reviews dienen dazu, die kontinuierliche Eignung und die Effektivität von SMS und Services sicherzustellen.
(1210855)

Was gehört zu den Prinzipien des Qualitätsmanagements nach ISO 9000? (Mehrfachnennung möglich)

(1158390)

Einbeziehung der beteiligten Personen
(1210877)

Verantwortlichkeit der Führung
(1210876)

Systematisches Vorgehen (system approach)
(1210875)

Führungsstärke (leadership)
(1210866)

Was trifft auf den PDCA-Zyklus zu? (Mehrfachnennung möglich)

(1158391)

PDCA beschreibt die Eigenschaften von Information, die im Rahmen des Security Management aufrechterhalten werden sollen.
(1210883)

Die Struktur der ISO/IEC 20000-1 ist, zumindest in Teilen, an dem PDCA-Ansatz ausgerichtet.
(1210881)

PDCA ist ein grundlegender Ansatz zur kontinuierlichen Verbesserung.
(1210880)

P steht für Plan, D für Do, C für Check und A für Act.
(1210879)

Was trifft auf Prozesse im Kontext der ISO/IEC 20000 Standard Familie zu? (Mehrfachnennung möglich)

(1158392)

Für Prozesse müssen klare Verantwortlichkeiten und ggf. Schnittstellen mit anderen Prozessen definiert sein.
(1211207)

Verfahren werden in einzelne Prozesse unterteilt, um diese besser beherrschen zu können.
(1210888)

Prozesse sind der formelle Ausdruck, der vom Top Management definierten Absichten und Ausrichtung einer Organisation.
(1210887)

ISO/IEC 20000-1 definiert einen Prozess als einen Satz zusammenhängender und sich gegenseitig beeinflussender Tätigkeiten, der Eingaben in Ergebnisse umwandelt.
(1210885)

Was trifft auf SMS-Zertifizierungen nach ISO/IEC 20000-1 (in Europa) grundsätzlich zu? (Mehrfachnennung möglich)

(1158393)

Eine akkreditierte Zertifizierungsstelle muss die Anforderungen der Norm ISO/IEC 17021-1 erfüllen.
(1210895)

Neben der Erfüllung der Anforderungen der Norm ISO/IEC 20000-1 muss die zu zertifizierende Organisation auch Konformität zu ISO/IEC 17024 nachweisen können.
(1210893)

Die Zertifizierungsstelle muss den Anforderungen der Norm ISO/IEC 20000-2 genügen.
(1210892)

Das ausgestellte Zertifikat hat eine begrenzte Gültigkeitsdauer (in der Regel 3 Jahre).
(1210890)

Worüber sollen interne Audits Informationen liefern? (Mehrfachnennung möglich)

(1158394)

Darüber, welche Beschwerden vermeidbar gewesen wären.
(1210902)

Darüber, ob das maximale Qualitätsniveau auf aktuellem Stand der Technik erzielt wurde.
(1210901)

Darüber, ob das SMS wirksam umgesetzt wird.
(1210900)

Darüber, ob das SMS die Anforderungen der Organisation erfüllt.
(1210898)

Welche der folgenden Aussagen zu internen Audits und Managementbewertungen sind korrekt? (Mehrfachnennung möglich)

(1158395)

Bei einer Managementbewertung prüft ein unabhängiger, externer Auditor, inwieweit die oberste Leitung (Top-Management) ihrer Verantwortung für das SMS gerecht wird.
(1210909)

Interne Audits werden durch die oberste Leitung (Top-Management) durchgeführt.
(1210907)

Managementbewertungen müssen in geplanten Abständen durchgeführt werden.
(1210906)

Interne Audits müssen in geplanten Abständen durchgeführt werden.
(1210905)

Was muss gemäß ISO/IEC 20000-1 bei der Planung neuer oder geänderter Services (8.5.2.1) berücksichtigt werden? (Mehrfachnennung möglich)

(1158396)

Diskreditierung konkurrierender Services
(1210917)

Planung einer Werbekampagne für den neuen Service
(1210916)

Minimierung der Umweltauswirkungen
(1210915)

Serviceabnahmekriterien
(1210912)

Was trifft auf Service Level Agreements (SLAs) zu? (Mehrfachnennung möglich)

(1158397)

Die Anzahl der SLAs ist immer unabhängig von der Anzahl der angebotenen Services.
(1210925)

Für jeden erbrachten Service muss ein SLA vereinbart sein.
(1210923)

Ein SLA kann auch zwischen dem Service Provider und einem Lieferanten geschlossen werden.
(1210921)

Ein SLA nennt zu liefernde Services und Service-Ziele.
(1210920)

Was fordert ISO/IEC 20000-1 im Kontext Service Level Management (8.3.3)? (Mehrfachnennung möglich)

(1158399)

Die Nicht-Abstreitbarkeit (non-repudiation) der Vereinbarung von Services ist mittels kryptographischer Verfahren sicherzustellen.
(1210947)

Alle SLAs müssen die gleichen Service-Level-Ziele enthalten.
(1210945)

Der Service Provider muss mit dem / den Kunden eine Vereinbarung über die zu erbringenden Services treffen.
(1210939)

Für jeden Service muss der Service Provider ein oder mehrere SLAs etablieren.
(1210938)

Worüber muss gemäß ISO/IEC 20000-1 im Rahmen der Aktivitäten des SMS und der Serviceerbringung berichtet werden? (Mehrfachnennung möglich)

(1158400)

Tatsächliche Kosten im Vergleich zur Kostenplanung (Budget)
(1210952)

Auslastung der Services
(1210950)

Kundenzufriedenheit
(1210949)

Leistung im Vergleich zu Service-Level-Zielen
(1210948)

Was muss gemäß ISO/IEC 20000-1 bei der Bestimmung der Anforderungen an die Service-Kontinuität (8.7.2) berücksichtigt werden? (Mehrfachnennung möglich)

(1158401)

Durchschnittliche Zeit bis zur Erfüllung eines Service-Requests
(1210964)

Risiken
(1210962)

SLAs
(1210961)

Relevante Business-Anforderungen
(1210959)

Was sind Anforderungen der ISO/IEC 20000-1 bezüglich der Service-Continuity-Pläne (8.7.2)? (Mehrfachnennung möglich)

(1158402)

Service-Continuity-Pläne müssen Maßnahmen zur Verbesserung der Service-Verfügbarkeit unter normalen Betriebsbedingungen enthalten.
(1210976)

Für jeden Change muss mindestens ein zugehöriger Service-Continuity-Plan erstellt werden.
(1210975)

Es können auch mehrere Service-Continuity-Pläne parallel existieren.
(1210969)

Es muss mindestens ein Service-Continuity-Plan erstellt werden.
(1210968)

Wobei handelt es sich um Anforderungen gemäß ISO/IEC 20000-1 in Bezug auf das Capacity Management (8.4.3)? (Mehrfachnennung möglich)

(1158403)

Für jedes Service-Ziel muss ein Kapazitätsplan erstellt werden.
(1210985)

Kapazitäts-Anforderungen müssen sich unter anderem auch auf personelle Ressourcen beziehen.
(1210981)

Der Service Provider muss ausreichende Kapazitäten zur Erfüllung der vereinbarten Kapazitäts- und Performance-Anforderungen zur Verfügung stellen.
(1210980)

Der Service Provider muss die Kapazitätsauslastung überwachen.
(1210979)

Welche Punkte muss die Kapazitätsplanung gemäß ISO/IEC 20000-1 (8.4.3) mindestens umfassen? (Mehrfachnennung möglich)

(1158404)

Prognose zur langfristigen Entwicklung relevanter Zukunftstechnologien
(1210994)

Relation zwischen technischer und personeller Kapazität
(1210992)

Zeitskalen (Termine) und Schwellenwerte für Änderungen an der Service-Kapazität
(1210988)

Aktuelle und prognostizierte Nachfrage nach Services
(1210986)

Welche Themen müssen gemäß ISO/IEC 20000-1 im Rahmen des Prozesses Budgeting and Accounting for Services (8.4.1) betrachtet werden? (Mehrfachnennung möglich)

(1158405)

Einhaltung der Grundsätze ordnungsmäßiger Rechnungsstellung
(1211002)

Steuerrechtliche Optimierung
(1211001)

Gestaltung von Grundgebühren für Kunden
(1210999)

Budgetierung und Kostenrechnung für Services oder Gruppen von Services
(1210995)

Ein internes Audit des SMS (Anforderungen nach ISO/IEC 20000-1) ergab, dass der Service Provider seinen Kunden keine Informationen über die erzielten Leistungen seiner Services liefert. Welche der folgenden Aktivitäten sind nun notwendig? (Mehrfachnennung möglich)

(1158406)

Service Reporting durch einen Zertifizierungsaudit auf Konformität und Wirksamkeit prüfen lassen, bevor erste Maßnahmen geplant und implementiert werden.
(1211011)

Das neu geplante und initial implementierte Service Reporting von nun an kontinuierlich verbessern.
(1211008)

Analysieren der SLAs zur Ermittlung, ob Reporting zugesichert ist. Wenn dies nicht der Fall ist, müssen keine weiteren Maßnahmen eingeleitet werden.
(1211005)

Information an das Top Management, da es sich um eine Abweichung handelt und somit die Wirksamkeit des SMS in Gefahr ist.
(1211003)

Welche der folgenden Themen bzw. Prozesse müssen gemäß ISO/IEC 20000-1 im Rahmen des Bereichs Relationship & Agreement (8.3) berücksichtigt werden? (Mehrfachnennung möglich)

(1158407)

Supplier Management
(1211020)

Business Relationship Management
(1211018)

Service Catalogue Management
(1211015)

Demand Management
(1211014)

Welche der folgenden Themen bzw. Aktivitäten müssen gemäß ISO/IEC 20000-1 auf Grund der Anforderungen im Bereich Leistungsbewertung (9) im Rahmen des SMS umgesetzt werden? (Mehrfachnennung möglich)

(1158408)

Schulung und Sensibilisierung
(1211028)

Service-Reporting
(1211026)

Management-Reviews
(1211025)

Überwachung und Messung
(1211023)

Das Problem Management hat einen Request for Change (RfC) gestellt, um einen lange existierenden Fehler zu korrigieren. Da es sich um eine aufwändige Maßnahme handelt, wurde der RfC dem Change Advisory Board (CAB) vorgelegt und dort beraten. Der Experte, der mit der Untersuchung im Problem Management beauftragt war, wurde zu diesem Meeting eingeladen und befragt. Am Ende wurde der Change allerdings auf Rat des CAB durch die CA (Change Authority) nicht autorisiert, da der Aufwand in keinem vernünftigen Verhältnis zum Nutzen der Fehlerbehebung steht und effektive Workarounds existieren. Der bekannte Fehler wurde daraufhin vom Problem Management geschlossen. Wie beurteilen Sie diese Situation im Hinblick auf ISO/IEC 20000-1? (Mehrfachnennung möglich)

(1158409)

Sollte es sich um einen schwerwiegenden Security Incident handeln, der durch die Veränderung nachhaltig behoben werden soll, so kann der Security Verantwortliche mit einem in der Norm festgeschriebenen Vetorecht die Autorisation und somit die Implementierung erzwingen.
(1211043)

Die Begründung der Ablehnung, dass der Aufwand in keinem vernünftigen Verhältnis zum Nutzen der Fehlerbehebung steht, ist eine gültige Begründung.
(1211039)

Das Problem Management hätte gar keinen RfC stellen sollen, da offenbar wirksame Workarounds existieren und die Anwender in der Nutzung des Service nicht negativ beeinträchtigt sind.
(1211038)

Die Autorisierung für den Change hätte durch das CAB erteilt werden müssen, da durch die Abweisung des Changes die effektive Arbeit des Problem Managers unmöglich gemacht wird.
(1211037)

Es wird im kontinuierlichen Verbesserungsprozess entschieden, dass die korrekte Klassifizierung und Priorisierung von Incidents höhere Beachtung bekommen muss. Welche direkten Folgen kann diese Änderung der Prozessziele haben? (Mehrfachnennung möglich)

(1158410)

Es werden kurzfristig weniger Störungen auftreten und daher Ressourcen zur Bearbeitung von Changes und Problems frei werden.
(1211054)

Die verbesserte Klassifizierung von Incidents kann zu häufiger notwendigen Changes in der IT Infrastruktur führen. Das Risiko für die IT-Infrastruktur durch diese Changes führt zu einer messbaren Verschlechterung der IT Services Qualität.
(1211053)

Die Information der Benutzer über den Bearbeitungszustand der Incidents wird häufiger und korrekter durchgeführt.
(1211050)

Die Benutzerzufriedenheit sollte mittelfristig steigen, da schwerwiegende Störungen bevorzugt bearbeitet werden.
(1211049)

Es wird im kontinuierlichen Verbesserungsprozess entschieden, dass die Analyse von Risiken bei beantragten Changes höhere Beachtung bekommen muss, da bisher keine Risikobewertung stattfindet. Welche direkten Folgen kann diese Änderung der Prozessziele haben? (Mehrfachnennung möglich)

(1158411)

Die Trendanalyse im Change Management kann nun nach Risikoklassen getrennt durchgeführt werden.
(1211064)

Die Dokumentationen der Veränderungen in der CMDB werden korrekter und schneller erledigt.
(1211062)

Risikoreiche Veränderungen werden genauer geplant und getestet bevor die letztendliche Implementierung erfolgt.
(1211056)

Emergency Changes werden weniger häufig beantragt werden, da sie immer risikoreich sind.
(1211055)

Einige dem Change Advisory Board (CAB) angehörende Mitglieder sind der Ansicht, die Sitzungen seien wegen der „endlosen Diskussionen über risikoarme Veränderungen“ reine Zeitverschwendung. Welche der folgenden Maßnahmen würden Sie als Change Manager ergreifen? (Mehrfachnennung möglich)

(1158412)

Das Verfahren bzw. den Verantwortungsbereich des CAB ändern, so dass nur risikoreiche Veränderungen im CAB besprochen werden müssen.
(1211070)

Die Häufigkeit der CAB-Meetings erhöhen.
(1211069)

Überprüfen, ob das Kategorisierungsverfahren für Changes angepasst werden sollte, um das CAB gegebenenfalls zu entlasten.
(1211068)

Die Mitglieder des CAB austauschen.
(1211067)

Wofür werden Information Security Controls eingesetzt? (Mehrfachnennung möglich)

(1158413)

Um alle Informationssicherheitsrisiken zu eliminieren.
(1211081)

Um die Ziele des Information Security Managements zu bestimmen.
(1211080)

Um Informationssicherheitsrisiken zu steuern bzw. zu mindern.
(1211075)

Um die Vertraulichkeit von Information Assets zu wahren.
(1211072)

Was sind im Kontext Information Security Management Aufgaben des Managements / der obersten Leitung? (Mehrfachnennung möglich)

(1158414)

Selbst Neubewertung von Information-Security-Risiken vornehmen, wenn diese regelmäßig die Akzeptanzkriterien verletzen
(1211090)

Die Geheimhaltung der identifizierten Information-Security-Risiken mittels disziplinarischer Maßnahmen sicherstellen
(1211088)

Mindestens jährlich die Information Security Controls auditieren
(1211087)

Risiko-Akzeptanzkriterien definieren
(1211084)

Was ist nach ISO/IEC 20000-1 bei der Bewertung von Requests for Change zu berücksichtigen? (Mehrfachnennung möglich)

(1158415)

Wartezeit des Requests for Change seit der Einreichung
(1211098)

Eventuelle Auswirkung auf die bestehenden Information Security Controls
(1211093)

Eventuelle Auswirkung auf die bestehende Information Security Policy
(1211092)

Inwieweit neue Informationssicherheitsrisiken entstehen
(1211091)

Wobei handelt es sich gemäß ISO/IEC 20000-1 um Anforderungen an die Service Management Policy? (Mehrfachnennung möglich)

(1158416)

Sie muss Art und Häufigkeit von Releases (z.B. für Minor Releases, Major Releases, Emergency Fixes) definieren.
(1211107)

Sie muss dem Personal des Service Providers in Papierform zugänglich gemacht werden.
(1211106)

Sie muss als Teil der Vertragsbedingungen von jedem Mitarbeiter des Service Providers unterschrieben werden.
(1211105)

Sie muss an das Personal des Service Providers kommuniziert werden.
(1211103)

Wodurch muss ein Service Provider die Steuerung und Kontrolle (Governance) eines Prozesses, der von einer anderen Partei ausgeführt wird, nachweisen? (Mehrfachnennung möglich)

(1158417)

Indem der Service Provider der ausführenden Partei verbietet, Prozessverbesserungen vorzuschlagen.
(1211114)

Indem der Service Provider Verbesserungen an diesem Prozess plant.
(1211113)

Indem der Service Provider den Prozess festlegt / definiert.
(1211110)

Indem der Service Provider seine Verantwortung für diesen Prozess demonstriert.
(1211109)

Was muss gemäß ISO/IEC 20000-1 im Rahmen des Service Management Systems (SMS) mindestens dokumentiert werden? (Mehrfachnennung möglich)

(1158418)

Ausbildungsplan
(1211213)

Availability Continuity Plan
(1211212)

Die Aussage eines unabhängigen Prüfers über die Einhaltung der gesetzlichen Vorgaben - Compliance (Gesetzestreue)
(1211211)

Service Management Policy und Ziele des Service Managements
(1211116)

Welche der folgenden Aspekte müssen gemäß ISO/IEC 20000-1 im Zusammenhang mit der Lenkung von Dokumenten berücksichtigt werden? (Mehrfachnennung möglich)

(1158419)

Sicherstellung der Unterzeichnung aller Dokumente durch das Top-Management
(1211127)

Ablage aller Dokumente ausschließlich auf verschlüsselten Datenträgern
(1211126)

Vermeidung der unbeabsichtigten Verwendung veralteter Versionen
(1211125)

Welche der folgenden Aussagen sind gemäß ISO/IEC 20000-1 im Zusammenhang mit Release & Deployment Management (8.5.3) korrekt? (Mehrfachnennung möglich)

(1158420)

Der Service Provider muss eine Release-Richtlinie (release policy) mit dem Lieferanten abstimmen.
(1211133)

Der Service Provider muss für unterschiedliche Release-Typen die Häufigkeit von Releases definieren.
(1211131)

Der Service Provider muss verschiedene Typen von Releases definieren.
(1211129)

Welche der folgenden Aussagen zum Service Management Plan sind korrekt? (Mehrfachnennung möglich)

(1158421)

Der Service Management Plan muss aus einem einzigen Dokument bestehen.
(1211138)

Der Service Management Plan wird einmalig vor der Inbetriebnahme des Service Management Systems erstellt und nach seiner Umsetzung nicht mehr benötigt.
(1211137)

Der Service Management Plan umfasst die Randbedingungen und Aktivitäten zur Einführung und Entwicklung eines Service Management Systems (SMS).
(1211134)

Welche der folgenden Elemente muss ein Service Management Plan gemäß ISO/IEC 20000-1 mindestens enthalten oder referenzieren? (Mehrfachnennung möglich)

(1158422)

Aufzeichnungen zu Incidents und Service Requests
(1211145)

Der Terminplan der bevorstehenden Changes (Change Schedule)
(1211144)

Liste der Services
(1211139)

Was müssen Pläne für neue oder geänderte Services gemäß ISO/IEC 20000-1 enthalten oder referenzieren? (Mehrfachnennung möglich)

(1158423)

Service-Wartungskriterien (Service Maintenance Criteria)
(1211152)

Geplante Aktivitäten und Termine
(1211148)

Befugnisse und Verantwortlichkeiten für Aktivitäten im Design und in der Entwicklung
(1211147)

Welche der folgenden Anforderungen müssen gemäß ISO/IEC 20000-1 im Zusammenhang mit Business Relationship Management (8.3.2) eingehalten werden? (Mehrfachnennung möglich)

(1158424)

Zum Management der Kundenbeziehung und der Kundenzufriedenheit muss ein Service Desk eingerichtet werden.
(1211159)

Die Kundenzufriedenheit muss in geplanten Abständen gemessen werden.
(1211157)

Für jeden Kunden muss es einen definierten Verantwortlichen geben, der die Kundenbeziehung und Kundenzufriedenheit managt.
(1211154)

Welche der folgenden Anforderungen müssen gemäß ISO/IEC 20000-1 im Zusammenhang mit Supplier Management (8.3.4) eingehalten werden? (Mehrfachnennung möglich)

(1158425)

Es muss ein dokumentiertes Verfahren zur Handhabung von Beschwerden von Suppliern geben.
(1211164)

SLAs, die mit Kunden vereinbart wurden, müssen den relevanten Suppliern zugänglich gemacht werden, damit diese ihre Serviceleistung entsprechend anpassen können.
(1211163)

Für jeden Supplier muss es einen definierten Verantwortlichen geben, der die Beziehung zu diesem Supplier, die Verträge und die Leistung des Suppliers managt.
(1211160)

Gemäß ISO/IEC 20000-1 (8.5.1.1) muss eine Change Management Policy etabliert und dokumentiert werden. Was muss diese gemäß ISO/IEC 20000-1 definieren? (Mehrfachnennung möglich)

(1158426)

Kriterien zur Identifikation von Changes, die eine erhebliche Auswirkung auf Kunden oder Services haben können (Major Impact Changes)
(1211168)

Change-Kategorien
(1211167)

Servicekomponenten und andere Elemente, die der Kontrolle des Change Managements unterliegen
(1211166)

Welche der folgenden Elemente müssen in einem Vertrag mit einem Supplier enthalten sein oder referenziert werden? (Mehrfachnennung möglich)

(1158427)

Mögliche Auswirkungen gesetzlicher und regulatorischer Vorgaben
(1211180)

Verfahren zur Vorhersage der Auslastungsentwicklung
(1211179)

Befugnisse und Verantwortlichkeiten auf Seiten des Service Providers und des Suppliers
(1211177)

Welche der folgenden Aspekte müssen gemäß ISO/IEC 20000-1 beim Design neuer oder geänderter Services (8.5.2.2) berücksichtigt werden? (Mehrfachnennung möglich)

(1158428)

Aktualisierung der Einträge in der CMDB
(1211185)

Änderungen am SMS, einschließlich geänderter Richtlinien, Pläne oder Prozesse
(1211182)

Änderungen der Anforderungen im Zusammenhang mit Ressourcen.
(1211181)

In welchen der folgenden Bereiche ist ein risikobasiertes Vorgehen gemäß ISO/IEC 20000-1 in jedem Fall erforderlich? (Mehrfachnennung möglich)

(1158429)

Die Risiken für die Kontinuität von Services müssen eingeschätzt werden.
(1211188)

Bei der Planung des Service Management Systems (SMS) muss die Vorgehensweise zum Risikomanagement festgelegt werden.
(1211187)

Bei der Entscheidung über die Autorisierung eines Request for Change müssen Risiken berücksichtigt werden.
(1211186)

Welche der folgenden Reviews sind Teil der Mindestanforderungen gemäß ISO/IEC 20000-1 und müssen in geplanten Abständen bzw. situationsbedingt durchgeführt werden? (Mehrfachnennung möglich)

(1158430)

Review nach der geplanten oder ungeplanten Beendigung eines Vertrags mit einem Supplier
(1211199)

Review nach der Bereitstellung eines Serviceberichts
(1211198)

Management-Review
(1211193)

Welche der folgenden Aussagen sind im Hinblick auf die Begriffsdefinitionen aus ISO/IEC 20000-1 korrekt? (Mehrfachnennung möglich)

(1158431)

Ein Problem ist eine ungeplante Unterbrechung eines Service.
(1211203)

Eine Configuration Baseline ist eine Datenbank zur Aufzeichnung der Attribute von Configuration Items (CIs) sowie der Beziehungen zwischen CIs über ihren gesamten Lebenszyklus.
(1211202)

