ICO & ITEMO Musterprüfungen

ISMS 27001 fnd - de - sample set 1 - v2

Was ist Vertraulichkeit? (Mehrfachnennung möglich)

(168183)

Eigenschaft, dass eine Information wohlbekannt und kommuniziert ist.
(329101)

Eigenschaft, dass eine Entität das ist, was sie vorgibt zu sein.
(329100)

Eigenschaft, dass Informationen unbefugten Parteien nicht verfügbar gemacht oder offengelegt werden.
(329097)

Welche Eigenschaften von Informationen sollen im Rahmen der Informationssicherheit aufrechterhalten werden? (Mehrfachnennung möglich)

(168184)

Unverletzbarkeit
(329095)

Integrität
(329092)

Vertraulichkeit
(329091)

Bei welchen der folgenden Standards handelt es sich um allgemeine, nicht branchenspezifische Leitfäden aus der ISO/IEC 27000 Familie? (Mehrfachnennung möglich)

(168185)

ISO/IEC 27019
(329107)

ISO/IEC 27006
(329106)

ISO/IEC 27002
(329102)

Was trifft auf den Standard ISO/IEC 27001 zu? (Mehrfachnennung möglich)

(168186)

Die Norm legt die Anforderungen an Stellen fest, die ein Audit und eine Zertifizierung von Informationssicherheits-Managementsystemen anbieten.
(329113)

Er ist Teil einer größeren Standardfamilie
(329110)

Er formuliert die minimalen Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS)
(329108)

Was trifft auf den PDCA-Zyklus zu? (Mehrfachnennung möglich)

(168187)

PDCA beschreibt die Eigenschaften von Information, die im Rahmen der Informationssicherheit aufrechterhalten werden sollen.
(329118)

Die Struktur der ISO/IEC 27001 ist, zumindest in Teilen, an dem PDCA-Ansatz ausgerichtet.
(329116)

P steht für "Plan", D für "Do", C für "Check" und A für "Act".
(329114)

Was trifft auf Prozesse im Kontext der ISO/IEC 27000 Standardfamilie zu? (Mehrfachnennung möglich)

(168188)

ISO/IEC 27002 definiert 14 Informationssicherheitsprozesse, um das Erreichen der Maßnahmenziele des Anhangs A der Norm ISO/IEC 27001 sicherzustellen
(329125)

Prozesse stellen einen Teil bzw. Teile eines Managementsystems dar
(329121)

ISO/IEC 27000 definiert einen Prozess als einen Satz zusammenhängender und sich gegenseitig beeinflussender Tätigkeiten, der Eingaben in Ergebnisse umwandelt
(329120)

Was trifft im Kontext des Standards ISO/IEC 27000 auf Maßnahmen (Controls) zu? (Mehrfachnennung möglich)

(168189)

Im Anhang A der Norm ISO/IEC 27001 sind immer ein oder mehrere Maßnahmenziele (Control Objectives) einer Maßnahme (Control) zugeordnet.
(329131)

ISO/IEC 27002 behandelt die gleichen Maßnahmen (Controls), die auch im Anhang A der Norm ISO/IEC 27001 definiert sind
(329127)

Maßnahmen (Controls) sind in Anhang A der Norm ISO/IEC 27001 definiert.
(329126)

ISO/IEC 27001 definiert Maßnahmen (Controls) und Maßnahmenziele (Control Objectives) zu/zur ... (Mehrfachnennung möglich)

(168190)

physischen und umgebungsbezogenen Sicherheit (Physical and environmental security)
(329134)

Verwaltung der Werte (Asset management) einer Organisation
(329133)

Personalsicherheit (Human resource security)
(329132)

Welche der folgenden Rahmenwerke, Standards oder Standardfamilien befassen sich schwerpunktmäßig mit IT- oder Informationssicherheit (oder werden als Standard für IT- oder Informationssicherheit bezeichnet)? (Mehrfachnennung möglich)

(168191)

FitSM
(329141)

TISAX (Trusted Information Security Assessment Exchange)
(329139)

ISO/IEC 27000
(329138)

Was sind Schritte, die im Rahmen des Prozesses zur Beurteilung von Informationssicherheitsrisiken festgelegt und angewendet (durchgeführt) werden müssen? (Mehrfachnennung möglich)

(168193)

Informationssicherheitsrisiken behandeln
(329154)

Informationssicherheitsrisiken umgehen
(329153)

Informationssicherheitsrisiken identifizieren
(329150)

Wobei handelt es sich um Kriterien, die gemäß ISO/IEC 27001 im Rahmen des Prozesses zur Beurteilung von Informationssicherheitsrisiken festgelegt und angewendet werden müssen? (Mehrfachnennung möglich)

(168194)

Kriterien für die Risikodokumentation
(329159)

Kriterien zur Maßnahmenbewertung
(329158)

Kriterien zur Risikoakzeptanz
(329156)

Welche der folgenden Aussagen zum Anhang A aus ISO/IEC 27001 sind insbesondere vor dem Hintergrund der Behandlung von Informationssicherheitsrisiken korrekt? (Mehrfachnennung möglich)

(168195)

Anhang A enthält eine Übersicht der wesentlichen Bedrohungen auf die Informationssicherheit, die im Rahmen der Beurteilung von Informationssicherheitsrisiken berücksichtigt werden müssen
(329165)

Anhang A enthält eine Erklärung zum Geltungsbereich, die von allen Organisationen, die Konformität mit ISO/IEC 27001 beanspruchen, übernommen werden muss.
(329164)

Anhang A enthält eine umfassende Liste von Maßnahmenzielen und Maßnahmen.
(329161)

Was muss eine Organisation gemäß ISO/IEC 27001 im Rahmen ihres Prozesses zur Behandlung von Informationssicherheitsrisiken tun? (Mehrfachnennung möglich)

(168196)

Die Informationssicherheitsrisiken bewerten
(329170)

Einen Plan für die Behandlung von Informationssicherheitsrisiken formulieren
(329168)

Maßnahmen, die zur Umsetzung der gewählte(n) Option(en) für die Behandlung von Informationssicherheitsrisiken erforderlich sind, festlegen
(329167)

Worüber müssen sich Personen bewusst sein, die Tätigkeiten für eine Organisation ausüben, die Konformität mit ISO/IEC 27001 beansprucht? (Mehrfachnennung möglich)

(168197)

Über alle Maßnahmen zur Behandlung von Informationssicherheitsrisiken gemäß Risikobehandlungsplan
(329177)

Über Folgen einer Nichterfüllung der Anforderungen des ISMS
(329174)

Über ihren Beitrag zur Wirksamkeit des ISMS
(329173)

Worüber sollen interne Audits Informationen liefern? (Mehrfachnennung möglich)

(168198)

Darüber, welche Informationssicherheitsvorfälle vermeidbar gewesen wären
(329183)

Darüber, ob das ISMS wirksam umgesetzt und aufrechterhalten wird
(329181)

Darüber, ob das ISMS die Anforderungen der Organisation erfüllt
(329179)

Welche der folgenden Aussagen zu internen Audits und Managementbewertungen sind korrekt? (Mehrfachnennung möglich)

(168199)

Interne Audits werden durch die oberste Leitung (Top-Management) durchgeführt
(329188)

Managementbewertungen müssen in geplanten Abständen durchgeführt werden
(329187)

Eine Managementbewertung wird durch die oberste Leitung (Top-Management) durchgeführt
(329185)

Welche der folgenden Aussagen im Zusammenhang mit Vertraulichkeit und Integrität von Informationen sind korrekt? (Mehrfachnennung möglich)

(168204)

Ein angemessenes Niveau an Vertraulichkeit und Integrität lässt sich nur durch den Einsatz von Verschlüsselung und durch digitale Signaturen erreichen.
(329219)

Informationen, deren Vertraulichkeit nicht gegeben ist, können auch nicht in ihrer Integrität geschützt werden.
(329218)

Vertraulichkeit bedeutet Schutz vor Offenlegung von Informationen gegenüber unbefugten Personen.
(329215)

Welche der folgenden Aussagen zu Maßnahmen (Controls) sind korrekt? (Mehrfachnennung möglich)

(168205)

Alle Maßnahmen, die die Norm ISO/IEC 27001 im Anhang A formuliert, sind rein organisatorischer Natur.
(329225)

Alle Maßnahmen, die die Norm ISO/IEC 27001 im Anhang A formuliert, sind rein technischer Natur.
(329224)

Maßnahmen können Prozesse und Richtlinien umfassen
(329221)

Ein Audit ist ein Prozess, mit dem bestimmt werden soll, inwieweit Auditkriterien erfüllt sind. Welche der folgenden Eigenschaften muss dieser Prozess gemäß ISO/IEC 27000 unter anderem aufweisen? (Mehrfachnennung möglich)

(168206)

Er muss durch eine externe Partei gesteuert werden
(329230)

Er muss dokumentiert sein
(329229)

Er muss systematisch sein
(329227)

Welche der folgenden Schritte muss eine Organisation zur Einführung, Pflege und/oder Verbesserung eines ISMS unter anderem durchführen? (Mehrfachnennung möglich)

(168210)

Melden von schwerwiegenden Sicherheitsvorfällen an das BSI (Bundesamt für Sicherheit in der Informationstechnik) oder an andere Aufsichtsbehörden
(329255)

Offenlegung des Risikobehandlungsplans gegenüber allen interessierten Parteien
(329254)

Identifikation von Informationswerten und der mit ihnen verbundenen Informationssicherheitsanforderungen (Schutzbedarf)
(329251)

Zu welchen Themen definiert ISO/IEC 27001 (Anhang A) Maßnahmenziele und Maßnahmen im Zusammenhang mit dem Abschnitt "Betriebssicherheit" (A.12)? (Mehrfachnennung möglich)

(168212)

Informationsklassifizierung
(329268)

Protokollierung und Überwachung
(329265)

Schutz vor Schadsoftware
(329263)

Welche Aktivitäten sind für eine Organisation hinsichtlich des Kapitels "Kontext der Organisation" in der Norm ISO/IEC 27001 vorgeschrieben? (Mehrfachnennung möglich)

(168213)

Festlegen der organisatorischen Verantwortichkeiten für Lieferanten in Zusammenarbeit mit der zuständigen Stabsstelle.
(329275)

Bestimmen der Anforderungen von interessierten Parteien in Bezug auf die Informationssicherheit.
(329271)

Bestimmen der interessierten Parteien, die für das Informationssicherheitsmanagementsystem relevant sind.
(329270)

Was muss eine Organisation gemäß ISO/IEC 27001, Abschnitt "Unterstützung" (7), tun, um das ISMS effektiv etablieren und betreiben zu können? (Mehrfachnennung möglich)

(168214)

Sicherstellen, dass der Security Officer Informationssicherheitsleitlinie veröffentlicht und freigegeben hat
(329279)

Sicherstellen, dass relevante Personen über ein angemessenes Bewusstsein für ihren Beitrag zur Effektivität des ISMS verfügen
(329278)

Erforderliche Dokumentation festlegen und pflegen
(329277)

Welche der folgenden Aktivitäten fordert ISO/IEC 27001 in der Phase des Betriebs (Operation) eines ISMS im Zusammenhang mit dem Risikomanagement? (Mehrfachnennung möglich)

(168215)

Nach jeder neuen Risikobeurteilung muss eine Managementbewertung (Management-Review) des ISMS eingeplant werden.
(329286)

Im Falle erheblicher Veränderungen muss eine Risikobeurteilung vorgenommen werden.
(329283)

In regelmäßigen Abständen muss eine Risikobeurteilung vorgenommen werden.
(329282)

Was ist in der Phase "Verbesserung" nach ISO/IEC 27001 fortlaufend zu optimieren? (Mehrfachnennung möglich)

(168216)

Gesetzmäßigkeit des ISMS
(329293)

Genauigkeit des ISMS
(329291)

Wirksamkeit des ISMS
(329290)

Wobei handelt es sich gemäß ISO/IEC 27001, Abschnitt "Führung" (5), um Aufgaben des Top-Managements, um Verantwortung und Engagement für die Informationssicherheit und das ISMS zu demonstrieren? (Mehrfachnennung möglich)

(168217)

Regelmäßige Teilnahme an den Sitzungen des organisationsinternen Computer Emergency Response Teams (CERT).
(329299)

Bereitstellen der für das ISMS erforderlichen Ressourcen
(329295)

Gewährleistung, dass die Informationssicherheitspolitik und die Informationssicherheitsziele festgelegt und mit der strategischen Ausrichtung der Organisation vereinbar sind.
(329294)

In welchen der folgenden Fälle liegt eine Verletzung der Integrität vor? (Mehrfachnennung möglich)

(168218)

Ein Dokument ist unverschlüsselt.
(329305)

Auf ein Dokument wurde unberechtigterweise zugegriffen.
(329303)

Einem Dokument wurden unberechtigterweise weitere Informationen hinzugefügt.
(329301)

Wodurch zeichnet sich ein führungsstarkes Top-Management im Zusammenhang mit einem ISMS aus? (Mehrfachnennung möglich)

(168220)

Beurteilung aller Informationssicherheitsrisiken
(329316)

Durchführung von Auditgesprächen mit allen Mitarbeitern
(329315)

Klares Bekenntnis zu Informationssicherheitszielen
(329312)

Zu welchen Themen definiert ISO/IEC 27001 im Anhang A Maßnahmenziele und Maßnahmen? (Mehrfachnennung möglich)

(168222)

Energieeffizienz
(329329)

Compliance
(329326)

Organisation der Informationssicherheit
(329325)

Welche der folgenden Aussagen zum Anhang A der Norm ISO/IEC 27001 sind korrekt? (Mehrfachnennung möglich)

(168223)

Der Anhang A enthält Bedrohungs- und Gefährdungskataloge.
(329335)

Der Anhang A ist normativ, und sofern Ausschlüsse vorgenommen werden, müssen diese begründet werden.
(329333)

Im Anhang A sind Maßnahmenziele (Control Objectives) definiert.
(329331)

ITSec fnd - de - sample set 1 - v1

Welche der folgenden Aussagen zum Thema "Cracker" sind richtig? (Mehrfachnennung möglich)

(168153)

Ein Cracker überprüft die Sicherheit von Programmen, Systemen und/oder Services im Bereich der IT.
(330176)

Der Begriff "Cracker" ist nicht eindeutig. Vor allem in der Presse werden Hacker und Cracker als Synonyme verwendet.
(330172)

Ein Cracker ist eine Person, die es mit dem Gesetz nicht so genau nimmt und bei ihrem Angriff bewusst oder absichtlich die Beschädigung von Informationen hinnimmt.
(329001)

Was sind grundlegende Voraussetzungen für die Sicherheit des Einmalschlüssel-Verfahrens
(One-Time-Pad)? (Mehrfachnennung möglich)

(168154)

Auch eine sichere Aufbewahrung des Schlüssels ist nicht essentiell.
(330181)

Der Einmalschlüssel muss für alle Zeiten geheim bleiben.
(329005)

Der Einmalschlüssel muss so lang sein wie die Nachricht.
(329004)

Die Verschlüsselung mit Rot13 (rotate by 13 places) ist ein bekanntes Verschlüsselungsverfahren. Welche Aussagen sind wahr? (Mehrfachnennung möglich)

(168155)

Es ist ein symmetrisches Verschlüsselungsverfahren, das auf der monographischen und monoalphabetischen Substitution basiert.
(329009)

Die Technik dient zum Verschleiern von Text z.B. bei Information, da der Leser aktiv etwas tun muss und nicht "zufällig" den Text lesen kann.
(329008)

Die Technik gilt als sicher, wenn der Schlüssel größer als 512 bit (2512 = 1,3407807929942597099574024998206e+154 ) ist.
(329007)

Bringen Sie diese Tätigkeiten einer forensischen Untersuchung in die richtige Reihenfolge. (Mehrfachnennung möglich)

(168156)

Datensicherung - Identifizierung - Analyse - Aufbereitung und Präsentation
(329012)

Datensicherung - Analyse - Identifizierung - Aufbereitung und Präsentation
(329011)

Identifizierung - Datensicherung - Analyse - Aufbereitung und Präsentation
(329010)

Welche Aussagen sind bezüglich der Tätigkeit "Identifizierung" bei einer forensischen Untersuchung wahr? (Mehrfachnennung möglich)

(168157)

Neben der Bestandsaufnahme des eigentlichen Sicherheitsvorfalles werden auch bei dieser Phase erste Vermutungen angestellt.
(330192)

Die Aktivität "Identifizierung" ist der erste Schritt einer forensischen Untersuchung.
(330190)

Der Tätigkeitsschwerpunkt liegt in der möglichst genauen Dokumentation der vorgefundenen Situation.
(329014)

Welche Aussagen sind bezüglich der Tätigkeit "Aufbereitung und Präsentation" bei einer forensischen Untersuchung wahr? (Mehrfachnennung möglich)

(168158)

In diesem Schritt wird als zweite Teilaktivität das Vorgehen in Form einer Präsentation vorgestellt.
(330187)

In dieser Phase wird die vorgefundene Situation anhand der gesicherten Informationen durch interne und externe Experten untersucht.
(329018)

In diesem Schritt werden als erster Teilschritt die Erkenntnisse einer Untersuchung in Form eines Berichtes dokumentiert.
(329017)

Welche Antworten sind bezüglich Sniffer wahr? (Mehrfachnennung möglich)

(168159)

Ein Sniffer ermöglicht das Mitlesen des Datenverkehrs.
(330196)

Ein Sniffer ist ein Tool der Netzwerkanalyse.
(330194)

Es ist von der Netzwerkstruktur abhängig, welche Daten ein Sniffer sehen kann.
(329020)

Welche Maßnahmen können getroffen werden, um das Risiko des versehentlichen Herunterladens (Drive-by-Download) von Schadsoftware zu verringern? (Mehrfachnennung möglich)

(168160)

Bei der Verwendung von HTTPS-Verbindungen sinkt das Risiko einer Infektion deutlich.
(330199)

Eine täglich aktualisierte Anti-Virus-Software minimiert das Risiko.
(330198)

Einführen von Domain Name System Security Extensions (DNSSEC), um die Integrität der heruntergeladenen Daten zu erhöhen.
(329024)

Welche Aussagen bezüglich ARP (Address Resolution Protocol) sind richtig? (Mehrfachnennung möglich)

(168161)

Sollte ein ARP Request lokal nicht erfolgreich sein, so wird die Anfrage an benachbarte Netzwerksegmente weitergeleitet. ARP Relay.
(330205)

Die MAC-Adressen jeder Schnittstelle sind theoretisch weltweit eindeutig.
(330201)

ARP wird in Ethernet-Netzen (IPv6) zur Ermittlung von MAC-Adressen bei gegebenen IP-Adressen verwendet.
(329026)

Welche der folgenden Ziele hat ein Penetrationstest? (Mehrfachnennung möglich)

(168162)

Die Identifikation von Schwachstellen.
(330216)

Aufdecken von organisatorischen Mängeln bei der Untersuchung von Sicherheitsvorfällen.
(330214)

Bestätigung der Sicherheit durch eine unabhängige Person.
(329029)

Welche der folgenden Kriterien sind im Klassifikationsschema für Penetrationstests nach BSI vorhanden? (Mehrfachnennung möglich)

(168163)

Zuverlässigkeit
(329033)

Verbreitungskoeffizienz
(330224)

Umfang
(330220)

Welche der folgenden Aussagen zum Begriff "Google Hacking" sind wahr? (Mehrfachnennung möglich)

(168164)

site: ist ein Befehl, der verwendet werden kann, wenn man gezielt eine Information auf einer speziellen Seite sucht.
(330232)

Google Hacking ist eine Software von Google für Penetrationstests.
(330229)

Mit Hilfe des Parameters "intitle" kann man in URLs nach einer bestimmten Zeichenfolge suchen.
(329036)

Welche der folgenden Aussagen zum Thema OS-Fingerprinting sind wahr? (Mehrfachnennung möglich)

(168165)

Man unterscheidet implizites und explizites OS-Fingerprinting.
(330241)

Unter OS-Fingerprinting versteht man das Ermitteln des Betriebssystems über ein Netz unter Beobachtung von diversen Reaktionsarten.
(330239)

Um sich gegen OS-Fingerprinting zu schützen, kann man z.B. die sog. Banner der Service, wie z.B. FTP verfälschen.
(330237)

Welche der folgenden Antworten zum Thema Session Hijacking sind wahr? (Mehrfachnennung möglich)

(168166)

Session Hijacking findet nur auf der zweiten Ebene - die Sicherungsschicht Data Link Layer - des OSI-Schichtenmodells statt.
(330243)

Session Hijacking kann auch durchgeführt werden, wenn man sich nicht im selben Netzwerksegment wie einer der beiden Kommunikationspartner befindet.
(329041)

Bei Session Hijacking ist das Ziel des Angreifers, sich bei Verbindungsaufbau zwischen den beiden Kommunikationspartnern zu platzieren.
(329040)

Welche der folgenden Antworten bezüglich DNS-Spoofing bzw. Cache Poisoning sind wahr? (Mehrfachnennung möglich)

(168167)

Unter DNS-Spoofing bzw. Cache Poisoning versteht man das Blockieren aller DNS-Server einer Infrastruktur, so, dass nicht mehr im Internet gesurft werden kann.
(329045)

Das Ziel von DNS-Spoofing bzw. Cache Poisoning ist es, den Datenverkehr unbemerkt zu einem anderen Computer zu lenken.
(329044)

DNS-Spoofing ist ein Angriff auf das Domain Name System.
(329043)

Welche der folgenden Antworten in Bezug auf ARP-Spoofing und dem Adress-Resolution-Protocol (ARP) sind wahr? (Mehrfachnennung möglich)

(168168)

ARP-Spoofing kann erkannt werden, wenn auf höheren Protokollebenen, z.B. bei SSH Verbindungen, der Kommunikationspartner erneut überprüft wird.
(330208)

Das ARP-Protocol dient der Zuordnung von IP-Adressen auf MAC-Adressen.
(329047)

Das Ziel von ARP-Spoofing ist es, durch Manipulation der TCP-Adresse, Datenkommunikation abzuhören.
(329046)

Welche Aussagen bezüglich IP-Spoofing bzw. dem Internet-Protocol sind wahr? (Mehrfachnennung möglich)

(168169)

IPv4 benutzt 32-Bit-Adressen.
(330252)

Das Internet-Protocol ist in der ersten Schicht (Netzzugang) der Internetprotokollfamilie zugeordnet.
(330250)

Bei IP-Spoofing wird dafür gesorgt, dass der DHCP-Server falsche IP-Adressen ausgibt.
(329051)

Welche Aussage ist bezüglich eines Angriffs durch Manipulation der URL-Parameter wahr? (Mehrfachnennung möglich)

(168170)

Nur ältere Webserver verarbeiten manipulierte URL-Parameter falsch. Neuere Versionen der gängigen Webserver sind durch ihre Default-Konfiguration geschützt.
(330256)

Verantwortlich für die Anfälligkeit ist die Applikation bzw. die Verarbeitung der Parameter in derselben und nicht die Konfiguration des Webservers.
(329054)

Die Manipulation von URL-Parametern ist nur zusammen mit einer http-Fake-Attacke sinnvoll.
(329053)

Welche Aussagen bezüglich des Angriffes Directory Traversal sind wahr? (Mehrfachnennung möglich)

(168171)

Ein Penetrationstest ist eine Möglichkeit, um Directory Traversal zu entdecken.
(330259)