Ein Configuration Item (CI) ist ein Element, das zur Bereitstellung eines oder mehrerer Services beiträgt und daher eine Kontrolle erfordert.
(1211200)

Auf Basis von Kundengesprächen und Untersuchungen zur Kundenzufriedenheit wurden einige Verbesserungen an bestehenden Services in die Wege geleitet, die der Kontrolle des Change Managements unterliegen. Eine Verbesserung umfasst beispielsweise die Ablösung eines alten Benutzer-Clients für den Zugriff auf eine Applikation, die einen Kern-Betriebsablauf unterstützt. Der neue Benutzer-Client soll nicht nur benutzerfreundlicher sein, sondern auch die Abfrage bestimmter Statusvariablen über ein Ferndiagnose-Tool ermöglichen. Auf welche Bestandteile des SMS können sich Service-Verbesserungen wie diese auswirken? (Mehrfachnennung möglich)

(1158433)

Auf die Risiken für den Service-Betrieb und das Service-Management
(1211219)

Auf die Richtlinien zum Umgang mit Verbesserungsvorschlägen
(1211218)

Auf Maßnahmen aus dem Bereich Schulung und Kommunikation
(1211216)

Als Auditor prüfen Sie die Prozessdokumentation eines IT Service Providers auf Konformität mit ISO/IEC 20000-1. Ihnen werden Prozessbeschreibungen einschließlich zugehöriger Verfahrensbeschreibungen zu folgenden Prozessen vorgelegt: Incident Management, Service Request Management, Access Management, Problem Management, Configuration Management, Change Management, Release & Deployment Management, Business Relationship Management und Supplier Management. Wie beurteilen Sie die Situation auf den ersten Blick? (Mehrfachnennung möglich)

(1158434)

Es fehlen die Prozessbeschreibungen für die Prozesse aus dem Bereich Supply & Demand (8.4).
(1211222)

Einige Prozesse sind nicht vereinbar mit ISO/IEC 20000-1 und müssen daher aus dem Managementsystem entfernt werden.
(1211221)

Es fehlen die Prozessbeschreibungen für die Prozesse aus dem Bereich Service Assurance (8.7).
(1211220)

ICO AMS 19011:2018 Fnd - de - sample set1 - v1

Wobei handelt es sich definitionsgemäß um Eigenschaften eines Audits? (Mehrfachnennung möglich)

(1158461)

Jedes Audit muss von einem externen Auditor durchgeführt werden.
(1211460)

Ein Audit ist ein unabhängiger Prozess.
(1211457)

Ein Audit ist ein systematischer Prozess.
(1211456)

Welche der folgenden Aussagen sind korrekt im Zusammenhang mit Auditnachweisen, Auditfeststellungen und Auditschlussfolgerungen? (Mehrfachnennung möglich)

(1158462)

Der Auditnachweis spiegelt die Ergebnisse der Bewertung der Auditergebnisse anhand der Auditkriterien wider.
(1211468)

Auditergebnisse spiegeln das Ergebnis eines Audits nach Prüfung der Auditziele und aller Auditschlussfolgerungen wider.
(1211466)

Auditnachweise umfassen Aufzeichnungen, Tatsachenfeststellungen oder andere Informationen, die für die Auditkriterien relevant sind.
(1211462)

Welche der folgenden Rollen könnten Teil des Auditteams sein? (Mehrfachnennung möglich)

(1158463)

Audit Auftraggeber
(1211479)

Sachkundiger
(1211476)

Audit Team Leiter (Auditteam Leader)
(1211469)

Welche der folgenden Aussagen sind korrekt hinsichtlich des Auditumfangs, des Auditplans und des Auditprogramms? (Mehrfachnennung möglich)

(1158464)

Ein Auditprogramm beinhaltet die Beschreibung der Aktivitäten und Vorkehrungen für ein einzelnes Audit.
(1211485)

Ein Auditplan spiegelt die Vorkehrungen für eine Reihe von Audits wider.
(1211484)

Der Auditumfang definiert Ausmaß und Grenzen eines Audits.
(1211480)

Welche der folgenden Angaben sind Prinzipien gemäß ISO 19011? (Mehrfachnennung möglich)

(1158465)

Führung
(1211490)

Risikobasierter Ansatz
(1211487)

Faktengestützer Ansatz
(1211486)

Welche der folgenden Situationen sind vereinbar mit den Prinzipien für das Auditieren von Managamentsystemen gemäß ISO 19011? (Mehrfachnennung möglich)

(1158466)

Ein Prozessverantwortlicher führt ein Audit durch, um Möglichkeiten zur Verbesserung des Prozesses unter seiner Verantwortung zu identifizieren.
(1211496)

Eine Person führt ein Audit in der Firma durch, in der sie beschäftigt ist, aber außerhalb ihres eigenen Verantwortungsbereiches.
(1211493)

Während eines Audits werden Auditnachweise anhand von Stichproben der verfügbaren Informationen gesammelt.
(1211492)

Welche der folgenden Aussagen sind im Zusammenhang mit dem Auditprinzip "sachliche Darstellung" korrekt? (Mehrfachnennung möglich)

(1158467)

Die Stichprobennahme sollte angemessen erfolgen.
(1211503)

Auditoren sollten sensibel gegenüber jeglichen Einflüssen sein, die während der Durchführung eines Audits ausgeübt werden können.
(1211502)

Auditberichte sollten die Audittätigkeiten wahrheitsgemäß und genau widerspiegeln.
(1211498)

Welche der folgenden Aussagen sind korrekt hinsichtlich des Prozessablaufes für das Management eines Auditprogramms? (Mehrfachnennung möglich)

(1158468)

Der Prozessablauf folgt dem Ansatz "Vorschlagen-Delegieren-Bestätigen-Anwenden".
(1211509)

Der Prozessablauf schließt mit dem Erstellen und Verteilen des Audit-Berichts ab.
(1211507)

Der Prozessablauf beginnt mit der Festlegung der Ziele des Auditprogramms.
(1211505)

Welche der folgenden Aussagen sind korrekt hinsichtlich der Beziehung zwischen einem Auditprogramm und einem Audit? (Mehrfachnennung möglich)

(1158469)

Die Person, die das Auditprogramm leitet, ist ebenfalls der führende Auditor in allen Audits dieses Auditprogramms.
(1211514)

Ein Auditprogramm kann mehrere Audits umfassen.
(1211511)

Ein Audit kann Teil eines Auditprogramms sein.
(1211510)

Welche der folgenden Aktivitäten sind im Zusammenhang mit dem Auditprogramm-Management Bestandteil der Phase "Umsetzen des Auditprogramms"? (Mehrfachnennung möglich)

(1158470)

Durchführen der Dokumentenprüfung
(1211521)

Vorbereiten des Auditplans für ein einzelnes Audit
(1211520)

Auswahl der Auditteam Mitglieder
(1211516)

Welche der folgenden Aussagen sind korrekt hinsichtlich der typischen Phasen und Aktivitäten im Auditprozess? (Mehrfachnennung möglich)

(1158471)

Zu den Hauptaktivitäten gehören die Einrichtung, Implementierung und Überwachung des Auditprogramms.
(1211526)

Zu den Hauptaktivitäten gehören die Vorbereitung der Audittätigkeiten, Durchführung der Audittätigkeiten, sowie die Erstellung und Verteilung des Auditberichts.
(1211523)

Der Prozessablauf beginnt mit der Veranlassung des Audits.
(1211522)

Welche der folgenden Aktivitäten sind Bestandteil der Phase "Vorbereitung der Auditaktivitäten" im Zusammenhang mit der Durchführung eines Audits (Auditprozess)? (Mehrfachnennung möglich)

(1158472)

Durchführen der Eröffnungsbesprechung
(1211533)

Planung des Auditplans inklusive risikobasiertem Ansatz.
(1211529)

Durchführen der Überprüfung der dokumentierten Information.
(1211528)

Welche der folgenden Aktivitäten sind Bestandteil der Phase "Durchführung der Auditaktivitäten" im Zusammenhang mit der Durchführung eines Audits? (Mehrfachnennung möglich)

(1158473)

Zuweisen von Arbeit an das Auditteam.
(1211539)

Verteilen des Auditberichts.
(1211537)

Überprüfen der dokumentierten Informationen während der Durchführung des Audits.
(1211535)

Wobei handelt es sich um zulässige Methoden zum Sammeln von Informationen, die als Auditnachweis dienen könnten? (Mehrfachnennung möglich)

(1158475)

Wahrnehmungen
(1211551)

Überprüfen der dokumentierten Informationen
(1211548)

Beobachtungen
(1211547)

Was muss ein Auditplan umfassen? (Mehrfachnennung möglich)

(1158476)

Protokoll der Eröffnungssitzung
(1211556)

Arbeitsdokumente (z. B. Fragenlisten), die von den Auditoren verwendet werden
(1211555)

Standorte, Termine, zu erwartende Auditzeiten sowie Dauer der durchzuführenden Audittätigkeiten
(1211553)

Was muss ein Auditbericht beinhalten bzw. referenzieren? (Mehrfachnennung möglich)

(1158477)

Auditfeststellungen und Auditschlussfolgerungen
(1211560)

Termine und Orte an denen die Audittätigkeiten durchgeführt wurden
(1211559)

Auditziele, Auditumfang und Auditkriterien
(1211558)

Welches sind Beispiele für ein professionelles persönliches Verhalten eines Auditors während eines Audits? (Mehrfachnennung möglich)

(1158479)

Der Auditor verweigert grundsätzlich bereits gemachte Feststellungen bei neuen Erkentnissen erneut zu überdenken.
(1211569)

Der Auditor trifft keine Schlussfolgerungen, solange er nicht mit allen geredet hat und jede dokumentierte Information überprüft hat.
(1211568)

Der Auditor ist taktvoll im Umgang mit Menschen.
(1211564)

Welche der folgenden Fähigkeiten sollte ein Auditor im Zusammenhang mit Auditprinzipien, -verfahren und -methoden besitzen? (Mehrfachnennung möglich)

(1158480)

Die Arten von den mit dem Auditieren verbundenen Risiken und Chancen verstehen.
(1211572)

Setzen von Prioritäten.
(1211571)

Verwendung von Arbeitsdokumenten, um Audittätigkeiten aufzuzeichnen.
(1211570)

Welche der folgenden Aussagen bezüglich der High Level Structure (HLS) und Managementsystemnormen sind richtig? (Mehrfachnennung möglich)

(1158485)

Bei kombinierten Audits müssen alle zu prüfenden Managementsysteme in der HLS vorliegen.
(1211725)

Leitfäden wie die ISO 19011 "Leitfaden zur Auditierung von Managementsystemen" müssen der HLS nicht zwingend folgen.
(1211723)

Die Struktur der ersten Gliederungsebene gliedert sich in 10 Hauptkapitel.
(1211720)

Welche der folgenden Aussagen zum Thema Risiko laut dem Leitfaden zum Auditieren von Management Systemen (ISO 19011) sind korrekt? (Mehrfachnennung möglich)

(1158486)

Zur Feststellung des Risikos werden nach ISO 19011 neben Eintrittswahrscheinlichkeit und Schadenshöhe auch immer wirtschaftliche Faktoren berücksichtigt.
(1211733)

Der risikobasierte Ansatz sollte die Planung, Durchführung und Berichterstattung für die Durchführung von Audits maßgeblich beeinflussen.
(1211730)

Das Risiko wird als die Auswirkung von Ungewissheit beschrieben.
(1211728)

ICO AMS 19011:2018 COMBI - de - sample set1 - v1

Welche der folgenden Schritte sind bei einer Stichprobenentnahme normalerweise eingebunden? (Mehrfachnennung möglich)

(1158455)

Zusammenstellen, Bewerten, Berichten und Dokumentieren der Ergebnisse
(1211422)

Auswählen des Umfangs sowie der Zusammensetzung der Grundgesamtheit, aus der Proben zu entnehmen sind
(1211418)

Auswählen einer Methode zur Stichprobenentnahme
(1211419)

Während eines Managementsystem-Audits haben Sie Beweise gesammelt, um den Grad der Konformität der Kontrolle der dokumentierten Informationen (Dokumentenlenkung) zu evaluieren. Welches sind, unter Berücksichtigung der Voraussetzungen aus den Managementsystem-Normen, Beispiele, die eine klare Nichtkonformität anzeigen ? (Mehrfachnennung möglich)

(1158460)

Eine Richtlinie gibt an, für welche Arten von dokumentierten Informationen ein Änderungsverlauf aufgezeichnet werden muss, um die Änderungen zwischen verschiedenen Versionen zu identifizieren. Für einige Arten dokumentierter Informationen ist gemäß der Richtlinie keine Änderungshistorie erforderlich.
(1211453)

Einige Dokumente werden von der obersten Leitung vor der Verteilung nicht offiziell genehmigt.
(1211452)

Die Richtlinien und Verfahren zur Dokumentensteuerung befassen sich nicht mit der Steuerung von Änderungen (z. B. Versionskontrolle).
(1211449)

Wobei handelt es sich definitionsgemäß um Eigenschaften eines Audits? (Mehrfachnennung möglich)

(1158461)

Jedes Audit muss von einem externen Auditor durchgeführt werden.
(1211460)

Für ein Managementsystem-Audit sind die folgenden Voraussetzungen ein Teil der Auditkriterien: "Die Organisation muss sicherstellen, dass die Personen, die für sie arbeiten, kompetent sind auf der Basis einer entsprechenden Ausbildung, Erfahrung oder eines Trainings. Die Organisation muss, wo maßgeblich, handeln um die notwendige Kompetenz zu erreichen, sowie die Effektivität der unternommenen Aktionen evaluieren." Welches sind Beispiele, die eine Situation oder Feststellung einer klaren Nichtkonformität anzeigen? (Mehrfachnennung möglich)

(1158459)

Das Trainings- und Sensibilisierungsprogramm umfasst etwa 20 verschiedene Trainingsmodule. Basierend auf der Bedeutung des Trainingserfolgs für Geschäftsabläufe entschied das Top-Management, dass eine formale Bewertung der Effektivität nur für die Hälfte der Trainings- und Sensibilisierungsmodule durchgeführt wird. Diese Entscheidung wird jährlich im Rahmen der Managementbewertung überprüft.
(1211448)

Bei bestimmten Tätigkeiten werden neue Mitarbeiter von erfahrenen Mitarbeitern am Arbeitsplatz geschult. Es gibt keine formale außerbetriebliche Ausbildung, die das Traineeprogramm ergänzt.
(1211447)

Eine Person, die seit längerer Zeit als Teil eines wichtigen Geschäftsprozesses arbeitet, ist nicht in der Lage, eine wichtige Softwareanwendung gemäß dem Prozess zu betreiben. Sie hat keine Schulung zu diesem Thema erhalten.
(1211445)

Wobei handelt es sich definitionsgemäß um Eigenschaften eines Audits? (Mehrfachnennung möglich)

(1158461)

Ein Audit ist ein unabhängiger Prozess.
(1211457)

Ein Audit ist ein systematischer Prozess.
(1211456)

Welche der folgenden Angaben sind Prinzipien gemäß ISO 19011? (Mehrfachnennung möglich)

(1158465)

Führung
(1211490)

Risikobasierter Ansatz
(1211487)

Faktengestützer Ansatz
(1211486)

Welche der folgenden Situationen sind vereinbar mit den Prinzipien für das Auditieren von Managamentsystemen gemäß ISO 19011? (Mehrfachnennung möglich)

(1158466)

Ein Prozessverantwortlicher führt ein Audit durch, um Möglichkeiten zur Verbesserung des Prozesses unter seiner Verantwortung zu identifizieren.
(1211496)

Eine Person führt ein Audit in der Firma durch, in der sie beschäftigt ist, aber außerhalb ihres eigenen Verantwortungsbereiches.
(1211493)

Während eines Audits werden Auditnachweise anhand von Stichproben der verfügbaren Informationen gesammelt.
(1211492)

Welche der folgenden Aussagen sind im Zusammenhang mit dem Auditprinzip "sachliche Darstellung" korrekt? (Mehrfachnennung möglich)

(1158467)

Die Stichprobennahme sollte angemessen erfolgen.
(1211503)

Auditoren sollten sensibel gegenüber jeglichen Einflüssen sein, die während der Durchführung eines Audits ausgeübt werden können.
(1211502)

Auditberichte sollten die Audittätigkeiten wahrheitsgemäß und genau widerspiegeln.
(1211498)

Welche der folgenden Aussagen sind korrekt hinsichtlich des Prozessablaufes für das Management eines Auditprogramms? (Mehrfachnennung möglich)

(1158468)

Der Prozessablauf folgt dem Ansatz "Vorschlagen-Delegieren-Bestätigen-Anwenden".
(1211509)

Der Prozessablauf schließt mit dem Erstellen und Verteilen des Audit-Berichts ab.
(1211507)

Der Prozessablauf beginnt mit der Festlegung der Ziele des Auditprogramms.
(1211505)

Welche der folgenden Aussagen sind korrekt hinsichtlich der Beziehung zwischen einem Auditprogramm und einem Audit? (Mehrfachnennung möglich)

(1158469)

Die Person, die das Auditprogramm leitet, ist ebenfalls der führende Auditor in allen Audits dieses Auditprogramms.
(1211514)

Ein Auditprogramm kann mehrere Audits umfassen.
(1211511)

Ein Audit kann Teil eines Auditprogramms sein.
(1211510)

Welche der folgenden Aktivitäten sind im Zusammenhang mit dem Auditprogramm-Management Bestandteil der Phase "Umsetzen des Auditprogramms"? (Mehrfachnennung möglich)

(1158470)

Durchführen der Dokumentenprüfung
(1211521)

Vorbereiten des Auditplans für ein einzelnes Audit
(1211520)

Auswahl der Auditteam Mitglieder
(1211516)

Welches sind Beispiele für ein professionelles persönliches Verhalten eines Auditors während eines Audits? (Mehrfachnennung möglich)

(1158479)

Der Auditor verweigert grundsätzlich bereits gemachte Feststellungen bei neuen Erkentnissen erneut zu überdenken.
(1211569)

Der Auditor trifft keine Schlussfolgerungen, solange er nicht mit allen geredet hat und jede dokumentierte Information überprüft hat.
(1211568)

Der Auditor ist taktvoll im Umgang mit Menschen.
(1211564)

Welche der folgenden Aussagen bezüglich der High Level Structure (HLS) und Managementsystemnormen sind richtig? (Mehrfachnennung möglich)

(1158485)

Bei kombinierten Audits müssen alle zu prüfenden Managementsysteme in der HLS vorliegen.
(1211725)

Leitfäden wie die ISO 19011 "Leitfaden zur Auditierung von Managementsystemen" müssen der HLS nicht zwingend folgen.
(1211723)

Die Struktur der ersten Gliederungsebene gliedert sich in 10 Hauptkapitel.
(1211720)

Welche der folgenden Aussagen zum Thema Risiko laut dem Leitfaden zum Auditieren von Management Systemen (ISO 19011) sind korrekt? (Mehrfachnennung möglich)

(1158486)

Zur Feststellung des Risikos werden nach ISO 19011 neben Eintrittswahrscheinlichkeit und Schadenshöhe auch immer wirtschaftliche Faktoren berücksichtigt.
(1211733)

Der risikobasierte Ansatz sollte die Planung, Durchführung und Berichterstattung für die Durchführung von Audits maßgeblich beeinflussen.
(1211730)

Das Risiko wird als die Auswirkung von Ungewissheit beschrieben.
(1211728)

Welche folgenden Aussagen in Bezug auf Audits sind korrekt? (Mehrfachnennung möglich)

(1158432)

Wenn zwei oder mehrere auditierende Organisationen zusammenarbeiten, um eine einzelne Organisation zu auditieren, wird dies als kombiniertes Audit bezeichnet.
(1211268)

Interne Audits werden auch als "third party audits" bezeichnet.
(1211267)

Interne Audits werden von Personen durchgeführt, die für die zu auditierende Arbeit verantwortlich sind.
(1211266)

Ein Audit ist ein systematischer, unabhängiger und dokumentierter Prozess.
(1211209)

Ein Auditprogramm sollte Informationen und notwendige Ressourcen beinhalten, um seine Audits effektiv und effizient zu organisieren und durchzuführen. Welche der folgenden Angaben können ein Teil dieser Informationen sein? (Mehrfachnennung möglich)

(1158439)

Detaillierte logistische Vorbereitung für ein einzelnes Audit
(1211300)

Erforderliche Ressourcen, einschließlich Reisezeit und Unterkünfte.
(1211297)

Umfang, Anzahl, Arten, Dauer, Standorte, Zeitplan der Audits
(1211296)

Ziele für das Auditprogramm sowie für die einzelnen Audits
(1211295)

Welche der folgenden Aussagen sind valide Beispiele von Aktivitäten, die durchgeführt werden könnten, um ein Auditprogramm zu überwachen? (Mehrfachnennung möglich)

(1158440)

Überprüfung eines Teils der dokumentierten Information des Managementsystems, das auditiert wird und die Auswertung, ob die Auditkriterien erfüllt sind.
(1211305)

Auswertung, in welchem Grad Auditberichte im Einklang mit Plänen und Verfahren pünktlich bereitgestellt wurden.
(1211303)

Auswertung, ob die Audits wie geplant durchgeführt wurden.
(1211302)

Auswerten des Feedbacks von der auditierenden Organisation bezüglich der Leistung des Auditors.
(1211301)

Welche der folgenden Aktivitäten beziehen sich auf die Phase "Festlegen des Auditprogramms" im Kontext des Managens eines Auditprogramms? (Mehrfachnennung möglich)

(1158441)

Auswählen der Auditmethoden für ein einzelnes, bestimmtes Audit.
(1211314)

Festlegen der Ziele, des Umfangs und der Kriterien für ein einzelnes, bestimmtes Audit.
(1211312)

Die externen und internen Themen sowie die Risiken und Chancen, die das Auditprogramm beeinträchtigen könnten, bestimmen.
(1211309)

Das Ausmaß eines Auditprogammes nach den betreffenden Zielen und den bekannten Vorgaben festlegen.
(1211308)

Welche der folgenden Aussagen sind Teilaufgaben der Aktivität "Vorbereiten der Audittätigkeiten" im Auditprozess? (Mehrfachnennung möglich)

(1158442)

Herstellen des Erstkontakts mit der zu auditierenden Organisation
(1211321)

Zuweisen von Arbeit an das Auditteam
(1211319)

Risikobasierte Planung des Audits
(1211318)

Durchführen der Überprüfung der dokumentierten Information
(1211317)

Welche der folgenden Aussagen sind Teilaufgaben der Aktivität "Durchführen der Audittätigkeiten" im Auditprozess? (Mehrfachnennung möglich)

(1158443)

Verteilen des Auditberichts
(1211335)

Erstellen von Arbeitsdokumenten
(1211333)

Sammeln und Verifizieren von Informationen
(1211327)

Durchführen der Eröffnungsbesprechung
(1211326)

Welche der folgenden Elemente sollten in einer Eröffnungsbesprechung berücksichtigt werden? (Mehrfachnennung möglich)

(1158445)

Darstellung der Auditfeststellungen.
(1211348)

Bestätigung des Auditplans und weiterer relevanter Vereinbarungen mit der zu auditierenden Organisation.
(1211345)

Bestätigung der Auditziele, des Auditumfangs und der Auditkriterien.
(1211344)

Vorstellung der Teilnehmer, einschließlich der Beobachter und Betreuer.
(1211343)

Welche der folgenden Aussagen sind korrekt bezüglich der Kommunikation während eines Audits? (Mehrfachnennung möglich)

(1158446)

Nachweise, die beim Audit gesammelt werden und gegenüber den Auditkriterien eine Nonkonformität darstellen, sollten der auditierten Organisation und ggf. dem Auditauftraggeber unverzüglich mitgeteilt werden.
(1211355)

Nachweise, die beim Audit gesammelt werden und die auf ein unmittelbares und signifikantes Risiko für die zu auditierende Organisation hinweisen, sollten der auditierten Organisation und ggf. dem Auditauftraggeber unverzüglich mitgeteilt werden.
(1211353)

Der Auditteamleiter sollte in regelmäßigen Abständen der auditierten Organisation und ggf. dem Auditauftraggeber den Fortgang des Audits sowie etwaige Probleme mitteilen.
(1211352)

Das Auditteam sollte in regelmäßigen Abständen Rücksprache halten, um Informationen auszutauschen und den Fortgang des Audits zu bewerten.
(1211351)

Welche der folgenden Aussagen sind korrekt bezüglich des Sammelns und Verifizierens von Informationen während der Durchführung eines Audits? (Mehrfachnennung möglich)

(1158448)

Nach dem Sammeln und Verifizieren von Informationen folgt sofort die Aktivität der Bewertung der Auditschlussfolgerungen.
(1211372)

Auditfeststellungen werden erarbeitet, bevor das Sammeln und Verifizieren der Informationen beginnt.
(1211371)

Die Überprüfung dokumentierter Informationen ist eine Methode zum Sammeln von Informationen während eines Audits.
(1211368)

Interviews und Beobachtungen sind Methoden zum Sammeln von Informationen während eines Audits.
(1211367)

Welche der folgenden Antworten spiegeln zwei aufeinanderfolgende Aktivitäten im Auditprozess in der richtigen Reihenfolge wieder? (Mehrfachnennung möglich)

(1158449)

Umsetzen des Auditprogramms und Überwachen des Auditprogramms
(1211382)

Festlegen des Auditprogramms und Umsetzen des Auditprogramms
(1211381)

Durchführen von Auditfolgemaßnahmen und dann Abschließen des Audits
(1211380)

Abschließen des Audits und dann Durchführen von Auditfolgemaßnahmen
(1211377)

In welchen der folgenden Bereiche sollten Managementsystem-Auditoren ein allgemeines Wissen und Fertigkeiten besitzen, um ein Audit durchzuführen? (Mehrfachnennung möglich)

(1158450)

Beschaffungsstrategien für Human Resources
(1211389)

Finanzbuchhaltung
(1211388)

Zutreffende gesetzliche und vertragliche Anforderungen
(1211386)

Organisatorischer Kontext
(1211385)

Audit-Teamleiter sollten zusätzliche Kenntnisse und Fähigkeiten für die Leitung des Auditteams besitzen, um die effiziente und effektive Durchführung eines Audits zu unterstützen. Welche Fähigkeiten sind das? (Mehrfachnennung möglich)

(1158451)

Bereitstellung einer disziplinspezifischen Schulung für die Mitglieder des Auditteams.
(1211397)

Festlegung von Verfahren zur Auswahl geeigneter Auditteams, Durchführung von Audits und Pflege von Auditprogrammaufzeichnungen.
(1211396)

Erstellen und Abschließen des Auditberichts.
(1211394)

Leiten des Auditteams, um zu den Auditschlussfolgerungen zu gelangen.
(1211393)

Welche der folgenden Aussagen hinsichtlich der Anwendung der Audit-Methoden sind korrekt? (Mehrfachnennung möglich)

(1158452)

Remote-Audit-Aktivitäten sind nur erlaubt, wenn die Aktivitäten keine menschliche Interaktion erfordern.
(1211403)

Die Beobachtung durchgeführter Arbeitsschritte erfordert menschliche Interaktion.
(1211402)

Interviews können sowohl vor Ort als auch aus der Ferne durchgeführt werden.
(1211400)

Dokumentenprüfungen können mit oder ohne menschliche Interaktion durchgeführt werden.
(1211398)

In einem Managementsystem-Audit sind die folgenden Anforderungen ein Teil der Auditkriterien: "Die oberste Leitung muss eine Qualitätspolitik festlegen, implementieren und pflegen. Diese Qualitätspolitik muss in dokumentierter Form verfügbar sein und gepflegt werden, kommuniziert werden, verstanden und innerhalb der Organisation angewendet werden, sowie in angemessener Weise relevanten, interessierten Parteien verfügbar sein." Wobei handelt es sich um Situationen oder Feststellungen, die klar auf eine Nichtkonformität hindeuten? (Mehrfachnennung möglich)

(1158458)

Die Qualitätspolitik wurde vom Mutterkonzern kopiert und nur an entscheidenen Stellen angepasst.
(1211698)

Die Qualitätspolitik ist viel kürzer als bei anderen vergleichbaren Organisationen, die ein ähnliches Managementsystem betreiben.
(1211443)

Die Qualitätspolitik existiert nur digital. Sie ist nicht in Papierform dokumentiert.
(1211442)

Die Qualitätspolitik enthält veraltete Informationen über die Organisation, die seit einigen Jahren nicht aktualisiert wurden.
(1211441)

Welche der folgenden Aussagen sind hinsichtlich der Auditprogramme richtig? (Mehrfachnennung möglich)

(1158481)

Für jedes einzelne Audit in einem Auditprogramm werden die Verfahren für die Durchführung der Audittätigkeiten gesondert festgelegt.
(1211581)

Die Person, die ein Auditprogramm leitet, fungiert immer auch als leitender Auditor für alle Audits, die Teil des Auditprogramms sind.
(1211580)

Alle Audits, die Teil desselben Audit-Programms sind, müssen den gleichen Umfang haben.
(1211579)

Ein Audit-Programm umfasst in der Regel eine größere Zeitspanne als ein einzelnes Audit.
(1211578)

Während eines Managementsystem-Audits haben Sie Nachweise gesammelt, um den Grad der Konformität der Leistungsbewertung und der kontinuierlichen Verbessserung zu evaluieren. Unter Berücksichtigung der Voraussetzungen aus den Managementsystemnormen zeigen welche der folgenden Beispiele eine Situation oder Feststellungen einer klaren Nichtkonformität an? (Mehrfachnennung möglich)

(1158482)

Ein internes Audit-Programm wurde definiert. Da die Organisation keine Personen beschäftigt, die für die Durchführung von Managementsystem-Audits qualifiziert sind, wurden alle internen Audits von externen Auditoren durchgeführt.
(1211590)

Die Bewertung der wichtigsten Leistungsindikatoren hat gezeigt, dass ein bestimmtes Vorgehen nicht effektiv funktioniert.
(1211589)

Während eines internen Audits wurden eine Reihe von Verbesserungsvorschlägen identifiziert und aufgezeichnet. Einige dieser Vorschläge wurden nicht implementiert.
(1211588)

Ergebnisse aus internen Audits wurden nicht als Input für Management Reviews berücksichtigt.
(1211586)

Was sollte ein Auditbericht beinhalten bzw. referenzieren? (Mehrfachnennung möglich)

(1158484)

Leistungsbewertung des Auditteams durch die zu auditierende Organisation
(1211609)

Ergebnisse von Follow-up-Maßnahmen, die von der geprüften Stelle unternommen wurden, um während des Audits festgestellte Nichtkonformitäten zu beheben
(1211608)

Duplikate aller Dokumentenmuster, die als Auditnachweise verwendet werden
(1211607)

Identifizierung der Mitglieder des Auditteams und der Audit-Teilnehmer am Audit
(1211606)

BaySec ISA+ - de - sample set 1 - v1

Der ISA+ Informations-Sicherheits-Analyse Fragenkatalog gliedert sich in drei Themengebiete. Welche der folgenden gehören dazu? (Mehrfachnennung möglich)

(168859)

Informationen
(334231)

Technik
(334229)

Organisation
(334228)

Welche der folgenden Bausteine gehören zu den zentralen inhaltlichen Bausteinen einer Informationssicherheitsleitlinie? (Mehrfachnennung möglich)

(168860)

Risikoabwägung
(334242)

Bereitschaft der Unternehmensleitung zur Durchsetzung der Leitlinie
(334237)

Stellenwert der Informationssicherheit im Unternehmen
(334235)

Welche der folgenden Aussagen sind im Hinblick auf die Rolle eines Datenschutzbeauftragten korrekt? (Mehrfachnennung möglich)

(168861)

Er ist Geheimnisträger und kennt alle auch sehr vertrauliche Geschäftsgeheimnisse.
(334248)

Der Datenschutzbeauftragte kann auch eine externe Person sein.
(334249)

In kleinen Unternehmen kann der Informationssicherheitsbeauftragte zusätzlich Datenschutzbeauftragter sein.
(334243)

Ordnen Sie die Hierarchie der Dokumente vom Allgemeinen zum Speziellen: (Mehrfachnennung möglich)

(168862)

Leitlinie, Handlungsanweisung, Konzept
(334252)

Leitlinie, Konzept, Handlungsanweisung
(334251)

Handlungsanweisung, Konzept, Leitlinie
(334250)

Zu den zentralen Schutzzielen der Informationssicherheit gehören welche der folgenden Optionen? (Mehrfachnennung möglich)

(168863)

Kontinuierliche Verbesserung
(334258)

Sensibilisierung
(334257)

Integrität
(334254)

Technische Maßnahmen alleine sind zur Sicherstellung der Informationssicherheit im Unternehmen nicht ausreichend. Welche weiteren Maßnahmen sind zu ergreifen? (Mehrfachnennung möglich)

(168865)

Abschluss einer Versicherung
(334271)

Mitteilung über aktuelle Bedrohungen
(334267)

Schulung der Mitarbeiter
(334266)

Welche Aussagen sind in Bezug auf die Verwaltung von Passwörtern wahr? (Mehrfachnennung möglich)

(168866)

Password-Sharing ist bei Vertretungsregelungen grundsätzlich erlaubt.
(334277)

Passwörter sind laut ISA+ Informations-Sicherheits-Analyse Vorgaben zwingend alle 30 Tage zu ändern.
(334276)

Eine Passwortrichtlinie muss erstellt und freigegeben sein.
(334272)

Welche der folgenden Optionen gehören zu den Anforderungen und Inhalten eines Rechtekonzepts? (Mehrfachnennung möglich)

(168868)

Großer Berechtigungskreis, damit Vertretung erleichtert wird.
(334290)

Dokumentation aller Vergabe- und Entzugsprozesse.
(334286)

Prinzip der geringsten Berechtigung.
(334285)

Welche Aussagen sind im Unternehmen in Bezug auf den Umgang mit Schadsoftware richtig? (Mehrfachnennung möglich)

(168869)

Virenscanner sind heutzutage nicht mehr notwendig, da Betriebssysteme mittlerweile andere Maßnahmen zum Schutz vor Schadsoftware eingebaut haben (z.B. ASLR bei Windows).
(334296)

Auf Serversystemen ist ein Virenscanner überflüssig.
(334295)

Auf jedem System muss eine geeignete Abwehrmaßnahme (z.B. ein Virenscanner) installiert sein.
(334291)

Was ist bezüglich der Beauftragung von externem Service Personal wahr? (Mehrfachnennung möglich)

(168871)

Nur Zutritt zu unbedenklichen Räumen geben.
(334306)

Wichtige Räumlichkeiten abschließen.
(334305)

Das beaufsichtigende Personal muss dementsprechend geschult sein, um Handlungen zu erkennen.
(334307)

Wie läuft der Zertifizierungsprozess ab? (Mehrfachnennung möglich)

(168873)

Die Gültigkeit des Zertifikats beträgt 12 Monate.
(334321)

Zwischen Antrag und Audit dürfen maximal 12 Monate liegen.
(334319)

Im Rahmen des Auditantrags muss eine Selbsteinschätzung eingereicht werden.
(334316)

Beeinträchtigungen der Informationssicherheit können zu folgenden Eigenschäden der Organisation führen: (Mehrfachnennung möglich)

(168875)

Verletzung von Persönlichkeitsrechten von Kunden und Bürgern
(334332)

Geldstrafe für den IT-Leiter
(334333)

Bußgelder
(334327)

Welche Aussagen sind zutreffend? (Mehrfachnennung möglich)

(168876)

Nur schwere Sicherheitsvorfälle sind dem Informationssicherheitsbeauftragten zu melden.
(334337)

Datensicherheit und Datenschutz sind deckungsgleiche Begriffe.
(334335)

Verträge, Richtlinien, Dienstvereinbarungen /-anweisungen zählen zur „IT-Compliance“.
(334341)

Welche Stellung und Aufgaben muss der/die Informationssicherheitsbeauftragte in der Organisation erhalten? (Mehrfachnennung möglich)

(168877)

Die Sicherheits- und Notfallvorsorgekonzepte erstellen sowie weitere Richtlinien und Regelungen zur Informationssicherheit koordinieren.
(334345)

Die Leitungsebene bei der Erstellung der Leitlinie zur Informationssicherheit unterstützen.
(334344)

Informationssicherheitsprozess steuern und bei allen damit zusammenhängenden Aufgaben mitwirken.
(334343)

Welche Lösungsmöglichkeiten gibt es für den Konflikt zwischen E-Mail-Überwachung bzw. Archivierung und Fernmeldegeheimnis/Datenschutz? (Mehrfachnennung möglich)

(168881)

Gesonderte „Surf-Stationen“ beim Betriebs- / Personalrat
(334378)

Ausschließlich webbasierter Zugriff auf private Mail-Accounts
(334374)

Totalverbot des Einsatzes von E-Mails zu privaten Zwecken
(334373)

In der zu überprüfenden Gemeinde werden die Checklisten für den Ein- und Austritt von Mitarbeitern überprüft. Vom ISA+ Informations-Sicherheits-Analyse-Prüfer wird der Reifegrad 2 erteilt. Welche Maßnahme (neben anderen) muss getroffen werden, um den Reifegrad auf 3 zu heben? (Mehrfachnennung möglich)

(1158488)

Die alten Versionen (Zeitraum 3 Jahre) der Checklisten müssen vorliegen.
(1211743)

Mit der Erstellung von Checklisten muss zeitnah begonnen werden.
(1211742)

Ein Verfahren ist definiert, das festlegt, wer für die Erteilung von Zugangsberechtigungen zuständig ist.
(1211744)

Bei der Akteneinsicht ergibt sich folgende Regelung für die Aktualisierung von Virenscannern in der zu überprüfenden Gemeinde: Updates werden automatisch nach Veröffentlichung des Virenscanner-Herstellers installiert. Dies wird gemäß ISA+ Informations-Sicherheits-Analyse Fragenkatalog als Reifegrad 1 bewertet. Welche der folgenden Maßnahmen (neben anderen) müssen etabliert sein, um den Reifegrad auf 2 zu erhöhen? (Mehrfachnennung möglich)

(1158489)

Die Mitarbeiter erhalten ein Merkblatt, dass sie die erfolgreiche Installation der Updates wöchentlich überprüfen sollen.
(1211751)

Geprüfte und freigegebene Updates werden automatisch installiert.
(1211749)

Updates für den Virenscanner werden geprüft und freigegeben.
(1211748)

Die IT-Betreuerin der zu überprüfenden Gemeinde wird zum Thema Passwortrichtlinie befragt. Diese gibt an, dass mit der Erstellung einer Gruppenrichtlinie begonnen wurde, um die vorhandene Richtlinie auch technisch durchzusetzen. Welchen höchsten Reifegrad nach ISA+ Informations-Sicherheits-Analyse hat die Gemeinde mit dieser Maßnahme erreicht? (Mehrfachnennung möglich)

(1158490)

Reifegrad 2
(1211757)

Reifegrad 0
(1211755)

Reifegrad 1
(1211756)

Der ISA+ Informations-Sicherheits-Analyse-Prüfer interviewt einen Mitarbeiter aus der zu überprüfenden Gemeinde, welche Maßnahmen zu treffen sind, wenn dritte Personen (z.B. Handwerker) im Haus sind. Er gibt an, dass diese immer beaufsichtigt werden und Räumlichkeiten, in denen sich sensible Akten befinden, vorsorglich abgesperrt werden. Dieses Verfahren ist auch so dokumentiert. Welchem ISA+ Informations-Sicherheits-Analyse Reifegrad entspricht dies (nur den höchsten RG angeben)? (Mehrfachnennung möglich)

(1158491)

Reifegrad 0
(1211759)

Reifegrad 1
(1211760)

Reifegrad 3
(1211762)

Bei der Akteneinsicht wird überprüft, ob die gesetzlichen Anforderungen an die Informationsverarbeitung eingehalten werden. In der zu überprüfenden Gemeinde existiert ein Verzeichnis mit allen aktuellen Verfahren und zu jedem ist eine verantwortliche Person benannt. Diese überprüft in regelmäßigen Abständen die Durchführung. Aus den Dokumenten ergibt sich jedoch kein Vorgehen für die Dokumentation neuer oder die Veränderung bestehender Verfahren im Verzeichnis.
Bewerten Sie den höchsten Reifegrad nach ISA+ Informations-Sicherheits-Analyse (Mehrfachnennung möglich)

(1158492)

Reifegrad 3
(1211766)

Reifegrad 1
(1211764)

Reifegrad 2
(1211765)

ICO Security Management nach TISAX - de - sample set1 - v1

Aus welchen Gründen besteht die Automobilindustrie auf ein erhöhtes Sicherheitsniveau bei ihrer Lieferantenkette? (Mehrfachnennung möglich)

(1158493)

Erhöhung der Informationssicherheit durch mehr Transparenz gegenüber der Konkurrenz.
(1211779)

Die Automobilindustrie möchte den administrativen Aufwand erhöhen, um die Qualität zu sichern.
(1211778)

Industriespionage
(1211774)

Welche Aussagen in Bezug auf Sicherheitsereignisse und -vorfälle sind wahr? (Mehrfachnennung möglich)

(1158494)

Ein Sicherheitsvorfall sollte auf gar keinen Fall kommuniziert werden.
(1211787)

Ein Sicherheitsereignis ist auch immer ein Sicherheitsvorfall.
(1211786)

Bei Feststellung der Ausnutzung einer Sicherheitslücke innerhalb des Unternehmens handelt es sich um einen Sicherheitsvorfall.
(1211782)

Welche der folgenden Aussagen zu TISAX und ISO27001 sind korrekt? (Mehrfachnennung möglich)

(1158495)

Bei der ISO27001 handelt es sich um einen branchenspezifischen Standard.
(1211794)

Das Zertifikat nach ISO27001 kann auch mit einer Abweichung erteilt werden.
(1211791)

Bei TISAX wird ein Standardscope verwendet.
(1211790)

Welche der folgenden Kataloge sind Bestandteil des VDA ISA 5.0? (Mehrfachnennung möglich)

(1158496)

IT-Sicherheit
(1211803)

Werksicherheit
(1211802)

Informationssicherheit
(1211798)

Was kann mit einer KPI (Key Performance Indicator) innerhalb eines Management Systems gemessen werden? (Mehrfachnennung möglich)

(1158497)

Effektivität
(1211808)

Effizienz
(1211807)

Konformität
(1211806)

Welche Aussagen zu den Anforderungsstufen sind korrekt? (Mehrfachnennung möglich)

(1158498)

Die "sollte"-Anforderungen sind Anregungen, müssen aber nicht erfüllt werden.
(1211818)

Eine "sollte"-Anforderung kann bei begründeten und belegten Ausnahmen ausgeschlossen werden.
(1211815)

Eine "muss"-Anforderung ist bei einer TISAX Prüfung zwingend zu erfüllen.
(1211814)

Was sind Kapitel des Katalogs Informationssicherheit nach VDA ISA? (Mehrfachnennung möglich)

(1158499)

Work Security
(1211827)

Data Security
(1211826)

IT Security
(1211822)

Welche Aussagen zur Zertifizierungsabfolge nach TISAX sind korrekt? (Mehrfachnennung möglich)

(1158500)

Die Registrierung bei der ENX erfolgt nach dem initialen Assessment.
(1211834)

Nach dem Zertifizierungsaudit erfolgt die Meldung an die ENX.
(1211831)

Nach der Registrierung bei der ENX erfolgt die Auswahl der Zertifizierungsstelle.
(1211830)

Welche Feststellungen können in einem Audit nach TISAX durch die Zertifizierungsstelle bemerkt werden? (Mehrfachnennung möglich)

(1158501)

Bedrohung
(1211843)

Schwachstelle
(1211842)

Hauptabweichung
(1211838)

In den Hinweisen nach VDA ISA werden folgende Themengebiete beschrieben: (Mehrfachnennung möglich)

(1158502)

Firewallregeln
(1211850)

Optiken
(1211847)

Sicherheitszonen
(1211846)

Welche Arten von Dokumenten müssen typischerweise innerhalb von Managementsystemen gelenkt werden? (Mehrfachnennung möglich)

(1158503)

Vertragsunterlagen
(1211859)

Prozesse
(1211855)

Richtlinien
(1211854)

Welche Aspekte sind im Kapitel Human Ressources nach VDA ISA 5.0 gefordert? (Mehrfachnennung möglich)

(1158504)

Jeder Mitarbeiter muss ein polizeiliches Führungszeugnis vorlegen
(1211866)

Information über geltende Richtlinien
(1211863)

Gültige Geheimhaltungsvereinbarungen
(1211862)

Welche Aussagen zum VDA ISA 5.0 sind korrekt? (Mehrfachnennung möglich)

(1158505)

Datenschutz wird ausschließlich innerhalb des Zusatzkatalogs "Datenschutz" gefordert.
(1211874)

Der Katalog "Datenschutz" wird z.B. bei Unternehmen mit viel oder ausschließlichem Gebrauch von personenbezogenen Daten geprüft.
(1211871)

Der Katalog Informationssicherheit besteht aus insgesamt 41 Controls.
(1211870)

Was soll innerhalb des Kapitels IT Security nach VDA 5.0 erreicht werden? (Mehrfachnennung möglich)

(1158506)

Verbot der Kommunikation mit Dritten
(1211882)

Durchführung von Systemaudits
(1211879)

Sicherer Austausch von Informationen mit Dritten
(1211878)

Im Kapitel Identity und Access Management werden Anforderungen für die Vertraulichkeit von Authentifizierungsinformationen definiert. Welche Maßnahmen können hierbei unterstützen? (Mehrfachnennung möglich)

(1158507)

Verwendung des selben Passworts für alle Anwendungen
(1211891)

Weitergabe von Passwörtern an Kollegen, um sich die Arbeit zu erleichtern
(1211890)

Verwendung von Standardpasswörtern verhindern
(1211886)

Ein Audit ist ein Prozess, mit dem bestimmt werden soll, inwieweit Auditkriterien erfüllt sind. Welche der folgenden Eigenschaften muss dieser Prozess gemäß VDA ISA unter anderem aufweisen? (Mehrfachnennung möglich)

(1158508)

Er muss mit einer Zertiﬁzierung abschließen.
(1211898)

Er muss durch eine externe Partei gesteuert werden.
(1211897)

Er muss systematisch sein.
(1211894)

Zu welchen Themen definiert VDA ISA (Informationssicherheit) Anforderungen im Zusammenhang mit dem Kapitel "IT Sicherheit" (5)? (Mehrfachnennung möglich)

(1158509)

Interne Organisation
(1211903)

Protokollierung und Überwachung
(1211902)

Datensicherung
(1211901)

Worüber müssen sich Personen bewusst sein, die Tätigkeiten für eine Organisation ausüben, die Konformität mit VDA ISA beansprucht? (Mehrfachnennung möglich)

(1158510)

Über die Erklärung zur Anwendbarkeit und die dort enthaltenen Begründungen möglicher Ausschlüsse
(1211911)

Über alle identiﬁzierten Informationssicherheitsrisiken
(1211909)