Unter Directory Traversal versteht man einen Angriff, bei dem einem Webserver ein falsches Betriebssystem vorgetäuscht wird.
(329056)

Bei einem Directory Traversal Angriff versucht der Angreifer, auf Verzeichnisse oder Dateien außerhalb der Webserver-Root zuzugreifen.
(329055)

Welche Aussagen sind bezüglich Cross-Site-Scripting wahr? (Mehrfachnennung möglich)

(168172)

Nur Applikationen, die in Java Script geschrieben sind, sind von Cross-Site-Scripting betroffen.
(330262)

Unter Cross-Site-Scripting versteht man das Ausnutzen einer Sicherheitslücke im Zusammenhang mit einer Datenbank, die durch den Mangel der Maskierung oder Überprüfung von Metazeichen, bei einer Benutzereingabe entstehen.
(330261)

Bei einem Cross-Site-Scripting Angriff kann der Angreifer dem Benutzer eine andere, als die aufgerufene Webseite unterschieben.
(329058)

Welche der folgenden Aussagen sind bezüglich SQL-Injection wahr? (Mehrfachnennung möglich)

(168173)

SQL-Injections sind dann möglich, wenn Daten wie beispielsweise Benutzereingaben ungeprüft in den SQL-Interpreter gelangen.
(330267)

Das Ziel von SQL-Injection ist das Ausspionieren von Informationen oder das Zerstören von Daten.
(329062)

SQL-Injection ist meist dann möglich, wenn durch mangelnde Maskierung bzw. Überprüfung von Benutzer-Eingaben SQL-Befehle ausgeführt werden.
(329061)

Welche der folgenden Aussagen bezüglich Drive-by-Download sind wahr? (Mehrfachnennung möglich)

(168174)

Unter Drive-by-Download versteht man das unbewusste und unabsichtliche Herunterladen von Schadsoftware auf einem Rechner.
(330271)

Beim Drive-by-Download werden auch Sicherheitslücken des Browsers ausgenutzt.
(330270)

Unter Drive-by-Download versteht man ausschließlich das bewusste Herunterladen von Schadsoftware auf einem Rechner.
(329064)

Welche der folgenden Aussagen zum Man-in-the-Middle-Angriff (MITM) sind wahr? (Mehrfachnennung möglich)

(168175)

Ein Man-in-the-Middle-Angriff ist immer damit verbunden, dass ein falscher DHCP-Server vorgespielt werden muss. Dieser falsche DHCP-Server gibt an einen falschen DNS-an Server bzw. Gateway aus, der vom Angreifer kontrolliert wird.
(330276)

Bei einem Man-in-the-Middle Angriff können Daten mitgelesen werden, jedoch ist keine Datenmanipulation möglich.
(329068)

Bei einem Man-in-the-Middle-Angriff versucht der Angreifer, sich physisch oder logisch zwischen zwei Kommunikationspartner zu schieben.
(329067)

Welche der folgenden Aussagen sind zum Thema asymmetrische Verschlüsselungen korrekt? (Mehrfachnennung möglich)

(168176)

RSA (Rivest, Shamir und Adleman) ist ein asymmetrisches kryptographisches Verfahren, das sowohl zum Verschlüsseln, als auch zum digitalen Signieren verwendet werden kann.
(330284)

„Asymmetrisches Kryptosystem“ ist ein Oberbegriff für Public-Key-Verschlüsselungsverfahren, Public-Key-Authentifizierung und digitale Signaturen.
(330283)

AES (Advanced Encryption Standard) ist ein Beispiel für einen asymmetrischen Verschlüsselungsstandard.
(329070)

Welche der folgenden Aussagen bezüglich Hash-Funktionen sind wahr? (Mehrfachnennung möglich)

(168177)

Die kryptologische Hashfunktion ist eine spezielle Form der Hashfunktion, welche kollisionsresistent oder eine Einwegfunktion (oder beides) ist.
(330286)

Eine Hash-Funktion ist eine zwischen zwei Parteien vereinbarte Zeichenfolge, die zur Authentifizierung benutzt wird.
(330285)

Bei einer Hash-Funktion sollte man immer vom Hash-Wert auf die ursprüngliche Zeichenfolge schließen können.
(329073)

Welche der folgenden Aussagen bezüglich eines Wörterbuch-Angriffs auf Passwort-Hashes sind korrekt? (Mehrfachnennung möglich)

(168178)

Wörterbuch-Angriffe werden erschwert, wenn der "Verteidiger" vor der Anwendung der Hash-Funktion eine zufällige Zeichenfolge (Salt) hinzufügt.
(330291)

Der Wörterbuch-Angriff ist eine Methode der Kryptographie, ein bekanntes Passwort mit Hilfe eines Wörterbuchs auf seine Sicherheit hin zu überprüfen.
(329078)

Wörterbuch-Angriffe werden erleichtert, wenn der „Verteidiger“ vor der Anwendung der Hash-Funktion eine zufällige Zeichenfolge (Salt) hinzufügt.
(329076)

Welche Aussagen bezüglich der Brute-Force-Methode auf Passwort-Hashes sind wahr? (Mehrfachnennung möglich)

(168179)

Sollte ein 8-stelliges Passwort nur aus Zahlen bestehen, so ist die Brute-Force-Methode durchschnittlich schneller erfolgreich, als bei einem gleichlangen Passwort, das aus alphanumerischen Zeichen besteht.
(330292)

Sollte ein 12-stelliges Passwort nur aus alphanumerischen Zeichen bestehen, so ist die Brute-Force-Methode durchschnittlich schneller erfolgreich, als bei einem gleichlangen Passwort, das nur aus Klein- und Großbuchstaben besteht.
(329081)

Bei der Brute-Force-Methode ist die Rechenleistung kein entscheidendes Kriterium, wie schnell ein Passwort geknackt werden kann.
(329080)

Welche Aussagen bezüglich IT-Forensik sind wahr? (Mehrfachnennung möglich)

(168180)

Die IT-Forensik dient der Aufklärung von Sicherheitsvorfällen.
(330296)

Bei einer forensischen Analyse ist es prinzipiell wichtig, nach Spuren zu suchen, die die These, wie ein Angriff stattgefunden haben könnte, untermauern oder widerlegen.
(329085)

Die IT-Forensik ist eine Datenanalyse, bei der es nicht auf ein methodisches Vorgehen ankommt, da nur die Ergebnisse in einem Bericht dokumentiert werden.
(329082)

Welche Anforderungen an eine forensische Untersuchung sind wahr? (Mehrfachnennung möglich)

(168182)

Bei der Anfertigung einer forensischen Duplikation müssen Lesefehler eindeutig erkannt, protokolliert und durch ein vorher festgelegtes Füllmuster ersetzt werden.
(330301)

Mit demselben Ausgangsmaterial müssen Dritte bei gleicher Methodik und den gleichen Hilfsmitteln zu identischen Ergebnissen kommen.
(329089)

Es sind ausschließlich Methoden erlaubt, die von der Fachwelt beschrieben und allgemein akzeptiert sind.
(329088)

Welche der folgenden Tätigkeiten gelten als aktives Footprinting? (Mehrfachnennung möglich)

(168318)

Besuch auf der Webseite
(330309)

WHOIS-Abfrage
(330304)

OS-Fingerprinting
(330303)

ITSec prof PT - de - sample set 1 - v1

Laut der Passwortrichtlinie müssen für die Wahl des Passworts Klein- und Großbuchstaben aus dem englischen Alphabet (a-z entspricht 26 Zeichen) sowie Ziffern verwendet werden. Alle anderen Zeichen sind nicht erlaubt. Welche Aussagen sind richtig? (Mehrfachnennung möglich)

(168242)

Die Länge des Passwortes ist wichtiger als die Größe des Zeichensatzes.
(329912)

Die Erhöhung der Passwortlänge um 1 Zeichen erhöht die Komplexität um den Faktor 26.
(329508)

Der Zeichensatz besteht aus 62 Elementen.
(329506)

Ein Passwort mit einer Länge von genau 12 Zeichen hat eine Komplexität von 12^62.
(329504)

Welche grundsätzlichen Phasen hat ein Penetration Test? (Mehrfachnennung möglich)

(168243)

Pflege von Kontakten zu Behörden
(329517)

Definition von Messzahlen (KPI) zu Information Security Incidents
(329516)

Abschlussanalyse
(329514)

Informationsbeschaffung
(329512)

Was gehöhrt zu einer vollständigen Dokumentation eines Penetrationstests? (Mehrfachnennung möglich)

(168244)

Dokumentation aller Sicherheitsvorfälle vor dem Penetration Test
(329525)

Abschlussbericht
(329522)

Dokumentation der durchgeführten aktiven Angriffe (inkl. Logfiles der eingesetzten Tools)
(329521)

Dokumentation der abgearbeiteten Prüfungsschritte zur Informationsbeschaffung
(329520)

Welche Aktivitäten müssen laut der allgemeinen Methodik beim Threat Modeling durchgeführt werden? (Mehrfachnennung möglich)

(168245)

Aufklärendes Gespräch mit dem CEO des Unternehmens
(329534)

Identifizierung von Messzahlen zu Information Security Incidents
(329533)

Dokumentation der durchgeführten aktiven Angriffe (inkl. Logfiles der eingesetzten Tools)
(329531)

Entwicklung eines Security Threat Response Plans
(329528)

Welche Aussagen sind bezüglich Thread Modeling wahr? (Mehrfachnennung möglich)

(168246)

Neben einem Threat Model wird beim Threat Modeling typischerweise auch eine priorisierte Liste von potenziellen künftigen Sicherheitsvorfällen erzeugt.
(329541)

Threat Modeling ist ein Prozess zur Erfassung, Organisation und Analyse aller eingesetzten Tools im Unternehmen.
(329540)

Threat Modeling ermöglicht eine fundierte Entscheidungsfindung über das Sicherheitsrisiko.
(329537)

Threat Modeling ist ein Prozess zur Erfassung, Organisation und Analyse aller Informationen, die sich auf die Sicherheit eines Systems auswirken.
(329536)

Welche grundsätzlichen persönlichen Voraussetzungen sollte ein Penetration Tester mitbringen? (Mehrfachnennung möglich)

(168247)

Ein Penetration Tester muss beim BSI (Bundesamt für Sicherheit in der Informationstechnologie) registriert sein.
(329550)

Hin und wieder muss der Penetration Tester "um die Ecke" denken und sollte daher kreativ sein.
(329545)

Da Penetration Tests als Projekte verwaltet werden sollten, muss der Penetration Tester Projektmanagement Skills mitbringen.
(329544)

Ein Penetration Tester sollte Kenntnisse u.a. in Systemadministration, Betriebssysteme, Netzwerkprotokolle und Programmiersprachen besitzen.
(329543)

Welche der folgenden Antworten beschreiben Methoden für den aktiven Angriff? (Mehrfachnennung möglich)

(168248)

Computerbasiertes Social-Engineering
(329554)

Test der Zutrittskontrollen
(329553)

Test von Vertrauensbeziehungen zwischen Systemen
(329552)

Brute Force Attacke
(329551)

Welche der folgenden Antworten beschreiben Methoden für die Informationsbeschaffung? (Mehrfachnennung möglich)

(168249)

Verdeckte und offensichtliche Angriffe auf tatsächliche Schwachstellen
(329566)

Test der administrativen Zugänge zur Telefonanlage
(329565)

Test der Zutrittskontrollen
(329563)

Verdeckte und offensichtliche Identifikation der Firewallsysteme
(329560)

Welche der folgenden Aussagen sind bezüglich Brute-Force wahr? (Mehrfachnennung möglich)

(168250)

Die Entzifferungsdauer ist abhängig von den möglichen Kombinationen und der Leistung des verwendeten Rechners.
(329570)

Die Anzahl der möglichen Kombinationen ist abhängig von dem verwendeten Zeichensatz.
(329569)

Die Anzahl der möglichen Kombinationen ist abhängig von der Passwortlänge.
(329568)

Die Brute-Force-Methode ist eine Lösungsmethode für Probleme aus den Bereichen Informatik, Kryptologie und Spieltheorie, die auf dem Ausprobieren aller möglichen Fälle beruht.
(329567)

Welche der folgenden Systeme beschreiben symmetrische Kryptosysteme? (Mehrfachnennung möglich)

(168251)

Diffie Hellman
(329580)

Caesar-Verschlüsselung
(329578)

One-Time-Pad
(329577)

AES - Advanced Encryption Standard
(329575)

Welche Aussagen sind bezüglich eines TCP Handshakes wahr? (Mehrfachnennung möglich)

(168252)

Nach dem Drei-Wege-Handschlag ist die Verbindung für beide Kommunikationspartner gleichberechtigt. Man kann einer bestehenden Verbindung auf TCP-Ebene nicht ansehen, wer der Server und wer der Client ist.
(329916)

Der Destination Port muss beim Drei-Wege-Handschlag immer kleiner 1024 sein.
(329915)

Sequenznummern werden bei TCP verwendet, um eine vollständige Übertragung in der richtigen Reihenfolge und ohne Duplikate (also einen Datenstrom) zu realisieren.
(329584)

Er läuft wie folgt ab:
1. SYN seq= x ack = 0 (Client)
2. SYN ACK seq= y ack = x +1 (Server)
3. ACK seq= x +1 ack = y +1 (Client)
(329583)

Welche Aussagen sind bezüglich "OS-Fingerprinting" und "Banner Grabbing" wahr? (Mehrfachnennung möglich)

(168253)

OS-Fingerprinting kann sowohl eine aktive, als auch eine passive Informationsbeschaffungsmethode darstellen.
(329594)

Die 67-Bit-Signatur kann Aufschluss darüber geben, welches Betriebssystem auf einem Host läuft.
(329593)

UDPrint ist ein Tool, um OS Fingerprinting via UDP durchzuführen.
(329598)

Nmap ist ein Tool, um OS Fingerprinting durchzuführen.
(329591)

Welche Aussagen sind bezüglich "Session Hijacking" wahr? (Mehrfachnennung möglich)

(168254)

UDP Sitzungen können nicht entführt werden.
(329602)

TCP Sitzungen können entführt werden.
(329601)

Ziel des Angreifers ist es, durch die „Entführung“ dieser Sitzung die Vertrauensstellung auszunutzen, um dieselben Privilegien wie der rechtmäßig authentifizierte Benutzer zu erlangen.
(329600)

Session Hijacking ist ein Angriff auf eine verbindungsbehaftete Datenkommunikation zwischen zwei Computern.
(329599)

Welche Felder hat ein UDP Header? (Mehrfachnennung möglich)

(168255)

UDP Flag
(329614)

FIN Flag
(329613)

ACK Flag
(329612)

Länge
(329608)

Welche Felder hat ein TCP Header? (Mehrfachnennung möglich)

(168256)

Session ID
(329621)

OS Version
(329622)

Sequenznummern
(329616)

Acknowledgement Nummer
(329617)

Welche Aussagen sind bezüglich dem TLS Protokoll (Transport Layer Security) wahr? (Mehrfachnennung möglich)

(168257)

Wenn der Client sich mit einem eigenen Zertifikat auch gegenüber dem Server authentifiziert, gilt TLS als sicher.
(329918)

Im OSI-Modell ist TLS in der Sicherungsschicht (Data Link Layer) angeordnet.
(329628)

TLS-Implementierungen sind in wiederkehrender Regelmäßigkeit von sicherheitsrelevanten Implementierungsfehlern betroffen.
(329626)

Mit Hilfe des BEAST Angriffes kann ein Hacker mit einem Chosen-Plaintext-Angriff auf verschlüsselte Infomationen zugreifen.
(329623)

Welche Aussagen sind bezüglich IP Adressen wahr? (Mehrfachnennung möglich)

(168258)

IPv4 benutzt 64-Bit-Adressen.
(329639)

IPv6 benutzt 265-Bit-Adressen.
(329635)

Mehrere Rechner befinden sich im selben Teilnetz (= lokal), wenn der Netzanteil ihrer Adresse (IPv4) gleich ist.
(329634)

Eine IPv4-Adresse besteht aus einem Netzanteil und einem Hostanteil.
(329633)

Welche Zuordnungen von standardisierten Ports zu Diensten sind richtig? (nach Definition der Internet Assigned Numbers Authority (IANA)) (Mehrfachnennung möglich)

(168259)

Port: 110
Dienst: FTP
(329648)

Port: 8888
Dienst: TOMCAT
(329646)

Port: 80
Dienst: HTTP
(329645)

Port: 443
Dienst: HTTPS
(329644)

Welche Aussagen sind bezüglich Ping of Death und ICMP wahr? (Mehrfachnennung möglich)

(168260)

Das Blockieren von ICMP an einer Firewall ist das einzige Mittel den PoD Angriff erfolgreich zu verhindern.
(329920)

Das Ziel ist es, das angegriffene System so zu manipulieren, dass es ICMP Pakete an andere Rechner im Netzwerk sendet.
(329655)

Ein manipuliertes ICMP-Datenpaket erzeugt aufgrund eines Fehlers in der Implementierung des Internet Protocols einen Buffer Overflow.
(329652)

Der Ping of Death ist eine Denial-of-Service-Attacke (DoS-Attacke).
(329650)

Welche Angriffe auf der Netzwerkebene gibt es tatsächlich? (Mehrfachnennung möglich)

(168261)

SSL-Spoofing
(329669)

ARP-Spoofing
(329667)

TCP Sequence Prediction
(329666)

Smurf-Angriff
(329664)

Welche Aussagen sind bezüglich Kernel Rootkits wahr? (Mehrfachnennung möglich)

(168262)

Da eine hundertprozentige Entfernung von Rootkits durch einen Rootkit-Cleaner möglich ist, kann meist auf eine vollständige Neuinstallation des Betriebssystems verzichtet werden.
(329921)

Kernel-Rootkits ersetzen Teile des Compilers durch eigenen Code, um sich selbst zu tarnen („stealth“).
(329678)

Die Funktionalitäten des Kernel Rootkits werden am häufigsten durch Nachladen von Task-Modulen (LTE: linked task extensions) erweitert.
(329677)

Unter Windows werden Kernel-Rootkits häufig durch die Einbindung neuer .sys-Treiber realisiert.
(329673)

Welche Aussagen sind bezüglich Userland Rootkits wahr? (Mehrfachnennung möglich)

(168263)

Userland-Rootkits können nur in Assemblercode programmiert werden.
(329687)

Userland-Rootkits stellen jeweils eine DLL (Dynamic Link Library) bereit, die sich anhand verschiedener API-Methoden direkt in alle Prozesse einklinkt.
(329681)

Userland-Rootkits sind vor allem unter MacOS populär, da sie unter Windows nicht funktionieren.
(329684)

Userland-Rootkits benötigen keinen Zugriff auf der Kernel-Ebene.
(329683)

Welche Angriffsmöglichkeiten gibt es, um das Betriebssystem anzugreifen? (Mehrfachnennung möglich)

(168264)

OS-Force-Breaking
(329695)

Jailbreaking
(329691)

Dumping Cached Passwords
(329690)

Buffer Overflow
(329688)

Welche Aussagen sind bezüglich NTLM (NT LAN Manager) wahr? (Mehrfachnennung möglich)

(168265)

Der Nachfolger des NTLM-Protokolls ist RADIUS.
(329700)

NTLM verwendet eine FaceID-Authentifizierung.
(329701)

NTLM verwendet eine Challenge-Response-Authentifizierung.
(329697)

NTLM ist ein Authentifizierungsverfahren für Rechnernetze.
(329696)

Welche Aussagen bezüglich Kerberos sind wahr? (Mehrfachnennung möglich)

(168266)

Das Kerberos Protokoll bietet keinen Schutz gegenüber Replay-Angriffen, bei denen zuvor aufgezeichnete Daten erneut versendet werden.
(329711)

Nur auf dem Server muss ein Kerberos-Client installiert und konfiguriert sein, mit dem Client kommuniziert der Kerberos Server nicht.
(329710)

Der Kerberos-Server selbst authentifiziert sich nicht gegenüber dem Client sondern nur gegenüber dem Server.
(329709)

Mit Kerberos können Man-in-the-Middle-Angriffe abgewehrt werden.
(329706)

Welche Aussagen sind bezüglich Pass-the-Hash (PtH) wahr? (Mehrfachnennung möglich)

(168267)

Die einzige Möglichkeit, an zusätzliche Hashes zu kommen (Hash harvesting), ist das Auslesen der Hashes aus dem Arbeitsspeicher (bei Windows konkret der LSASS.EXE) des beherrschten Rechners.
(329719)

Ein Pass-the-Hash Angriff ist eine modifizierte Man-in-The-Middle-Attack, bei der Angreifer den Hash durch seine Position in der Kommunikationstruktur abfangen können.
(329717)

Pass-the-Hash läuft wie folgt ab:
1. User schickt eine Zugangsanfrage
2. Server schickt eine Challenge Message
3. User schickt Username und gestohlenes Hash
4. Server validiert Hash und gewährt Zugang
(329714)

Diese Technik kann gegen jeden Server oder Dienst ausgeführt werden, der die LM- oder NTLM-Authentifizierung akzeptiert, unabhängig davon, ob auf einer Maschine Windows, Unix oder ein anderes Betriebssystem läuft.
(329713)

Welche Aussagen sind bezüglich Privelege Escalation (Rechteausweitung) wahr? (Mehrfachnennung möglich)

(168268)

Das primäre Ziel einer Privelege Escalation ist das Umleiten von Geld auf das Konto des Angreifers.
(329727)

Aktuelle Malware Protection und Anti Virus Software verhindert horizontale aber nicht vertikale Privilegienerweiterung.
(329726)

Eine Unterform der Privelege Escalation ist die Horizontal Privelege Escalation.
(329723)

Ein Beispielszenario für Horizontal Privelege Escalation ist: Internet Banking User A greift auf das Internet Bankkonto von User B zu.
(329721)

Welche Aussagen sind bezüglich Speicher Rootkits wahr? (Mehrfachnennung möglich)

(168269)

Speicher-Rootkits verstecken sich im BIOS des Rechners und werden vor dem Betriebssystem in den Speicher geladen.
(329734)

Die beste Methode zur Entfernung ist die vollständige Neuinstallation des Betriebssystems.
(329731)

Nach dem Neustart („reboot“) des Systems sind diese Rootkits nicht mehr aktiv.
(329729)

Speicher-Rootkits existieren nur im Arbeitsspeicher des laufenden Systems.
(329728)

Welche Gegenmaßnahmen können helfen, Rootkits zu entfernen bzw. sich gegen diese zu schützen? (Mehrfachnennung möglich)

(168270)

Einsatz von Betriebssystemvirtualisierung in Containern um Rootkits zu isolieren
(329740)

BIOS hardwareseitig mit einem Schreibschutz versehen
(329738)

Austausch der Hardware
(329737)

Neuinstallation des Betriebssystems
(329736)

Welche Aussagen sind bezüglich Dumping Cached Passwords wahr? (Mehrfachnennung möglich)

(168271)

Das primäre Ziel von Dumping Cached Passwords ist das Installieren von Rootkits und Backdoors.
(329751)

Dumping Cached Passwords ist ein Synonym für Pass-the-Hash.
(329750)

Kerberos oder NTLM sind anfällig für Dumping Cached Passwords Angriffe.
(329747)

Windows speichert die letzten zehn Domänenanmeldeinformationen für den Fall, dass der Domänencontroller offline geschaltet wird.
(329745)