Über die Informationssicherheitspolitik
(1211906)

Was trifft auf Prozesse im Kontext von Managementsystemen zu? (Mehrfachnennung möglich)

(1158511)

Für Prozesse sollten klare Verantwortlichkeiten und ggf. Schnittstellen mit anderen Prozessen definiert sein.
(1211914)

Prozesse stellen einen Teil bzw. Teile eines Managementsystems dar.
(1211913)

ISO/IEC 27000 deﬁniert einen Prozess als einen Satz zusammenhängender und sich gegenseitig beeinﬂussender Tätigkeiten, der Eingaben in Ergebnisse umwandelt.
(1211912)

Was triﬀt auf den Standard ISO/IEC 27001 zu? (Mehrfachnennung möglich)

(1158512)

Er legt Anforderungen an Konformitätsbewertungsstellen fest.
(1211929)

Er enthält in Form eines Praxisleitfadens Empfehlungen zur Informationssicherheit.
(1211927)

Er formuliert die minimalen Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS).
(1211924)

Was ist in der Phase "Verbesserung" nach VDA ISA fortlaufend zu optimieren? (Mehrfachnennung möglich)

(1158513)

Nachhaltigkeit des ISMS
(1211922)

Genauigkeit des ISMS
(1211921)

Eignung des ISMS
(1211918)

VDA ISA definiert Maßnahmen (Controls) und Anforderungen zu/zur ... (Mehrfachnennung möglich)

(1158514)

Verteilung und Überprüfung von Zertifikaten (Certificate disttribution and validation)
(1211942)

Verwaltung der Werte (Asset management) einer Organisation
(1211937)

Personalsicherheit (Human resource security)
(1211936)

Zu welchen Themen definiert VDA ISA im Katalog Informationssicherheit Ziele und Anforderungen? (Mehrfachnennung möglich)

(1158515)

Energieeffizienz
(1211954)

Betriebliche Gesundheits- und Daseinsvorsorge
(1211953)

Organisation der Informationssicherheit
(1211948)

Welche der folgenden Rahmenwerke, Standards oder Standardfamilien befassen sich schwerpunktmäßig mit IT- oder Informationssicherheit (oder werden als Standard für IT- oder Informationssicherheit bezeichnet)? (Mehrfachnennung möglich)

(1158516)

FitSM
(1211933)

BSI Grundschutz
(1211931)

ISO/IEC 27000
(1211930)

Welche Eigenschaften von Informationen sollen im Rahmen der Informationssicherheit aufrechterhalten werden? (Mehrfachnennung möglich)

(1158517)

Unverletzbarkeit
(1211962)

Stabilität
(1211961)

Vertraulichkeit
(1211958)

Was trifft auf den PDCA-Zyklus zu? (Mehrfachnennung möglich)

(1158518)

P steht für "Perform", D für "Deliver", C für "Control" und A für "Adapt".
(1211967)

PDCA ist ein grundlegender Ansatz zur kontinuierlichen Verbesserung.
(1211965)

P steht für "Plan", D für "Do", C für "Check" und A für "Act".
(1211964)

Welche der folgenden Aussagen zu Maßnahmen (Controls) sind korrekt? (Mehrfachnennung möglich)

(1158519)

Alle Maßnahmen, die die Norm formuliert, sind rein organisatorischer Natur.
(1211974)

Alle Maßnahmen, die die Norm formuliert, sind rein technischer Natur.
(1211973)

Maßnahmen können Prozesse und Richtlinien umfassen.
(1211970)

Was ist Vertraulichkeit? (Mehrfachnennung möglich)

(1158520)

Eine in der ISO/IEC 27000 festgelegte Geheimhaltungsstufe.
(1211978)

Eine der Eigenschaften von Informationen, die im Rahmen der Informationssicherheit aufrechterhalten werden soll.
(1211977)

Eigenschaft, dass Informationen unbefugten Parteien nicht verfügbar gemacht oder offengelegt werden.
(1211976)

Welche der folgenden Aussagen im Zusammenhang mit Vertraulichkeit und Integrität von Informationen sind korrekt? (Mehrfachnennung möglich)

(1158521)

Ein angemessenes Niveau an Vertraulichkeit und Integrität lässt sich nur durch den Einsatz von Verschlüsselung und durch digitale Signaturen erreichen.
(1211985)

Informationen, deren Vertraulichkeit nicht gegeben ist, können auch nicht in ihrer Integrität geschützt werden.
(1211984)

Vertraulichkeit bedeutet Schutz vor Offenlegung von Informationen gegenüber unbefugten Personen.
(1211981)

In welchen der folgenden Fälle liegt eine Verletzung der Integrität vor? (Mehrfachnennung möglich)

(1158522)

Auf ein Dokument wurde unberechtigterweise zugegriffen.
(1211990)

Aus einem Dokument wurden unberechtigterweise Informationen entfernt.
(1211989)

Informationen in einem Dokument wurden unberechtigterweise umorganisiert, also in ihrer Reihenfolge verändert.
(1211987)

ICO Datenschutzbeauftragter Grundlagen - de - sample set - v1

Was ist ein personenbezogenes Datum? (Mehrfachnennung möglich)

(1158613)

Geschäftsgeheimnis
(1212516)

Foto
(1212508)

Geburtsdatum
(1212507)

Welche Schutzziele verfolgt die DSGVO? (Mehrfachnennung möglich)

(1158614)

Förderung der Informationsfreiheit
(1212522)

Schutz von personenbezogenen Daten vor Missbrauch
(1212519)

Stärkung des Grundrechts auf informationelle Selbstbestimmung
(1212518)

Welche grundsätzlichen Aussagen über das BDSG sind richtig? (Mehrfachnennung möglich)

(1158615)

Das BDSG enthält Regelungen, welche diejenigen der DSGVO aushebeln.
(1212535)

Das BDSG findet keine Anwendung auf Vereine oder Verbände.
(1212534)

Das BDSG konkretisiert und ergänzt die DSGVO da, wo es Öffnungsklauseln der DSGVO gestatten.
(1212531)

Welche grundsätzlichen Aussagen über die DSGVO sind richtig? (Mehrfachnennung möglich)

(1158616)

Die DSGVO kann, wo Öffnungsklauseln bestehen, durch nationales Recht konkretisiert werden.
(1212540)

Die DSGVO gilt unmittelbar in allen EU-Mitgliedsstaaten gleichsam.
(1212538)

Die DSGVO sichert ein einheitliches Datenschutzniveau in Europa.
(1212537)

Welche Grundsätze für die Verarbeitung personenbezogener Daten enthält die DSGVO? (Mehrfachnennung möglich)

(1158617)

Integrität und Vertraulichkeit
(1212550)

Datenminimierung
(1212549)

Rechtmäßigkeit der Verarbeitung und Transparenz
(1212548)

Welche Aussagen über die Grundsätze für die Verarbeitung personenbezogener Daten ist falsch? (Mehrfachnennung möglich)

(1158618)

Die Einhaltung der Grundsätze stellt die Grundlage für eine rechtskonforme Datenverarbeitung dar.
(1212567)

Die Grundsätze sind nur eine Empfehlung und nicht verbindlich.
(1212559)

Für ihre Einhaltung besteht keine Rechenschaftspflicht.
(1212558)

Was ist in Bezug auf die Rechtmäßigkeit einer Datenverarbeitung richtig? (Mehrfachnennung möglich)

(1158619)

Die Rechtmäßigkeit kann sich nur aus einer Einwilligung der betroffenen Person in Verbindung mit einem nationalen Gesetz ergeben.
(1212574)

Eine Rechtmäßigkeit kann sich nur aus einer Einwilligung der betroffenen Person ergeben.
(1212573)

Die Rechtmäßigkeit einer Datenverarbeitung kann in bestimmten Fällen eine Interessensabwägung erfordern.
(1212571)

Was gilt es in Bezug auf eine wirksame Einwilligung zu beachten? (Mehrfachnennung möglich)

(1158620)

Die Einwilligung kann auch vorausgesetzt werden, obwohl über diese keine Sicherheit besteht.
(1212585)

Für den Widerruf einer Einwilligung dürfen keine Hürden oder Bedingungen aufgestellt werden.
(1212581)

Die Einwilligung kann durch die betroffene Person jederzeit widerrufen werden.
(1212580)

Welche Arten von Daten zählen zu den besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO? (Mehrfachnennung möglich)

(1158621)

Bank- und Kontodaten
(1212594)

Gehaltsdaten
(1212593)

Sexuelle Orientierung
(1212592)

Welche Aussagen über besondere Kategorien personenbezogener Daten ist richtig? (Mehrfachnennung möglich)

(1158622)

Diese Daten dürfen immer nur unter Einwilligung der betroffenen Person erhoben und verarbeitet werden.
(1212604)

Für die Verarbeitung dieser Daten gilt auch das Verbot mit Erlaubnisvorbehalt.
(1212602)

Ihre Verarbeitung kann auf der Grundlage einer gesetzlichen Vorschrift zwingend erforderlich sein.
(1212601)

Die Rechte der betroffenen Person sind besonders wichtig für die Wahrnehmung des Grundrechts auf informationelle Selbstbestimmung. Welche grundsätzliche Aussagen treffen zu? (Mehrfachnennung möglich)

(1158623)

Die Betroffenenrechte stehen in Deutschland nur Personen mit deutscher Staatsbürgerschaft zu.
(1212613)

Die Betroffenenrechte kann jeder ohne Nennung von Gründen wahrnehmen.
(1212609)

Die Betroffenenrechte sind in der DSGVO beschrieben und werden durch das BDSG geringfügig ergänzt.
(1212608)

Welche Rechte der betroffenen Personen existieren ausdrücklich im Gesetz? (Mehrfachnennung möglich)

(1158624)

Recht zur Datenanalyse
(1212627)

Recht auf Widerspruch und Recht auf Datenübertragbarkeit
(1212621)

Recht auf Berichtigung und Recht auf Einschränkung der Datenverarbeitung
(1212620)

Welche Anforderungen an Informations- und Transparenzpflichten bestehen für Unternehmen? (Mehrfachnennung möglich)

(1158625)

Die Informationspflichten betreffen nur Unternehmen, die mehr als 50 Mitarbeiter haben.
(1212633)

Eine Information über eine Datenerhebung ist bereits zum Zeitpunkt der Erhebung der Daten erforderlich.
(1212630)

Gesetzlich geforderte Informationen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden.
(1212629)

Welche Aussagen zur gesetzlichen Auskunftspflicht sind nicht zutreffend? (Mehrfachnennung möglich)

(1158626)

Die Auskunft muss grundsätzlich innerhalb von einem Monat erteilt werden.
(1212643)

Für die Erteilung der Auskunft kann immer eine Gebühr verlangt werden.
(1212639)

Es genügt, wenn die Auskunft im selben Jahr der eingegangenen Anfrage getätigt wird.
(1212638)

Was ist hinsichtlich der Löschung von Daten zu beachten? (Mehrfachnennung möglich)

(1158627)

Daten müssen immer vollständig gelöscht werden, wenn ein Vertragskunde gekündigt hat.
(1212654)

Daten müssen immer gelöscht werden, wenn betroffene Personen dies fordern.
(1212653)

Einem Löschantrag können gesetzliche Aufbewahrungsfristen entgegenstehen.
(1212652)

Welche Feststellungen zu Rechtsbehelfen, Haftungen und Sanktionen in Bezug auf unrechtmäßige Datenverarbeitungen sind korrekt? (Mehrfachnennung möglich)

(1158629)

Die Aufsichtsbehörden verhängen Bußgelder nur, wenn mehreren betroffenen Personen ein Schaden entstanden ist.
(1212674)

Ein Anspruch auf Schadensersatz steht betroffenen Personen nur zu, wenn ihre Daten unwissentlich verarbeitet worden sind.
(1212673)

Betroffene Personen können einen materiellen oder immateriellen Schaden aus einer unrechtmäßigen Datenverarbeitung erleiden.
(1212671)

Welche Aussagen sind betreffend des Schutzes der Daten von Beschäftigten zutreffend? (Mehrfachnennung möglich)

(1158630)

Wenn vorhanden, muss der Betriebsrat den Datenverarbeitungen vorab immer erst zustimmen.
(1212684)

Für die Verarbeitung von Beschäftigtendaten bedarf es vorab immer einer Einwilligung.
(1212683)

Der Begriff der Beschäftigen ist weit gefasst und umfasst eine Vielzahl von Personengruppen.
(1212678)

Was gilt datenschutzrechtlich hinsichtlich Videoüberwachungen? (Mehrfachnennung möglich)

(1158631)

Die Aufnahmen von Videoüberwachungen dürfen unbegrenzt lange gespeichert werden, wenn diese noch benötigt werden könnten.
(1212694)

Videoüberwachungen bedürfen immer der Einwilligung der betroffenen Personen.
(1212693)

Durch Videoüberwachung erfasste Daten sind personenbezogene Daten, wenn darauf Personen zu sehen sind.
(1212688)

Welche Regelungen trifft die DSGVO hinsichtlich Verantwortliche und Auftragsverarbeiter? (Mehrfachnennung möglich)

(1158632)

Für Auftragsverarbeitungen muss ein Vertrag zur Auftragsverarbeitung zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossen werden.
(1212700)

Der Auftragsverarbeiter darf die Datenverarbeitungen nur den Anweisungen des Verantwortlichen entsprechend verarbeiten.
(1212699)

Der Verantwortliche ist für die Rechtskonformität von Datenverarbeitungen durch seine Auftragsverarbeiter haftbar und verantwortlich.
(1212698)

Was sind Beispiele für eine klassische Auftragsverarbeitung? (Mehrfachnennung möglich)

(1158633)

Botendienste
(1212714)

Reinigungsdienstleistungen
(1212713)

Wartung von Software, bei der dem Dienstleister ein Zugriff auf personenbezogene Daten möglich ist.
(1212708)

Was muss das Verzeichnis der Verarbeitungstätigkeiten zwingend beinhalten? (Mehrfachnennung möglich)

(1158634)

Verträge zur Auftragsverarbeitung
(1212723)

Löschfristen
(1212719)

Art der Daten
(1212718)

Welche Behauptungen über die Pflicht zur Benennung eines Datenschutzbeauftragten und dessen Stellung sind erfunden? (Mehrfachnennung möglich)

(1158635)

In Konzernen kann unter bestimmten Voraussetzungen eine Person als Datenschutzbeauftragter für alle Unternehmen benannt werden.
(1212734)

Die Voraussetzung für eine Benennung zum Datenschutzbeauftragten ist eine ausreichende Fachkunde.
(1212733)

Der DSB ist weisungsberechtigt gegenüber allen Beschäftigten im Unternehmen in Bezug auf das Vorgehen bei der Datenverarbeitung.
(1212728)

Was sind in jedem Fall Aufgaben des Datenschutzbeauftragten? (Mehrfachnennung möglich)

(1158636)

Durchführung der Datenschutz-Folgenabschätzung
(1212744)

Führung des Verzeichnisses der Verarbeitungstätigkeiten
(1212743)

Unterstützung bei der Schulung der Mitarbeiter auf den Datenschutz
(1212742)

Was gilt durch die DSGVO in Bezug auf Übermittlungen von personenbezogenen Daten? (Mehrfachnennung möglich)

(1158637)

Datenübermittlungen an Auftragsverarbeiter können mittels Binding-Corporate-Rules gerechtfertigt werden.
(1212754)

Datenübermittlungen an Dienstleister in den USA können durch den Abschluss von Verträgen zur Auftragsverarbeitung erlaubt sein.
(1212753)

Die Daten müssen während der elektronischer Übermittlungen ausreichend geschützt werden.
(1212748)

Welche Aussagen zur Datenschutz-Folgenabschätzung sind richtig? (Mehrfachnennung möglich)

(1158638)

Eine Datenschutz-Folgenabschätzung ist durchzuführen, wenn ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht.
(1212763)

Der Datenschutzbeauftragte ist frühzeitig in die Durchführung der Datenschutz-Folgenabschätzung einzubinden.
(1212761)

Der Schwerpunkt einer Datenschutz-Folgenabschätzung liegt auf einer Risikoanalyse.
(1212760)

Was sind ausdrückliche Ziele der Sicherheit der Verarbeitung aus Art. 32 DSGVO? (Mehrfachnennung möglich)

(1158639)

Nachhaltigkeit
(1212777)

Pseudonymisierung
(1212770)

Integrität
(1212769)

Welche speziellen Anforderungen stellt die DSGVO an eine Datenverarbeitung mittels technischer Informationssysteme? (Mehrfachnennung möglich)

(1158640)

Privacy by Design
(1212780)

Pseudonymisierung
(1212779)

Anonymisierung
(1212778)

Welche Aussage zur Auswahl von technischen und organisatorischen Maßnahmen ist nicht korrekt? (Mehrfachnennung möglich)

(1158641)

Eine E-Mail-Verschlüsselung erhöht die Vertraulichkeit von Daten während der Übermittlung.
(1212794)

Eine Videoüberwachung erhöht den Schutz vor unberechtigtem Zutritt zu Datenverarbeitungsräumen.
(1212793)

Ein regelmäßiges Backup schützt vor unberechtigtem Zugriff auf Daten.
(1212788)

Wie ist im Fall einer Datenschutzverletzung vorzugehen? (Mehrfachnennung möglich)

(1158642)

Die Aufsichtsbehörde ist unverzüglich einzuladen.
(1212804)

Die Aufsichtsbehörde ist unverzüglich zu informieren.
(1212803)

Es sind umgehend Maßnahmen einzuleiten, um die Verletzung zu stoppen und einer Wiederholung vorzubeugen.
(1212801)

Welche Funktionen übt die Aufsichtsbehörde nicht aus? (Mehrfachnennung möglich)

(1158643)

Sie übernimmt auf Zuruf die Durchführung der Datenschutz-Folgenabschätzung.
(1212813)

Sie geht auch anonymen Beschwerden zum Datenschutz nach.
(1212810)

Sie unterstützt Datenschutzbeauftragte und Verantwortliche bei Fragen zum Datenschutz.
(1212809)

ICO ISA3402 Foundation - de - set 1 - v1

ISAE3402 Reports existieren in zwei Varianten: ein Typ 1 Report und ein Typ 2 Report. Welche Aussagen bezüglich der wesentlichen Unterschiede sind richtig? (Mehrfachnennung möglich)

(100167010)

Typ 1 und Typ 2 ersetzen eine ISO27001 Zertifizierung.
(89899318106)

Typ 1 und Typ 2 Berichte sind jeweils branchenorientiert ausgestaltet.
(89899318105)

Ein Typ 2 Report kann erstellt werden, ohne dass vorher ein Typ 1 Audit durchgeführt wurde.
(89899318101)

Als Vertreter einer User Organisation sollen Sie die Effektivität der internen Kontrollen bei einem Dienstleister überprüfen. Der Dienstleister übersendet Ihnen einen ISAE3402 Typ 1 Report. Welche der folgenden Aussagen sind richtig? (Mehrfachnennung möglich)

(100167011)

Für die Bewertung der Effektivität sind sowohl ein Typ 1 als auch ein Type 2 Report erforderlich.
(89899318113)

Der Typ 1 Report ist zur Beruteilung der Effektivität nicht ausreichend.
(89899318110)

Ein Typ 1 Report ist für die Beurteilung der Effektivität nicht ausreichend, da er nur eine Aussage zur Angemessenheit des Kontrollsystems enthält, nicht aber zu dessen Effektivität.
(89899318109)

ISAE3402 Reports beurteilen mit hinreichender Sicherheit (engl . "Reasonable Assurance") ein internes Kontrollsystem bei einer Service-Organiation. Ein solcher Bericht wird von qualifizierten Prüfern erstellt. Welche Aussagen sind richtig? (Mehrfachnennung möglich)

(100167012)

Ein ISO27001-Prüfer darf einen solchen Report erstellen.
(89899318121)

Einen solchen Report darf jedermann erstellen, der bei der jeweiligen nationalen Akkreditierungsstelle akkreditiert ist.
(89899318120)

Nur Wirtschaftsprüfer sind autorisiert, Berichte nach dem Standard ISAE3402 zu erstellen.
(89899318119)

Ein ISAE3402 Report besteht aus mehreren Abschnitten (engl. Sections). Welche Zuordnung bzgl. der Report-Inhalte ist richtig? (Mehrfachnennung möglich)

(100167013)

Abschnitt 1 enthält das vom Prüfer erstellte Zertifikat.
(89899318131)

Abschnitt 6 umfasst eine Kostendarstellung.
(89899318130)

Abschnitt 3 enthält die Beschreibung der internen Kontrollen und Kontrollziele (bereitgestellt durch das Dienstleistungsunternehmen)
(89899318127)

Ein ISAE3402 Report enthält die Einschätzung bezüglich eines Kontrollsystems bei einer Service Organisation. Was ist die Intention eines ISAE3402 Reports? (Mehrfachnennung möglich)

(100167014)

Ein ISAE3402 Report muss immer durch ein Audit ergänzt werden, das der Prüfer der User Organisation bei der Service-Organisation durchführt.
(89899318139)

Informationssicherheitsrelevante Aspekte sind niemals Gegenstand eines ISAE3402 Reports.
(89899318138)

Ein ISAE3402 Report ermöglicht es dem Prüfer einer User-Organisation, sich ein Bild über die Effektivität des Kontrollsystems bei einer Service-Organisation zu machen, ohne dort selbst Prüfungshandlungen durchführen zu müssen.
(89899318136)

Welche typischen Beispiele für ausgelagerte Dienstleistungen könnten Gegenstand eines ISAE3402 Reports sein? (Mehrfachnennung möglich)

(100167015)

Der ausgelagerte Betrieb eines Zutrittskontrollsystems.
(89899318146)

Der Betrieb von Buchhaltungssystemen durch einen externen Dienstleister.
(89899318142)

Lohn- und Gehaltsabrechung werden von einem externen Dienstleister erbracht.
(89899318141)

Sie als Vertreter einer User Organisation beabsichtigen, bisher im Hause erbrachte Dienstleistungen auszulagern. Welche Aussagen sind richtig? (Mehrfachnennung möglich)

(100167016)

Ein ISAE3402 Typ 1 Report zur Bewertung der Effektivität des internen Kontrollsystems bei der Service Organisation ist ausreichend.
(89899318152)

Ein ISAE3402 Report kann bei der Bewertung der Service Organisation hilfreich sein.
(89899318150)

Die Dienstleisterkette ist inklusive etwaiger Subdienstleister zu berücksichtigen.
(89899318149)

Eine User Organisation hat zahlreiche Dienstleistungen mit Rechnungslegungsrelevanz ausgelagert. Einer der Dienstleister beabsichtigt, weitere Subdienstleister einzusetzen. Welche Aussagen sind richtig? (Mehrfachnennung möglich)

(100167017)

Die Zusammenarbeit mit dem Subdienstleister muss nicht geregelt sein.
(89899318161)

Subdienstleister können ohne jegliche Vorkehrung eingesetzt werden, ohne die User Organisation zu informieren.
(89899318160)

Ein Subdienstleister kann mittels des sog. Inclusive-Verfahrens in den ISAE3402 Bericht der Service-Organisation einbezogen werden.
(89899318154)

Welche Anforderungen werden an ein dienstleistungsbezogenes internes Kontrollsystem gestellt? (Mehrfachnennung möglich)

(100167018)

Gesetzliche und branchenspezifische Kriterien sind zu beachten.
(89899318166)

Kontrollziele und Kontrollen sind anhand einer durchgeführten Risikoanalyse zu spezifizieren.
(89899318165)

Interne Kontrollsysteme können auch Kontrollen enthalten, die keinen direkten Bezug zur Rechnungslegung der User Organisation enthalten.
(89899318164)

Welche Arten von Kriterien liegen einem internen Kontrollsystem üblicherweise zugrunde? (Mehrfachnennung möglich)

(100167019)

Service Management Kriterien aus der ISO20000
(89899318176)

Vertragliche Kriterien, die sich aus der Vereinbarung zwischen Service- und User-Organisation ergeben.
(89899318174)

Branchen- und industriespezifische Kriterien
(89899318173)

Welche Aussagen zu Standards, die mit ISAE3402 verwandt sind, sind richtig? (Mehrfachnennung möglich)

(100167020)

ISAE3402 ist das internationale Pendant zu SOC2.
(89899318184)

ISAE3402 und SOC1 stehen in keiner Beziehung zueinander.
(89899318183)

Die Aktivitäten rund um ISAE3402 lassen sich auf den sog. Sarbanes-Oxley-Act und den ursprünglich dazu definierten Prüfstandard SAS70 zurückführen.
(89899318181)

Welche der folgenden Prüfungsnachweise für die Funktionsprüfung der zu untersuchenden Kontrollen können herangezogen werden? (Mehrfachnennung möglich)

(100167021)

Sichtung von Dokumenten
(89899318191)

Stichprobenbasiertes Überprüfung von Datensätzen
(89899318190)

Beobachtung der Durchführung von Kontrollen
(89899318189)

Welche der folgenden Aussagen zur Dokumentation des internen Kontrollsystems sind richtig? (Mehrfachnennung möglich)

(100167022)

Die Dokumentation des internen Kontrollsystems wird vom Prüfer der User Organisation erstellt.
(89899318203)

Eine Dokumentation ist ausschließlich für interne Zwecke erforderlich und immer geheimzuhalten.
(89899318202)

Das interne Kontrollsystem ist so zu dokumentieren, dass ein sachkundiger Dritter die Abläufe nachvollziehen kann.
(89899318200)

Ein ISAE3402 Report beurteilt ein internes Kontrollsystem, welches auf einem risikobasierten Ansatz basiert. Eine Risikoanalyse … (Mehrfachnennung möglich)

(100167023)

… muss immer durch die IT-Leitung erstellt werden.
(89899318215)

… steht in keinem Verhältnis zu dem durch sie erzeugten Mehrwert.
(89899318214)

… ist Voraussetzung für die Angemessenheit des Control Designs.
(89899318209)

Die sog. IT General Controls (ITGCs) beschreiben Kontrollen, die sich auf die allgemeinen IT-Abläufe einer Service Organisation beziehen. Welche Aussagen sind richtig? (Mehrfachnennung möglich)

(100167024)

ITGCs sind nur erforderlich, wenn der Prüfer der User Organisation diese explizit einfordert.
(89899318221)

Incident Management ist, da es das Risiko der Nichtverfügbarkeit von finanzrelevanten Daten adressiert, ein wesentlicher Bestandteil der ITGCs.
(89899318218)

Backup & Restore sind wesentliche Kontrollen, die zu den ITGCs zählen.
(89899318217)

An welchen Komponenten orientiert sich die Ausgestaltung eines internen Kontrollsystems, das mittels eines ISAE3402 Reports geprüft wird? (Mehrfachnennung möglich)

(100167025)

Wünsche der Geschäftsleitung
(89899318229)

Kontrollaktivitäten
(89899318226)

Risikobeurteilung
(89899318225)

ISAE 3402, ist ein von der International Federation of Accountants (IFAC) veröffentlichter internationaler Prüfungsstandard, in dem die Prüfung eines Internen Kontrollsystems bei einem Dienstleistungsunternehmen inklusive Berichterstattung durch einen Wirtschaftsprüfer geregelt ist. Welche der folgenden Aussagen sind richtig? (Mehrfachnennung möglich)

(100167026)

Die Prüforganisation, die eine Service Organisation prüft, wird immer durch die User Organisation bestimmt.
(89899318239)

Der Standard verlangt, dass in der hieraus abgeleiteten Berichterstattung detailliert auf die einzelnen Kontrollziele, die Kontrollen sowie die durch die Prüfungstätigkeiten aufgedeckten Feststellungen eingegangen wird.
(89899318236)

Es können entweder lediglich eine Prüfung des Kontrolldesigns und der Implementierung der Kontrollen vorgenommen oder zusätzlich hierzu auch noch die tatsächliche Durchführung der Kontrollhandlungen über einen definierten Zeitraum geprüft werden.
(89899318235)

Ein ISAE3402 Bericht enthält bestimmte Bestandteile. Welche? (Mehrfachnennung möglich)

(100167027)

Ein Zertifikat, das der Prüfer ausstellt.
(89899318251)

Beschreibung des Frameworks, der Kontrollziele (Control Objectives) und Kontrollaktivitäten (Controls),
(89899318246)

Bestätigung des Managements der Service Organisation
(89899318245)

Dienstleister suchen nach einer Möglichkeit, ihren Kunden eine unabhängige Beurteilung ihres internen Kontrollumfeldes zur Verfügung zu stellen. ISAE3402 ist einer der am häufigsten hierfür verwendeten Prüfstandards. Die Erstellung eines Prüfberichtes nach ISAE 3402 - zusammen mit einer Beurteilung der internen Kontrollen - kann hilfreich sein bei ... (Mehrfachnennung möglich)

(100167028)

… der Einschätzung der Konformität der Abläufe zur ISO27001.
(89899318259)

… der Bewertung der zu erwartenden Kosten.
(89899318258)

… dem Aufzeigen bestehender Prozess- und Kontrollschwächen in der internen und auslagerungsbezogenen Organisation, die zu einer Erhöhung von Risiken führen können.
(89899318255)

Welche Aussagen zu ISAE3402 Typ 2 Berichten sind zutreffend? (Mehrfachnennung möglich)

(100167029)

Ein Typ 2 Report bietet die Möglichkeit der Verwendung durch andere Prüfer als Grundlage für die Reduktion ihrer Prüfungshandlungen beim Dienstleistungsunternehm
(89899318266)

Ein Typ 2 Report erfordert im Vergleich mit einem Typ 1 Report einen höheren internen und externen Arbeitsaufwand.
(89899318265)

Ein Typ 2 Report legt einen stärkeren Schwerpunkt auf das Führen von Prüfungsnachweisen.
(89899318264)

Als Vertreter einer User Organisation sollen Sie die Effektivität der internen Kontrollen bei einem Dienstleister überprüfen. Der Dienstleister übersendet Ihnen einen ISAE3402 Typ 2 Report. Welche der folgenden Aussagen sind richtig? (Mehrfachnennung möglich)

(100167030)

Das wesentliche Unterscheidungskriterium zum Type 1 Report ist die beim Typ 2 Report beinhaltete Prüfung der Wirksamkeit.
(89899318275)

Der Typ 2 Report weist die Effektivität des Kontrollsystems nach.
(89899318274)

Der Typ 2 Report beinhaltet auch das Ergebnis der Prüfung der Wirksamkeit (für einen Zeitraum zwischen sechs und 12 Monaten).
(89899318273)

Frameworks helfen beim Design von Kontrollzielen und Kontrollen für ISAE3402 Reports. Welche der folgenden Frameworks sind das? (Mehrfachnennung möglich)

(100167031)

ISO9001
(89899318285)

ITIL
(89899318282)

COSO
(89899318281)

Auf welchen Komponenten basiert ein internes Kontrollsystem, das mittels eines ISAE3402 Reports geprüft wird? (Mehrfachnennung möglich)

(100167032)

Kosten
(89899318295)

Wünsche der IT-Leitung
(89899318294)

Kontrollumfeld
(89899318290)

Welche Aussagen zum Abschnitt 5 (Section 5) des Berichts sind zutreffend? (Mehrfachnennung möglich)

(100167033)

Jeder ISAE3402 Report muss zwingend einen Abschnitt 5 enthalten.
(89899318302)

Der Abschnitt 5 muss nicht verpflichtend Bestandteil eines ISAE3402 Reports sein.
(89899318300)

In Abschnitt 5 kann die Serviceorganisation ergänzende Informationen für die User Organisation bereitstellen.
(89899318299)

Welche der folgenden Aussagen sind korrekt? Ein ISAE3402 Bericht ist … (Mehrfachnennung möglich)

(100167034)

… für Auslagerungen irrelevant.
(89899318311)

… ein Nachweis über Angemessenheit (Typ 1) und Effektivität (Typ 2) des internen Kontrollsystems einer Service Organisation.
(89899318309)

… ein Bericht eines unabhängigen Prüfers und kein Zertifikat.
(89899318308)

Welche Aussagen betreffend festgestellter Abweichungen (sog. Findings oder auch Deviations) sind zutreffend? (Mehrfachnennung möglich)

(100167035)

Abweichungen sind nicht im Standard ISAE3402 vorgesehen.
(89899318320)

Abweichungen werden nicht im Bericht dokumentiert.
(89899318319)

Pläne zur Behebung der Abweichungen (sog. Remediation Plans) können in Abschnitt 5 dargestellt werden.
(89899318317)

Welche Aufgaben hat die Service Organisation im Kontext einer ISAE3402 Reporterstellung? (Mehrfachnennung möglich)

(100167036)

Das Management der Service Organisation muss die Korrektheit aller gemachten Angaben bestätigen.
(89899318327)

Sie muss Nachweise (Evidences) bezüglich der Durchführung der einzelnen Kontrollen erstellen und vorhalten.
(89899318326)

Sie muss ein internes Kontrollsystem aufbauen.
(89899318325)

Was sind die Beweggründe für eine User Organisation, von einer oder mehreren Service Organisationen Berichte nach ISAE3402 anzufordern? (Mehrfachnennung möglich)

(100167037)

Sie möchte mit dem ISAE3402 Bericht jegliche Art von Betrug ausschließen.
(89899318340)

Sie möchte anhand des Kontrollumfelds die Preise der Service Organisation reduzieren.
(89899318339)

Sie möchte den ISAE3402 Bericht als Qualitätsnachweis der Service Organisation heranziehen.
(89899318335)

Warum sollte eine Service Organisation einen ISAE3402 Report bereitstellen? (Mehrfachnennung möglich)

(100167038)

Um ein Zertifikat zu erhalten.
(89899318347)

Um die Anzahl individueller Prüfungen zu verringern.
(89899318344)

Um den Nachweis eines effektiven Kontrollsystems unabhängig zu erbringen.
(89899318343)

Informationssicherheitsrelevante Themen in einem ISAE3402 Report … (Mehrfachnennung möglich)

(100167039)

… sind nie Bestandteil.
(89899318355)

… sind aufgrund der zunehmenden Digitalisierung der Dienstleistungen der der Service Organistionen meist Bestandteil eines ISAE3402 Reports.
(89899318354)

… sind oft enthalten, da ein unmittelbarer Zusammenhang mit den IT General Controls (ITGCs) besteht.
(89899318353)

ICO Requirement Engineering - de - set 1 - v1

Welche Zielsetzung verfolgt das Requirements Engineering? (Mehrfachnennung möglich)

(1158644)

Alle Anforderungen modellbasiert dokumentieren
(1212825)

Anforderungen umsetzen, auch wenn Konflikte hinsichtlich ihrer Inhalte bestehen
(1212824)

Methodisch Konsens unter den Stakeholdern herstellen
(1212819)

Anforderungen prägen sich in der Praxis sehr unterschiedlich aus. Eine Unterscheidung unterschiedlicher Anforderungsarten ist hilfreich, um die Anforderungen zu kategorisieren. Welches sind Arten von Anforderungen, die üblicherweise unterschieden werden? (Mehrfachnennung möglich)

(1158645)

Technische Anforderungen
(1212831)

Randbedingungen
(1212830)

Qualitätsanforderungen
(1212829)

Um den Projekterfolg sicherzustellen legen Sie als Requirements Engineer die Qualtitätsanforderungen am Anfang des Projektes fest. Wodurch charakterisiert sich eine Qualitätsanforderung an ein System? (Mehrfachnennung möglich)

(1158646)

Sie beeinflusst die Architektur eines Systems nicht.
(1212845)

Sie beziehen sich auf Aspekte wie Performanz, Verfügbarkeit, Skalierbarkeit oder die Zuverlässigkeit.
(1212844)

Sie legt gewünschte Qualitäten des Systems fest
(1212843)

Funktionale Anforderungen beschreiben die Funktionalitäten eines Systems, die das Ergebnis eines Verhaltens, das von einer Funktion des Systems bereitgestellt werden soll, beschreiben. Welche der folgenden Anforderungen sind funktionale Anforderungen? (Mehrfachnennung möglich)

(1158647)

Die Reaktionszeit darf max. 0,5 Sekunden betragen.
(1212856)

Die Sortierung der angezeigten Listenelemente soll durch den Benutzer geändert werden können.
(1212852)

Nach Bestätigung der erforderlichen Eingaben muss der Datensatz in der Datenbank gespeichert werden.
(1212851)

Unterschiedliche Interessengruppen sind im Prozess des Requirements Engineerings von Relevanz. Welches der folgenden Beispiele sind Stakeholder im Sinne des Requirements Engineerings? (Mehrfachnennung möglich)

(1158648)

Nur interne Mitarbeiter sind als Stakeholder zu führen.
(1212866)

Die Ehefrau des IT-Leiters
(1212865)

Sponsoren (Geldgeber)
(1212861)

Der Requirements Engineer als Projektrolle steht häufig im Mittelpunkt des Requirements Engineering Prozesses. Um den vielfältigen Aufgaben gerecht zu werden benötigt der Requirements Engineer verschiedene Fähigkeiten und Kenntnisse. Welche Eigenschaften stehen hier im Vordergrund? (Mehrfachnennung möglich)

(1158649)

Eine Ausbildung in NLP (neurolinguistischem Programmieren)
(1212877)

Tiefgreifendes Wissen in allen Fachgebieten, die die Systemimplementierung berühren
(1212876)

Empathie, um sich in schwierige Stakeholder hinversetzen zu können
(1212870)

Anforderungen können auf unterschiedliche Art und Weise dargestellt und ausgedrückt werden. Welche Arten der Dokumentation sind im Requirements Engineering vorgesehen? (Mehrfachnennung möglich)

(1158650)

Es gibt keine unterschiedlichen Arten von Dokumentationen im Requirements Engineering
(1212887)

Mischformen aus natürlichsprachiger und modellbasierter Dokumentation
(1212882)

Modellbasierte Dokumentation mittels konzeptueller Modelle
(1212881)

Welche Arten von modellbasierten Dokumentationen werden im Requirements Engineering verwendet? (Mehrfachnennung möglich)

(1158651)

Klassendiagramme zur Dokumentation der Abläufe des Systems
(1212894)

Zustandsdiagramme zur Dokumentation der Datenmodellierung
(1212893)

Klassendiagramm zur Datenmodellierung und Darstellung der statisch-strukturellen Aspekte
(1212889)

Einen bestimmten fachlichen Aspekt aus mehreren Blickwinkeln zu betrachten hilft, die Fachlichkeit vollumfänglich zu erfassen. Dazu werden im Requirements Engineering unterschiedliche Sichten (Perspektiven) auf Anforderungen eingenommen. Welches sind Perspektiven auf Anforderungen im Requirements Engineering? (Mehrfachnennung möglich)

(1158652)

Quellcodeperspektive
(1212900)

Funktionsperspektive
(1212899)

Verhaltensperspektive
(1212898)

Unterschiedliche Perspektiven auf Anforderungen helfen dabei, fachliche Aspekte vollumfänglich zu erfassen. Die Strukturperspektive beschreibt dabei die statisch-strukturellen Aspekte von Ein- und Ausgabedaten eines Systems. Welche der folgenden modellbasierten Dokumentationsformen gehören in diese Perspektive? (Mehrfachnennung möglich)

(1158653)

Statecharts
(1212909)

UML Aktivitätsdiagramm
(1212908)

UML Klassendiagramme
(1212906)

Unterschiedliche Perspektiven auf Anforderungen helfen dabei, fachliche Aspekte vollumfänglich zu erfassen. Die Verhaltensperspektive beschreibt dabei das zustandsorientierte Verhalten des Systems und seiner Einbettung in den Systemkontext. Welche der folgenden modellbasierten Dokumentationsformen gehören in diese Perspektive? (Mehrfachnennung möglich)

(1158654)

ER-Diagramm
(1212916)

UML Aktivitätsdiagramm
(1212915)

UML Zustandsdiagramm
(1212913)

Um Anforderungen an ein System ermitteln zu können ist es notwendig, im Requirements Engineering das System von dessen Umgebung abzugrenzen. Welche der folgenden Aussagen sind in diesem Zusammenhang korrekt? (Mehrfachnennung möglich)

(1158655)

Die irrelevante Umgebung hat keine Auswirkungen auf die Anforderungen an das System.
(1212923)

Alle Aspekte im Systemkontext beeinflussen die Anforderungen an das System.
(1212922)

Im Systemkontext sind alle Aspekte enthalten, die für die Anforderungen des geplanten Systems relevant sind und nicht im Rahmen der Entwicklung dieses Systems gestaltet werden können.
(1212921)

Eine der wichtigsten Aktivitäten im Requirements Engineering ist die Ermittlung der Systemanforderungen. Welche Arten von Anforderungsquellen werden hierfür schwerpunktmässig herangezogen? (Mehrfachnennung möglich)

(1158656)

Am Markt verfügbare Konkurrenzprodukte dürfen aus urheberrechtlichen Gründen nicht berücksichtigt werden.
(1212936)

Systeme im Betrieb
(1212931)

Jegliche Art von verfügbaren Dokumenten
(1212930)

Eine der wichtigsten Aktivitäten im Requirements Engineering ist die Ermittlung der Systemanforderungen. Welche Ermittlungstechniken werden hierfür schwerpunktmässig herangezogen? (Mehrfachnennung möglich)

(1158657)

Controlling-zentrierte Techniken
(1212942)

Kaufmännische Techniken
(1212941)

Kreativitätstechniken, um innovative Anforderungen zu entwickeln
(1212938)

Das Kano-Modell ist ein Modell, das im Requirements Engineering zur systematischen Kategorisierung von Anforderungen verwendet wird. Es beschreibt den Zusammenhang zwischen dem Erreichen bestimmter Eigenschaften eines Systems und der erwarteten Zufriedenheit von Kunden. Welche der folgenden Aussagen sind richtig? (Mehrfachnennung möglich)

(1158658)

Das Kano-Modell wird nur im IT Service Management verwendet, da es ausschließlich IT-Bezug hat.
(1212952)

Begeisterungsanforderungen stiften hohe Kundenzufriedenheit und werden dem Stakeholder erst beim Nutzen bewusst.
(1212949)

Leistungsanforderungen sind explizit geforderte, nutzenstiftende Systemmerkmale
(1212948)

Ermittlungstechniken werden eingesetzt, um Anforderungen systematisch zu Erheben. Jedes System besitzt individuelle Anforderungen, die mit einer geeigneten Ermittlungstechnik erhoben werden können. Welche der folgenden Aussagen sind richtig? (Mehrfachnennung möglich)

(1158659)

Bei Befragungstechniken dürfen ausschließlich geschlossene Fragen gestellt werden.
(1212962)

Interviews und Fragebögen sind eine Form von Befragungstechniken.
(1212959)

Bei Befragungstechniken sollen offene und geschlossene Fragen kombiniert werden.
(1212958)

Grafische Modelle werden zum leichteren Verständnis von Anforderungen verwendet. Welche der folgenden Aussagen zu Modellen sind richtig? (Mehrfachnennung möglich)

(1158660)

Die Nutzung von mehreren Modellen zur grafischen Darstellung von Anforderungen ist im Requirements Engineering nicht vorgesehen.
(1212972)

Modelle werden immer für einen bestimmten Zweck verwendet (pragmatische Eigenschaft).
(1212969)

Wesentliche Eigenschaft eines Modell ist die Verkürzung der Realität, indem beispielsweise bestimmte Details weggelassen werden.
(1212968)

Konzeptuelle Modellierungssprachen definieren sich aus Syntax und Semantik. Welche der folgenden Aussagen sind richtig? (Mehrfachnennung möglich)

(1158661)

Die Syntax liefert die Basis für die Interpretation eines konzeptuellen Modells.
(1212983)

Die Syntax einer Modellierungssprache legt die Bedeutung der einzelnen Modellelemente fest.
(1212982)

Die Semantik einer Modellierungssprache legt die Bedeutung der einzelnen Modellelemente fest.
(1212978)

Bei der Spezifikation von Anforderungen ist es wichtig, bestimmte Qualitätskriterien zu beachten. Als Requirements Engineer haben Sie die Aufgabe, die Dokumentation im Hinblick auf diese Qualitätskriterien zu überprüfen. Welche der folgenden Qualitätsaspekte sind hierbei zu berücksichtigen? (Mehrfachnennung möglich)

(1158662)

Vielschichtigkeit
(1212993)

Inkonsistenz
(1212992)

Eindeutigkeit
(1212988)

Die häufigste Dokumentationsform für Anforderungen ist die natürliche Sprache. Diese hat den Vorteil, universell einsetzbar und von jedermann verwendbar zu sein. Welche Nachteile ergeben sich aus der Nutzung der natürlichsprachigen Dokumentation von Anforderungen? (Mehrfachnennung möglich)

(1158663)

Bei der Nutzung der natürlichen Sprache können Missverständnisse ausgeschlossen werden.
(1213001)

Eindeutigkeit
(1213000)

Meist unvollständige Darstellung
(1212998)

Die häufigste Dokumentationsform für Anforderungen ist die natürliche Sprache. Diese hat den Nachteil, oft mehrdeutig zu sein, was der angestrebten Eindeutigkeit im Requiremengts Engineering entgegen steht. Die Satzschablone (Requirements Template) ist ein Werkzeug, mit dem sich die Nachteile der natürlichen Sprache kompensieren lässt. Welche der folgenden Aussagen sind in diesem Zusammenhang korrekt? (Mehrfachnennung möglich)

(1158664)

Eine Satzschablone unterstützt den Requirements Engineer bei der Erstellung syntaktisch korrekter Anforderungen.
(1213009)

Eine Satzschablone unterstützt bei der Vermeidung sprachlicher Effekte.
(1213008)

Die Satzschablone unterstützt den Ersteller einer Anforderung durch eine vorgegebene Struktur.
(1213007)

Use Case Spezifikationen erweitern grafisch modellierte Use Cases (Anwendungsfälle) um Aspekte, für die es keine Modellierungselemente gibt. Welche der folgenden Aussagen sind richtig? (Mehrfachnennung möglich)

(1158665)

Use Case Diagramme ermöglichen eine vollständige Beschreibung von Anwendungsfällen und benötigen daher keine Use Case Spezifikationen.
(1213018)

Im Use Case Diagramm können Akteuere, Systemgrenzen und Nutzungsbeziehungen dargestellt werden, Use Case Spezifikationen erweitern diese Darstellung.
(1213017)

Die Darstellung von Use Cases kombiniert die beiden Konzepte Use Case Diagramm und Use Case Spezifikation, um einen Anwendungsfall möglichst vollständig zu beschreiben.
(1213016)

Bei der Prüfung von Anforderungen haben sich verschiedene Prüfprinzipien etabliert. Welche der folgenden Aussagen sind richtig? (Mehrfachnennung möglich)

(1158666)

Die Prüfung aus unterschiedlichen Sichten hat sich in der Praxis nicht bewährt, da die Betrachtung aus unterschiedlichen Blickwinkeln nur zu zusätzlichen Anforderungen führt.
(1213030)

Die Konstruktion von Entwicklungsartefakten ist nicht notwendig, da dadurch nicht der gewünschte Mehrwert geschaffen wird.
(1213029)