Welche Aussagen sind bezüglich "A1 - Injection" (OWASP Top 10) wahr? (Mehrfachnennung möglich)

(168272)

Injection ermöglicht es Angreifern, Skripte im Browser des Opfers auszuführen. Diese Skripte können Benutzer-Sessions kapern, Webseiten verunstalten oder den Benutzer auf bösartige Websites umleiten.
(329759)

Injektionsfehler betreffen nur Systeme, die ein Web-Formular haben, über das der Angreifer schädliche Befehle injizieren kann.
(329757)

Injection funktioniert nur bei SQL-Datenbanken, nicht jedoch bei NoSQL-Datenbanken. Daher sollten SQL-Datenbanken vermieden werden.
(329758)

Die bösartigen Daten des Angreifers können den Interpreter zur Ausführung von ungenehmigten Befehlen oder zum unbefugten Zugriff auf Daten bewegen.
(329753)

Welche Aussagen sind bezüglich "A3 - Cross-Site Scripting (XSS)" (OWASP Top 10) wahr? (Mehrfachnennung möglich)

(168273)

XSS bezeichnet das Ausnutzen einer Sicherheitslücke in Zusammenhang mit Datenbanken, die durch mangelnde Maskierung oder Überprüfung von Metazeichen in Benutzereingaben entsteht.
(329766)

Die einzig sinnvolle Maßnahme gegen XSS ist die clientseitige Validierung der nicht vertrauenswürdigen Daten.
(329765)

JavaScript ist eine Programmiersprache, die für XSS ausgenutzt werden kann.
(329762)

XSS ermöglicht es Angreifern, Skripte im Browser des Opfers auszuführen, die Benutzer-Sessions kapern, Webseiten verunstalten oder den Benutzer auf bösartige Websites umleiten können.
(329761)

Welche Aussagen sind bezüglich "A4 - Unsichere direkte Objektreferenzen" (OWASP Top 10) wahr? (Mehrfachnennung möglich)

(168274)

Unsichere direkte Objektreferenzen können auch auf Systemdateien auf der Festplatte des Benutzers verweisen.
(329775)

Diese Sicherheitlücke lässt sich mit einem "Stored Procedure" beheben.
(329773)

Die Secure Coding Richtlinie sollte jeden Programmierer darauf aufmerksam machen, dass direkte Objektreferenzen einen effektiven Schutz vor unberechtigtem Zugriff benötigen.
(329770)

Ohne eine Zugriffsprüfung oder anderen Schutz, können Angreifer u.U. direkte Verweise manipulieren, um unberechtigt auf Daten zuzugreifen.
(329769)

Welche Aussagen sind bezüglich "A5 - Sicherheitsrelevante Fehlkonfiguration" (OWASP Top 10) wahr? (Mehrfachnennung möglich)

(168275)

ISO/IEC 27001 zertifizierte Software bietet einen besonderen Schutz gegen diese Art von Schwachstellen.
(329782)

Die Konfiguration von Servern sollte stets vom Informationssicherheitsbeauftragten (ISB) abgenommen werden.
(329781)

Software, die Defaultpasswörter verwendet, darf unter keinen Umständen eingesetzt werden, selbst wenn diese änderbar wären.
(329780)

Sichere Einstellungen sollten definiert, umgesetzt und gepflegt werden, da Defaultwerte oft unsicher sind.
(329777)

Welche Aussagen sind bezüglich "A6 - Verlust der Vertraulichkeit sensibler Daten" (OWASP Top 10) wahr? (Mehrfachnennung möglich)

(168276)

Vor dem Persistieren von Daten, sollten diese stets mit TLS verschlüsselt werden.
(329789)

"Der Angreifer stiehlt das Sitzungscookie des Nutzers durch einfaches Mitlesen der unverschlüsselten Kommunikation" ist ein Beispielszenario für diese Schwachstelle.
(329787)

Um Passwörter, die persistiert werden müssen, zu schützen, sollten diese zuerst "gesalzen" und dann zu einem Hashwert transformiert werden, bevor sie in der Datenbank abgelegt werden.
(329786)

Sensible Daten erfordern einen zusätzlichen Schutz, wie Verschlüsselung auf dem Speicher oder in der Kommunikation, sowie besondere Vorsichtsmaßnahmen, wenn sie mit dem Browser ausgetauscht werden.
(329785)

Welche Aussagen sind bezüglich "A8 - Cross-Site Request Forgery (CSRF)" (OWASP Top 10) wahr? (Mehrfachnennung möglich)

(168277)

CSRF funktioniert nur, wenn der Nutzer die Ausführung von Skripten erlaubt.
(329799)

Die Ursache für CSRF ist eine Sicherheitslücke im Browser des Nutzers.
(329798)

Der Angreifer manipuliert beim CSRF Angriff die Session ID des Nutzers.
(329797)

Das Opfer muss auf der anfälligen Web-Anwendung eingeloggt sein, damit der Angreifer seinen Angriff ausführen kann.
(329793)

Welche Aussagen sind bezüglich "A9 - Verwendung von Komponenten mit Schwachstellen" (OWASP Top 10) wahr? (Mehrfachnennung möglich)

(168278)

Selbstentwickelte Komponenten haben selten Sicherheitslücken.
(329805)

Bei der Verwendung von Komponenten sollte vorab gecheckt werden, ob diese bekannte Sicherheitslücken enthalten.
(329803)

Anwendungen, die Komponenten mit bekannten Schwachstellen nutzen, können die Verteidigungsmechanismen der Anwendung aushebeln und so eine Reihe von Angriffen ermöglichen.
(329802)

Komponenten wie Bibliotheken, Frameworks und andere Software-Module laufen oft unter den gleichen Rechten wie die Anwendung selbst.
(329800)

Welche Aussagen sind bezüglich "Buffer Overflow" wahr? (Mehrfachnennung möglich)

(168279)

Um sich gegen Buffer Overflow zu schützen, sollte stets ein verschlüsselter Arbeitsspeicher eingesetzt werden.
(329815)

Auf Grund der Architektur des Prozessors sind Buffer Overflow Fehler nur bei Software, die auf einem PC installiert ist, möglich.
(329813)

Buffer Overflow ist eine alte Sicherheitslücke und kann auf modernen Systemen nicht mehr auftreten.
(329812)

Buffer Overflow kann beim Kopieren von Daten von einem Puffer zum anderen erfolgen.
(329809)

Warum wird der Mensch bei einem Hacking Angriff als "schwächstes Glied in der Kette" gesehen? (Mehrfachnennung möglich)

(168280)

Die meisten Mitarbeiter haben Angst vor Disziplinarmaßnamen, weswegen sie die Sicherheitsmaßnahmen heimlich, aber bewusst, umgehen. Sie achten stets darauf, dass der Vorgesetzte es nie erfährt.
(329823)

ISO/IEC 27001 bietet einen Standard für ein Managementsystem, das die Informationssicherheit erhöht. Nicht nach ISO/IEC 27001 zertifizierte Unternehmen haben deshalb schwache Mitarbeiter.
(329821)

Eine Erhöhung der Sicherheit kann auch dazu führen, dass die Usability sinkt. Deshalb suchen manche Mitarbeiter Wege, um die Sicherheitsmaßnahmen zu umgehen.
(329818)

Eine fehlende Klassifizierung von Informationen kann leicht dazu führen, dass diese aus Versehen offengelegt werden.
(329817)

Was sind mögliche Angriffsvektoren beim reinen Social Engineering? (Mehrfachnennung möglich)

(168281)

Der Social Engineer manipuliert den Drucker, um an die Druckdaten zu gelangen.
(329829)

Der Social Engineer beschafft sich Informationen über das Opfer aus öffentlichen Quellen, um sich auf weitere Angriffe vorzubereiten.
(329827)

Der Social Engineer knackt die Türen zu den Büroräumen, um Zutritt zu erhalten.
(329826)

Der Social Engineer ruft das Opfer per Telefon an, um es zu einer bestimmten Handlung zu bewegen.
(329824)

Welche öffentliche Quellen sind geeignet, um an Informationen über das Opfer zu gelangen? (Mehrfachnennung möglich)

(168282)

Der Eintrag im Domain Name Service kann Informationen zum Vorstand bzw. Geschäftsführer, zu täglichem Traffic und zu Domainnamen enthalten.
(329836)

E-Mail Adressen auf der Homepage des Unternehmen können den Namen von Mitarbeitern enthalten.
(329834)

Die Homepage des Unternehmens ist eine gute Quelle, um Informationen über das Unternehmen zu bekommen.
(329833)

Soziale Netzwerke sind gute Quellen, um an private Informationen über das Opfer zu gelangen.
(329832)

Was sind mögliche Angriffsszenarien, um die Autoritätshörigkeit von Mitarbeitern auszunutzen? (Mehrfachnennung möglich)

(168283)

Der Social Engineer manipuliert das Smartphone des Chefs, um an seine Kontaktliste zu gelangen.
(329847)

Der Social Engineer gibt sich als Teil des Managements aus.
(329843)

Der Social Engineer gibt sich als Bürgermeister aus.
(329842)

Der Social Engineer verkleidet sich als Polizeibeamter.
(329840)

Welche Fragen sollte sich ein Social Engineer stellen, um sich auf einen Angriff über das Telefon vorzubereiten, bei dem eine Identität vorgetäuscht wird? (Mehrfachnennung möglich)

(168284)

Welche Skills hat die gespielte Person?
(329851)

Wie beschäftigt ist die gespielte Person?
(329850)

Welchen Akzent hat die gespielte Person?
(329849)

Wie sprachgewandt ist die gespielte Person?
(329848)

Welche Aussagen sind bezüglich der Grundtechniken des Social Engineerings wahr? (Mehrfachnennung möglich)

(168285)

Um die Glaubwürdigkeit zu erhöhen, sollten in einem Gespräch mit dem Opfer möglichst wenige Insider-Informationen eingebunden werden.
(329860)

Autoritätshörigkeit bedeutet, dass die meisten Mitarbeiter stets darauf bedacht sind, Anordnungen von Vorgesetzten pflichtbewusst nachzugehen.
(329859)

Beim "Aufbau einer Vertrauenskette" soll das Opfer annehmen, dass der Social Engineer von einer anderen Stelle bereits überprüft wurde.
(329858)

Beim Social Proof wird der Einfluss der Gesellschaft genutzt, denn der Mensch passt sich i.d.R. seiner sozialen Umgebung an.
(329856)

Was sind mögliche Beispielsszenarien für schnelle Attacken? (Mehrfachnennung möglich)

(168286)

Der Angreifer lässt sich beim Zielunternehmen als Praktikant anstellen, um näher am Opfer zu sein.
(329868)

Der Social Engineer verfasst eine Spear-Phishing E-Mail, um einen Mitarbeiter zum Anklicken auf einen Link zu animieren.
(329866)

Der Angreifer versucht mit Hilfe einer Umfrage, Informationen über das Unternehmen zu gewinnen.
(329865)

Der Angreifer kontaktiert den Help Desk, um ein neues Passwort zu bekommen.
(329864)

Was sind mögliche Beispielsszenarien für längere Attacken? (Mehrfachnennung möglich)

(168287)

Der Social Engineer verfasst eine Spear-Phishing E-Mail, um einen Mitarbeiter zum Anklicken auf einen Link zu animieren.
(329878)

Der Angreifer versucht mit Hilfe einer Umfrage, Informationen über das Unternehmen zu gewinnen.
(329877)

Der Social Engineer installiert Spionagewerkzeuge, um das Opfer über einen längeren Zeitraum zu überwachen.
(329874)

Der Angreifer lässt sich bei einem Partnerunternehmen als Mitarbeiter anstellen, um die Glaubwürdigkeit bei einem Angriff zu erhöhen.
(329873)

Welche Aussagen sind bezüglich unterstützenden Technologien beim Social Engineering wahr? (Mehrfachnennung möglich)

(168288)

Ein Rogue Access Point ist der Access Point des Zielunternehmens.
(329885)

WIFI Pineapple ist ein Gerät, das jede SSID imitieren kann.
(329883)

Audio Recording Tools eignen sich, um Tonaufnahmen von Gesprächen zu machen.
(329882)

Ein Rogue Access Point kann den Datenverkehr, der über ihn läuft, mitschneiden.
(329881)

Welche Aussagen sind bezüglich Credential Harvesting wahr? (Mehrfachnennung möglich)

(168289)

Das "Nmap Tool" ist ein Programm, das Credential Harvesting unterstützt.
(329892)

Um an die Zugangsdaten des Opfers zu gelangen, kann einem Credential Harvesting Angriff ein SMiShing Angriff vorausgehen.
(329891)

Credential Harvesting ist eine Social Engineering Methode.
(329889)

Beim Credential Harvesting werden über eine "Fake" Loginseite Zugangsdaten gesammelt.
(329888)

Welche Antwortmöglichkeiten beschreiben Grundtechniken des Social Engineerings? (Mehrfachnennung möglich)

(168290)

Tailoring
(329901)

Aufbau einer Vertrauenskette
(329899)

Social Proof
(329897)

Vortäuschen von Identitäten
(329896)

Welche Aussagen sind bezüglich "A2 - Fehler im Authentifizierungs- und Session Management" (OWASP Top 10) wahr? (Mehrfachnennung möglich)

(168291)

Die Session IDs, die vom Browser generiert werden, sollten immer eindeutig sein, da ein Angreifer ansonsten die Webapplikation hacken kann.
(329911)

Nutzersitzungen sollten erst beendet werden, wenn sich der Nutzer abmeldet. Dies unterstützt die Verfügbarkeit und Performance des Systems.
(329910)

Session IDs sollten nie im Klartext persistiert werden, da sie ansonsten entführt werden können.
(329909)

Durch ein fehlerhaftes Session-Management könnten Sitzungen entführt (Session Hijacking) werden.
(329905)

ISMS 27001 Prof - de - sample set 1 - v1 - part 1 - 4 answeres

Welche der folgenden Maßnahmen sind unter anderem mit dem Maßnahmenziel einer konsistenten und wirksamen Herangehensweise für die Handhabung von Informationssicherheitsvorfällen (A.16.1) gemäß ISO/IEC 27001 (Anhang A) verbunden? (Mehrfachnennung möglich)

(168202)

Maßnahmen gegen Schadsoftware
(329206)

Sammeln von Beweismaterial
(329205)

Reaktion auf Informationssicherheitsvorfälle
(329204)

Meldung von Informationssicherheitsereignissen
(329203)

Welche der folgenden Maßnahmen sind unter anderem mit dem Maßnahmenziel der Identifikation von Werten (Assets), sowie der Festlegung angemessener Verantwortlichkeiten zu ihrem Schutz (A.8.1) gemäß ISO/IEC 27001 (Anhang A) verbunden? (Mehrfachnennung möglich)

(168203)

Physische Zutrittssteuerung
(329214)

Sichere Anmeldeverfahren
(329213)

Zulässiger Gebrauch von Werten
(329211)

Zuständigkeit für Werte
(329210)

Was ist nach der ISO/IEC 27001 Teil der Beurteilung von Informationssicherheitsrisiken bzw. der Planung für diesen Prozess? (Mehrfachnennung möglich)

(168235)

Abschätzung der realistischen Eintrittswahrscheinlichkeiten der identifizierten Risiken
(329420)

Abschätzung der möglichen Folgen bei Eintritt der identifizierten Risiken
(329419)

Sicherstellung, dass wiederholte Informationssicherheitsrisikobeurteilungen zu konsistenten, gültigen und vergleichbaren Ergebnissen führen
(329415)

Festlegung von Kriterien zur Durchführung von Informationssicherheitsrisikobeurteilungen
(329413)

Welche der folgenden Aussagen im Zusammenhang mit dem Risikomanagement und seinen Teilprozessen nach ISO/IEC 27000 und ISO/IEC 27001 sind korrekt? (Mehrfachnennung möglich)

(168236)

Im Rahmen der Risikobeurteilung wird das Risikoniveau bestimmt.
(329429)

Im Rahmen der Risikobeurteilung fließen Ergebnisse der Risikoanalyse in die Risikobewertung ein.
(329427)

Risikobewertung ist Teil der Risikobeurteilung
(329424)

Risikoanalyse ist Teil der Risikobeurteilung
(329423)

Welche Aussagen zur Normenfamilie ISO/IEC 27000 sind korrekt? (Mehrfachnennung möglich)

(168239)

Die Umsetzung von ISO/IEC 27002 ist eine zwingende Voraussetzung für eine Zertifizierung nach ISO/IEC 27003
(329463)

ISO/IEC 27003 enthält Anforderungen an die Umsetzung von Maßnahmen.
(329460)

ISO/IEC 27001 enthält Anforderungen an ein ISMS.
(329456)

ISO/IEC 27000 beschreibt die Grundlagen von Informationssicherheitsmanagementsystemen und definiert zugehörige Begriffe.
(329455)

Was muss eine Organisation gemäß ISO/IEC 27001 unter anderem für die interne und externe Kommunikation in Bezug auf das ISMS festlegen? (Mehrfachnennung möglich)

(168241)

Welche Kommunikation als unerwünscht zu klassifizieren ist
(329482)

Obergrenze für die Kommunikationskosten
(329481)

Mit wem kommuniziert wird
(329478)

Worüber kommuniziert wird
(329476)

Zu welchen Themen definiert die ISO/IEC 27001 im Kapitel 7 "Unterstützung" (Support) Anforderungen? (Mehrfachnennung möglich)

(168292)

Risikounterstützung
(329932)

24h Support
(329931)

Service-Desk
(329930)

Dokumentierte Information
(329929)

Was sind Anforderungen an den Betrieb eines ISMS (ISO/IEC 27001, Kapitel 8)? (Mehrfachnennung möglich)

(168295)

Die Organisation muss sicherstellen, dass ausgegliederte Prozesse bestimmt und gesteuert werden.
(329955)

Die Organisation muss dokumentierte Information über die Ergebnisse der Beurteilung von Informationssicherheitsrisiken aufbewahren.
(329954)

Die Organisation muss dokumentierte Information im notwendigen Umfang aufbewahren, so dass darauf vertraut werden kann, dass die Prozesse wie geplant umgesetzt wurden.
(329953)

Die Organisation muss die Prozesse zur Erfüllung der Informationssicherheitsanforderungen planen, verwirklichen und steuern.
(329952)

Welche Anforderungen stellt die ISO/IEC 27001 an interne Audits? (Mehrfachnennung möglich)

(168298)

Die Organisation muss ihre Kunden auditieren.
(329988)

Die Organisation muss mindestens alle 6 Monate ein Audit durchführen.
(329986)

Die Organisation muss für jedes Audit die Auditkriterien festlegen.
(329982)

Die Organisation muss ein Auditprogramm aufbauen.
(329981)

Ihre Aufgabe ist es, eine Organisation bei der Erreichung des Schutzziels "Die Informationssicherheit bei Telearbeit und der Nutzung von Mobilgeräten ist sichergestellt." (A.6.2) zu unterstützen.

Die Organisation erlaubt sowohl die Nutzung von Mobilgeräten wie auch Telearbeit.

Beides ist, insbesondere in Hinblick auf Informationssicherheit, aber noch weitestgehend ungeregelt.

Was müssen Sie umsetzen bzw. sicherstellen, um in diesem Bereich Konformität zu ISO/IEC 27001 herzustellen? (Mehrfachnennung möglich)

(168303)

Sicherstellen, dass für Telearbeit und Arbeit auf Dienstreisen identische Regelungen existieren
(330037)

Beurteilung von Risiken im Zusammenhang mit der Nutzung von Mobilgeräten und Telearbeit
(330036)

Maßnahmen zur Handhabung von Risiken bei der Nutzung von Laptops.
(330035)

Erstellung einer Richtlinie zu Mobilgeräten
(330032)

Im Rahmen eines Projektes zur Etablierung eines nach ISO/IEC 27001 konformen ISMS überprüfen Sie, welche Regelungen ihre Organisation in Hinblick auf die Auswahl und Einstellung von neuem Personal implementiert hat. Einige Regelungen empfinden Sie als nicht optimal. Welche Regelungen stellen eine Abweichung dar, die korrigiert werden muss? (Mehrfachnennung möglich)

(168304)

Die Sicherheitsüberprüfung von Bewerbern umfasst nicht die Überprüfung von Profilen in sozialen Medien.
(330049)

In den vertraglichen Vereinbarungen mit Beschäftigten werden Verantwortlichkeiten in Bezug auf Informationssicherheit festgelegt. Diese sind aber in der Vereinbarung nicht explizit aufgeführt, es wird nur auf die Pflicht zur Einhaltung der relevanten Richtlinien verwiesen.
(330048)

Eine Sicherheitsüberprüfung von Bewerbern findet grundsätzlich statt, aber in unterschiedlicher Gründlichkeit.