Die Trennung von Fehlersuche und Fehlerkorrektur ist ein bewährtes Prinzip bei der Qualitätssicherung von Anforderungen.
(1213024)

Eine möglichst objektive Beurteilung von Anforderungen im Rahmen der Prüfung ist besonders wichtig, um qualitativ hochwertige Anforderungen zu erhalten. Welche Aussagen bzgl. der Rolle des Prüfers sind richtig? (Mehrfachnennung möglich)

(1158667)

Die Ergebnisse aus der Prüfung müssen durch den Prüfer nur im Anlassfall oder bei Fehlern dokumentiert werden.
(1213039)

Etwaige Zielkonflikte bei der Prüfung müssen transparent gemacht und aufgelöst werden.
(1213035)

Der Prüfer sollte frei von Voreingenommenheit und Beeinflussung Dritter agieren können.
(1213034)

Zur Prüfung von Anforderungen werden häufig Techniken eingesetzt, um eine möglichst hohe Qualität sicherzustellen. Stellungnahme, Inspektion und Walkthrough sind gängige Prüftechniken. Welche der folgenden Aussagen sind richtig? (Mehrfachnennung möglich)

(1158668)

Bei der Stellungnahme werden vorher die Qualitätskriterien festgelegt, auf Basis derer die dritte Person die Prüfung durchführen soll.
(1213047)

Die Inspektion ist eine Methodik, um Anforderungen systematisch auf Fehler hin zu untersuchen.
(1213046)

Bei der Inspektion ist ein striktes Prozessschema zu beachten.
(1213045)

Prototypen werden eingesetzt, um Anforderungen für Stakeholder erlebbar zu machen. Um maximale Erkenntnis aus der Verprobung des Prototyps zu gewinnen sind ergänzende Vorbereitungen notwendig. Welche sind dies? (Mehrfachnennung möglich)

(1158669)

Die Einführung der Nutzer in die Benutzung des Prototypen ist nicht erforderlich, da alle Prototypen immer selbsterklärend sind.
(1213057)

Die Nutzung des Prototyps sollte möglichst realitätsnah und ohne äußerliche Einflüsse getestet werden.
(1213055)

Prüfszenarien, die die relevanten Nutzungsabläufe und zu erhebenden Daten beschreiben, sollen definiert werden
(1213054)

Bei der Abstimmung der Anforderungen können Konflikte jederzeit auftreten. Im Requirements Engineering werden gerne vereinfacht auf die folgenden vier Phasen im systematische Konfliktmanagement hingewiesen und beschrieben. Konfliktidentifikation , Konfliktanalyse, Konfliktauflösung sowie Dokumentation der Konfliktauflösung. Welche der folgenden Aussagen sind richtig? (Mehrfachnennung möglich)

(1158670)

Ein Konflikt kann im Verlauf des Requirements Engineerings erneut auftreten, daher ist eine geeignete Dokumentation der Konfliktauflösung essentiell.
(1213066)

Zu den Aufgaben des Requirements Engineers gehört das Moderieren der Auflösung von Konflikten.
(1213065)

Ein Interessenskonflikt zwischen Stakeholdern kann durch unterschiedliche Ziele der beteiligten Stakeholder hervorgerufen werden.
(1213064)

Eine Prorisierung von Anforderungen ist notwendig, um die Reihenfolge der Implementierung zu bestimmen. Welche der folgenden Aussagen bzgl. Priorisierungstechniken sind richtig? (Mehrfachnennung möglich)

(1158671)

Das Kano-Modell kann zur Priorisierung von Anforderungen nicht verwendet werden.
(1213078)

Die Wiegers'sche Priorisierungsmatrix ist ein Vertreter der Ad-hoc-Priorisierungsverfahren und wird mit der Top Ten Technik ergänzt.
(1213077)

Ranking und Top Ten-Technik sind Vertreter der Ad-hoc-Priorisierungsverfahren.
(1213075)

Für die Prorisierung von Anforderungen können unterschiedliche Kriterien und Aspekte herangezogen werden. Kosten für die Umsetzung, Risiken und Wichtigkeit sind nur einige der möglichen Kriterien. Welche der genannten Aspekte sind weitere Kriterien, die zur Priorisierung herangezogen werden können? (Mehrfachnennung möglich)

(1158672)

Politische Position des Anforderers innerhalb des Unternehmens
(1213086)

Zeitdauer für die Umsetzung
(1213083)

Volatilität
(1213082)

Anforderungen unterliegen über den gesamten Lebenszyklus möglichen Änderungen. Das Change Control Board hat die Aufgabe, als Gremium über solche Änderungsanträge zu entscheiden. Welche Aspekte sollen dabei berücksichtigt werden? (Mehrfachnennung möglich)

(1158673)

IT-Systemumgebung
(1213094)

Programmiersprache
(1213093)

Aufwände
(1213090)

ITEMO SCRUM Master Product Owner Part I - de - SampleSet 1 - v1

Welcher der folgenden Aspekte ist ein zentraler Wert des agilen Manifests? (Mehrfachnennung möglich)

(168397)

Der Mensch steht im Mittelpunkt der Softwareentwicklung.
(330371)

Zusammenarbeit mit dem Kunden und Kundenzufriedenheit.
(330372)

Striktes Einhalten von Projektplänen.
(330373)

Welche der folgenden Eigenschaften gilt für ein Produktinkrement in Scrum? (Mehrfachnennung möglich)

(168399)

Es ist getestet.
(330381)

Es ist lauffähig.
(330382)

Es muss lauffähig, aber nicht zwangsläufig bereits dokumentiert sein.
(330384)

Welche der folgenden Aussagen ist korrekt? (Mehrfachnennung möglich)

(168400)

Das Product Backlog enthält ausschließlich die Anforderungen an einen Sprint.
(330385)

Der Scrum Master hat die Entscheidungsgewalt über die Anforderungen an das Produkt.
(330386)

Das Sprint Backlog beschreibt eine Teilmenge der Anforderungen an das Produkt.
(330388)

Worauf sollte man achten, wenn man Scrum in einem Unternehmen einführen will? (Mehrfachnennung möglich)

(168401)

Übertragung von Kontrolle an das Team.
(330389)

Das Management sollte einen Wandel in der Unternehmensstruktur vertreten.
(330390)

Der Scrum Master stellt das Team zusammen und hat Personalverantwortung für die Teammitglieder.
(330391)

Was wird in Scrum vom Entwicklungsteam entschieden? (Mehrfachnennung möglich)

(168404)

Welche Anforderungen es für die Umsetzung in einem Sprint plant.
(330405)

Wo und zu welcher Zeit das Daily Scrum stattfinden soll.
(330406)

Welche Arbeitsergebnisse im Sprint Review abgenommen werden.
(330409)

Bis ein Scrum Team optimal und effizient arbeitet, durchläuft es einen längeren Teamprozess. Dabei gilt: (Mehrfachnennung möglich)

(168405)

Die Auseinandersetzungsphase wird nach Tuckman auch als "Storming" bezeichnet.
(330410)

Nach Tuckman folgt auf die Phase des "Forming" unmittelbar die Phase des "Storming".
(330411)

Nach Tuckman folgt auf die Phase des "Forming" unmittelbar die Phase des "Performing".
(330412)

Welche der folgenden Aussagen bezüglich des Scrum Masters ist korrekt? (Mehrfachnennung möglich)

(168406)

Der Scrum Master trägt Verantwortung für den Scrum-Prozess und dessen korrekte Implementierung.
(330415)

Der Scrum Master moderiert Sprint Planning, Sprint Review und Sprint Retrospektive.
(330416)

Für ein effizient arbeitendes Team sollte der Scrum Master Autorität bezüglich der Arbeitsorganisation im Team haben.
(330418)

Oft ist es sinnvoll, umfangreiche User Stories zu unterteilen (Splitting stories). Hierbei gilt: (Mehrfachnennung möglich)

(168410)

Eine User Story sollte so klein gehalten werden, dass sie in einem Sprint umgesetzt werden kann.
(330435)

Durch die Unterteilungen und die damit verbundene Detailtiefe entstehen präzisere Schätzungen.
(330436)

Splitting Stories gehört nicht zum Refinement und darf daher keine Kapazität des Entwicklungsteams beanspruchen.
(330437)

Die Priorisierung des Product Backlogs durch den Product Owner ist ein wichtiges Mittel, um das Projekt zu steuern. Bei der Priorisierung sollte beachtet werden,... (Mehrfachnennung möglich)

(168411)

...dass die wichtigsten Anforderungen nicht sofort umgesetzt werden.
(330440)

...dass Anforderungen mit einem hohen Risiko und geringen Nutzen als erstes umgesetzt werden sollten.
(330441)

...dass Anforderungen mit einem hohen Risiko und hohen Nutzen möglichst früh umgesetzt werden sollten.
(330442)

Für die Sprint Planung ist es wichtig, dass Anforderungen gut formuliert werden. Hierbei sollten Anforderungen die INVEST-Eigenschaften erfüllen. Dabei gilt: (Mehrfachnennung möglich)

(168412)

Das "V" in INVEST besagt, dass der Nutzen der Anforderung klar erkennbar sein sollte (valuable).
(330444)

Das "N" in INVEST bedeutet verhandelbar (negotiable).
(330445)

Das "T" in INVEST steht für testbar (testable).
(330446)

Bei komplexen Systemen kann es sinnvoll sein, ein Produktkonzept zu erstellen. Welche der folgenden Aussagen treffen zu? (Mehrfachnennung möglich)

(168413)

Aus der Produktidee wird zunächst ein Produktkonzept formuliert, bevor das Product Backlog gefüllt wird.
(330451)

Ein Produktkonzept wird nur in großen und verteilten Projekten genutzt.
(330452)

Nachdem das Product Backlog initial befüllt wurde, sollte man die zentralen Aspekte und Eigenschaften in einem Konzept zusammenfassen.
(330453)

Im Release Management sind die Zusammenhänge der verschiedenen Planungsebenen wichtig. Welche der folgenden Aussagen ist falsch? (Mehrfachnennung möglich)

(168414)

Ein Release besteht aus mindestens einem Sprint.
(330455)

Ein Task muss in einem Sprint erledigt werden können.
(330456)

Bei Projekten, die weniger als 6 Sprints dauern, benötigt man generell keine Release Planung.
(330458)

Es gibt verschiedene Varianten, die Velocity (Entwicklungsgeschwindigkeit) zu ermitteln. Welche der folgenden Aussagen ist korrekt? (Mehrfachnennung möglich)

(168416)

Wenn vor dem ersten Sprint bereits ein Releaseplan existieren muss, kann die Entwicklungsgeschwindigkeit mit Hilfe des Teams abgeschätzt werden.
(330463)

Wenn das gleiche Team bereits ein vergleichbares Produkt erstellt hat, kann auf historische Daten zurückgegriffen werden.
(330464)

Die Entwicklungsgeschwindigkeit ist unabhängig von der Größe des Entwicklungsteams.
(330465)

Im Sprint Planning ist eine genaue Abschätzung der Aufwände wichtig. Welche der folgenden Aussagen ist falsch? (Mehrfachnennung möglich)

(168417)

Die Fibonacci-Reihe ist eine mögliche Punktereihe für Planning Poker.
(330468)

Planning Poker ist eine Methode, um Teamentscheidungen herbeizuführen.
(330469)

In Scrum dürfen ausschließlich Story Points (Punkte) für die Aufwände vergeben werden.
(330471)

Um den Projektfortschritt besser verfolgen zu können, ist es sinnvoll, weitere Metriken zu definieren. Welche der folgenden Metriken können sinnvoll sein?
1) Anzahl der Hindernisse
2) Geplanter vs. erreichter Projektstatus
3) Ergebnisse eines einzelnen Teams
4) Velocity (Entwicklungsgeschwindigkeit) (Mehrfachnennung möglich)

(168419)

Alle genannten.
(330476)

Nur 1 und 2.
(330477)

Nur 2 und 4.
(330478)

Welche der folgenden Aussagen bezüglich Sprints ist korrekt? (Mehrfachnennung möglich)

(168420)

Ein Sprint dauert maximal 30 Tage.
(330480)

Jeder Sprint erzeugt ein eigenes, unabhängiges Produktinkrement.
(330481)

Der Product Owner darf die Anforderungen während eines Sprints nicht ändern.
(330485)

Welche der folgenden Aussagen bezüglich der Sprint Review ist korrekt? (Mehrfachnennung möglich)

(168422)

Das Ziel der Sprint Review ist die Begutachtung und Abnahme der Arbeitsergebnisse eines Sprints.
(330490)

Der Scrum Master lädt zur Sprint Review ein.
(330491)

Sie findet am Ende eines Sprints statt und dauert maximal 2 Stunden.
(330493)

Das Sprint Backlog kann als Zeitmanagement-System aufgebaut sein, um den Sprint Fortschritt zu verfolgen. Welche der folgenden Eigenschaften hat das Sprint Backlog nicht? (Mehrfachnennung möglich)

(168424)

Es beinhaltet die Anforderungen und Tasks, zu denen sich das Team verpflichtet hat.
(330498)

Es ist das Ergebnis des Sprint Plannings.
(330499)

Es enthält die vom Product Owner abgeschätzten Aufwände.
(330501)

Welche der folgenden Fragen werden im Daily Scrum nicht beantwortet? (Mehrfachnennung möglich)

(168426)

Werde ich an der Ausführung meiner Aktivitäten behindert?
(330506)

Woran plane ich bis zum nächsten Mal zu arbeiten?
(330507)

Welche Anforderungen aus dem Product Backlog sind falsch abgeschätzt?
(330509)

Wenn ein Projekt Scrum of Scrums verwendet, dann hat es folgende Eigenschaft: (Mehrfachnennung möglich)

(168428)

Scrum of Scrums findet erst ab einer Größe von 5 Scrum Teams statt.
(330514)

Es findet zusätzlich zu den Daily Scrums ein weiteres Meeting von der Art eines Daily Scrums statt - das sogenannte Scrum of Scrums.
(330515)

Nur die Scrum Master nehmen am Scrum of Scrums teil.
(330516)

Welche Eigenschaften hat nach Scrum das Product Owner Team in großen Projekten?
1) Es besteht mindestens aus den Product Ownern aller Teams.
2) Es besitzt einen Chief Product Owner, der zugleich verantwortlich für das gesamte Produkt ist.
3) Es kann sich selbst nach Scrum-Regeln organisieren und einen Scrum Master für das Product Owner Team benennen.
4) Es kann sinnvoll sein, zusätzliche Experten (z.B. einen Mitarbeiter aus dem Vertrieb) in das Product Owner Team aufzunehmen. (Mehrfachnennung möglich)

(168429)

Alle genannten.
(330518)

Nur 1 und 2.
(330519)

Nur 2 und 3.
(330520)

Welche der folgenden Aussagen trifft auf Scrum zu? (Mehrfachnennung möglich)

(168430)

Aus dem Product Backlog werden Anforderungen in das Sprint Backlog übernommen.
(330522)

Ein Sprint dauert in der Regel 2-4 Tage.
(330523)

Das Product Backlog beschreibt die Anforderungen an das Produkt.
(330526)

Was gehört zu den Aufgaben des Product Owners? (Mehrfachnennung möglich)

(168431)

Erstellung eines Releaseplans.
(330530)

Er kommuniziert die Vision des Produktes.
(330533)

Er verfeinert und priorisiert das Product Backlog.
(330534)

Welche der folgenden Aussagen bezüglich eines Entwicklungsteams in Scrum ist korrekt? (Mehrfachnennung möglich)

(168432)

Ein Entwicklungsteam sollte so autonom arbeiten können, dass das Sprint-Ziel ohne externe Abhängigkeiten erreicht werden kann.
(330537)

Detaillierte Fragen zu Anforderungen werden in Scrum vom Entwicklungsteam direkt mit Kunden ohne Einbindung des Product Owners geklärt.
(330538)

Ein Entwicklungsteam sollte mehr als 20 Mitglieder haben.
(330539)

Welche Aussage zum Scrum Master ist richtig? (Mehrfachnennung möglich)

(168435)

Je weniger er zu tun hat, desto produktiver ist das Team.
(330553)

Um Rivalitäten im Team vorzubeugen, sollte der Scrum Master vom Management ernannt werden.
(330554)

Es ist von Vorteil, wenn der Scrum Master auch Personalverantwortung für die Teammitglieder hat.
(330555)

Welche der folgenden ist ein Scrum Artefakt? (Mehrfachnennung möglich)

(168441)

Product Backlog
(330577)

Sprint Backlog
(330578)

Produktinkrement
(330579)

Welche der folgenden ist ein Wert in Scrum (Scrum Values)? (Mehrfachnennung möglich)

(168442)

Courage
(330585)

Focus
(330586)

Commitment
(330587)

Wer erstellt das Produktinkrement? (Mehrfachnennung möglich)

(168443)

Das Entwicklungsteam und der Product Owner.
(330596)

Das Scrum Team.
(330597)

Das Entwicklungsteam.
(330598)

Wer ist kein Mitglied des Scrum Teams? (Mehrfachnennung möglich)

(168445)

Entwicklungsteam
(330606)

Product Owner
(330607)

Stakeholder
(330608)

Welche der folgenden Aussagen beschreibt ein Velocity Chart? (Mehrfachnennung möglich)

(168446)

Auf der X-Achse werden die einzelnen Sprints angetragen
(330610)

Mit dem Velocity Chart wird die Entwicklungsgeschwindigkeit des nächsten Sprints dargestellt.
(330611)

Die ideale Kurve im Entwicklungsgeschwindigkeitsbericht ist die charakteristische Sägezahnkurve.
(330612)

ITEMO SCRUM Master Part II - de - SampleSet 1 - v1

Welche Rechte und Pflichten hat ein Scrum Master? (Mehrfachnennung möglich)

(168551)

Der Scrum Master unterstützt den Product Owner und das Entwicklungsteam bei der Detaillierung von Product und Sprint Backlog.
(331315)

Unter gewissen Umständen kann ein Sprint abgebrochen werden. Dies geht nur mit der Zustimmung des Scrum Masters (Vetorecht).
(331316)

Der Scrum Master vertritt den Kunden und seine Wünsche.
(331320)

Der Scrum Master moderiert Sprint Planning, Sprint Review und Sprint Retrospektive.
(331322)

Wie unterstützt der Scrum Master die Organisation? (Mehrfachnennung möglich)

(168552)

Der Scrum Master trägt Verantwortung für den Scrum Prozess und dessen korrekte Implementierung.
(331324)

Der Scrum Master legt den Scrum Time Tolerance Factor (STTF) fest, der angibt, um wieviel Prozent die Zeitvorgaben (timebox) überschritten werden dürfen.
(331325)

Der Scrum Master hilft der Organisation bei der Einführung von Scrum dabei, eine eigene Adaption von Scrum zu entwickeln.
(331327)

Was gilt für die Skalierung großer und verteilter Projekte mit Scrum? (Mehrfachnennung möglich)

(168553)

Ein Scrum Projekt gilt als verteilt, wenn an mehr als einem Standort gearbeitet wird.
(331331)

Ein Projekt gilt bereits als groß, wenn mehr als ein Entwicklungsteam gleichzeitig und parallel arbeitet.
(331332)

Wenn mehrere Scrum Teams gemeinsam an einem Projekt arbeiten, sollten alle Teams mit einem gemeinsamen Product Backlog arbeiten und ihre Ergebnisse in jedem Sprint untereinander integrieren.
(331333)

SAFe® ist ein Framework zur Skalierung von Scrum.
(331336)

Was gilt für die Einführung von Scrum in einer Organisation? (Mehrfachnennung möglich)

(168554)

Es ist ein Fehler, Scrum ausschließlich in einer Abteilung einzuführen und dabei das Zusammenspiel mit anderen Abteilungen bzw. Stakeholdern zu vernachlässigen.
(331340)

Ein Vorteil von Scrum ist es, dass die Größe der Organisation, in der Scrum eingeführt werden soll, keine Rolle spielt. Ob groß oder klein, die Einführungszeiten sind nahezu gleich.
(331341)

Wenn Scrum eingeführt wird, sollte immer die gesamte Entwicklungsabteilung auf einmal auf Scrum umgestellt werden, um bessere Schnittstellen zu schaffen.
(331342)

Wie wird in Scrum mit Impediments (Störfaktoren, Hindernisse) umgegangen? (Mehrfachnennung möglich)

(168555)

Der Scrum Master pflegt ein Impediment Backlog, das ebenfalls den Anforderungen der empirischen Prozessteuerung genügen sollte (Transparenz, Überprüfung, Anpassung).
(331348)

Der Scrum Master sollte das Impediment Backlog dynamisch führen und z.B. durch Durchstreichen und Hinzufügen zeigen, dass er etwas getan hat.
(331351)

Die Inhalte der Maßnahmen zur Beseitigung von Hindernissen sollten den Verantwortlichen direkt ansprechen. Formulierungen wie "man sollte" gehören nicht in die Maßnahmen. Verantwortlichkeiten zur Beseitigung sollten klar erkennbar sein.
(331352)

Der Scrum Master sollte zunächst die Hindernisse lösen, die im direkten Zusammenhang mit den Inhalten des Sprint Backlogs stehen. Nebenaspekte sollten eigentlich nicht ins Impediment Backlog aufgenommen werden.
(331354)

Welche Aussage bzgl. der Messung von Agilität ist korrekt? (Mehrfachnennung möglich)

(168556)

Das Management und weitere Stakeholder können anhand der Velocity die Agilität des Entwicklungsteams messen.
(331356)

Der Scrum Master sollte regelmäßig messen, wie agil die von ihm betreuten Teams arbeiten.
(331357)

Objektive Messungen sind in Scrum schwierig, da es keine genauen Vorgaben gibt, wie Agilität umzusetzen ist.
(331358)

Welche Frage wird im Sprint Planning beantwortet? (Mehrfachnennung möglich)

(168557)

Welche Anforderungen, die das Produktinkrement erweitern, können im nächsten Sprint ausgeliefert werden?
(331362)

Welche Technologien können verwendet werden, um die Velocity des Entwicklungsteams zu erhöhen?
(331364)

Welcher Entwickler ist für welchen Task im Sprint Backlog verantwortlich?
(331365)

Welche Anforderungen bringen das Produktinkrement in seinem Funktionsumfang voran?
(331366)

Welches Ziel verfolgt der Scrum Master im Daily Scrum? (Mehrfachnennung möglich)

(168558)

Er stellt sicher, dass nur Mitglieder des Entwicklungsteams aktiv am Daily Scrum teilnehmen.
(331369)

Er bringt das Entwicklungsteam dazu, die 15-Minuten Timebox einzuhalten.
(331370)

Er leitet das Meeting, entscheidet die Sprecherreihenfolge und bestimmt die Inhalte.
(331372)

Was ist das Ergebnis der Sprint Review? (Mehrfachnennung möglich)

(168559)

Eine Liste von Verbesserungen bezüglich des Scrum Prozesses, die das Entwicklungsteam im nächsten Sprint umsetzen wird.
(331376)

Ein gereviewtes Product Backlog, in dem die Prioritäten für den nächsten Sprint geklärt sind.
(331377)

Gemeinsames Verständnis über den aktuellen Entwicklungsfortschritt.
(331378)

Direktes Feedback von Stakeholdern zum aktuellen Entwicklungsstand.
(331380)

Welche Regel gilt für Sprint Retrospektiven? (Mehrfachnennung möglich)

(168560)

Sprint Retrospektiven bieten dem Entwicklungsteam die Möglichkeit, Verbesserungen für den nächsten Sprint zu planen.
(331382)

In der Sprint Retrospektive werden Aktivitäten und Pläne für die nächsten Tage synchronisiert.
(331383)

Verbesserungsmaßnahmen können in allen Bereichen identifiziert werden (z.B. Personen, Prozesse, Tools).
(331388)