Dies ist von der Position, auf welche die Einstellung des neuen Mitarbeiters erfolgt, abhängig.
(330047)

Einige Bewerber werden überprüft. Regelungen dafür welche, existieren aber nicht - es kommt hauptsächlich darauf an, welcher Mitarbeiter der Personalabteilung die Bewerbung bearbeitet.
(330045)

Was muss nach der ISO/IEC 27001 in Bezug auf die Personalsicherheit während der Beschäftigung gewährleistet sein? (Mehrfachnennung möglich)

(168305)

Die Personalakten aller Mitarbeiter sind durch den Information Security Officer überprüft und genehmigt.
(330056)

Der Maßregelungsprozess ist vertraulich und nur den leitenden Mitarbeitern bekannt.
(330054)

Durch Ausbildung, Schulung und ähnliche Maßnahmen wird bei allen Beschäftigten das Bewusstsein (Awareness) für Informationssicherheit gefördert.
(330053)

Die Leitung verlangt von allen Beschäftigten die Einhaltung der relevanten Richtlinien.
(330051)

Welche Regelungen zur Handhabung von Datenträgern können dazu beitragen, die Vertraulichkeit der gespeicherten Information zu schützen? (Mehrfachnennung möglich)

(168308)

Datenträger, die vertrauliche Daten enthalten, dürfen nur unter Einhaltung sicherer Verfahren entsorgt werden (z.B. mehrfaches Überschreiben vor der Entsorgung, schreddern ...).
(330088)

Als vertraulich klassifizierte Daten sind bei Speicherung auf Wechseldatenträgern grundsätzlich zu verschlüsseln.
(330087)

Die Verwendung von Wechseldatenträgern ist nur zulässig, wenn es dafür geschäftliche Gründe gibt.
(330086)

Nicht mehr benötigte Inhalte auf Wechseldatenträgern sind so zu löschen, dass sie nicht (ohne erheblichen Aufwand) wiederhergestellt werden können.
(330085)

Kryptographische Maßnahmen können zur Erreichung verschiedener Ziele der Informationsicherheit beitragen. Welche Schutzziele lassen sich mittels Einsatz von Verschlüsselung und digitaler Signaturen unterstützen? (Mehrfachnennung möglich)

(168311)

Verlässlichkeit
(330117)

Authentizität
(330115)

Integrität
(330114)

Vertraulichkeit
(330113)

Welche Controls sind in Anhang A der ISO/IEC 27001 dem Maßnahmenziel "Geräte und Betriebsmittel" (A.11.2) zugeordnet? (Mehrfachnennung möglich)

(168312)

Zuteilung von Benutzerzugängen
(330130)

Richtlinie für eine aufgeräumte Arbeitsumgebung und Bildschirmsperren
(330125)

Unbeaufsichtigte Benutzergeräte
(330124)

Entfernen von Werten
(330123)

Ihre Aufgabe ist es, die in Ihrer Organisation umgesetzten Maßnahmen im Bereich "Physische und umgebungsbezogene Sicherheit" (A.11) auf Konformität zu ISO/IEC 27001 zu überprüfen. In der Erklärung zur Anwendbarkeit wurden keine Maßnahmen ausgeschlossen. Welche Umstände stellen (bereits für sich alleine genommen) eine Abweichung bzw. eine Nichtkonformität dar? (Mehrfachnennung möglich)

(168313)

Es existieren auf dem Betriebsgelände mehrere Anlieferungs- und Ladebereiche.
(330139)

Gegen die Auswirkungen von Erdbeben sind keinerlei vorbeugende Maßnahmen umgesetzt.
(330138)

Es existiert kein elektronisches Schließsystem. Alle Türen sind nur mit mechanischen Schlössern gesichert.
(330137)

Es kommt regelmäßig vor, dass Administratoren und andere Mitarbeiter ohne vorherige Genehmigung PCs und Laptops z.B. über ein Wochenende mit nach Hause nehmen. Da bisher alle Geräte wiedergebracht wurden, wird dies von der Geschäftsleitung toleriert.
(330133)

Welchen Anforderungen muss die Informationssicherheitspolitik (allgemeine Informationssicherheitsrichtlinie) genügen? (Mehrfachnennung möglich)

(168316)

Sie muss innerhalb der Organisation bekanntgemacht werden.
(330163)

Sie muss eine Verpflichtung zur fortlaufenden Verbesserung beinhalten.
(330161)

Sie muss Informationssicherheitsziele beinhalten.
(330160)

Sie muss für den Zweck der Organisation angemessen sein.
(330159)

Welche der folgenden Beschreibungen von Zielen gehören zu Maßnahmenzielen aus Anhang A.12 "Betriebssicherheit" der ISO/IEC 27001? (Mehrfachnennung möglich)

(168317)

Audittätigkeiten während des Betriebs werden wirksam unterbunden.
(330321)

Die Ehrlichkeit von Anwendern und Mitarbeitern ist im Betrieb garantiert.
(330320)

Der Schutz von Daten, die für das Testen verwendet werden, ist sichergestellt.
(330318)

Information und informationsverarbeitende Einrichtungen sind vor Schadsoftware geschützt.
(330317)

Welche Maßnahmen sind in der ISO/IEC 27001 dem Maßnahmenziel A.12.1 "Betriebsabläufe und -verantwortlichkeiten" zugeordnet? (Mehrfachnennung möglich)

(168319)

Uhrensynchronisation
(330327)

Kapazitätssteuerung
(330325)

Änderungssteuerung
(330324)

Dokumentierte Bedienabläufe
(330323)

Welche Aussagen zu Informationssicherheitsvorfällen (information security incidents) sind zutreffend? (Mehrfachnennung möglich)

(168321)

Eine Häufung von mehreren auch kleinen Informationsicherheitsereignissen ist als Informationsicherheitsproblem zu definieren.
(330421)

Jedes Informationssicherheitsereignis ist auch ein Informationssicherheitsvorfall.
(330343)

Ein Informationssicherheitsvorfall ist ein einzelnes oder eine Reihe von Informationssicherheitsereignissen.
(330342)

Ein Informationssicherheitsvorfall kann z.B. dann entstehen, wenn eine Schwachstelle (vulnerability) durch einen Angreifer ausgenutzt wird.
(330341)

In ihrer Organisation sind verschiedene Richtlinien, Verfahren und Maßnahmen umgesetzt. Welche hiervon lassen sich klar den Referenzmaßnahmen der ISO/IEC 27001 aus A.12 "Betriebssicherheit" oder A.14 "Anschaffung, Entwicklung und Instandhalten von Systemen" zuordnen? (Mehrfachnennung möglich)

(168328)

Zuteilung von Benutzerzugängen
(330393)

Maßnahmen gegen Schadsoftware
(330390)

Schutz der Transaktionen bei Anwendungsdiensten
(330389)

Trennung von Entwicklungs-, Test- und Betriebsumgebungen
(330388)

In ihrer Organisation sollen in einigen Monaten die Controls zur Kommunikationssicherheit (A.13) auditiert werden. Sie haben ein erstes Self-Assessment durchgeführt und dabei einige Feststellungen gemacht. Welche der festgestellten Umstände würden auf alle Fälle im Audit eine Abweichung darstellen und sollten daher unbedingt vor dem Audit behandelt werden? (Mehrfachnennung möglich)

(168329)

Zur Sicherung von Anwendungsdiensten in öffentlichen Netzwerken existieren keine Vorgaben und keine Dokumentation.
(330402)

Zum Thema Informationsübertragung existiert keine Richtlinie.
(330400)

Nicht der gesamte Datenverkehr über die Kommunikationssnetze ist verschlüsselt.
(330397)

Die Trennung von Netzwerken erfolgt nur über VPNs.
(330396)

Welche Aussagen sind im Zusammenhang mit Business Continuity Management richtig, wenn Konformität mit ISO/IEC 27001 angestrebt wird? (Mehrfachnennung möglich)

(168330)

Die Anforderungen zum Business Continuity Management können ohne ausreichende Begründung in der Erklärung zur Anwendbarkeit (statement of applicability) weggelassen werden.
(330423)

Zum Continuity-Management gehört auch die Planung ausreichender Redundanzen von informationsverarbeitenden Einrichtungen.
(330406)

Continuity- bzw. Notfallpläne müssen in regelmäßigen Abständen überprüft werden.
(330405)

Die Aufrechterhaltung eines angemessenen Maßes an Informationssicherheit in Krisen- und Katastrophenfällen muss geplant werden.
(330403)

Welche der folgenden elementaren Grundsätze tragen nach ISO/IEC 27000 zur erfolgreichen Umsetzung eines ISMS bei? (Mehrfachnennung möglich)

(168331)

Sicherstellung der Nicht-Nachweisbarkeit von Compliance-Verstößen
(330418)

Redundante Verteilung von Verantwortlichkeiten für Informationssicherheit
(330416)

Backend-Sicherheit vor Client-Sicherheit
(330415)

Sicherstellung einer ganzheitlichen Herangehensweise an das Management von Informationssicherheit
(330413)

ISMS 27001 Prof - de - sample set 1 - v1 - part 2 - 3 answeres

ISO/IEC 27001 definiert Maßnahmen (Controls) und Maßnahmenziele (Control Objectives) zu/zur ... (Mehrfachnennung möglich)

(168190)

Klassifizierungstypen für Informationswerte (Information Assets)
(329490)

Sicherung rechtlicher Ansprüche (Defense of legal claims) im Zusammenhang mit Informationssicherheitsvorfällen
(329136)

Personalsicherheit (Human resource security)
(329132)

Was trifft auf ISMS-Zertifizierungen nach ISO/IEC 27001 (in Europa) grundsätzlich zu? (Mehrfachnennung möglich)

(168192)

Die Zertifizierungsstelle erfüllt die Anforderungen der ISO/IEC 27021.
(330171)

Im Rahmen der Zertifizierung lässt die Zertifizierungsstelle die Konformität des ISMS zu den Anforderungen der Norm ISO/IEC 27001 durch ein sogenanntes Zertifzierungsaudit überprüfen.
(329146)

Die Zertifizierungsstelle muss bei einer nationalen Akkredierungsstelle (z.B. in Deutschland die DAkkS) akkreditiert sein.
(329144)

Welche der folgenden Maßnahmen sind unter anderem mit dem Maßnahmenziel der Unterbindung der unerlaubten Offenlegung, Veränderung, Entfernung oder Zerstörung von Information, die auf Datenträgern gespeichert ist (A.8.3), gemäß ISO/IEC 27001 (Anhang A) verbunden? (Mehrfachnennung möglich)

(168207)

Klassifizierung von Datenträgern
(329237)

Inventarisierung von Datenträgern
(329236)

Handhabung von Wechseldatenträgern
(329233)

Für welche Begriffe aus der ISO/IEC 27000 trifft eine der folgenden Definitionen zu?

Satz zusammenhängender und sich gegenseitig beeinflussender Tätigkeiten, der Eingaben in Ergebnisse umwandelt

Absichten und Ausrichtung einer Organisation, wie von der obersten Leitung formell ausgedrückt

Nichterfüllung einer Anforderung

Satz zusammenhängender und sich gegenseitig beeinflussender Elemente einer Organisation, um Politiken (Richtlinien), Ziele und Prozesse zum Erreichen dieser Ziele festzulegen

Person oder Personengruppe, die die rechtliche Verantwortung (accountability) für die Leistung und Konformität der Organisation trägt

Eigenschaft der Richtigkeit und Vollständigkeit

(Mehrfachnennung möglich)

(168233)

Prozess (process)
(329392)

Politik / Richtlinie (policy)
(329391)

Steuerungsgremium (governing body)
(329387)

Ein Verfahren für das Risikomanagement sieht vor, dass jedes Risiko in Hinblick auf zwei Faktoren analysiert wird: Schadensauswirkung (in Tausenden von Euro) und Eintrittswahrscheinlichkeit innerhalb eines Jahres (in Prozent). Als Risikoniveau ist der Erwartungswert des Schadens pro Jahr, also die Eintrittswahrscheinlichkeit multipliziert mit der Schadensauswirkung, definiert.

Beispiel: Für das Risiko A wird geschätzt, dass es mit 10% Wahrscheinlichkeit pro Jahr auftritt und einen Schaden von 50.000 Euro verursacht. Entsprechend wird sein Risikoniveau mit 5.000 Euro pro Jahr berechnet. In den Akzeptanzkriterien wurde (im Rahmen eines anderen Verfahrens) definiert, dass nur Risiken mit einem Niveau von unter 10.000 Euro pro Jahr akzeptiert werden.

Welche Aussagen treffen zu? (Mehrfachnennung möglich)

(168234)

Im beschriebenen Verfahren fehlt ein wichtiger dritter Risikofaktor
(329409)

Es handelt sich hier um ein Verfahren zur Risikoidentifikation
(329406)

Das Risiko A entspricht dem genannten Risikoakzeptanzkriterium
(329401)

Was ist bei der Festlegung des Anwendungsbereichs des Informationssicherheitsmanagementsystems (scope of the information security management system) zu beachten? (Mehrfachnennung möglich)

(168240)

Der Anwendungsbereich des ISMS muss vor Offenlegung (Verlust der Vertraulichkeit) geschützt werden.
(329473)

Der Anwendungsbereich des ISMS kann, zumindest grundsätzlich, danach eingeschränkt werden, welche Anforderungen der ISO/IEC 27001 erfüllt werden müssen.
(329471)

Der festgelegte Anwendungsbereich muss dokumentiert sein.
(329465)

Welche Dokumentation ist nach der ISO/IEC 27001 gefordert? (Mehrfachnennung möglich)

(168293)

Prozessdefinition Customer Relationship Management
(329940)

Zugangssteuerungsrichtlinie
(329935)

Informationssicherheitsrichtlinie
(329933)

Welche Tätigkeiten sind nach ISO/IEC 27001 im Rahmen der Lenkung von dokumentierter Information zu berücksichtigen? (Mehrfachnennung möglich)

(168294)

Aufbewahrung und Verfügung über den weiteren Verbleib
(329946)

Ablage/Speicherung und Erhaltung, einschließlich Erhaltung der Lesbarkeit
(329944)

Verteilung, Zugriff, Auffindung und Verwendung
(329943)

Was sind grundsätzliche Methoden zur Bewertung der Leistung eines ISMS? (Mehrfachnennung möglich)

(168296)

Umsetzung von Korrekturmaßnahmen
(329965)

Kontinuierliche Leistungsbeurteilung der Mitarbeiter
(329963)

Managementbewertungen
(329962)

Was trifft auf interne Audits im Kontext eines ISMS zu? (Mehrfachnennung möglich)

(168297)

Ihre Ergebnisse sind Basis für die Erklärung zur Anwendbarkeit.
(330419)

Sie dienen dazu, die Konformität des ISMS mit den Anforderungen der Organisation an ihr ISMS zu überprüfen
(329978)

Sie dienen dazu, die Konformität des ISMS mit den Anforderungen aus ISO/IEC 27001 zu überprüfen.
(329975)

Bei einer Managementbewertung sind Rückmeldungen über die Informationssicherheitsleistung miteinzubeziehen.

Zu welchen Aspekten bzw. Themen sind hierbei die Entwicklungen zu berücksichtigen? (Mehrfachnennung möglich)

(168299)

Gesamtkosten für das ISMS
(330000)

Ergebnisse von Überwachungen und Messungen
(329992)

Nichtkonformitäten und Korrekturmaßnahmen
(329991)

Welche Apekte muss eine Managementbewertung nach ISO/IEC 27001 behandeln? (Mehrfachnennung möglich)

(168300)

Status der aktuell in Bearbeitung befindlichen Sicherheitsereignisse
(330010)

Veränderungen bei externen und internen Themen
(330005)

Status von Maßnahmen vorheriger Managementbewertungen
(330004)

Sie beraten eine Organisation, die eine Zertfizierung nach ISO/IEC 27001 anstrebt, in Bezug auf ihren Umgang mit Informationssicherheitsrichtlinien. Welche Aussagen sind in diesem Zusammenhang richtig? (Mehrfachnennung möglich)

(168301)

Informationssicherheitsrichtlinien müssen in geplanten Abständen überprüft werden
(330014)

Informationssicherheitsrichtlinien müssen vom Information Security Officer genehmigt werden.
(330020)

Informationssicherheitsrichtlinien müssen an die Verfahren zum Umgang mit Informationssicherheitsvorfällen angeglichen werden.
(330018)

Welche Maßnahmen (Controls) gehören zum Maßnahmenziel "Interne Organisation" (A.6.1)? (Mehrfachnennung möglich)

(168302)

Beschäftigungs- und Vertragsbedingungen
(330027)

Informationssicherheit im Projektmanagement
(330026)

Kontakt mit speziellen Interessensgruppen
(330025)

Was ist im Kontext eines ISMS in Bezug auf die Informationsklassifizierung (Maßnahmenziel A.8.2) zu beachten? (Mehrfachnennung möglich)

(168306)

Bei der Klassifikation von Information ist ihre Kritikalität zu berücksichtigen.
(330060)

Bei der Klassifikation von Information ist ihr Wert zu berücksichtigen.
(330059)

Bei der Klassifikation von Information sind gesetzliche Anforderungen zu berücksichtigen.
(330058)

Was kann erwartet werden, wenn alle Maßnahmen zur Verwaltung der Werte (A.8) sinnvoll umgesetzt wurden? (Mehrfachnennung möglich)

(168307)

Die Rückgabe von Werten ist geregelt.
(330075)

Verantwortlichkeiten bzw. Zuständigkeiten für die Werte sind dokumentiert.
(330068)

Informationswerte der Organisation sind in einem Inventar der Werte (Asset-Inventar) erfasst.
(330067)

Welche der genannten Maßnahmen (controls) gehören zum Maßnahmenziel "Benutzerzugangsverwaltung" (A.9.2)? (Mehrfachnennung möglich)

(168309)

Physische Zutrittssteuerung
(330099)

Entzug oder Anpassung von Zugangsrechten
(330097)

Registrierung und Deregistrierung von Benutzern
(330093)

Was sollte im Zusammenhang mit Benutzerkennungen, Kennwörtern und weiterer Information zur Authentifizierung von Benutzern sichergestellt sein? (Mehrfachnennung möglich)

(168310)

Kennwörter basieren nicht auf relativ einfach zu ermittelnden Sachverhalten (z.B. Geburtsdatum, Namen von Familienangehörigen usw.)
(330105)

Kennwörter haben eine ausreichende Mindestlänge.
(330104)

Benutzer sind verpflichtet, die Regeln der Organisation zur Verwendung geheimer Authentisierungsinformation zu befolgen.
(330103)

Was sind Schutzziele für Informationen (Eigenschaften, die im Rahmen der Informationssicherheit erhalten werden sollen)? (Mehrfachnennung möglich)

(168314)

Anonymität
(330146)

Fachliche Korrektheit
(330143)

Nicht-Abstreitbarkeit (non-repudiation)
(330142)

Was umfasst ein (Informationssicherheits-)Managementsystem im Sinne der ISO/IEC 27000? (Mehrfachnennung möglich)

(168315)

Zuständigkeiten (Verantwortlichkeiten)
(330152)

Richtlinien
(330151)

Organisationsstrukturen
(330150)

Welche der folgenden Kontrollen beziehen sich auf das Kontrollziel "Einhaltung der gesetzlichen und vertraglichen Anforderungen" (A.18.1)? (Mehrfachnennung möglich)

(168320)

Einhaltung physikalischer Gesetze
(330339)

Datenschutz bzw. Schutz personenbezogener Information
(330333)

Wahrung geistiger Eigentumsrechte bzw. des Urheberrechts
(330332)

Man kann die Handhabung von Informationssicherheitsvorfällen und Verbesserungen, so wie sie in ISO/IEC 27001 A.16.1 beschrieben ist, als Prozess verstehen.

Welche Aktivitäten wären notwendig, um die Konformität zu ISO/IEC 27001 mit diesem Prozess zu erreichen? (Mehrfachnennung möglich)

(168322)

Veränderungen an der Infrastruktur vornehmen um zukünftige Informationssicherheitsereignisse zu vermeiden
(330353)

Informationssicherheitsereignisse beurteilen und klassifzieren (insbesondere in Hinblick darauf, ob ein Informationssicherheitsvorfall vorliegt oder nicht)
(330348)

Informationssicherheitsereignisse melden
(330346)

Ihre Organisation plant, die Langzeitarchivierung von Geschäftsdaten auszulagern (zu outsourcen). Unter anderem bewirbt sich die Firma ACME IT um diesen Auftrag. ACME IT wirbt damit, dass sie "nach ISO/IEC 27001 zertifziert sind". Sie wissen, dass das Zertifikat aktuell und gültig ist, nähere Informationen haben Sie aber nicht. Was bedeutet das grundlegende Vorliegen des Zertifikats bzw. welche folgenden Aussagen sind auf jeden Fall richtig? (Mehrfachnennung möglich)

(168323)

Eine akkreditierte Zertifzierungsstelle hat bestätigt, dass das ISMS der ACME IT die Anforderungen der ISO/IEC 27001 erfüllt.
(330360)

Alle von ACME IT erbrachten IT-Dienste unterliegen der Lenkung des ISMS.
(330357)

ACME IT betreibt ein ISMS.
(330356)

Welche Aussagen sind im Zusammenhang von Audits zutreffend? (Mehrfachnennung möglich)

(168325)

ISO/IEC 27007 beinhaltet einen Leifaden zur Auditierung von Informationssicherheitsmanagementsystemen und ergänzt ISO 19011.
(330367)

ISO 19011 beinhaltet einen Leitfaden zur Auditierung von Managementsystemen.
(330365)

Zertifizierungsaudits sind externe Audits.
(330364)

In ihrer Organisation sollen in einigen Monaten die Controls zu Lieferantenbeziehungen (A.15) auditiert werden. Welche Umstände würden auf alle Fälle eine Abweichung darstellen und sollten daher unbedingt vor dem Audit geändert werden? (Mehrfachnennung möglich)

(168326)

Einige Dienste werden von mehreren Lieferanten erbracht (co-sourcing).
(330376)

Informationssicherheitsanforderungen sind bezüglich der Kommunikation von Sicherheitsvorfällen mit den Hauptlieferanten nicht berücksichtigt.
(330375)

Die Informationssicherheitsanforderungen im Zusammenhang mit dem Zugriff von Lieferanten auf Werte sind nicht dokumentiert.
(330372)

Welche Controls sind Teil von A.14 "Anschaffung, Entwicklung und Instandhalten von Systemen" in der ISO/IEC 27001? (Mehrfachnennung möglich)

(168327)

Richtlinie für Entwicklung von Prototypen
(330382)

Richtlinie für sichere Entwicklung
(330381)

Schutz von Testdaten
(330377)

IT Security Basics - de - sample set 1 - v2

Welche der folgenden Aussagen zum Thema "Cracker" sind richtig? (Mehrfachnennung möglich)

(168153)

Als Cracker werden Personen bezeichnet, die auf den angegriffenen Systemen Schaden verursachen.
(330175)

Eine Person, die von einer Firma mit einem Penetration Test beauftragt worden ist, wird als Cracker bezeichnet.
(330173)

Cracker sind oft Angestellte von Nachrichtendiensten, die Industriespionage betreiben.
(329003)

Welche der folgenden Ziele hat ein Penetrationstest? (Mehrfachnennung möglich)

(168162)

Feststellen der Identität des Angreifers.
(330209)

Die Identifikation von Schwachstellen.
(330216)

Bestätigung der Sicherheit durch eine unabhängige Person.
(329029)

Welche der folgenden Aussagen zum Begriff "Google Hacking" sind wahr? (Mehrfachnennung möglich)

(168164)

Google Hacking ist nur für registrierte Google Nutzer zugänglich.
(330231)

Mit Google Hacking ist der Angriff auf die Google Infrastruktur gemeint.
(329034)

site: ist ein Befehl, der verwendet werden kann, wenn man gezielt eine Information auf einer speziellen Seite sucht.
(330232)

Welche Aussagen bezüglich IT-Forensik sind wahr? (Mehrfachnennung möglich)

(168180)

Bei einer forensischen Analyse ist es prinzipiell wichtig, nach Spuren zu suchen, die die These, wie ein Angriff stattgefunden haben könnte, untermauern oder widerlegen.
(329085)

Die IT-Forensik ist eine streng methodisch vorgenommene Datenanalyse.
(330295)

Die IT-Forensik ist eine reine Post-Mortem-Analyse und beginnt immer erst dann, wenn der Sicherheitsvorfall bereits stattgefunden hat.
(330297)

Welche Anforderungen an eine forensische Untersuchung sind wahr? (Mehrfachnennung möglich)

(168182)

Der Einsatz von neuen Verfahren und Methoden ist prinzipiell nicht ausgeschlossen. Es sollte jedoch dann ein Nachweis der Korrektheit erfolgen.
(330300)

Es ist irrelevant, wenn zwei Experten durch Anwendung derselben Methode unter Zuhilfenahme derselben Tools zu unterschiedlichen Ergebnissen kommen.
(330302)

Mit demselben Ausgangsmaterial müssen Dritte bei gleicher Methodik und den gleichen Hilfsmitteln zu identischen Ergebnissen kommen.
(329089)

Was ist Vertraulichkeit? (Mehrfachnennung möglich)

(168183)

Eigenschaft, dass eine Information wohlbekannt und kommuniziert ist.
(329101)

Eine der Eigenschaften von Informationen, die im Rahmen der Informationssicherheit aufrechterhalten werden soll.
(329098)

Eigenschaft, dass Informationen unbefugten Parteien nicht verfügbar gemacht oder offengelegt werden.
(329097)

Welche Eigenschaften von Informationen sollen im Rahmen der Informationssicherheit aufrechterhalten werden? (Mehrfachnennung möglich)

(168184)

Stabilität
(329094)

Integrität
(329092)

Vertraulichkeit
(329091)

Bei welchen der folgenden Standards handelt es sich um allgemeine, nicht branchenspezifische Leitfäden aus der ISO/IEC 27000 Familie? (Mehrfachnennung möglich)

(168185)

ISO/IEC 27006
(329106)

ISO/IEC 27001
(329105)

ISO/IEC 27002
(329102)

Was trifft auf den Standard ISO/IEC 27001 zu? (Mehrfachnennung möglich)

(168186)

Die Norm legt die Anforderungen an Stellen fest, die ein Audit und eine Zertifizierung von Informationssicherheits-Managementsystemen anbieten.
(329113)

Er definiert Eigenschaften, die sichere informationsverarbeitende Systeme aufweisen müssen
(329112)

Er ist Teil einer größeren Standardfamilie
(329110)

Was trifft auf den PDCA-Zyklus zu? (Mehrfachnennung möglich)

(168187)

PDCA beschreibt die Prinzipien der Informationssicherheit.
(329119)

PDCA ist ein grundlegender Ansatz zur kontinuierlichen Verbesserung.
(329115)

P steht für "Plan", D für "Do", C für "Check" und A für "Act".
(329114)

Was trifft auf Prozesse im Kontext der ISO/IEC 27000 Standardfamilie zu? (Mehrfachnennung möglich)

(168188)

ISO/IEC 27002 definiert 14 Informationssicherheitsprozesse, um das Erreichen der Maßnahmenziele des Anhangs A der Norm ISO/IEC 27001 sicherzustellen
(329125)

Prozesse sind der formelle Ausdruck der von der obersten Leitung definierten Absichten und Ausrichtung einer Organisation
(329124)

Für Prozesse sollten klare Verantwortlichkeiten und ggf. Schnittstellen mit anderen Prozessen definiert sein
(329122)

Wobei handelt es sich um Kriterien, die gemäß ISO/IEC 27001 im Rahmen des Prozesses zur Beurteilung von Informationssicherheitsrisiken festgelegt und angewendet werden müssen? (Mehrfachnennung möglich)

(168194)

Kriterien zur Festlegung des Konformitätsgrades des ISMS
(329160)

Kriterien für die Risikodokumentation
(329159)

Kriterien zur Risikoakzeptanz
(329156)

Worüber sollen interne Audits Informationen liefern? (Mehrfachnennung möglich)

(168198)

Darüber, in welchen Abständen Überwachungs- und Wiederholungsaudits zur Aufrechterhaltung der Zertifizierung nach ISO/IEC 27001 durchgeführt werden müssen
(329184)

Darüber, ob ein maximales Informationssicherheitsniveau auf aktuellem Stand der Technik erzielt wurde
(329182)

Darüber, ob das ISMS die Anforderungen der Norm ISO/IEC 27001 erfüllt
(329180)

In welchen der folgenden Fälle liegt eine Verletzung der Integrität vor? (Mehrfachnennung möglich)

(168218)

Aus einem Dokument wurden unberechtigterweise Informationen entfernt.
(329302)

Einem Dokument wurden unberechtigterweise weitere Informationen hinzugefügt.
(329301)

Informationen in einem Dokument wurden unberechtigterweise umorganisiert, also in ihrer Reihenfolge verändert.
(329300)

Welche der folgenden Aussagen zum Anhang A der Norm ISO/IEC 27001 sind korrekt? (Mehrfachnennung möglich)

(168223)

Der Anhang A ist normativ, und sofern Ausschlüsse vorgenommen werden, müssen diese begründet werden.
(329333)

Im Anhang A sind Maßnahmen (Controls) definiert.
(329332)

Im Anhang A sind Maßnahmenziele (Control Objectives) definiert.
(329331)

Welche der folgenden Antworten beschreiben Methoden für die Informationsbeschaffung? (Mehrfachnennung möglich)

(168249)

Identifikation von Zutrittskontrollen
(329562)

Test der Zutrittskontrollen
(329563)

Identifikation von Systemen
(329559)

Was sind mögliche Angriffsvektoren beim reinen Social Engineering? (Mehrfachnennung möglich)

(168281)

Der Social Engineer knackt die Türen zu den Büroräumen, um Zutritt zu erhalten.
(329826)

Der Social Engineer schreibt dem Opfer eine E-Mail, um dieses zu einer bestimmten Handlung zu bewegen.
(329825)

Der Social Engineer ruft das Opfer per Telefon an, um es zu einer bestimmten Handlung zu bewegen.
(329824)

Welche öffentliche Quellen sind geeignet, um an Informationen über das Opfer zu gelangen? (Mehrfachnennung möglich)

(168282)

E-Mail Adressen auf der Homepage des Unternehmen können den Namen von Mitarbeitern enthalten.
(329834)

Die Homepage des Unternehmens ist eine gute Quelle, um an private Informationen über das Opfer zu gelangen.
(329837)

Soziale Netzwerke sind gute Quellen, um an private Informationen über das Opfer zu gelangen.
(329832)

Was sind mögliche Angriffsszenarien, um die Autoritätshörigkeit von Mitarbeitern auszunutzen? (Mehrfachnennung möglich)

(168283)

Der Social Engineer manipuliert den Systemadministror PC.
(329845)

Der Social Engineer manipuliert das Smartphone des Chefs, um an seine Kontaktliste zu gelangen.
(329847)

Der Social Engineer verkleidet sich als Polizeibeamter.
(329840)

Welche der folgenden Tätigkeiten gelten als aktives Footprinting? (Mehrfachnennung möglich)

(168318)

Portscan auf der Zielwebseite
(330308)

OS-Fingerprinting
(330303)

Besuch auf der Webseite
(330309)

ITSM 20000:2018 fnd - de - sample set 1 - v1

Welche der folgenden Aussagen sind im Hinblick auf die Begriffe und Definitionen aus ISO/IEC 20000-1 korrekt? (Mehrfachnennung möglich)

(168715)

Eine Anfrage eines Anwenders nach Informationen oder Beratung / Unterstützung ist ein Service Request.
(333328)

Ein bekannter Fehler (Known Error) ist ein Incident, der in den letzten 28 Tagen mehr als 3 mal aufgetreten ist.
(333327)

Eine ungeplante Verminderung der Service-Qualität ist ein Incident.
(333325)

Welche der folgenden Aussagen sind im Hinblick auf Services, Prozesse, Richtlinien und Verfahren in einem Service Management System (SMS) korrekt? (Mehrfachnennung möglich)

(168716)

Während ein Verfahren Absichten und Richtungen vorgibt, die durch das Top-Management formell zum Ausdruck gebracht werden, ist eine Richtlinie eine definierte Art und Weise, eine Aktivität oder einen Prozess durchzuführen.
(333334)

In einem SMS sind Prozesse erforderlich, um sicherzustellen, dass die für das Service Management erforderlichen Aktivitäten strukturiert durchgeführt werden und zu wiederholbaren Ergebnissen führen.
(333330)

Durch einen Service wird dem Kunden des Service ein Nutzen / Mehrwert geboten.
(333329)

Welche der folgenden Aussagen sind in Bezug auf den Geltungsbereich (Scope) eines Service Management Systems (SMS) korrekt? (Mehrfachnennung möglich)

(168717)

Der Geltungsbereich bestimmt die Anzahl der internen Audits, die durchgeführt werden, um die Leistung des SMS zu bewerten.
(333338)

Der Geltungsbereich des SMS muss alle von der Organisation erbrachten Services umfassen.
(333337)

Der Geltungsbereich bestimmt die Grenzen und die Anwendbarkeit des SMS.
(333335)

Durch welche der folgenden Aktivitäten muss das Top-Management gemäß ISO/IEC 20000-1 seine Führungsrolle und sein Engagement für das Service Management System (SMS) unter Beweis stellen? (Mehrfachnennung möglich)

(168718)

Freigabe jedes Dokuments, das Teil der SMS ist
(333345)

Sicherstellen, dass ein Service-Management-Plan erstellt wird
(333341)

Sicherstellen, dass eine Service-Management-Richtlinie etabliert wird
(333340)

Welche der folgenden Aussagen sind in Bezug auf die Service-Management-Richtlinie korrekt? (Mehrfachnennung möglich)

(168719)

Sie muss alle Anforderungen der Norm ISO/IEC 20000-1 enthalten.
(333351)

Sie muss detaillierte Verfahren für jeden Service-Management-Prozess enthalten.
(333349)

Sie ist innerhalb der Organisation zu kommunizieren und, soweit erforderlich, interessierten Parteien zur Verfügung zu stellen.
(333348)

Um sein Service Management System (SMS) zu planen, muss eine Organisation einen Service-Management-Plan erstellen. Welche der folgenden Aussagen sind gemäß ISO/IEC 20000-1 in Bezug auf den Service-Management-Plan korrekt? (Mehrfachnennung möglich)

(168720)

Der Service-Management-Plan muss die für den Betrieb des SMS und der Services erforderlichen Ressourcen enthalten oder darauf referenzieren.
(333355)

Der Service-Management-Plan muss die Befugnisse und Verantwortlichkeiten für das SMS und die Services enthalten oder darauf referenzieren.
(333354)

Der Service-Management-Plan muss die Liste der Services enthalten oder darauf referenzieren.
(333353)

Was muss in einem Service Management System (SMS), das Konformität mit ISO/IEC 20000-1 beansprucht, dokumentiert sein? (Mehrfachnennung möglich)

(168721)

Aufzeichnungen aller Aktivitäten, die von der Organisation ausgeführt werden
(333363)

Service Level Agreements (SLAs)
(333361)

Service-Katalog(e)
(333360)

Welche der folgenden Aussagen sind gemäß ISO/IEC 20000-1 in Bezug auf Kompetenz und Bewusstsein von Personen, die unter der Kontrolle der Organisation arbeiten, korrekt? (Mehrfachnennung möglich)

(168722)

Die entsprechenden Personen müssen sich darüber bewusst sein, welchen Beitrag sie zur Wirksamkeit des SMS leisten.
(333366)

Die entsprechenden Personen müssen auf der Grundlage angemessener Ausbildung, Schulung oder Erfahrung kompetent sein.
(333365)

Die erforderlichen Kompetenzen von Personen, die Aktivitäten ausführen, die die Leistung und Wirksamkeit des SMS beeinflussen, müssen bestimmt werden.
(333364)

Welche der folgenden Aussagen sind hinsichtlich der Beziehungen und Vereinbarungen zwischen den am Service Lifecycle beteiligten Parteien korrekt (ISO/IEC 20000-1, Abschnitt 8.3.1)? (Mehrfachnennung möglich)

(168723)

Um Konformität mit ISO/IEC 20000-1 zu erzielen, dürfen in der Lieferkette der Organisation keine Unterauftragnehmer (unterbeauftragte Supplier) auftreten.
(333372)

Das Management von SLAs unterliegt den Prozessen Business Relationship Management und Service Level Management.
(333370)

Das Management von Verträgen mit externen Suppliern unterliegt dem Prozess Supplier Management.
(333369)

Welche der folgenden Aussagen sind in Bezug auf Services und das Serviceportfolio korrekt (ISO/IEC 20000-1, Abschnitt 8.2)? (Mehrfachnennung möglich)

(168724)

Die Pflege des Servicekatalogs unterliegt dem Prozess Configuration Management.
(333378)

Ein Servicekatalog kann vorgeschlagene Services, in der Entwicklung befindliche Services, Live-Services und stillgelegte Services umfassen.
(333377)

Das Serviceportfolio kann vorgeschlagene Services, in der Entwicklung befindliche Services, Live-Services und stillgelegte Services umfassen.
(333374)

Welche der folgenden Informationen müssen gemäß ISO/IEC 20000-1 für jedes Configuration Item (CI) erfasst werden? (Mehrfachnennung möglich)

(168725)

Priorität
(333383)

Beziehung zu anderen CIs
(333381)

Typ des CI
(333379)

Welche der folgenden Aktivitäten sind im Rahmen der Service-Management-Prozesse zu Supply & Demand erforderlich (ISO/IEC 20000-1, Abschnitt 8.4)? (Mehrfachnennung möglich)

(168726)

Kapazitätsplanung mit dem Ziel, ausreichende Kapazitäten bereitzustellen, um den vereinbarten Bedarf (Demand) zu decken.
(333387)

Ermittlung des aktuellen und prognostizierten zukünftigen Bedarfs (Demand) an Services
(333386)

Budgetierung der Service-Kosten
(333385)

Welche der folgenden Aussagen sind im Hinblick auf ein effektives Informationssicherheits-Management (ISO/IEC 20000-1, Abschnitt 8.7.3) korrekt? (Mehrfachnennung möglich)

(168727)

Informationssicherheitsmaßnahmen (Information Security Controls) werden implementiert, um alle potenziellen Informationssicherheitsrisiken zu minimieren und ein Höchstmaß an Informationssicherheit zu erreichen.
(333394)

Informationssicherheitsmaßnahmen (Information Security Controls) werden festgelegt, um identifizierte Informationssicherheitsrisiken zu behandeln.
(333392)

Die Informationssicherheits-Richtlinie wird zur Verfügung gestellt und ihre Bedeutung an relevante Personen innerhalb der Organisation, an Kunden und Anwender sowie Lieferanten und andere interessierte Parteien kommuniziert.
(333391)

Welche der folgenden Prozesse sind Teil der Service-Lifecycle-Phase „Service Design, Build & Transition" (ISO/IEC 20000-1, Abschnitt 8.5)? (Mehrfachnennung möglich)

(168728)

Capacity Management
(333401)

Configuration Management
(333399)

Change Management
(333396)

Welche der folgenden Faktoren sind gemäß ISO/IEC 20000-1 bei der Entscheidung über die Genehmigung und Priorität von Änderungsanträgen (Requests for Changes) zu berücksichtigen? (Mehrfachnennung möglich)

(168729)

Anzahl der bereits auf die Genehmigung wartenden Änderungsanträge
(333406)

Nutzen aus Business-/Kundensicht
(333403)

Risiken
(333402)

Welche der folgenden Aussagen sind im Hinblick auf ein effektives Change Management (ISO/IEC 20000-1, Abschnitt 8.5.1) korrekt? (Mehrfachnennung möglich)

(168730)

Die Aktivitäten zur Rücknahme oder Mängelbeseitigung eines erfolglosen Changes werden geplant und, wenn möglich, getestet.
(333410)

Genehmigte Changes werden, soweit möglich, getestet.
(333409)

Es gibt eine Change-Management-Richtlinie, die die Kategorien von Changes definiert.
(333408)

Welche der folgenden Aspekte müssen in die Planung neuer oder geänderter Services aufgenommen werden? (Mehrfachnennung möglich)

(168731)

Anzahl der Probleme, die während der Transition-Phase auftreten dürfen
(333417)

Service-Abnahmekriterien
(333415)

Verantwortlichkeiten für Design, Build- und Transition-Aktivitäten
(333413)

Welche der folgenden Prozesse sind Teil der Service-Lifecycle-Phase "Resolution & Fulfilment" (ISO/IEC 20000-1, Abschnitt 8.6)? (Mehrfachnennung möglich)

(168732)

Change Management
(333421)

Service Request Management
(333419)

Incident Management
(333418)

Welche der folgenden Aktivitäten sind im Rahmen eines effektiven Incident Managements (ISO/IEC 20000-1, Abschnitt 8.6.1) für jeden Incident erforderlich? (Mehrfachnennung möglich)

(168733)

Verifizierung
(333428)

Priorisierung
(333425)

Aufzeichnung und Klassifizierung
(333424)

Welche der folgenden Aussagen sind im Hinblick auf den effektiven Umgang mit Major Incidents im Rahmen des Prozesses Incident Management (ISO/IEC 20000-1, Abschnitt 8.6.1) korrekt? (Mehrfachnennung möglich)

(168734)

Nach der Behebung wird jeder Major Incident einem Review unterzogen, um Verbesserungsmöglichkeiten zu identifizieren.
(333432)

Das Top-Management wird über Major Incidents auf dem Laufenden gehalten.
(333431)

Kriterien zur Identifizierung eines Major Incident sind festgelegt.
(333430)

Welche der folgenden Aussagen sind im Hinblick auf eine effektive Priorisierung von Incidents, Problemen und Service Requests korrekt (ISO/IEC 20000-1, Abschnitte 8.6.1, 8.6.2 und 8.6.3)? (Mehrfachnennung möglich)

(168735)

Während Incidents und Probleme priorisiert werden, ist das bei Service Requests nicht der Fall.
(333441)

Die Dringlichkeit, mit der ein Incident gelöst werden muss, ist unabhängig von jeglichen SLAs mit Kunden.
(333440)

Die Priorisierung von Incidents berücksichtigt deren Auswirkungen und Dringlichkeit.
(333436)

Welche der folgenden Faktoren sind gemäß ISO/IEC 20000-1 bei der Festlegung der Anforderungen und Ziele für die Service-Verfügbarkeit zu berücksichtigen? (Mehrfachnennung möglich)

(168736)

Service-Abnahmekriterien
(333446)

Risiken
(333444)

SLAs
(333443)

Welche der folgenden Aktivitäten sind Gegenstand eines effektiven Prozesses zum Service Continuity Management (ISO/IEC 20000-1, Abschnitt 8.7.2)? (Mehrfachnennung möglich)

(168737)

Pflege und Aktualisierung von Informationen über bekannte Fehler
(333451)

Erstellen von Service-Continuity-Plänen
(333449)

Ermittlung der Anforderungen an die Service Continuity
(333448)

Unter welchen Umständen müssen die Service-Continuity-Pläne gemäß ISO/IEC 20000-1 getestet oder erneut getestet werden? (Mehrfachnennung möglich)

(168738)

Nach einem Major Incident
(333458)

Nachdem ein neues Problem identifiziert wurde.
(333456)

Nach einer erheblichen Änderung (Major Change) der Serviceumgebung
(333455)

Welche der folgenden Aktivitäten müssen gemäß ISO/IEC 20000-1 in geplanten Abständen durchgeführt werden, um die Leistung eines Service Management Systems (SMS) zu bewerten? (Mehrfachnennung möglich)

(168739)

Wirtschaftlichkeitsanalyse
(333464)

Balanced Scorecard-Analyse
(333463)

Interne Audits
(333460)

Welche der folgenden Aussagen sind im Hinblick auf interne Audits und Management-Reviews in einem Service Management System (SMS) korrekt? (Mehrfachnennung möglich)

(168740)

Management-Reviews können von Senior Consultants im Auftrag des Top-Managements der Organisation durchgeführt werden.
(333469)

Die Ergebnisse interner Audits sind ein Input für das Management-Review.
(333468)

Auditoren dürfen ihre eigene Arbeit oder ihren eigenen Verantwortungsbereich nicht auditieren, um die Objektivität und Unparteilichkeit des Auditprozesses zu gewährleisten.
(333467)

Welche der folgenden Aussagen sind angesichts der Anforderungen der ISO/IEC 20000-1 im Hinblick auf die kontinuierliche Verbesserung eines Service Management Systems (SMS) korrekt? (Mehrfachnennung möglich)

(168741)

Auditergebnisse können genutzt werden, um Verbesserungspotenziale zu identifizieren.
(333474)

Die Services unterliegen der kontinuierlichen Verbesserung.
(333473)

Alle Elemente des SMS, einschließlich der Prozesse und Verfahren, unterliegen der kontinuierlichen Verbesserung.
(333472)

Welche der folgenden Zuweisungen von Hauptschlüsselwörtern sind für das jeweils genannte Management-Framework oder die genannte Norm korrekt? (Mehrfachnennung möglich)

(168742)

ITIL: Auditierbare Anforderungen ans IT Service Management
(333481)

ISO 9001: Qualitätsmanagementsysteme
(333478)

FitSM: Leichtgewichtiges / schlankes IT Service Management
(333477)

Welche der folgenden Aussagen sind in Bezug auf die Beziehungen zwischen der Norm ISO/IEC 20000-1 und den verwandten Management-Rahmenwerken oder Standards korrekt? (Mehrfachnennung möglich)

(168743)

Sowohl ISO/IEC 20000-1 als auch FitSM (Teil 1) definieren Anforderungen an ein Service Management System (SMS).
(333484)

Die Anforderungen an das Informationssicherheitsmanagement in ISO/IEC 20000-1 (Abschnitt 8.7.3) stellen einen Auszug aus den Anforderungen der ISO/IEC 27001 dar.
(333483)

ISO 9001 kann als gemeinsame Grundlage für die meisten Managementsystem-Normen angesehen werden, einschließlich ISO/IEC 20000-1.
(333482)

Welche der folgenden Aussagen sind im Hinblick auf die Zertifizierung eines Service Management Systems (SMS) nach ISO/IEC 20000-1 korrekt? (Mehrfachnennung möglich)

(168744)

Das Zertifikat nach ISO/IEC 20000-1 bescheinigt, dass für alle Services im Zertifizierungsumfang (Scope) das höchstmögliche Service-Level erreicht wurde.
(333489)

Nach der Ausstellung beträgt die Gültigkeit des Zertifikats in der Regel 3 Jahre, mit jährlichen Überwachungsaudits.
(333488)

Das Zertifizierungsaudit wird von einer anerkannten Zertifizierungsstelle durchgeführt.
(333487)

BlockChain:2018 fnd - de - sample set 1 - v1

Welche der folgenden Aussagen sind zum Thema asymmetrische Verschlüsselungen korrekt? (Mehrfachnennung möglich)

(168176)

RSA (Rivest, Shamir und Adleman) ist ein asymmetrisches kryptographisches Verfahren, das sowohl zum Verschlüsseln, als auch zum digitalen Signieren verwendet werden kann.
(330284)

„Asymmetrisches Kryptosystem“ ist ein Oberbegriff für Public-Key-Verschlüsselungsverfahren, Public-Key-Authentifizierung und digitale Signaturen.
(330283)

Bei einem asymmetrischen Verschlüsselungsverfahren werden speziell aufeinander abgestimmte Schlüsselpaare verwendet.
(330281)

Welche der folgenden Aussagen bezüglich Hash-Funktionen sind wahr? (Mehrfachnennung möglich)

(168177)

Die kryptologische Hashfunktion ist eine spezielle Form der Hashfunktion, welche kollisionsresistent oder eine Einwegfunktion (oder beides) ist.
(330286)

Eine Hash-Funktion ist eine zwischen zwei Parteien vereinbarte Zeichenfolge, die zur Authentifizierung benutzt wird.
(330285)

MD5 (Message-Digest-Algorithmus 5) ist ein Beispiel für eine Hash-Funktion.
(329075)

Was ist Vertraulichkeit? (Mehrfachnennung möglich)

(168183)

Eigenschaft, dass eine Information wohlbekannt und kommuniziert ist.
(329101)

Eigenschaft, dass eine Entität das ist, was sie vorgibt zu sein.
(329100)

Eine der Eigenschaften von Informationen, die im Rahmen der Informationssicherheit aufrechterhalten werden soll.
(329098)

Welche der folgenden Systeme beschreiben symmetrische Kryptosysteme? (Mehrfachnennung möglich)

(168251)

RSA
(329579)

DES - Data Encryption Standard
(329576)

AES - Advanced Encryption Standard
(329575)

Welche der folgenden Aussagen über Bitcoin sind wahr? (Mehrfachnennung möglich)

(168776)

Bitcoin ermöglichte zum ersten Mal sichere Online-Zahlungen.