Welche Aussage bzgl. der Konfliktlösung in Scrum ist korrekt? (Mehrfachnennung möglich)

(168561)

Feedback sollte grundsätzlich nur in Anwesenheit der Betroffenen gegeben werden.
(331390)

Eine bewährte Technik in der Konfliktlösung ist es, Feedback in Ich-Botschaften auszudrücken.
(331391)

Das Daily Scrum ist als Meeting zur Konfliktlösung konzipiert.
(331393)

Um erfolgreich mit Scrum zu arbeiten, sollten alle Mitglieder des Scrum Teams in Mediation ausgebildet sein.
(331396)

Was bedeutet "Servant Leadership"? (Mehrfachnennung möglich)

(168562)

Servant Leadership ist ein philosophischer Führungsansatz.
(331397)

Servant Leadership beschreibt mehrere konkrete Führungstechniken.
(331398)

Der Servant Leadership-Ansatz beinhaltet eine kompromisslose Ausrichtung der Führung auf die Interessen der Geführten.
(331399)

Welche ist keine typische Phase einer Retrospektive? (Mehrfachnennung möglich)

(168563)

Ankommensphase (Regeln klären)
(331403)

Sammlung positiver und negativer Ereignisse
(331404)

Ausschlussphase
(331408)

Wofür steht die 4L-Methode? (Mehrfachnennung möglich)

(168564)

Die 4L-Methode ist eine Methode für Retrospektiven.
(331409)

4L steht für Liked, Learned, Lacked und Longed For.
(331410)

Die 4L-Methode ist eine Kategorisierung für die Definition of Done.
(331411)

Die 4L-Methode ist eine Methode zur Priorisierung des Product Backlogs.
(331413)

Welchen Sinn hat die "42-Points List"? (Mehrfachnennung möglich)

(168565)

Die 42-Points List ist ein Self Assessment.
(331415)

Die 42-Points List fragt Kernprinzipien agiler Praktiken (Scrum und XP) ab.
(331416)

Die 42-Points List fasst die Anforderungen des Scrum Guides in 42 Punkten zusammen.
(331418)

Worauf sollte der Scrum Master in Bezug auf die Scrum Artefakte achten? (Mehrfachnennung möglich)

(168566)

Alle Artefakte repräsentieren Wert und sollten auch entsprechend gestaltet sein.
(331422)

Der Zugriff auf Artefakte wird durch den Kunden bestimmt.
(331424)

Welche Rolle in Scrum Zugriff auf welches Artefakt hat, wird im Scrum Guide explizit beschrieben.
(331425)

Was gilt für das Zusammenspiel zwischen Scrum Master und den anderen Rollen im Scrum Team? (Mehrfachnennung möglich)

(168567)

Der Scrum Master ist für das Coaching aller Rollen zuständig.
(331428)

Der Scrum Master coacht nur das Entwicklungsteam.
(331429)

Der Scrum Master coacht nur den Product Owner.
(331430)

Was gilt für die Rolle des Scrum Masters in großen und verteilten Projekten? (Mehrfachnennung möglich)

(168568)

Jedes Entwicklungsteam hat einen eigenen Scrum Master.
(331433)

Ein Scrum Master kann gleichzeitig mehrere Entwicklungsteams coachen.
(331434)

Ein Projekt hat generell einen Scrum Master, der teamübergreifend für alle Mitarbeiter zuständig ist.
(331435)

Die Anzahl der Scrum Master in einem großen und verteilten Projekt wird durch die Anzahl der Mitarbeiter festgelegt.
(331438)

Welche der folgenden zählen zu den drei Säulen, auf denen alle empirischen Methoden wie Scrum basieren?
1) Sichtbarkeit (Transparenz)
2) Agilität
3) Selbstorganisation
4) Inspektion (Überprüfung)
5) Anpassung
6) Interdisziplinarität (Mehrfachnennung möglich)

(168569)

1, 4 und 5
(331439)

2, 3 und 5
(331440)

1, 2 und 6
(331441)

Welche der folgenden ist keine Qualität des Scrum Teams, die laut Scrum Guide durch das Team-Modell in Scrum optimiert werden soll? (Mehrfachnennung möglich)

(168570)

Produktivität
(331445)

Velocity
(331446)

Transparenz
(331447)

Flexibilität
(331450)

Wer nimmt an der Sprint Review teil oder kann an ihr teilnehmen?
1) Der Scrum Master
2) Der Product Owner
3) Das Entwicklungsteam
4) Stakeholder
5) Management (Mehrfachnennung möglich)

(168571)

Alle genannten
(331456)

Nur 1, 2 und 3
(331457)

Nur 4 und 5
(331458)

In Ihrer Rolle als Scrum Master werden Sie gefragt, wie Sie die folgenden Personen in Teams einteilen würden. Es befinden sich zehn Mitglieder (sechs Entwickler und vier Tester) in Ihrem Team sowie ein Product Owner. Welche der folgenden Varianten kann nach Scrum eine sinnvolle Aufteilung sein? (Mehrfachnennung möglich)

(168572)

Ein Team mit 10 Personen, da es keinen Grund für eine Unterteilung gibt.
(331461)

Ein Team mit sechs Entwicklern und ein Team mit vier Testern, da es sinnvoll ist, Teams funktional aufzuteilen.
(331462)

Zwei gemischte Teams mit vier und sechs Mitgliedern, mit von den Entwicklern selbst vorgeschlagener Verteilung.
(331464)

In einer Sprint Retrospektive wurden Verbesserungsmöglichkeiten und entsprechende Maßnahmen identifiziert, die auch realistisch umgesetzt werden können. Was sollte das Scrum Team als nächstes tun? (Mehrfachnennung möglich)

(168573)

Den Fortschritt der Maßnahmen in der nächsten Sprint Retrospektive überprüfen.
(331465)

Sicherstellen, dass jede Verbesserungsmaßnahme vom Scrum Master durchgeführt wird.
(331466)

Alle identifizierten Maßnahmen in das Improvement Backlog aufnehmen.
(331467)

Wie kann das Entwicklungsteam vom Scrum Master unterstützt werden? (Mehrfachnennung möglich)

(168574)

Coaching bei Selbstorganisation und Interdisziplinarität.
(331470)

Durch die Übernahme der Führungsrolle im Entwicklungsteam.
(331471)

Beim Schaffen von Verständnis für Arbeiten in einem empirischen Umfeld.
(331473)

Durch die Beseitigung von Hindernissen.
(331475)

Was gilt für die Besetzung und Auswahl der Rolle des Product Owners in Scrum Projekten? (Mehrfachnennung möglich)

(168575)

Ein Projekt muss mehrere Product Owner haben (permanente Vertretung wegen Urlaub, Krankheit, …).
(331477)

Es ist eine "good practice", in großen Projekten mindestens zwei Product Owner zu haben.
(331478)

Der Product Owner ist nach Scrum Guide nur eine einzelne Person.
(331479)

Was gilt für die Besetzung und Auswahl der Rolle des Scrum Masters in Scrum Projekten? (Mehrfachnennung möglich)

(168576)

Der Scrum Master muss aus den Reihen des Entwicklungsteams bestimmt werden (Selbstorganisation).
(331483)

Der Scrum Master muss selbst auch Entwickler sein. Nur so kann er Fehler nachvollziehen, entsprechend einschreiten und verbessern.
(331484)

Der Scrum Master ist "servant leader" für das Entwicklungsteam und sollte daher angesehen und akzeptiert werden.
(331485)

Was gilt nicht für die Besetzung und Zusammensetzung des Entwicklungsteams in Scrum Projekten? (Mehrfachnennung möglich)

(168577)

Ein ideales Entwicklungsteam sollte laut Scrum Guide aus nicht weniger als 3 und nicht mehr als 9 Entwicklern bestehen.
(331491)

Die Selbstorganisation im Entwicklungsteam beinhaltet den Grundsatz, dass es im Team auch weiterhin Hierarchien geben soll.
(331493)

Das Entwicklungsteam muss so viele Mitglieder umfassen, um auch dann alle Anforderungen erfüllen zu können, wenn einzelne Mitarbeiter nicht verfügbar sind (z.B. Urlaub oder Krankheit).
(331497)

Welche Rechte und Pflichten hat das Entwicklungsteam in einem Scrum Projekt? (Mehrfachnennung möglich)

(168578)

Das Entwicklungsteam ist für das Erreichen der Projektziele, vor allem das des Auslieferungszeitpunktes, alleine verantwortlich.
(331499)

Das Entwicklungsteam kann alleine Verhaltensregeln für sich beschließen und sich dabei über organisationsweite Vorgaben hinwegsetzen.
(331500)

Verantwortung für die Umsetzung von Anforderungen wird immer dem gesamten Entwicklungsteam übergeben, nicht einzelnen Entwicklern.
(331501)

Was gilt für das Sprint Planning? (Mehrfachnennung möglich)

(168579)

Im Sprint Planning schlägt der Product Owner das Sprint Ziel vor und trifft eine Vorauswahl (Status „ready“) der möglichen Anforderungen, die zur Umsetzung anstehen.
(331505)

Im Sprint Planning schätzt alleine das Entwicklungsteam den jeweiligen Aufwand ab (z.B. mit Scrum Poker).
(331506)

Das Sprint Planning kann aus zwei Teilen bestehen. Im ersten Teil werden die Ziele des Sprints festgelegt, im zweiten Teil das genaue Sprint Backlog definiert.
(331507)

Das Sprint Planning ist erst beendet, wenn alle Product Backlog Items, die im Product Backlog auf „ready“ stehen, ins Sprint Backlog übernommen worden sind.
(331509)

Welche Regel gilt in einem Sprint? (Mehrfachnennung möglich)

(168580)

Der Product Owner darf während eines Sprints die Anforderungen im Sprint Backlog nicht beeinflussen (z.B. Zusatzanforderungen aufnehmen).
(331513)

Ein Sprint dauert maximal 30 Tage.
(331514)

Die Dauer von Sprints variiert von Sprint zu Sprint.
(331515)

Wenn ein Eintrag im Sprint Backlog nicht bis zum Sprintende fertiggestellt werden kann, kann der Sprint abgebrochen werden.
(331517)

Was gilt für die Sprint Review? (Mehrfachnennung möglich)

(168581)

In der Sprint Review muss der Product Owner auch überprüfen, ob das Entwicklungsteam alle geplanten Tests erfolgreich ausgeführt hat und ob diese Tests auch den Anforderungen genügen.
(331520)

In der Sprint Review darf ein Interessensvertreter, zum Beispiel der Kunde, kein Feedback geben, da sonst die Zeitvorgabe (Timebox) gefährdet ist.
(331522)

Für die Sprint Review sollte keine Timebox festgelegt werden. Sie dauert immer so lange wie notwendig.
(331523)

Die vorgeschlagene Timebox für die Sprint Review beträgt maximal vier Stunden für einen vierwöchigen Sprint.
(331525)

Was gilt für die Sprint Retrospektive? (Mehrfachnennung möglich)

(168582)

Die Sprint Retrospektive bewertet unter anderem auch den Ablauf des Daily Scrum und schlägt Verbesserungen vor.
(331526)

Die Sprint Retrospektive findet verpflichtend nach dem Sprint Review statt. Ein Tausch der Reihenfolge ist nicht angedacht.
(331527)

Die Sprint Retrospektive betrachtet vor allem das aktuelle Produktinkrement und findet deshalb unmittelbar nach der Sprint Review statt.
(331529)

Die Sprint Retrospektive ist von der Timebox ein wenig länger als die Sprint Review.
(331530)

Was gilt für das Daily Scrum? (Mehrfachnennung möglich)

(168583)

Unter „Speech Token“ versteht man eine Technik, die im Daily Scrum angewendet werden kann, um Diskussionen zu verhindern, die die vorgegebene Timebox gefährden könnten.
(331532)

Das Daily Scrum dient dazu, Probleme detailliert in der Gruppendiskussion zu lösen.
(331533)

Der Product Owner veranstaltet das Daily Scrum.
(331534)

Das Daily Scrum kann ausgelassen werden, wenn es nichts interessantes zu berichten gibt.
(331537)

Welche der nachfolgend genannten Aussagen trifft auf Scrum Projekte zu? (Mehrfachnennung möglich)

(168584)

Von Scrum erhofft man sich, die „time to market“ (Zeit, bis das Produkt auf den Markt kommt) zu verkürzen.
(331538)

Techniken zur Selbstorganisation im Entwicklungsteam sind u.a. das Sprint Backlog, das Sprint Burndown Chart und das Daily Scrum.
(331539)

Scrum Projekte eignen sich vor allem für Projekte mit extrem hoher Kritikalität und hohem Risiko.
(331540)

Sollte eine Anforderung vom Product Owner während des Sprint Reviews nicht abgenommen werden, so ist eine beliebte Technik, einen Zwischensprint (intermediate sprint) mit verkürzter Laufzeit durchzuführen.
(331542)

Welche der nachfolgend genannten Aussagen trifft auf Scrum Rituale (Ereignisse, Events) zu? (Mehrfachnennung möglich)

(168585)

Die Reihenfolge von Review, Retrospektive und Planning darf beliebig geändert werden.
(331544)

Alle Ereignisse wie Meetings oder Sprints haben eine zuvor festgelegte Timebox.
(331545)

Der Scrum Master ist für die Organisation, das Stattfinden und die Moderation von Sprint Planning, Review und Retrospektive verantwortlich.
(331546)

Welche der folgenden Aussagen zu agilen Projekten ist korrekt? (Mehrfachnennung möglich)

(168586)

Die empirische Prozesssteuerung basiert auf den Säulen Transparenz, Überprüfung und Disziplin.
(331550)

Agile Projekte richten sich nach den vier Werten und den zwölf Prinzipien des agilen Manifests aus.
(331553)

Agile Projekte versuchen, Facetten eines Projekts so transparent wie möglich zu gestalten.
(331554)

Was gilt für alle Rollen in Scrum Projekten? (Mehrfachnennung möglich)

(168587)

Für die Beschaffung der Ressourcen in Scrum ist nach Scrum Guide der Product Owner verantwortlich.
(331557)

Alle Teilnehmer eines Scrum Projekts sind für das Erreichen des Entwicklungsziels mit verantwortlich.
(331559)

Alle Rollen sind dafür verantwortlich, in ihrem Bereich Verbesserungsmöglichkeiten zu identifizieren.
(331561)

Der Scrum Master ist primär damit beschäftigt, die anderen Rollen auseinander zu halten, um Konflikten vorzubeugen.
(331563)

Welche der folgenden Aussagen zu Metriken in Scrum Projekten ist korrekt? (Mehrfachnennung möglich)

(168588)

Burndown Charts eignen sich dazu, Restarbeit zu verfolgen und sind damit ein wichtiges Mittel, um die Wahrscheinlichkeit der Zielerreichung abzuschätzen.
(331564)

Eine ideale Kurve im Velocity Chart ist die charakteristische Sägezahnkurve.
(331565)

Da sich Sprintlängen oder Teamgrößen im Entwicklungsverlauf verändern können, muss besonders auf die Vergleichbarkeit von sprintübergreifenden Metriken geachtet werden.
(331567)

Metriken in Scrum sollten wie alle anderen Artefakte Transparenz und Offenheit transportieren und dabei helfen, den aktuellen Fortschritt realistisch darzustellen.
(331569)

Was gilt für das Scrum of Scrums? (Mehrfachnennung möglich)

(168589)

Das „Botschafter-Verfahren“ zur Auswahl der Teilnehmer des Scrum of Scrums ist eine bewährte Praktik. Jeden Tag wählt und entsendet das Team einen Botschafter aus den Reihen aller Mitglieder.
(331571)

Das Scrum of Scrums muss von einem dedizierten, nur exklusiv dafür zuständigen Scrum Master moderiert werden.
(331572)

Da die Zeitvorgabe (Timebox) bei Scrum of Scrums stark von der Anzahl der Teams abhängig ist, gilt hier pro zu beantwortender Frage eine Minute. Daher gilt die Zeitvorgabe: 7 Teams à 4 Fragen = 28 Minuten.
(331573)

Was gilt für das Sprint Backlog? (Mehrfachnennung möglich)

(168590)

Um das Sprint Backlog zu visualisieren, kann ein Taskboard (ähnlich einem Kanban Board) verwendet werden.
(331578)

Das Sprint Backlog ist unabhängig vom Sprint Ziel.
(331579)

Das Sprint Backlog enthält ausschließlich Kundenanforderungen an das Produkt.
(331580)

Das Sprint Backlog ist ein internes Artefakt des Entwicklungsteams und dem Product Owner nicht zugänglich.
(331584)

ITEMO SCRUM Product Owner Part II - de - SampleSet 1 - v1

Welche Rechte und Pflichten hat ein Product Owner? (Mehrfachnennung möglich)

(168529)

Alleine der Product Owner ist berechtigt, im Product Backlog eine Anforderung auf „done“ zu setzen.
(331168)

Der Product Owner arbeitet eng mit den Stakeholdern zusammen, um Produktanforderungen zu spezifizieren.
(331171)

Der Product Owner entscheidet gemeinsam mit dem Scrum Master, ob die Entwicklungsteams interdisziplinär zusammengesetzt sein sollen oder nicht.
(331172)

Der Product Owner moderiert alle Ereignisse in Scrum.
(331175)

Was gilt für das Product Backlog Refinement? (Mehrfachnennung möglich)

(168530)

Das Product Backlog Refinement wird auch als Backlog Grooming (deutsch: Backlog Pflege) bezeichnet.
(331176)

Backlog Refinement ist ein kontinuierlicher Prozess, in dem der Product Owner und das Entwicklungsteam gemeinsam die Product-Backlog-Einträge detaillieren.
(331177)

Beim Product Backlog Refinement handelt es sich um ein festes Scrum Ritual.
(331178)

Eine Best Practice für das Product Backlog Refinement ist es, dieses regelmäßig als Meeting stattfinden zu lassen.
(331180)

Welche Aussage zu Anforderungen in Scrum ist korrekt? (Mehrfachnennung möglich)

(168531)

Mit Use Cases (z.B. UML) lässt sich die Interaktion eines Anwenders mit einem System beschreiben.
(331184)

Eine gute User Story folgt im Allgemeinen dem Muster "Als NUTZER will ich ZIEL/WUNSCH, damit NUTZEN".
(331185)

Es ist nicht nötig, dass alle Teammitglieder ein gemeinsames Verständnis der Akzeptanzkriterien (Definition of Done) haben, da letztendlich der Product Owner entscheidet, wann eine Anforderung fertig ist.
(331186)

Einträge im Product Backlog müssen nur dann als User Stories verfasst werden, wenn der Endnutzer (User) später mit diesem Teil des Produkts zu tun hat, um dessen Anforderungen überprüfbar zu machen.
(331188)

Welche Aussage bzgl. Stakeholder ist korrekt? (Mehrfachnennung möglich)

(168532)

Stakeholder sind alle Personen und Organisationen, die irgendeinen Einfluss auf die Anforderungen haben. Der Gesetzgeber z.B. mit indirektem Einfluss, wird auch als Stakeholder bezeichnet.
(331190)

Alle Stakeholder sollten täglich am Daily Scrum teilnehmen.
(331193)

Stakeholder entscheiden selbst, an welchen Scrum Meetings sie teilnehmen.
(331194)

Stakeholderanalyse ist ein Teil des Requirements Engineering und damit Aufgabe des Product Owners.
(331195)

Was gilt nicht für die Priorisierung von Anforderungen in Scrum? (Mehrfachnennung möglich)

(168533)

Die Priorität einer Anforderung im Product Backlog hat Einfluss auf deren Detaillierungsgrad – je höher die Priorität, desto genauer sollte eine Anforderung beschrieben sein.
(331197)

Anforderungen mit einem hohen Nutzen und einem geringen Risiko sollten als zweites umgesetzt werden (Wert-Risko-Matrix von Cohn).
(331200)

Anforderungen mit einem geringen Nutzen und einem geringen Risiko eignen sich am besten, um als erstes umgesetzt zu werden (Wert-Risk-Matrix nach Cohn).
(331201)

Scrum macht konkrete Vorgaben (Priorisierungsmatrix), wie Anforderungen im Product Backlog priorisiert werden.
(331202)

Eine beliebte Art der Priorisierung ist die "Moscow-Priorisierung". Welche der folgenden Aussagen ist korrekt? (Mehrfachnennung möglich)

(168534)

Das "S" in "Moscow-Priorisierung" steht für "should have".
(331204)

Um bei der Moscow-Priorisierung auch mit den Planning Poker Karten zu arbeiten, ist es möglich, den vier Kategorien des Modells jeweils Kartenwerte zuzuordnen. Dies gestaltet die Abfrage effizienter.
(331205)

Die Moscow-Priorisierung kann in Festpreisprojekten von Vorteil sein, da es eine eigene Kategorie gibt für Anforderungen, die aktuell nicht mehr im Scope der Entwicklung sind.
(331207)

Die Dokumentation der Moscow-Priorisierung legt feste Kriterien fest, welche Anforderungen welche Priorität haben.
(331208)

Was gilt für das Product Backlog? (Mehrfachnennung möglich)

(168535)

Solange ein Produkt existiert, existiert auch ein Product Backlog.
(331212)

Das Product Backlog wird geschlossen, wenn die Entwicklung abgeschlossen ist und es keine neuen Tasks mehr gibt.
(331214)

Die Priorität einer Anforderung wird im Product Backlog gepflegt.
(331216)

Das Product Backlog muss am Ende eines Sprints vollständig und abgeschlossen sein.
(331217)

Welche Aussage bzgl. der Abschätzung von Anforderungen mithilfe von Planning Poker ist korrekt? (Mehrfachnennung möglich)

(168536)

Wenn bei einer Abschätzung bereits für den Normalfall ("normal case") der Wert nahe an die Grenze der zur Verfügung stehenden Nettoarbeitszeit herankommt, sollte die Anforderung unterteilt werden.
(331221)

Zur Aufwandsabschätzung werden im Planning Poker nur T-Shirt Größen (XS, S, M, L, XL) verwendet.
(331222)

Für Abschätzungen mit "Planning Poker" können auch einfache Skat-Karten verwendet werden.
(331223)

Was gilt für das Requirements Engineering in Scrum? (Mehrfachnennung möglich)

(168537)

Die Dekomposition aller Product Backlog Einträge in einzelne User Stories für zukünftige Sprints wird in Scrum als „StoryDec burndown“ bezeichnet.
(331227)

Scrum enthält keine konkreten Techniken für das Requirements Engineering.
(331228)

Anforderungen im Product Backlog können auch während des Projektverlaufs aus dem Scope des Projektes herausgenommen werden, so dass sie nicht umgesetzt werden (Status „rejected“).
(331229)

Für die Abschätzung von Anforderungen gibt es im Requirements Engineering mehrere Möglichkeiten. Welche der folgenden Aussagen hierzu ist korrekt? (Mehrfachnennung möglich)

(168538)

Da Abschätzungen auf subjektiven Erfahrungen der Entwickler beruhen, muss zunächst eine Risikoanalyse in Bezug auf Fehlabschätzungen von Anforderungen durchgeführt werden.
(331233)

Um die Entwickler bei Abschätzungen zu unterstützen, ist es sinnvoll, sie auf mögliche Fehlerquellen (z.B. durch kognitive Verzerrrungen) hinzuweisen.
(331234)

Bei gelegentlichen Abweichungen zwischen Schätzung und Realität gilt es vor allem am Projektanfang, Ruhe zu bewahren und keine voreiligen Schlüsse zu ziehen.
(331236)

Welche Aussage bzgl. des Kano-Modells ist korrekt? (Mehrfachnennung möglich)

(168539)

Im Kano-Modell sind die möglichen Antworten festgelegt und nicht durch den Interviewpartner frei formulierbar.
(331239)

In welcher Kategorie nach Kano sich eine Anforderung befindet, kann sich über die Lebensdauer eines Produkts hinweg verändern.
(331240)

Das Kano-Modell betrachtet Risikomanagement auf Anforderungsebene als einen wichtigen Einflussfaktor für die Kategorisierung der Anforderungen.
(331241)

Das Kano-Modell ist besonders gut geeignet bei Anforderungen, deren Nutzen nur wenig bekannt oder völlig unbekannt ist.
(331245)

Wer ist dazu befugt, einen Sprint abzubrechen? (Mehrfachnennung möglich)

(168540)

Der Product Owner
(331246)

Der Scrum Master
(331247)

Das Entwicklungsteam
(331248)

An welchem Ereignis dürfen Stakeholder aktiv teilnehmen? (Mehrfachnennung möglich)

(168541)

Sprint Retrospektive
(331253)

Sprint Review
(331254)

Backlog Refinement
(331255)

Wer ist dafür verantwortlich, das Sprint Ziel im Sprint Planning festzulegen? (Mehrfachnennung möglich)

(168542)

Das Sprint Ziel wird vom Product Owner vorgegeben
(331259)

Das gesamte Scrum Team
(331260)

Nur das Entwicklungsteam
(331261)

Was wird durch ein Burndown Chart dargestellt? (Mehrfachnennung möglich)

(168543)

Die Entwicklung der Unsicherheit im Projektverlauf.
(331263)

Der verbleibende Restaufwand und die Entwicklung des Aufwands in der bisherigen Zeit.
(331264)

Abhängigkeiten innerhalb eines Sprints.
(331265)

Wer ist für die Aufwandsabschätzungen im Product Backlog verantwortlich? (Mehrfachnennung möglich)

(168544)

Der Scrum Master
(331267)

Der Product Owner
(331268)

Das Entwicklungsteam
(331269)

Wer ist dafür verantwortlich, den Fortschritt innerhalb eines Sprints zu verfolgen, um die Wahrscheinlichkeit der Zielerreichung abzuschätzen? (Mehrfachnennung möglich)

(168545)

Der Scrum Master
(331274)

Der Product Owner
(331275)

Das Entwicklungsteam
(331276)

Was gehört zum Product Backlog Management? (Mehrfachnennung möglich)

(168546)

Sicherstellung, dass das Product Backlog sichtbar, transparent und für alle zugänglich ist
(331281)

Optimierung der Ergebnisse des Entwicklingsteams
(331282)

Sortierung der Einträge im Product Backlog
(331283)

Wie kann der Product Owner vom Scrum Master unterstützt werden? (Mehrfachnennung möglich)

(168547)

Bei der Organisation weiterer Meetings außerhalb der Scrum Meetings
(331286)

Beim Einführen neuer Techniken zur effektiveren Verwaltung des Product Backlogs
(331287)

Durch die strikte räumliche Trennung von Product Owner und Entwicklungsteam
(331290)

Beim Schaffen von Verständnis für Arbeiten in einem empirischen Umfeld
(331292)

Was gilt für das Produktinkrement? (Mehrfachnennung möglich)

(168548)

Das Produktinkrement wird nur gegen die Ziele des aktuellen Sprints geprüft und muss nur diesem genügen.
(331294)

Das Produktinkrement ist die Summe aller abgenommenen Ergebnisse aller Sprints.
(331296)

Zu einem vollständigen Produktinkrement gehört auch Dokumentation.
(331298)

Im Optimalfall kann das Produktinkrement jederzeit ausgeliefert werden.
(331299)

In welcher Reihenfolge werden Einträge im Product Backlog aufgelistet? (Mehrfachnennung möglich)

(168549)

Alphabetisch
(331302)

Beliebig im Ermessen des Product Owners
(331303)

Nach Priorität
(331307)

Welches der folgenden ist kein Input für das Sprint Planning? (Mehrfachnennung möglich)

(168550)

Feedback der Stakeholder aus der Sprint Review
(331310)

Das Product Backlog
(331312)

Das letzte Sprint Backlog
(331313)

Was gilt für das Sprint Planning? (Mehrfachnennung möglich)

(168579)

Im Sprint Planning schlägt der Product Owner das Sprint Ziel vor und trifft eine Vorauswahl (Status „ready“) der möglichen Anforderungen, die zur Umsetzung anstehen.
(331505)

Im Sprint Planning schätzt alleine das Entwicklungsteam den jeweiligen Aufwand ab (z.B. mit Scrum Poker).
(331506)

Das Sprint Planning kann aus zwei Teilen bestehen. Im ersten Teil werden die Ziele des Sprints festgelegt, im zweiten Teil das genaue Sprint Backlog definiert.
(331507)

Das Sprint Planning ist erst beendet, wenn alle Product Backlog Items, die im Product Backlog auf „ready“ stehen, ins Sprint Backlog übernommen worden sind.
(331509)

Welche Regel gilt in einem Sprint? (Mehrfachnennung möglich)

(168580)

Der Product Owner darf während eines Sprints die Anforderungen im Sprint Backlog nicht beeinflussen (z.B. Zusatzanforderungen aufnehmen).
(331513)

Ein Sprint dauert maximal 30 Tage.
(331514)

Die Dauer von Sprints variiert von Sprint zu Sprint.
(331515)

Wenn ein Eintrag im Sprint Backlog nicht bis zum Sprintende fertiggestellt werden kann, kann der Sprint abgebrochen werden.
(331517)

Was gilt für die Sprint Review? (Mehrfachnennung möglich)

(168581)

In der Sprint Review muss der Product Owner auch überprüfen, ob das Entwicklungsteam alle geplanten Tests erfolgreich ausgeführt hat und ob diese Tests auch den Anforderungen genügen.
(331520)

In der Sprint Review darf ein Interessensvertreter, zum Beispiel der Kunde, kein Feedback geben, da sonst die Zeitvorgabe (Timebox) gefährdet ist.
(331522)

Für die Sprint Review sollte keine Timebox festgelegt werden. Sie dauert immer so lange wie notwendig.
(331523)

Die vorgeschlagene Timebox für die Sprint Review beträgt maximal vier Stunden für einen vierwöchigen Sprint.
(331525)

Was gilt für die Sprint Retrospektive? (Mehrfachnennung möglich)

(168582)

Die Sprint Retrospektive bewertet unter anderem auch den Ablauf des Daily Scrum und schlägt Verbesserungen vor.
(331526)

Die Sprint Retrospektive findet verpflichtend nach dem Sprint Review statt. Ein Tausch der Reihenfolge ist nicht angedacht.
(331527)

Die Sprint Retrospektive betrachtet vor allem das aktuelle Produktinkrement und findet deshalb unmittelbar nach der Sprint Review statt.
(331529)

Die Sprint Retrospektive ist von der Timebox ein wenig länger als die Sprint Review.
(331530)

Was gilt für das Daily Scrum? (Mehrfachnennung möglich)

(168583)

Unter „Speech Token“ versteht man eine Technik, die im Daily Scrum angewendet werden kann, um Diskussionen zu verhindern, die die vorgegebene Timebox gefährden könnten.
(331532)

Das Daily Scrum dient dazu, Probleme detailliert in der Gruppendiskussion zu lösen.
(331533)

Der Product Owner veranstaltet das Daily Scrum.
(331534)

Das Daily Scrum kann ausgelassen werden, wenn es nichts interessantes zu berichten gibt.
(331537)

Welche der nachfolgend genannten Aussagen trifft auf Scrum Projekte zu? (Mehrfachnennung möglich)

(168584)

Von Scrum erhofft man sich, die „time to market“ (Zeit, bis das Produkt auf den Markt kommt) zu verkürzen.
(331538)

Techniken zur Selbstorganisation im Entwicklungsteam sind u.a. das Sprint Backlog, das Sprint Burndown Chart und das Daily Scrum.
(331539)

Scrum Projekte eignen sich vor allem für Projekte mit extrem hoher Kritikalität und hohem Risiko.
(331540)

Sollte eine Anforderung vom Product Owner während des Sprint Reviews nicht abgenommen werden, so ist eine beliebte Technik, einen Zwischensprint (intermediate sprint) mit verkürzter Laufzeit durchzuführen.
(331542)

Welche der nachfolgend genannten Aussagen trifft auf Scrum Rituale (Ereignisse, Events) zu? (Mehrfachnennung möglich)

(168585)

Die Reihenfolge von Review, Retrospektive und Planning darf beliebig geändert werden.
(331544)

Alle Ereignisse wie Meetings oder Sprints haben eine zuvor festgelegte Timebox.
(331545)

Der Scrum Master ist für die Organisation, das Stattfinden und die Moderation von Sprint Planning, Review und Retrospektive verantwortlich.
(331546)

Welche der folgenden Aussagen zu agilen Projekten ist korrekt? (Mehrfachnennung möglich)

(168586)

Die empirische Prozesssteuerung basiert auf den Säulen Transparenz, Überprüfung und Disziplin.
(331550)

Agile Projekte richten sich nach den vier Werten und den zwölf Prinzipien des agilen Manifests aus.
(331553)

Agile Projekte versuchen, Facetten eines Projekts so transparent wie möglich zu gestalten.
(331554)

Was gilt für alle Rollen in Scrum Projekten? (Mehrfachnennung möglich)

(168587)

Für die Beschaffung der Ressourcen in Scrum ist nach Scrum Guide der Product Owner verantwortlich.
(331557)

Alle Teilnehmer eines Scrum Projekts sind für das Erreichen des Entwicklungsziels mit verantwortlich.
(331559)

Alle Rollen sind dafür verantwortlich, in ihrem Bereich Verbesserungsmöglichkeiten zu identifizieren.
(331561)

Der Scrum Master ist primär damit beschäftigt, die anderen Rollen auseinander zu halten, um Konflikten vorzubeugen.
(331563)

Welche der folgenden Aussagen zu Metriken in Scrum Projekten ist korrekt? (Mehrfachnennung möglich)

(168588)

Burndown Charts eignen sich dazu, Restarbeit zu verfolgen und sind damit ein wichtiges Mittel, um die Wahrscheinlichkeit der Zielerreichung abzuschätzen.
(331564)

Eine ideale Kurve im Velocity Chart ist die charakteristische Sägezahnkurve.
(331565)

Da sich Sprintlängen oder Teamgrößen im Entwicklungsverlauf verändern können, muss besonders auf die Vergleichbarkeit von sprintübergreifenden Metriken geachtet werden.
(331567)

Metriken in Scrum sollten wie alle anderen Artefakte Transparenz und Offenheit transportieren und dabei helfen, den aktuellen Fortschritt realistisch darzustellen.
(331569)

Was gilt für das Scrum of Scrums? (Mehrfachnennung möglich)

(168589)

Das „Botschafter-Verfahren“ zur Auswahl der Teilnehmer des Scrum of Scrums ist eine bewährte Praktik. Jeden Tag wählt und entsendet das Team einen Botschafter aus den Reihen aller Mitglieder.
(331571)

Das Scrum of Scrums muss von einem dedizierten, nur exklusiv dafür zuständigen Scrum Master moderiert werden.
(331572)

Da die Zeitvorgabe (Timebox) bei Scrum of Scrums stark von der Anzahl der Teams abhängig ist, gilt hier pro zu beantwortender Frage eine Minute. Daher gilt die Zeitvorgabe: 7 Teams à 4 Fragen = 28 Minuten.
(331573)

Was gilt für das Sprint Backlog? (Mehrfachnennung möglich)

(168590)

Um das Sprint Backlog zu visualisieren, kann ein Taskboard (ähnlich einem Kanban Board) verwendet werden.
(331578)

Das Sprint Backlog ist unabhängig vom Sprint Ziel.
(331579)

Das Sprint Backlog enthält ausschließlich Kundenanforderungen an das Produkt.
(331580)

Das Sprint Backlog ist ein internes Artefakt des Entwicklungsteams und dem Product Owner nicht zugänglich.
(331584)

Welche der nachfolgend genannten Aussagen ist korrekt? (Mehrfachnennung möglich)

(168591)

Nur der Product Owner setzt die umgesetzten Anforderungen im Product Backlog auf „done“.
(331585)

Die Timebox des Daily Scrums ist abhängig von der Größe des Entwicklungsteams.
(331586)

In Scrum sind auch zusätzliche Meetings zu den Scrum Meetings erlaubt.
(331589)

Musterprüfungen

ICO ISMS 27001 fnd - de - sample set 1 - v2

Was ist Vertraulichkeit? (Mehrfachnennung möglich)

Welche Eigenschaften von Informationen sollen im Rahmen der Informationssicherheit aufrechterhalten werden? (Mehrfachnennung möglich)

Bei welchen der folgenden Standards handelt es sich um allgemeine, nicht branchenspezifische Leitfäden aus der ISO/IEC 27000 Familie? (Mehrfachnennung möglich)

Was trifft auf den Standard ISO/IEC 27001 zu? (Mehrfachnennung möglich)

Was trifft auf den PDCA-Zyklus zu? (Mehrfachnennung möglich)

Was trifft auf Prozesse im Kontext der ISO/IEC 27000 Standardfamilie zu? (Mehrfachnennung möglich)

Was trifft im Kontext des Standards ISO/IEC 27000 auf Maßnahmen (Controls) zu? (Mehrfachnennung möglich)

ISO/IEC 27001 definiert Maßnahmen (Controls) und Maßnahmenziele (Control Objectives) zu/zur ... (Mehrfachnennung möglich)

Welche der folgenden Rahmenwerke, Standards oder Standardfamilien befassen sich schwerpunktmäßig mit IT- oder Informationssicherheit (oder werden als Standard für IT- oder Informationssicherheit bezeichnet)? (Mehrfachnennung möglich)

Was sind Schritte, die im Rahmen des Prozesses zur Beurteilung von Informationssicherheitsrisiken festgelegt und angewendet (durchgeführt) werden müssen? (Mehrfachnennung möglich)

Wobei handelt es sich um Kriterien, die gemäß ISO/IEC 27001 im Rahmen des Prozesses zur Beurteilung von Informationssicherheitsrisiken festgelegt und angewendet werden müssen? (Mehrfachnennung möglich)

Welche der folgenden Aussagen zum Anhang A aus ISO/IEC 27001 sind insbesondere vor dem Hintergrund der Behandlung von Informationssicherheitsrisiken korrekt? (Mehrfachnennung möglich)

Was muss eine Organisation gemäß ISO/IEC 27001 im Rahmen ihres Prozesses zur Behandlung von Informationssicherheitsrisiken tun? (Mehrfachnennung möglich)

Worüber müssen sich Personen bewusst sein, die Tätigkeiten für eine Organisation ausüben, die Konformität mit ISO/IEC 27001 beansprucht? (Mehrfachnennung möglich)

Worüber sollen interne Audits Informationen liefern? (Mehrfachnennung möglich)

Welche der folgenden Aussagen zu internen Audits und Managementbewertungen sind korrekt? (Mehrfachnennung möglich)

Welche der folgenden Aussagen im Zusammenhang mit Vertraulichkeit und Integrität von Informationen sind korrekt? (Mehrfachnennung möglich)

Welche der folgenden Aussagen zu Maßnahmen (Controls) sind korrekt? (Mehrfachnennung möglich)

Ein Audit ist ein Prozess, mit dem bestimmt werden soll, inwieweit Auditkriterien erfüllt sind. Welche der folgenden Eigenschaften muss dieser Prozess gemäß ISO/IEC 27000 unter anderem aufweisen? (Mehrfachnennung möglich)

Welche der folgenden Schritte muss eine Organisation zur Einführung, Pflege und/oder Verbesserung eines ISMS unter anderem durchführen? (Mehrfachnennung möglich)

Zu welchen Themen definiert ISO/IEC 27001 (Anhang A) Maßnahmenziele und Maßnahmen im Zusammenhang mit dem Abschnitt "Betriebssicherheit" (A.12)? (Mehrfachnennung möglich)

Welche Aktivitäten sind für eine Organisation hinsichtlich des Kapitels "Kontext der Organisation" in der Norm ISO/IEC 27001 vorgeschrieben? (Mehrfachnennung möglich)

Was muss eine Organisation gemäß ISO/IEC 27001, Abschnitt "Unterstützung" (7), tun, um das ISMS effektiv etablieren und betreiben zu können? (Mehrfachnennung möglich)

Welche der folgenden Aktivitäten fordert ISO/IEC 27001 in der Phase des Betriebs (Operation) eines ISMS im Zusammenhang mit dem Risikomanagement? (Mehrfachnennung möglich)

Was ist in der Phase "Verbesserung" nach ISO/IEC 27001 fortlaufend zu optimieren? (Mehrfachnennung möglich)

Wobei handelt es sich gemäß ISO/IEC 27001, Abschnitt "Führung" (5), um Aufgaben des Top-Managements, um Verantwortung und Engagement für die Informationssicherheit und das ISMS zu demonstrieren? (Mehrfachnennung möglich)

In welchen der folgenden Fälle liegt eine Verletzung der Integrität vor? (Mehrfachnennung möglich)

Wodurch zeichnet sich ein führungsstarkes Top-Management im Zusammenhang mit einem ISMS aus? (Mehrfachnennung möglich)

Zu welchen Themen definiert ISO/IEC 27001 im Anhang A Maßnahmenziele und Maßnahmen? (Mehrfachnennung möglich)

Welche der folgenden Aussagen zum Anhang A der Norm ISO/IEC 27001 sind korrekt? (Mehrfachnennung möglich)

ICO ITSec fnd - de - sample set 1 - v1

Welche der folgenden Aussagen zum Thema "Cracker" sind richtig? (Mehrfachnennung möglich)

Was sind grundlegende Voraussetzungen für die Sicherheit des Einmalschlüssel-Verfahrens(One-Time-Pad)? (Mehrfachnennung möglich)

Die Verschlüsselung mit Rot13 (rotate by 13 places) ist ein bekanntes Verschlüsselungsverfahren. Welche Aussagen sind wahr? (Mehrfachnennung möglich)

Bringen Sie diese Tätigkeiten einer forensischen Untersuchung in die richtige Reihenfolge. (Mehrfachnennung möglich)

Welche Aussagen sind bezüglich der Tätigkeit "Identifizierung" bei einer forensischen Untersuchung wahr? (Mehrfachnennung möglich)

Welche Aussagen sind bezüglich der Tätigkeit "Aufbereitung und Präsentation" bei einer forensischen Untersuchung wahr? (Mehrfachnennung möglich)

Welche Antworten sind bezüglich Sniffer wahr? (Mehrfachnennung möglich)

Welche Maßnahmen können getroffen werden, um das Risiko des versehentlichen Herunterladens (Drive-by-Download) von Schadsoftware zu verringern? (Mehrfachnennung möglich)

Welche Aussagen bezüglich ARP (Address Resolution Protocol) sind richtig? (Mehrfachnennung möglich)

Welche der folgenden Ziele hat ein Penetrationstest? (Mehrfachnennung möglich)

Welche der folgenden Kriterien sind im Klassifikationsschema für Penetrationstests nach BSI vorhanden? (Mehrfachnennung möglich)

Welche der folgenden Aussagen zum Begriff "Google Hacking" sind wahr? (Mehrfachnennung möglich)

Welche der folgenden Aussagen zum Thema OS-Fingerprinting sind wahr? (Mehrfachnennung möglich)

Welche der folgenden Antworten zum Thema Session Hijacking sind wahr? (Mehrfachnennung möglich)

Welche der folgenden Antworten bezüglich DNS-Spoofing bzw. Cache Poisoning sind wahr? (Mehrfachnennung möglich)

Welche der folgenden Antworten in Bezug auf ARP-Spoofing und dem Adress-Resolution-Protocol (ARP) sind wahr? (Mehrfachnennung möglich)

Welche Aussagen bezüglich IP-Spoofing bzw. dem Internet-Protocol sind wahr? (Mehrfachnennung möglich)

Welche Aussage ist bezüglich eines Angriffs durch Manipulation der URL-Parameter wahr? (Mehrfachnennung möglich)

Welche Aussagen bezüglich des Angriffes Directory Traversal sind wahr? (Mehrfachnennung möglich)

Welche Aussagen sind bezüglich Cross-Site-Scripting wahr? (Mehrfachnennung möglich)

Welche der folgenden Aussagen sind bezüglich SQL-Injection wahr? (Mehrfachnennung möglich)

Welche der folgenden Aussagen bezüglich Drive-by-Download sind wahr? (Mehrfachnennung möglich)

Welche der folgenden Aussagen zum Man-in-the-Middle-Angriff (MITM) sind wahr? (Mehrfachnennung möglich)

Welche der folgenden Aussagen sind zum Thema asymmetrische Verschlüsselungen korrekt? (Mehrfachnennung möglich)

Welche der folgenden Aussagen bezüglich Hash-Funktionen sind wahr? (Mehrfachnennung möglich)

Welche der folgenden Aussagen bezüglich eines Wörterbuch-Angriffs auf Passwort-Hashes sind korrekt? (Mehrfachnennung möglich)

Welche Aussagen bezüglich der Brute-Force-Methode auf Passwort-Hashes sind wahr? (Mehrfachnennung möglich)

Welche Aussagen bezüglich IT-Forensik sind wahr? (Mehrfachnennung möglich)

Welche Anforderungen an eine forensische Untersuchung sind wahr? (Mehrfachnennung möglich)

Welche der folgenden Tätigkeiten gelten als aktives Footprinting? (Mehrfachnennung möglich)

ICO ITSec prof PT - de - sample set 1 - v1

Laut der Passwortrichtlinie müssen für die Wahl des Passworts Klein- und Großbuchstaben aus dem englischen Alphabet (a-z entspricht 26 Zeichen) sowie Ziffern verwendet werden. Alle anderen Zeichen sind nicht erlaubt. Welche Aussagen sind richtig? (Mehrfachnennung möglich)

Welche grundsätzlichen Phasen hat ein Penetration Test? (Mehrfachnennung möglich)

Was gehöhrt zu einer vollständigen Dokumentation eines Penetrationstests? (Mehrfachnennung möglich)

Welche Aktivitäten müssen laut der allgemeinen Methodik beim Threat Modeling durchgeführt werden? (Mehrfachnennung möglich)

Welche Aussagen sind bezüglich Thread Modeling wahr? (Mehrfachnennung möglich)

Welche grundsätzlichen persönlichen Voraussetzungen sollte ein Penetration Tester mitbringen? (Mehrfachnennung möglich)

Welche der folgenden Antworten beschreiben Methoden für den aktiven Angriff? (Mehrfachnennung möglich)

Welche der folgenden Antworten beschreiben Methoden für die Informationsbeschaffung? (Mehrfachnennung möglich)

Welche der folgenden Aussagen sind bezüglich Brute-Force wahr? (Mehrfachnennung möglich)

Welche der folgenden Systeme beschreiben symmetrische Kryptosysteme? (Mehrfachnennung möglich)

Welche Aussagen sind bezüglich eines TCP Handshakes wahr? (Mehrfachnennung möglich)

Welche Aussagen sind bezüglich "OS-Fingerprinting" und "Banner Grabbing" wahr? (Mehrfachnennung möglich)

Welche Aussagen sind bezüglich "Session Hijacking" wahr? (Mehrfachnennung möglich)

Welche Felder hat ein UDP Header? (Mehrfachnennung möglich)

Welche Felder hat ein TCP Header? (Mehrfachnennung möglich)

Welche Aussagen sind bezüglich dem TLS Protokoll (Transport Layer Security) wahr? (Mehrfachnennung möglich)

Was sind grundlegende Voraussetzungen für die Sicherheit des Einmalschlüssel-Verfahrens
(One-Time-Pad)? (Mehrfachnennung möglich)