(333669)

Die Zufuhr von frischem Bitcoin ist vorhersehbar.
(333667)

Der Bitcoin-Preis wird durch Nachfrage und Angebot des Marktes bestimmt.
(333666)

Welche der folgenden Aussagen bezüglich digitaler Währung sind wahr? (Mehrfachnennung möglich)

(168796)

Jeder Teilnehmer des Bitcoin-Netzwerks ist durch seinen einzigen öffentlichen Schlüssel identifizierbar.
(333788)

Die Transaktionen von Bitcoin basieren auf anonymen Identitäten.
(333786)

Die Transaktionen von Bitcoin basieren auf pseudonymen Identitäten.
(333783)

Welche Aussagen treffen auf die Distributed-Ledger-Technologie zu? (Mehrfachnennung möglich)

(168805)

Nur Blockchains mit verschlüsselten Nutzdaten werden Distributed-Ledger-Ketten genannt.
(333841)

Die Distributed-Ledger-Technologien unterscheiden sich durch die Art, wie eine Vereinbarung erzielt wird (Konsensus).
(333838)

Es wird auch von dezentral geführten Kontobüchern oder Transaktionsdatenbanken gesprochen.
(333837)

Was ist bezüglich der Definition von zentralen bzw. dezentralen Systemen richtig? (Mehrfachnennung möglich)

(168806)

Bei dezentralen Systemen muss jeder Knoten immer mit jedem anderen Knoten kommunizieren.
(333846)

Bei einem dezentralen System gibt es immer einen Single Point of Failure, der das System zum Stillstand bringen kann.
(333845)

Ein verteiltes (dezentrales) System ist ein Zusammenschluss unabhängiger Computer, die sich für den Benutzer als ein einziges System präsentieren.
(333843)

Welche Art von Blockchain liegt vor, wenn jeder Teilnehmer einen neuen Block erzeugen kann? (Mehrfachnennung möglich)

(168807)

symmetrische Blockchain
(333855)

public Blockchain
(333853)

private Blockchain
(333852)

Welche Aussagen sind bezüglich Hash-Funktionen richtig? (Mehrfachnennung möglich)

(168808)

Die Hash-Funktion wird bei Blockchains benötigt, um einen Konsens im Verbund zu erreichen.
(333863)

Bei gegebenem Hash-Wert muss man immer auf die ursprüngliche Information schließen können (Prüffunktion).
(333859)

Zwei identische Zeichenfolgen sollten immer den gleichen Hash-Wert ergeben.
(333857)

Was ist bezüglich Anonymisierung und Pseudonymisierung richtig? (Mehrfachnennung möglich)

(168809)

Die Anonymisierung ist das Verändern personenbezogener Daten derart, dass diese Daten nicht mehr einer Person zugeordnet werden können.
(333867)

Bei Pseudonymisierung ist darauf zu achten, dass jede beteiligte Person nur genau ein Pseudonym hat.
(333866)

Bei Anonymisierung werden die personenbezogenen Daten derart verändert, dass diese Daten nur noch mit Hilfe der Person selbst widerhergestellt werden können.
(333865)

Bewerten Sie die Aussagen zum Thema Eigentum und Blockchain. Kreuzen Sie nur wahre Aussagen an. (Mehrfachnennung möglich)

(168810)

Bei einer Blockchain-Transaktion geht das Eigentum kurz auf den neutralen Dritten über, damit er die Echtheit bestätigen kann.
(333874)

Durch Übergabe des privaten Schlüssels kann ein Eigentumswechsel herbeigeführt werden, der die Blockchain nicht verändert.
(333872)

Bei einer Blockchain kann der Eigentümer sich ausweisen, weil er zu einem Pseudonym bzw. dessen veröffentlichten Schlüssel genau den passenden privaten Schlüssel besitzt.
(333871)

Welche Aussagen sind zum Thema Proof-of-Work (POW) richtig? (Mehrfachnennung möglich)

(168811)

Die Teilnehmer versuchen beim POW durch Ausführung von intensiven Rechenoperationen ein Ergebnis mit bestimmten Eigenschaften zu finden.
(333882)

POW dient dazu, einen Konsens zu erzielen.
(333878)

POW wird nur bei Bitcoins eingesetzt.
(333877)

Welche Aussagen sind zum Thema Proof-of-Stake (POS) richtig? (Mehrfachnennung möglich)

(168812)

Die Aktivität wird "Schmieden" genannt.
(333891)

Bei POS ist es nicht möglich, das Netzwerk allein durch Besitz von Rechenleistung zu übernehmen.
(333889)

POS wird derzeit NICHT bei Bitcoin eingesetzt.
(333885)

Welche Anforderungen werden an ein Proof-of-Work (POW) gestellt? (Mehrfachnennung möglich)

(168813)

nur mit Vorwissen lösbar
(333898)

schwer zu überprüfen
(333895)

schwer zu lösen
(333893)

Markieren Sie nur wahre Aussagen zum Thema Kryptowährung: (Mehrfachnennung möglich)

(168814)

Eine Kryptowährung ist stets inflationär.
(333906)

Der Wert einer solchen Währung entsteht ausschließlich durch Angebot und Nachfrage einer spezifischen Gruppe von Menschen, die an diese Währung glauben.
(333903)

Eine Kryptowährung muss nicht zwangsläufig in einer Blockchain verwaltet werden.
(333901)

Welche Aussagen zu den gängigen Einheiten eines Bitcoins sind korrekt? (Mehrfachnennung möglich)

(168815)

10 Bitcent sind ein Bitcoin.
(333913)

10.000.000 Satoshi ergeben einen Bitcoin.
(333911)

Bitcoins unterteilen sich jeweils in 100 Millionen Teile.
(333907)

Um eine Bitcoin-Transaktion anzustoßen, benötigt der Sender … (Mehrfachnennung möglich)

(168816)

... den privaten Schlüssel des Empfängerkontos.
(333918)

... den Überweisungsbetrag.
(333915)

... die Bitcoin Adresse des Empfängerkontos.
(333914)

Welche Konsens-Algorithmen sind derzeit bekannt? (Mehrfachnennung möglich)

(168817)

Proof of Peer
(333924)

Proof of Time
(333923)

Proof of Work
(333919)

Welche Aussagen treffen auf Smart Contracts zu? (Mehrfachnennung möglich)

(168818)

Smart Contracts können eine Blockchain ersetzen.
(333933)

Smart Contracts sind Verträge, die auf Computerprotokollen und einer Blockchain basieren, aber sich nicht selbst ausführen und prüfen können.
(333931)

Smart Contracts sind vergleichbar mit herkömmlichen Verträgen.
(333929)

Was sind die Vorteile von Smart Contracts? (Mehrfachnennung möglich)

(168819)

Ausgereifte Technologie
(333941)

Effizienz
(333937)

Sicherheit
(333936)

Welche sind die verschiedenen Token-Klassen (nach BaFin - Bundesanstalt für Finanzdienstleistungsaufsicht)? (Mehrfachnennung möglich)

(168820)

Utility-Token
(333945)

Security-Token
(333944)

Payment-Token
(333943)

Welche Aussagen treffen auf Initial Coin Offering (ICO) zu? (Mehrfachnennung möglich)

(168821)

Bitcoin wird als bevorzugte Plattform für ICOs genutzt.
(333955)

ICO Token basieren häufig auf INFLUE-Token.
(333954)

ICO ist eine Möglichkeit, Geldmittel für Krypto-Projekte zu sammeln.
(333951)

Was ist bezüglich des Block Rewards bei Bitcoin eine korrekte Aussage? (Mehrfachnennung möglich)

(168822)

Zu dem Zeitpunkt an dem der Block Reward auf unter 100 BTC sinkt ist vorgesehen auch die Transaktionsgebühren nicht mehr zu erheben.
(333962)

Alle Miner die das Computational Puzzle gelöst haben werden belohnt, egal ob Ihre Blockkette fortgeführt wird oder nicht.
(333961)

Ein Block Reward bezieht sich auf die Kryptowährung, die ein Miner erhält, wenn er einen neuen Block erfolgreich validiert.
(333957)

Welche Vorschriften der Datenschutz-Grundverordnung (DSGVO/GDPR) sind besonders kritisch hinsichtlich einer Public Blockchain? (Mehrfachnennung möglich)

(168823)

Die Integrität von personenbezogenen Daten muss gegeben sein.
(333969)

Das Recht auf Vergessenwerden.
(333965)

Personenbezogene Daten dürfen die EU nicht verlassen.
(333964)

Was verspricht man sich beim Betreiben einer Blockchain durch das Weglassen des zentralen, vertrauenswürdigen Dritten (Intermediär)? (Mehrfachnennung möglich)

(168824)

Die Transaktionen sind unlöschbar und durch niemanden fälschbar.
(333973)

Die Transaktionen werden schneller.
(333971)

Die Transaktionen werden günstiger.
(333970)

Welche Möglicheiten bestehen, um Inkompatibilitäten mit der Datenschutz-Grundverodnung (DSGVO/GDPR) zu umgehen? (Mehrfachnennung möglich)

(168825)

SegWit
(333981)

Lightning Protokoll
(333980)

vom Gesetzgeber zu publizierende Sonderregelungen für Blockchains im Rahmen der GDPR
(333978)

Welche Eigenschaften hat eine Wallet (Geldbörse)? (Mehrfachnennung möglich)

(168826)

Das Key-Paar (Public & Private Key) wird in eine öffentliche Adresse (Kontonummer) umgewandelt.
(333989)

Die Wallet generiert für jede Adresse ein Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel.
(333985)

Bitcoins können mit Hilfe einer Wallet (Geldbörse) verwaltet werden.
(333984)

Welche Aussagen treffen auf die Bitcoin Blockchain zu? (Mehrfachnennung möglich)

(168827)

Ein Bitcoin kann nicht verloren gehen.
(333998)

Es gibt keine Obergrenze für die erzeugbare Bitcoin-Gesamtzahl.
(333997)

Der Konsens-Mechanismus ist Proof of Work.
(333993)

Was sind Nachteile der Blockchain-Technologie? (Mehrfachnennung möglich)

(168828)

Kaum Schutz vor Datenverlust
(334001)

Keine einfache Einbindung in bestehende Regulationen (z.B. DSGVO/GDPR)
(334000)

Geringer Datendurchsatz und geringe Anzahl an Transaktionen
(333999)

ITSM 20000:2018 Prof - de - sample set 1 - v1 - Part 1 - 4 answeres

Welche der folgenden Aktivitäten sind laut ISO/IEC 20000-1 im Rahmen des Incident Managements (8.6.1) umzusetzen? (Mehrfachnennung möglich)

(1158383)

Kontrolle
(1210784)

Reporting und Review von Major Incidents
(1210772)

Priorisierung
(1210771)

Aufzeichnung und Klassifikation
(1210770)

Welche der folgenden Aussagen sind laut ISO/IEC 20000-1 im Zusammenhang mit Incident Management (8.6.1) und Service Request Management (8.6.2) richtig? (Mehrfachnennung möglich)

(1158384)

Major Incidents sind nur dann einem Review zu unterziehen, wenn die Gefahr eines Wiederauftretens droht.
(1210797)

Das Top Management ist über Major Incidents nur bei klaren Sicherheitsverstößen zu unterrichten.
(1210794)

Bei der Priorisierung von Incidents muss die Auswirkung berücksichtigt werden.
(1210787)

Für die Abwicklung von Service Requests müssen den involvierten Personen entsprechende Anleitungen zur Verfügung gestellt werden.
(1210785)

Welche der folgenden Aktivitäten sind laut ISO/IEC 20000-1 im Rahmen des Problem Managements (8.6.3) umzusetzen? (Mehrfachnennung möglich)

(1158385)

Kontrolle
(1210814)

Test
(1210807)

Abschluss
(1210806)

Priorisierung
(1210801)

Welche der folgenden Aussagen sind laut ISO/IEC 20000-1 im Zusammenhang mit Problem Management (8.6.3) richtig? (Mehrfachnennung möglich)

(1158386)

Wenn die zugrundeliegende Ursache identifiziert, aber das Problem nicht dauerhaft gelöst werden kann, muss der Service-Continuity-Plan ausgelöst werden.
(1210825)

Wo sinnvoll, müssen aktuelle Informationen über Known Errors und Problemlösungen für andere Service-Management-Aktivitäten zur Verfügung stehen.
(1210820)

Die Wirksamkeit der Problemlösungsmaßnahmen muss überwacht und überprüft werden.
(1210819)

Ein Ziel des Problem Managements ist die Vermeidung von Incidents.
(1210816)

Welche der folgenden Informationen müssen gemäß ISO/IEC 20000-1 im Rahmen des Configuration Managements (8.2.6) für jedes CI erfasst sein? (Mehrfachnennung möglich)

(1158387)

zugehörige Beschwerden
(1210839)

Eindeutige ID
(1210833)

Status
(1210832)

Beziehung(en) zwischen diesem und anderen CIs
(1210830)

Nach welchen der folgenden Faktoren kann der Geltungsbereich (scope) eines Service-Management- Systems in der Erklärung zum Geltungsbereich (scope statement) eingeschränkt werden? (Mehrfachnennung möglich)

(1158388)

Produkte
(1210854)

Bestimmte IT Service Management-Prozesse
(1210847)

Kunden, Kundengruppen oder Kundenstandorte
(1210846)

Services
(1210845)

Welche der folgenden Aussagen zu Management Reviews sind korrekt? (Mehrfachnennung möglich)

(1158389)

Management Reviews müssen nur durchgeführt werden, wenn Mitglieder des Managements ausgetauscht werden.
(1210864)

Management Reviews dienen nur dazu, die Verantwortlichen für Nichtkonformitäten zu identifizieren.
(1210860)

Management Reviews müssen Ergebnisse interner Audits berücksichtigen.
(1210856)

Management Reviews dienen dazu, die kontinuierliche Eignung und die Effektivität von SMS und Services sicherzustellen.
(1210855)

Was gehört zu den Prinzipien des Qualitätsmanagements nach ISO 9000? (Mehrfachnennung möglich)

(1158390)

Einbeziehung der beteiligten Personen
(1210877)

Verantwortlichkeit der Führung
(1210876)

Systematisches Vorgehen (system approach)
(1210875)

Führungsstärke (leadership)
(1210866)

Was trifft auf den PDCA-Zyklus zu? (Mehrfachnennung möglich)

(1158391)

PDCA beschreibt die Eigenschaften von Information, die im Rahmen des Security Management aufrechterhalten werden sollen.
(1210883)

Die Struktur der ISO/IEC 20000-1 ist, zumindest in Teilen, an dem PDCA-Ansatz ausgerichtet.
(1210881)

PDCA ist ein grundlegender Ansatz zur kontinuierlichen Verbesserung.
(1210880)

P steht für Plan, D für Do, C für Check und A für Act.
(1210879)

Was trifft auf Prozesse im Kontext der ISO/IEC 20000 Standard Familie zu? (Mehrfachnennung möglich)

(1158392)

Für Prozesse müssen klare Verantwortlichkeiten und ggf. Schnittstellen mit anderen Prozessen definiert sein.
(1211207)

Verfahren werden in einzelne Prozesse unterteilt, um diese besser beherrschen zu können.
(1210888)

Prozesse sind der formelle Ausdruck, der vom Top Management definierten Absichten und Ausrichtung einer Organisation.
(1210887)

ISO/IEC 20000-1 definiert einen Prozess als einen Satz zusammenhängender und sich gegenseitig beeinflussender Tätigkeiten, der Eingaben in Ergebnisse umwandelt.
(1210885)

Was trifft auf SMS-Zertifizierungen nach ISO/IEC 20000-1 (in Europa) grundsätzlich zu? (Mehrfachnennung möglich)

(1158393)

Eine akkreditierte Zertifizierungsstelle muss die Anforderungen der Norm ISO/IEC 17021-1 erfüllen.
(1210895)

Neben der Erfüllung der Anforderungen der Norm ISO/IEC 20000-1 muss die zu zertifizierende Organisation auch Konformität zu ISO/IEC 17024 nachweisen können.
(1210893)

Die Zertifizierungsstelle muss den Anforderungen der Norm ISO/IEC 20000-2 genügen.
(1210892)

Das ausgestellte Zertifikat hat eine begrenzte Gültigkeitsdauer (in der Regel 3 Jahre).
(1210890)

Worüber sollen interne Audits Informationen liefern? (Mehrfachnennung möglich)

(1158394)

Darüber, welche Beschwerden vermeidbar gewesen wären.
(1210902)

Darüber, ob das maximale Qualitätsniveau auf aktuellem Stand der Technik erzielt wurde.
(1210901)

Darüber, ob das SMS wirksam umgesetzt wird.
(1210900)

Darüber, ob das SMS die Anforderungen der Organisation erfüllt.
(1210898)

Welche der folgenden Aussagen zu internen Audits und Managementbewertungen sind korrekt? (Mehrfachnennung möglich)

(1158395)

Bei einer Managementbewertung prüft ein unabhängiger, externer Auditor, inwieweit die oberste Leitung (Top-Management) ihrer Verantwortung für das SMS gerecht wird.
(1210909)

Interne Audits werden durch die oberste Leitung (Top-Management) durchgeführt.
(1210907)

Managementbewertungen müssen in geplanten Abständen durchgeführt werden.
(1210906)

Interne Audits müssen in geplanten Abständen durchgeführt werden.
(1210905)

Was muss gemäß ISO/IEC 20000-1 bei der Planung neuer oder geänderter Services (8.5.2.1) berücksichtigt werden? (Mehrfachnennung möglich)

(1158396)

Diskreditierung konkurrierender Services
(1210917)

Planung einer Werbekampagne für den neuen Service
(1210916)

Minimierung der Umweltauswirkungen
(1210915)

Serviceabnahmekriterien
(1210912)

Was trifft auf Service Level Agreements (SLAs) zu? (Mehrfachnennung möglich)

(1158397)

Die Anzahl der SLAs ist immer unabhängig von der Anzahl der angebotenen Services.
(1210925)

Für jeden erbrachten Service muss ein SLA vereinbart sein.
(1210923)

Ein SLA kann auch zwischen dem Service Provider und einem Lieferanten geschlossen werden.
(1210921)

Ein SLA nennt zu liefernde Services und Service-Ziele.
(1210920)

Was fordert ISO/IEC 20000-1 im Kontext Service Level Management (8.3.3)? (Mehrfachnennung möglich)

(1158399)

Die Nicht-Abstreitbarkeit (non-repudiation) der Vereinbarung von Services ist mittels kryptographischer Verfahren sicherzustellen.
(1210947)

Alle SLAs müssen die gleichen Service-Level-Ziele enthalten.
(1210945)

Der Service Provider muss mit dem / den Kunden eine Vereinbarung über die zu erbringenden Services treffen.
(1210939)

Für jeden Service muss der Service Provider ein oder mehrere SLAs etablieren.
(1210938)

Worüber muss gemäß ISO/IEC 20000-1 im Rahmen der Aktivitäten des SMS und der Serviceerbringung berichtet werden? (Mehrfachnennung möglich)

(1158400)

Tatsächliche Kosten im Vergleich zur Kostenplanung (Budget)
(1210952)

Auslastung der Services
(1210950)

Kundenzufriedenheit
(1210949)

Leistung im Vergleich zu Service-Level-Zielen
(1210948)

Was muss gemäß ISO/IEC 20000-1 bei der Bestimmung der Anforderungen an die Service-Kontinuität (8.7.2) berücksichtigt werden? (Mehrfachnennung möglich)

(1158401)

Durchschnittliche Zeit bis zur Erfüllung eines Service-Requests
(1210964)

Risiken
(1210962)

SLAs
(1210961)

Relevante Business-Anforderungen
(1210959)

Was sind Anforderungen der ISO/IEC 20000-1 bezüglich der Service-Continuity-Pläne (8.7.2)? (Mehrfachnennung möglich)

(1158402)

Service-Continuity-Pläne müssen Maßnahmen zur Verbesserung der Service-Verfügbarkeit unter normalen Betriebsbedingungen enthalten.
(1210976)

Für jeden Change muss mindestens ein zugehöriger Service-Continuity-Plan erstellt werden.
(1210975)

Es können auch mehrere Service-Continuity-Pläne parallel existieren.
(1210969)

Es muss mindestens ein Service-Continuity-Plan erstellt werden.
(1210968)

Wobei handelt es sich um Anforderungen gemäß ISO/IEC 20000-1 in Bezug auf das Capacity Management (8.4.3)? (Mehrfachnennung möglich)

(1158403)

Für jedes Service-Ziel muss ein Kapazitätsplan erstellt werden.
(1210985)

Kapazitäts-Anforderungen müssen sich unter anderem auch auf personelle Ressourcen beziehen.
(1210981)

Der Service Provider muss ausreichende Kapazitäten zur Erfüllung der vereinbarten Kapazitäts- und Performance-Anforderungen zur Verfügung stellen.
(1210980)

Der Service Provider muss die Kapazitätsauslastung überwachen.
(1210979)

Welche Punkte muss die Kapazitätsplanung gemäß ISO/IEC 20000-1 (8.4.3) mindestens umfassen? (Mehrfachnennung möglich)

(1158404)

Prognose zur langfristigen Entwicklung relevanter Zukunftstechnologien
(1210994)

Relation zwischen technischer und personeller Kapazität
(1210992)

Zeitskalen (Termine) und Schwellenwerte für Änderungen an der Service-Kapazität
(1210988)

Aktuelle und prognostizierte Nachfrage nach Services
(1210986)

Welche Themen müssen gemäß ISO/IEC 20000-1 im Rahmen des Prozesses Budgeting and Accounting for Services (8.4.1) betrachtet werden? (Mehrfachnennung möglich)

(1158405)

Einhaltung der Grundsätze ordnungsmäßiger Rechnungsstellung
(1211002)

Steuerrechtliche Optimierung
(1211001)

Gestaltung von Grundgebühren für Kunden
(1210999)

Budgetierung und Kostenrechnung für Services oder Gruppen von Services
(1210995)

Ein internes Audit des SMS (Anforderungen nach ISO/IEC 20000-1) ergab, dass der Service Provider seinen Kunden keine Informationen über die erzielten Leistungen seiner Services liefert. Welche der folgenden Aktivitäten sind nun notwendig? (Mehrfachnennung möglich)

(1158406)

Service Reporting durch einen Zertifizierungsaudit auf Konformität und Wirksamkeit prüfen lassen, bevor erste Maßnahmen geplant und implementiert werden.
(1211011)

Das neu geplante und initial implementierte Service Reporting von nun an kontinuierlich verbessern.
(1211008)

Analysieren der SLAs zur Ermittlung, ob Reporting zugesichert ist. Wenn dies nicht der Fall ist, müssen keine weiteren Maßnahmen eingeleitet werden.
(1211005)

Information an das Top Management, da es sich um eine Abweichung handelt und somit die Wirksamkeit des SMS in Gefahr ist.
(1211003)

Welche der folgenden Themen bzw. Prozesse müssen gemäß ISO/IEC 20000-1 im Rahmen des Bereichs Relationship & Agreement (8.3) berücksichtigt werden? (Mehrfachnennung möglich)

(1158407)

Supplier Management
(1211020)

Business Relationship Management
(1211018)

Service Catalogue Management
(1211015)

Demand Management
(1211014)

Welche der folgenden Themen bzw. Aktivitäten müssen gemäß ISO/IEC 20000-1 auf Grund der Anforderungen im Bereich Leistungsbewertung (9) im Rahmen des SMS umgesetzt werden? (Mehrfachnennung möglich)

(1158408)

Schulung und Sensibilisierung
(1211028)

Service-Reporting
(1211026)

Management-Reviews
(1211025)

Überwachung und Messung
(1211023)

Das Problem Management hat einen Request for Change (RfC) gestellt, um einen lange existierenden Fehler zu korrigieren. Da es sich um eine aufwändige Maßnahme handelt, wurde der RfC dem Change Advisory Board (CAB) vorgelegt und dort beraten. Der Experte, der mit der Untersuchung im Problem Management beauftragt war, wurde zu diesem Meeting eingeladen und befragt. Am Ende wurde der Change allerdings auf Rat des CAB durch die CA (Change Authority) nicht autorisiert, da der Aufwand in keinem vernünftigen Verhältnis zum Nutzen der Fehlerbehebung steht und effektive Workarounds existieren. Der bekannte Fehler wurde daraufhin vom Problem Management geschlossen. Wie beurteilen Sie diese Situation im Hinblick auf ISO/IEC 20000-1? (Mehrfachnennung möglich)

(1158409)

Sollte es sich um einen schwerwiegenden Security Incident handeln, der durch die Veränderung nachhaltig behoben werden soll, so kann der Security Verantwortliche mit einem in der Norm festgeschriebenen Vetorecht die Autorisation und somit die Implementierung erzwingen.
(1211043)

Die Begründung der Ablehnung, dass der Aufwand in keinem vernünftigen Verhältnis zum Nutzen der Fehlerbehebung steht, ist eine gültige Begründung.
(1211039)

Das Problem Management hätte gar keinen RfC stellen sollen, da offenbar wirksame Workarounds existieren und die Anwender in der Nutzung des Service nicht negativ beeinträchtigt sind.
(1211038)

Die Autorisierung für den Change hätte durch das CAB erteilt werden müssen, da durch die Abweisung des Changes die effektive Arbeit des Problem Managers unmöglich gemacht wird.
(1211037)

Es wird im kontinuierlichen Verbesserungsprozess entschieden, dass die korrekte Klassifizierung und Priorisierung von Incidents höhere Beachtung bekommen muss. Welche direkten Folgen kann diese Änderung der Prozessziele haben? (Mehrfachnennung möglich)

(1158410)

Es werden kurzfristig weniger Störungen auftreten und daher Ressourcen zur Bearbeitung von Changes und Problems frei werden.
(1211054)

Die verbesserte Klassifizierung von Incidents kann zu häufiger notwendigen Changes in der IT Infrastruktur führen. Das Risiko für die IT-Infrastruktur durch diese Changes führt zu einer messbaren Verschlechterung der IT Services Qualität.
(1211053)

Die Information der Benutzer über den Bearbeitungszustand der Incidents wird häufiger und korrekter durchgeführt.
(1211050)

Die Benutzerzufriedenheit sollte mittelfristig steigen, da schwerwiegende Störungen bevorzugt bearbeitet werden.
(1211049)

Es wird im kontinuierlichen Verbesserungsprozess entschieden, dass die Analyse von Risiken bei beantragten Changes höhere Beachtung bekommen muss, da bisher keine Risikobewertung stattfindet. Welche direkten Folgen kann diese Änderung der Prozessziele haben? (Mehrfachnennung möglich)

(1158411)

Die Trendanalyse im Change Management kann nun nach Risikoklassen getrennt durchgeführt werden.
(1211064)

Die Dokumentationen der Veränderungen in der CMDB werden korrekter und schneller erledigt.
(1211062)

Risikoreiche Veränderungen werden genauer geplant und getestet bevor die letztendliche Implementierung erfolgt.
(1211056)

Emergency Changes werden weniger häufig beantragt werden, da sie immer risikoreich sind.
(1211055)

Einige dem Change Advisory Board (CAB) angehörende Mitglieder sind der Ansicht, die Sitzungen seien wegen der „endlosen Diskussionen über risikoarme Veränderungen“ reine Zeitverschwendung. Welche der folgenden Maßnahmen würden Sie als Change Manager ergreifen? (Mehrfachnennung möglich)

(1158412)

Das Verfahren bzw. den Verantwortungsbereich des CAB ändern, so dass nur risikoreiche Veränderungen im CAB besprochen werden müssen.
(1211070)

Die Häufigkeit der CAB-Meetings erhöhen.
(1211069)

Überprüfen, ob das Kategorisierungsverfahren für Changes angepasst werden sollte, um das CAB gegebenenfalls zu entlasten.
(1211068)

Die Mitglieder des CAB austauschen.
(1211067)

Wofür werden Information Security Controls eingesetzt? (Mehrfachnennung möglich)

(1158413)

Um alle Informationssicherheitsrisiken zu eliminieren.
(1211081)

Um die Ziele des Information Security Managements zu bestimmen.
(1211080)

Um Informationssicherheitsrisiken zu steuern bzw. zu mindern.
(1211075)

Um die Vertraulichkeit von Information Assets zu wahren.
(1211072)

Was sind im Kontext Information Security Management Aufgaben des Managements / der obersten Leitung? (Mehrfachnennung möglich)

(1158414)

Selbst Neubewertung von Information-Security-Risiken vornehmen, wenn diese regelmäßig die Akzeptanzkriterien verletzen
(1211090)

Die Geheimhaltung der identifizierten Information-Security-Risiken mittels disziplinarischer Maßnahmen sicherstellen
(1211088)

Mindestens jährlich die Information Security Controls auditieren
(1211087)

Risiko-Akzeptanzkriterien definieren
(1211084)

Was ist nach ISO/IEC 20000-1 bei der Bewertung von Requests for Change zu berücksichtigen? (Mehrfachnennung möglich)

(1158415)

Wartezeit des Requests for Change seit der Einreichung
(1211098)

Eventuelle Auswirkung auf die bestehenden Information Security Controls
(1211093)

Eventuelle Auswirkung auf die bestehende Information Security Policy
(1211092)

Inwieweit neue Informationssicherheitsrisiken entstehen
(1211091)

Wobei handelt es sich gemäß ISO/IEC 20000-1 um Anforderungen an die Service Management Policy? (Mehrfachnennung möglich)

(1158416)

Sie muss Art und Häufigkeit von Releases (z.B. für Minor Releases, Major Releases, Emergency Fixes) definieren.
(1211107)

Sie muss dem Personal des Service Providers in Papierform zugänglich gemacht werden.
(1211106)

Sie muss als Teil der Vertragsbedingungen von jedem Mitarbeiter des Service Providers unterschrieben werden.
(1211105)

Sie muss an das Personal des Service Providers kommuniziert werden.
(1211103)

Wodurch muss ein Service Provider die Steuerung und Kontrolle (Governance) eines Prozesses, der von einer anderen Partei ausgeführt wird, nachweisen? (Mehrfachnennung möglich)

(1158417)

Indem der Service Provider der ausführenden Partei verbietet, Prozessverbesserungen vorzuschlagen.
(1211114)

Indem der Service Provider Verbesserungen an diesem Prozess plant.
(1211113)

Indem der Service Provider den Prozess festlegt / definiert.
(1211110)

Indem der Service Provider seine Verantwortung für diesen Prozess demonstriert.
(1211109)

Was muss gemäß ISO/IEC 20000-1 im Rahmen des Service Management Systems (SMS) mindestens dokumentiert werden? (Mehrfachnennung möglich)

(1158418)

Ausbildungsplan
(1211213)

Availability Continuity Plan
(1211212)

Die Aussage eines unabhängigen Prüfers über die Einhaltung der gesetzlichen Vorgaben - Compliance (Gesetzestreue)
(1211211)

Service Management Policy und Ziele des Service Managements
(1211116)

ITSM 20000:2018 Prof - de - sample set 1 - v1 - Part 2 - 3 answeres

Welche der folgenden Aspekte müssen gemäß ISO/IEC 20000-1 im Zusammenhang mit der Lenkung von Dokumenten berücksichtigt werden? (Mehrfachnennung möglich)

(1158419)

Sicherstellung der Unterzeichnung aller Dokumente durch das Top-Management
(1211127)

Ablage aller Dokumente ausschließlich auf verschlüsselten Datenträgern
(1211126)

Vermeidung der unbeabsichtigten Verwendung veralteter Versionen
(1211125)

Welche der folgenden Aussagen sind gemäß ISO/IEC 20000-1 im Zusammenhang mit Release & Deployment Management (8.5.3) korrekt? (Mehrfachnennung möglich)

(1158420)

Der Service Provider muss eine Release-Richtlinie (release policy) mit dem Lieferanten abstimmen.
(1211133)

Der Service Provider muss für unterschiedliche Release-Typen die Häufigkeit von Releases definieren.
(1211131)

Der Service Provider muss verschiedene Typen von Releases definieren.
(1211129)

Welche der folgenden Aussagen zum Service Management Plan sind korrekt? (Mehrfachnennung möglich)

(1158421)

Der Service Management Plan muss aus einem einzigen Dokument bestehen.
(1211138)

Der Service Management Plan wird einmalig vor der Inbetriebnahme des Service Management Systems erstellt und nach seiner Umsetzung nicht mehr benötigt.
(1211137)

Der Service Management Plan umfasst die Randbedingungen und Aktivitäten zur Einführung und Entwicklung eines Service Management Systems (SMS).
(1211134)

Welche der folgenden Elemente muss ein Service Management Plan gemäß ISO/IEC 20000-1 mindestens enthalten oder referenzieren? (Mehrfachnennung möglich)

(1158422)

Aufzeichnungen zu Incidents und Service Requests
(1211145)

Der Terminplan der bevorstehenden Changes (Change Schedule)
(1211144)

Liste der Services
(1211139)

Was müssen Pläne für neue oder geänderte Services gemäß ISO/IEC 20000-1 enthalten oder referenzieren? (Mehrfachnennung möglich)

(1158423)

Service-Wartungskriterien (Service Maintenance Criteria)
(1211152)

Geplante Aktivitäten und Termine
(1211148)

Befugnisse und Verantwortlichkeiten für Aktivitäten im Design und in der Entwicklung
(1211147)

Welche der folgenden Anforderungen müssen gemäß ISO/IEC 20000-1 im Zusammenhang mit Business Relationship Management (8.3.2) eingehalten werden? (Mehrfachnennung möglich)

(1158424)

Zum Management der Kundenbeziehung und der Kundenzufriedenheit muss ein Service Desk eingerichtet werden.
(1211159)

Die Kundenzufriedenheit muss in geplanten Abständen gemessen werden.
(1211157)

Für jeden Kunden muss es einen definierten Verantwortlichen geben, der die Kundenbeziehung und Kundenzufriedenheit managt.
(1211154)

Welche der folgenden Anforderungen müssen gemäß ISO/IEC 20000-1 im Zusammenhang mit Supplier Management (8.3.4) eingehalten werden? (Mehrfachnennung möglich)

(1158425)

Es muss ein dokumentiertes Verfahren zur Handhabung von Beschwerden von Suppliern geben.
(1211164)

SLAs, die mit Kunden vereinbart wurden, müssen den relevanten Suppliern zugänglich gemacht werden, damit diese ihre Serviceleistung entsprechend anpassen können.
(1211163)

Für jeden Supplier muss es einen definierten Verantwortlichen geben, der die Beziehung zu diesem Supplier, die Verträge und die Leistung des Suppliers managt.
(1211160)

Gemäß ISO/IEC 20000-1 (8.5.1.1) muss eine Change Management Policy etabliert und dokumentiert werden. Was muss diese gemäß ISO/IEC 20000-1 definieren? (Mehrfachnennung möglich)

(1158426)

Kriterien zur Identifikation von Changes, die eine erhebliche Auswirkung auf Kunden oder Services haben können (Major Impact Changes)
(1211168)

Change-Kategorien
(1211167)

Servicekomponenten und andere Elemente, die der Kontrolle des Change Managements unterliegen
(1211166)

Welche der folgenden Elemente müssen in einem Vertrag mit einem Supplier enthalten sein oder referenziert werden? (Mehrfachnennung möglich)

(1158427)

Mögliche Auswirkungen gesetzlicher und regulatorischer Vorgaben
(1211180)

Verfahren zur Vorhersage der Auslastungsentwicklung
(1211179)

Befugnisse und Verantwortlichkeiten auf Seiten des Service Providers und des Suppliers
(1211177)

Welche der folgenden Aspekte müssen gemäß ISO/IEC 20000-1 beim Design neuer oder geänderter Services (8.5.2.2) berücksichtigt werden? (Mehrfachnennung möglich)

(1158428)

Aktualisierung der Einträge in der CMDB
(1211185)

Änderungen am SMS, einschließlich geänderter Richtlinien, Pläne oder Prozesse
(1211182)

Änderungen der Anforderungen im Zusammenhang mit Ressourcen.
(1211181)

In welchen der folgenden Bereiche ist ein risikobasiertes Vorgehen gemäß ISO/IEC 20000-1 in jedem Fall erforderlich? (Mehrfachnennung möglich)

(1158429)

Die Risiken für die Kontinuität von Services müssen eingeschätzt werden.
(1211188)

Bei der Planung des Service Management Systems (SMS) muss die Vorgehensweise zum Risikomanagement festgelegt werden.
(1211187)

Bei der Entscheidung über die Autorisierung eines Request for Change müssen Risiken berücksichtigt werden.
(1211186)

Welche der folgenden Reviews sind Teil der Mindestanforderungen gemäß ISO/IEC 20000-1 und müssen in geplanten Abständen bzw. situationsbedingt durchgeführt werden? (Mehrfachnennung möglich)

(1158430)

Review nach der geplanten oder ungeplanten Beendigung eines Vertrags mit einem Supplier
(1211199)

Review nach der Bereitstellung eines Serviceberichts
(1211198)

Management-Review
(1211193)

Welche der folgenden Aussagen sind im Hinblick auf die Begriffsdefinitionen aus ISO/IEC 20000-1 korrekt? (Mehrfachnennung möglich)

(1158431)

Ein Problem ist eine ungeplante Unterbrechung eines Service.
(1211203)

Eine Configuration Baseline ist eine Datenbank zur Aufzeichnung der Attribute von Configuration Items (CIs) sowie der Beziehungen zwischen CIs über ihren gesamten Lebenszyklus.
(1211202)

Ein Configuration Item (CI) ist ein Element, das zur Bereitstellung eines oder mehrerer Services beiträgt und daher eine Kontrolle erfordert.
(1211200)

Auf Basis von Kundengesprächen und Untersuchungen zur Kundenzufriedenheit wurden einige Verbesserungen an bestehenden Services in die Wege geleitet, die der Kontrolle des Change Managements unterliegen. Eine Verbesserung umfasst beispielsweise die Ablösung eines alten Benutzer-Clients für den Zugriff auf eine Applikation, die einen Kern-Betriebsablauf unterstützt. Der neue Benutzer-Client soll nicht nur benutzerfreundlicher sein, sondern auch die Abfrage bestimmter Statusvariablen über ein Ferndiagnose-Tool ermöglichen. Auf welche Bestandteile des SMS können sich Service-Verbesserungen wie diese auswirken? (Mehrfachnennung möglich)

(1158433)

Auf die Risiken für den Service-Betrieb und das Service-Management
(1211219)

Auf die Richtlinien zum Umgang mit Verbesserungsvorschlägen
(1211218)

Auf Maßnahmen aus dem Bereich Schulung und Kommunikation
(1211216)

Als Auditor prüfen Sie die Prozessdokumentation eines IT Service Providers auf Konformität mit ISO/IEC 20000-1. Ihnen werden Prozessbeschreibungen einschließlich zugehöriger Verfahrensbeschreibungen zu folgenden Prozessen vorgelegt: Incident Management, Service Request Management, Access Management, Problem Management, Configuration Management, Change Management, Release & Deployment Management, Business Relationship Management und Supplier Management. Wie beurteilen Sie die Situation auf den ersten Blick? (Mehrfachnennung möglich)

(1158434)

Es fehlen die Prozessbeschreibungen für die Prozesse aus dem Bereich Supply & Demand (8.4).
(1211222)

Einige Prozesse sind nicht vereinbar mit ISO/IEC 20000-1 und müssen daher aus dem Managementsystem entfernt werden.
(1211221)

Es fehlen die Prozessbeschreibungen für die Prozesse aus dem Bereich Service Assurance (8.7).
(1211220)

AMS 19011:2018 Fnd - de - sample set1 - v1

Wobei handelt es sich definitionsgemäß um Eigenschaften eines Audits? (Mehrfachnennung möglich)

(1158461)

Jedes Audit muss von einem externen Auditor durchgeführt werden.
(1211460)

Ein Audit ist ein unabhängiger Prozess.
(1211457)

Ein Audit ist ein systematischer Prozess.
(1211456)

Welche der folgenden Aussagen sind korrekt im Zusammenhang mit Auditnachweisen, Auditfeststellungen und Auditschlussfolgerungen? (Mehrfachnennung möglich)

(1158462)

Der Auditnachweis spiegelt die Ergebnisse der Bewertung der Auditergebnisse anhand der Auditkriterien wider.
(1211468)

Auditergebnisse spiegeln das Ergebnis eines Audits nach Prüfung der Auditziele und aller Auditschlussfolgerungen wider.
(1211466)

Auditnachweise umfassen Aufzeichnungen, Tatsachenfeststellungen oder andere Informationen, die für die Auditkriterien relevant sind.
(1211462)

Welche der folgenden Rollen könnten Teil des Auditteams sein? (Mehrfachnennung möglich)

(1158463)

Audit Auftraggeber
(1211479)

Sachkundiger
(1211476)

Audit Team Leiter (Auditteam Leader)
(1211469)

Welche der folgenden Aussagen sind korrekt hinsichtlich des Auditumfangs, des Auditplans und des Auditprogramms? (Mehrfachnennung möglich)

(1158464)

Ein Auditprogramm beinhaltet die Beschreibung der Aktivitäten und Vorkehrungen für ein einzelnes Audit.
(1211485)

Ein Auditplan spiegelt die Vorkehrungen für eine Reihe von Audits wider.
(1211484)

Der Auditumfang definiert Ausmaß und Grenzen eines Audits.
(1211480)

Welche der folgenden Angaben sind Prinzipien gemäß ISO 19011? (Mehrfachnennung möglich)

(1158465)

Führung
(1211490)

Risikobasierter Ansatz
(1211487)

Faktengestützer Ansatz
(1211486)

Welche der folgenden Situationen sind vereinbar mit den Prinzipien für das Auditieren von Managamentsystemen gemäß ISO 19011? (Mehrfachnennung möglich)

(1158466)

Ein Prozessverantwortlicher führt ein Audit durch, um Möglichkeiten zur Verbesserung des Prozesses unter seiner Verantwortung zu identifizieren.
(1211496)

Eine Person führt ein Audit in der Firma durch, in der sie beschäftigt ist, aber außerhalb ihres eigenen Verantwortungsbereiches.
(1211493)

Während eines Audits werden Auditnachweise anhand von Stichproben der verfügbaren Informationen gesammelt.
(1211492)

Welche der folgenden Aussagen sind im Zusammenhang mit dem Auditprinzip "sachliche Darstellung" korrekt? (Mehrfachnennung möglich)

(1158467)

Die Stichprobennahme sollte angemessen erfolgen.
(1211503)

Auditoren sollten sensibel gegenüber jeglichen Einflüssen sein, die während der Durchführung eines Audits ausgeübt werden können.
(1211502)

Auditberichte sollten die Audittätigkeiten wahrheitsgemäß und genau widerspiegeln.
(1211498)

Welche der folgenden Aussagen sind korrekt hinsichtlich des Prozessablaufes für das Management eines Auditprogramms? (Mehrfachnennung möglich)

(1158468)

Der Prozessablauf folgt dem Ansatz "Vorschlagen-Delegieren-Bestätigen-Anwenden".
(1211509)

Der Prozessablauf schließt mit dem Erstellen und Verteilen des Audit-Berichts ab.
(1211507)

Der Prozessablauf beginnt mit der Festlegung der Ziele des Auditprogramms.
(1211505)

Welche der folgenden Aussagen sind korrekt hinsichtlich der Beziehung zwischen einem Auditprogramm und einem Audit? (Mehrfachnennung möglich)

(1158469)

Die Person, die das Auditprogramm leitet, ist ebenfalls der führende Auditor in allen Audits dieses Auditprogramms.
(1211514)

Ein Auditprogramm kann mehrere Audits umfassen.
(1211511)

Ein Audit kann Teil eines Auditprogramms sein.
(1211510)

Welche der folgenden Aktivitäten sind im Zusammenhang mit dem Auditprogramm-Management Bestandteil der Phase "Umsetzen des Auditprogramms"? (Mehrfachnennung möglich)

(1158470)

Durchführen der Dokumentenprüfung
(1211521)

Vorbereiten des Auditplans für ein einzelnes Audit
(1211520)

Auswahl der Auditteam Mitglieder
(1211516)

Welche der folgenden Aussagen sind korrekt hinsichtlich der typischen Phasen und Aktivitäten im Auditprozess? (Mehrfachnennung möglich)

(1158471)

Zu den Hauptaktivitäten gehören die Einrichtung, Implementierung und Überwachung des Auditprogramms.
(1211526)

Zu den Hauptaktivitäten gehören die Vorbereitung der Audittätigkeiten, Durchführung der Audittätigkeiten, sowie die Erstellung und Verteilung des Auditberichts.
(1211523)

Der Prozessablauf beginnt mit der Veranlassung des Audits.
(1211522)

Welche der folgenden Aktivitäten sind Bestandteil der Phase "Vorbereitung der Auditaktivitäten" im Zusammenhang mit der Durchführung eines Audits (Auditprozess)? (Mehrfachnennung möglich)

(1158472)

Durchführen der Eröffnungsbesprechung
(1211533)

Planung des Auditplans inklusive risikobasiertem Ansatz.
(1211529)

Durchführen der Überprüfung der dokumentierten Information.
(1211528)

Welche der folgenden Aktivitäten sind Bestandteil der Phase "Durchführung der Auditaktivitäten" im Zusammenhang mit der Durchführung eines Audits? (Mehrfachnennung möglich)

(1158473)

Zuweisen von Arbeit an das Auditteam.
(1211539)

Verteilen des Auditberichts.
(1211537)

Überprüfen der dokumentierten Informationen während der Durchführung des Audits.
(1211535)

Wobei handelt es sich um zulässige Methoden zum Sammeln von Informationen, die als Auditnachweis dienen könnten? (Mehrfachnennung möglich)

(1158475)

Wahrnehmungen
(1211551)

Überprüfen der dokumentierten Informationen
(1211548)

Beobachtungen
(1211547)

Was muss ein Auditplan umfassen? (Mehrfachnennung möglich)

(1158476)

Protokoll der Eröffnungssitzung
(1211556)

Arbeitsdokumente (z. B. Fragenlisten), die von den Auditoren verwendet werden
(1211555)

Standorte, Termine, zu erwartende Auditzeiten sowie Dauer der durchzuführenden Audittätigkeiten
(1211553)

Was muss ein Auditbericht beinhalten bzw. referenzieren? (Mehrfachnennung möglich)

(1158477)

Auditfeststellungen und Auditschlussfolgerungen
(1211560)

Termine und Orte an denen die Audittätigkeiten durchgeführt wurden
(1211559)

Auditziele, Auditumfang und Auditkriterien
(1211558)

Welches sind Beispiele für ein professionelles persönliches Verhalten eines Auditors während eines Audits? (Mehrfachnennung möglich)

(1158479)

Der Auditor verweigert grundsätzlich bereits gemachte Feststellungen bei neuen Erkentnissen erneut zu überdenken.
(1211569)

Der Auditor trifft keine Schlussfolgerungen, solange er nicht mit allen geredet hat und jede dokumentierte Information überprüft hat.
(1211568)

Der Auditor ist taktvoll im Umgang mit Menschen.
(1211564)

Welche der folgenden Fähigkeiten sollte ein Auditor im Zusammenhang mit Auditprinzipien, -verfahren und -methoden besitzen? (Mehrfachnennung möglich)

(1158480)

Die Arten von den mit dem Auditieren verbundenen Risiken und Chancen verstehen.
(1211572)

Setzen von Prioritäten.
(1211571)

Verwendung von Arbeitsdokumenten, um Audittätigkeiten aufzuzeichnen.
(1211570)

Welche der folgenden Aussagen bezüglich der High Level Structure (HLS) und Managementsystemnormen sind richtig? (Mehrfachnennung möglich)

(1158485)

Bei kombinierten Audits müssen alle zu prüfenden Managementsysteme in der HLS vorliegen.
(1211725)

Leitfäden wie die ISO 19011 "Leitfaden zur Auditierung von Managementsystemen" müssen der HLS nicht zwingend folgen.
(1211723)

Die Struktur der ersten Gliederungsebene gliedert sich in 10 Hauptkapitel.
(1211720)

Welche der folgenden Aussagen zum Thema Risiko laut dem Leitfaden zum Auditieren von Management Systemen (ISO 19011) sind korrekt? (Mehrfachnennung möglich)

(1158486)

Zur Feststellung des Risikos werden nach ISO 19011 neben Eintrittswahrscheinlichkeit und Schadenshöhe auch immer wirtschaftliche Faktoren berücksichtigt.
(1211733)

Der risikobasierte Ansatz sollte die Planung, Durchführung und Berichterstattung für die Durchführung von Audits maßgeblich beeinflussen.
(1211730)

Das Risiko wird als die Auswirkung von Ungewissheit beschrieben.
(1211728)

AMS 19011:2018 COMBI - de - sample set1 - v1 - part1 - 3 answers

Welche der folgenden Schritte sind bei einer Stichprobenentnahme normalerweise eingebunden? (Mehrfachnennung möglich)

(1158455)

Zusammenstellen, Bewerten, Berichten und Dokumentieren der Ergebnisse
(1211422)

Auswählen des Umfangs sowie der Zusammensetzung der Grundgesamtheit, aus der Proben zu entnehmen sind
(1211418)

Auswählen einer Methode zur Stichprobenentnahme
(1211419)

Für ein Managementsystem-Audit sind die folgenden Voraussetzungen ein Teil der Auditkriterien: "Die Organisation muss sicherstellen, dass die Personen, die für sie arbeiten, kompetent sind auf der Basis einer entsprechenden Ausbildung, Erfahrung oder eines Trainings. Die Organisation muss, wo maßgeblich, handeln um die notwendige Kompetenz zu erreichen, sowie die Effektivität der unternommenen Aktionen evaluieren." Welches sind Beispiele, die eine Situation oder Feststellung einer klaren Nichtkonformität anzeigen? (Mehrfachnennung möglich)

(1158459)

Das Trainings- und Sensibilisierungsprogramm umfasst etwa 20 verschiedene Trainingsmodule. Basierend auf der Bedeutung des Trainingserfolgs für Geschäftsabläufe entschied das Top-Management, dass eine formale Bewertung der Effektivität nur für die Hälfte der Trainings- und Sensibilisierungsmodule durchgeführt wird. Diese Entscheidung wird jährlich im Rahmen der Managementbewertung überprüft.
(1211448)

Bei bestimmten Tätigkeiten werden neue Mitarbeiter von erfahrenen Mitarbeitern am Arbeitsplatz geschult. Es gibt keine formale außerbetriebliche Ausbildung, die das Traineeprogramm ergänzt.
(1211447)

Eine Person, die seit längerer Zeit als Teil eines wichtigen Geschäftsprozesses arbeitet, ist nicht in der Lage, eine wichtige Softwareanwendung gemäß dem Prozess zu betreiben. Sie hat keine Schulung zu diesem Thema erhalten.
(1211445)

Während eines Managementsystem-Audits haben Sie Beweise gesammelt, um den Grad der Konformität der Kontrolle der dokumentierten Informationen (Dokumentenlenkung) zu evaluieren. Welches sind, unter Berücksichtigung der Voraussetzungen aus den Managementsystem-Normen, Beispiele, die eine klare Nichtkonformität anzeigen ? (Mehrfachnennung möglich)

(1158460)

Eine Richtlinie gibt an, für welche Arten von dokumentierten Informationen ein Änderungsverlauf aufgezeichnet werden muss, um die Änderungen zwischen verschiedenen Versionen zu identifizieren. Für einige Arten dokumentierter Informationen ist gemäß der Richtlinie keine Änderungshistorie erforderlich.
(1211453)

Einige Dokumente werden von der obersten Leitung vor der Verteilung nicht offiziell genehmigt.
(1211452)

Die Richtlinien und Verfahren zur Dokumentensteuerung befassen sich nicht mit der Steuerung von Änderungen (z. B. Versionskontrolle).
(1211449)

Wobei handelt es sich definitionsgemäß um Eigenschaften eines Audits? (Mehrfachnennung möglich)

(1158461)

Jedes Audit muss von einem externen Auditor durchgeführt werden.
(1211460)

Ein Audit ist ein unabhängiger Prozess.
(1211457)

Ein Audit ist ein systematischer Prozess.
(1211456)

Welche der folgenden Angaben sind Prinzipien gemäß ISO 19011? (Mehrfachnennung möglich)

(1158465)

Führung
(1211490)

Risikobasierter Ansatz
(1211487)

Faktengestützer Ansatz
(1211486)

Welche der folgenden Situationen sind vereinbar mit den Prinzipien für das Auditieren von Managamentsystemen gemäß ISO 19011? (Mehrfachnennung möglich)

(1158466)

Ein Prozessverantwortlicher führt ein Audit durch, um Möglichkeiten zur Verbesserung des Prozesses unter seiner Verantwortung zu identifizieren.
(1211496)

Eine Person führt ein Audit in der Firma durch, in der sie beschäftigt ist, aber außerhalb ihres eigenen Verantwortungsbereiches.
(1211493)

Während eines Audits werden Auditnachweise anhand von Stichproben der verfügbaren Informationen gesammelt.
(1211492)

Welche der folgenden Aussagen sind im Zusammenhang mit dem Auditprinzip "sachliche Darstellung" korrekt? (Mehrfachnennung möglich)

(1158467)

Die Stichprobennahme sollte angemessen erfolgen.
(1211503)

Auditoren sollten sensibel gegenüber jeglichen Einflüssen sein, die während der Durchführung eines Audits ausgeübt werden können.
(1211502)

Auditberichte sollten die Audittätigkeiten wahrheitsgemäß und genau widerspiegeln.
(1211498)

Welche der folgenden Aussagen sind korrekt hinsichtlich des Prozessablaufes für das Management eines Auditprogramms? (Mehrfachnennung möglich)

(1158468)

Der Prozessablauf folgt dem Ansatz "Vorschlagen-Delegieren-Bestätigen-Anwenden".
(1211509)

Der Prozessablauf schließt mit dem Erstellen und Verteilen des Audit-Berichts ab.
(1211507)

Der Prozessablauf beginnt mit der Festlegung der Ziele des Auditprogramms.
(1211505)

Welche der folgenden Aussagen sind korrekt hinsichtlich der Beziehung zwischen einem Auditprogramm und einem Audit? (Mehrfachnennung möglich)

(1158469)

Die Person, die das Auditprogramm leitet, ist ebenfalls der führende Auditor in allen Audits dieses Auditprogramms.
(1211514)

Ein Auditprogramm kann mehrere Audits umfassen.
(1211511)

Ein Audit kann Teil eines Auditprogramms sein.
(1211510)

Welche der folgenden Aktivitäten sind im Zusammenhang mit dem Auditprogramm-Management Bestandteil der Phase "Umsetzen des Auditprogramms"? (Mehrfachnennung möglich)

(1158470)

Durchführen der Dokumentenprüfung
(1211521)

Vorbereiten des Auditplans für ein einzelnes Audit
(1211520)

Auswahl der Auditteam Mitglieder
(1211516)

Welches sind Beispiele für ein professionelles persönliches Verhalten eines Auditors während eines Audits? (Mehrfachnennung möglich)

(1158479)

Der Auditor verweigert grundsätzlich bereits gemachte Feststellungen bei neuen Erkentnissen erneut zu überdenken.
(1211569)

Der Auditor trifft keine Schlussfolgerungen, solange er nicht mit allen geredet hat und jede dokumentierte Information überprüft hat.
(1211568)

Der Auditor ist taktvoll im Umgang mit Menschen.
(1211564)

Welche der folgenden Aussagen bezüglich der High Level Structure (HLS) und Managementsystemnormen sind richtig? (Mehrfachnennung möglich)

(1158485)

Bei kombinierten Audits müssen alle zu prüfenden Managementsysteme in der HLS vorliegen.
(1211725)

Leitfäden wie die ISO 19011 "Leitfaden zur Auditierung von Managementsystemen" müssen der HLS nicht zwingend folgen.
(1211723)

Die Struktur der ersten Gliederungsebene gliedert sich in 10 Hauptkapitel.
(1211720)

Welche der folgenden Aussagen zum Thema Risiko laut dem Leitfaden zum Auditieren von Management Systemen (ISO 19011) sind korrekt? (Mehrfachnennung möglich)

(1158486)

Zur Feststellung des Risikos werden nach ISO 19011 neben Eintrittswahrscheinlichkeit und Schadenshöhe auch immer wirtschaftliche Faktoren berücksichtigt.
(1211733)

Der risikobasierte Ansatz sollte die Planung, Durchführung und Berichterstattung für die Durchführung von Audits maßgeblich beeinflussen.
(1211730)

Das Risiko wird als die Auswirkung von Ungewissheit beschrieben.
(1211728)

AMS 19011:2018 COMBI - de - sample set1 - v1 - part2 - 4 answers

Welche folgenden Aussagen in Bezug auf Audits sind korrekt? (Mehrfachnennung möglich)

(1158432)

Wenn zwei oder mehrere auditierende Organisationen zusammenarbeiten, um eine einzelne Organisation zu auditieren, wird dies als kombiniertes Audit bezeichnet.
(1211268)

Interne Audits werden auch als "third party audits" bezeichnet.
(1211267)

Interne Audits werden von Personen durchgeführt, die für die zu auditierende Arbeit verantwortlich sind.
(1211266)

Ein Audit ist ein systematischer, unabhängiger und dokumentierter Prozess.
(1211209)

Ein Auditprogramm sollte Informationen und notwendige Ressourcen beinhalten, um seine Audits effektiv und effizient zu organisieren und durchzuführen. Welche der folgenden Angaben können ein Teil dieser Informationen sein? (Mehrfachnennung möglich)

(1158439)

Detaillierte logistische Vorbereitung für ein einzelnes Audit
(1211300)

Erforderliche Ressourcen, einschließlich Reisezeit und Unterkünfte.
(1211297)

Umfang, Anzahl, Arten, Dauer, Standorte, Zeitplan der Audits
(1211296)

Ziele für das Auditprogramm sowie für die einzelnen Audits
(1211295)

Welche der folgenden Aussagen sind valide Beispiele von Aktivitäten, die durchgeführt werden könnten, um ein Auditprogramm zu überwachen? (Mehrfachnennung möglich)

(1158440)

Überprüfung eines Teils der dokumentierten Information des Managementsystems, das auditiert wird und die Auswertung, ob die Auditkriterien erfüllt sind.
(1211305)

Auswertung, in welchem Grad Auditberichte im Einklang mit Plänen und Verfahren pünktlich bereitgestellt wurden.
(1211303)

Auswertung, ob die Audits wie geplant durchgeführt wurden.
(1211302)

Auswerten des Feedbacks von der auditierenden Organisation bezüglich der Leistung des Auditors.
(1211301)

Welche der folgenden Aktivitäten beziehen sich auf die Phase "Festlegen des Auditprogramms" im Kontext des Managens eines Auditprogramms? (Mehrfachnennung möglich)

(1158441)

Auswählen der Auditmethoden für ein einzelnes, bestimmtes Audit.
(1211314)

Festlegen der Ziele, des Umfangs und der Kriterien für ein einzelnes, bestimmtes Audit.
(1211312)

Die externen und internen Themen sowie die Risiken und Chancen, die das Auditprogramm beeinträchtigen könnten, bestimmen.
(1211309)

Das Ausmaß eines Auditprogammes nach den betreffenden Zielen und den bekannten Vorgaben festlegen.
(1211308)

Welche der folgenden Aussagen sind Teilaufgaben der Aktivität "Vorbereiten der Audittätigkeiten" im Auditprozess? (Mehrfachnennung möglich)

(1158442)

Herstellen des Erstkontakts mit der zu auditierenden Organisation
(1211321)

Zuweisen von Arbeit an das Auditteam
(1211319)

Risikobasierte Planung des Audits
(1211318)

Durchführen der Überprüfung der dokumentierten Information
(1211317)

Welche der folgenden Aussagen sind Teilaufgaben der Aktivität "Durchführen der Audittätigkeiten" im Auditprozess? (Mehrfachnennung möglich)

(1158443)

Verteilen des Auditberichts
(1211335)

Erstellen von Arbeitsdokumenten
(1211333)

Sammeln und Verifizieren von Informationen
(1211327)

Durchführen der Eröffnungsbesprechung
(1211326)

Welche der folgenden Elemente sollten in einer Eröffnungsbesprechung berücksichtigt werden? (Mehrfachnennung möglich)

(1158445)

Darstellung der Auditfeststellungen.
(1211348)

Bestätigung des Auditplans und weiterer relevanter Vereinbarungen mit der zu auditierenden Organisation.
(1211345)

Bestätigung der Auditziele, des Auditumfangs und der Auditkriterien.
(1211344)

Vorstellung der Teilnehmer, einschließlich der Beobachter und Betreuer.
(1211343)

Welche der folgenden Aussagen sind korrekt bezüglich der Kommunikation während eines Audits? (Mehrfachnennung möglich)

(1158446)

Nachweise, die beim Audit gesammelt werden und gegenüber den Auditkriterien eine Nonkonformität darstellen, sollten der auditierten Organisation und ggf. dem Auditauftraggeber unverzüglich mitgeteilt werden.
(1211355)

Nachweise, die beim Audit gesammelt werden und die auf ein unmittelbares und signifikantes Risiko für die zu auditierende Organisation hinweisen, sollten der auditierten Organisation und ggf. dem Auditauftraggeber unverzüglich mitgeteilt werden.
(1211353)

Der Auditteamleiter sollte in regelmäßigen Abständen der auditierten Organisation und ggf. dem Auditauftraggeber den Fortgang des Audits sowie etwaige Probleme mitteilen.
(1211352)

Das Auditteam sollte in regelmäßigen Abständen Rücksprache halten, um Informationen auszutauschen und den Fortgang des Audits zu bewerten.
(1211351)

Welche der folgenden Aussagen sind korrekt bezüglich des Sammelns und Verifizierens von Informationen während der Durchführung eines Audits? (Mehrfachnennung möglich)

(1158448)

Nach dem Sammeln und Verifizieren von Informationen folgt sofort die Aktivität der Bewertung der Auditschlussfolgerungen.
(1211372)

Auditfeststellungen werden erarbeitet, bevor das Sammeln und Verifizieren der Informationen beginnt.
(1211371)

Die Überprüfung dokumentierter Informationen ist eine Methode zum Sammeln von Informationen während eines Audits.
(1211368)

Interviews und Beobachtungen sind Methoden zum Sammeln von Informationen während eines Audits.
(1211367)

Welche der folgenden Antworten spiegeln zwei aufeinanderfolgende Aktivitäten im Auditprozess in der richtigen Reihenfolge wieder? (Mehrfachnennung möglich)

(1158449)

Umsetzen des Auditprogramms und Überwachen des Auditprogramms
(1211382)

Festlegen des Auditprogramms und Umsetzen des Auditprogramms
(1211381)

Durchführen von Auditfolgemaßnahmen und dann Abschließen des Audits
(1211380)

Abschließen des Audits und dann Durchführen von Auditfolgemaßnahmen
(1211377)

In welchen der folgenden Bereiche sollten Managementsystem-Auditoren ein allgemeines Wissen und Fertigkeiten besitzen, um ein Audit durchzuführen? (Mehrfachnennung möglich)

(1158450)

Beschaffungsstrategien für Human Resources
(1211389)

Finanzbuchhaltung
(1211388)

Zutreffende gesetzliche und vertragliche Anforderungen
(1211386)

Organisatorischer Kontext
(1211385)

Audit-Teamleiter sollten zusätzliche Kenntnisse und Fähigkeiten für die Leitung des Auditteams besitzen, um die effiziente und effektive Durchführung eines Audits zu unterstützen. Welche Fähigkeiten sind das? (Mehrfachnennung möglich)

(1158451)

Bereitstellung einer disziplinspezifischen Schulung für die Mitglieder des Auditteams.
(1211397)

Festlegung von Verfahren zur Auswahl geeigneter Auditteams, Durchführung von Audits und Pflege von Auditprogrammaufzeichnungen.
(1211396)

Erstellen und Abschließen des Auditberichts.
(1211394)

Leiten des Auditteams, um zu den Auditschlussfolgerungen zu gelangen.
(1211393)

Welche der folgenden Aussagen hinsichtlich der Anwendung der Audit-Methoden sind korrekt? (Mehrfachnennung möglich)

(1158452)

Remote-Audit-Aktivitäten sind nur erlaubt, wenn die Aktivitäten keine menschliche Interaktion erfordern.
(1211403)

Die Beobachtung durchgeführter Arbeitsschritte erfordert menschliche Interaktion.
(1211402)

Interviews können sowohl vor Ort als auch aus der Ferne durchgeführt werden.
(1211400)

Dokumentenprüfungen können mit oder ohne menschliche Interaktion durchgeführt werden.
(1211398)

In einem Managementsystem-Audit sind die folgenden Anforderungen ein Teil der Auditkriterien: "Die oberste Leitung muss eine Qualitätspolitik festlegen, implementieren und pflegen. Diese Qualitätspolitik muss in dokumentierter Form verfügbar sein und gepflegt werden, kommuniziert werden, verstanden und innerhalb der Organisation angewendet werden, sowie in angemessener Weise relevanten, interessierten Parteien verfügbar sein." Wobei handelt es sich um Situationen oder Feststellungen, die klar auf eine Nichtkonformität hindeuten? (Mehrfachnennung möglich)

(1158458)

Die Qualitätspolitik wurde vom Mutterkonzern kopiert und nur an entscheidenen Stellen angepasst.
(1211698)

Die Qualitätspolitik existiert nur digital. Sie ist nicht in Papierform dokumentiert.
(1211442)

Die Qualitätspolitik ist viel kürzer als bei anderen vergleichbaren Organisationen, die ein ähnliches Managementsystem betreiben.
(1211443)

Die Qualitätspolitik enthält veraltete Informationen über die Organisation, die seit einigen Jahren nicht aktualisiert wurden.
(1211441)

Welche der folgenden Aussagen sind hinsichtlich der Auditprogramme richtig? (Mehrfachnennung möglich)

(1158481)

Für jedes einzelne Audit in einem Auditprogramm werden die Verfahren für die Durchführung der Audittätigkeiten gesondert festgelegt.
(1211581)

Die Person, die ein Auditprogramm leitet, fungiert immer auch als leitender Auditor für alle Audits, die Teil des Auditprogramms sind.
(1211580)

Alle Audits, die Teil desselben Audit-Programms sind, müssen den gleichen Umfang haben.
(1211579)

Ein Audit-Programm umfasst in der Regel eine größere Zeitspanne als ein einzelnes Audit.
(1211578)

Während eines Managementsystem-Audits haben Sie Nachweise gesammelt, um den Grad der Konformität der Leistungsbewertung und der kontinuierlichen Verbessserung zu evaluieren. Unter Berücksichtigung der Voraussetzungen aus den Managementsystemnormen zeigen welche der folgenden Beispiele eine Situation oder Feststellungen einer klaren Nichtkonformität an? (Mehrfachnennung möglich)

(1158482)

Ein internes Audit-Programm wurde definiert. Da die Organisation keine Personen beschäftigt, die für die Durchführung von Managementsystem-Audits qualifiziert sind, wurden alle internen Audits von externen Auditoren durchgeführt.
(1211590)

Die Bewertung der wichtigsten Leistungsindikatoren hat gezeigt, dass ein bestimmtes Vorgehen nicht effektiv funktioniert.
(1211589)

Während eines internen Audits wurden eine Reihe von Verbesserungsvorschlägen identifiziert und aufgezeichnet. Einige dieser Vorschläge wurden nicht implementiert.
(1211588)

Ergebnisse aus internen Audits wurden nicht als Input für Management Reviews berücksichtigt.
(1211586)

Was sollte ein Auditbericht beinhalten bzw. referenzieren? (Mehrfachnennung möglich)

(1158484)

Leistungsbewertung des Auditteams durch die zu auditierende Organisation
(1211609)

Ergebnisse von Follow-up-Maßnahmen, die von der geprüften Stelle unternommen wurden, um während des Audits festgestellte Nichtkonformitäten zu beheben
(1211608)

Duplikate aller Dokumentenmuster, die als Auditnachweise verwendet werden
(1211607)

Identifizierung der Mitglieder des Auditteams und der Audit-Teilnehmer am Audit
(1211606)

ISA+ - de - sample set 1 - v1

Der ISA+ Informations-Sicherheits-Analyse Fragenkatalog gliedert sich in drei Themengebiete. Welche der folgenden gehören dazu? (Mehrfachnennung möglich)

(168859)

Informationen
(334231)

Technik
(334229)

Organisation
(334228)

Welche der folgenden Bausteine gehören zu den zentralen inhaltlichen Bausteinen einer Informationssicherheitsleitlinie? (Mehrfachnennung möglich)

(168860)

Risikoabwägung
(334242)

Bereitschaft der Unternehmensleitung zur Durchsetzung der Leitlinie
(334237)

Stellenwert der Informationssicherheit im Unternehmen
(334235)

Welche der folgenden Aussagen sind im Hinblick auf die Rolle eines Datenschutzbeauftragten korrekt? (Mehrfachnennung möglich)

(168861)

Er ist Geheimnisträger und kennt alle auch sehr vertrauliche Geschäftsgeheimnisse.
(334248)

Der Datenschutzbeauftragte kann auch eine externe Person sein.
(334249)

In kleinen Unternehmen kann der Informationssicherheitsbeauftragte zusätzlich Datenschutzbeauftragter sein.
(334243)

Ordnen Sie die Hierarchie der Dokumente vom Allgemeinen zum Speziellen: (Mehrfachnennung möglich)

(168862)

Leitlinie, Handlungsanweisung, Konzept
(334252)

Leitlinie, Konzept, Handlungsanweisung
(334251)

Handlungsanweisung, Konzept, Leitlinie
(334250)

Zu den zentralen Schutzzielen der Informationssicherheit gehören welche der folgenden Optionen? (Mehrfachnennung möglich)

(168863)

Kontinuierliche Verbesserung
(334258)

Sensibilisierung
(334257)

Integrität
(334254)

Technische Maßnahmen alleine sind zur Sicherstellung der Informationssicherheit im Unternehmen nicht ausreichend. Welche weiteren Maßnahmen sind zu ergreifen? (Mehrfachnennung möglich)

(168865)

Abschluss einer Versicherung
(334271)

Mitteilung über aktuelle Bedrohungen
(334267)

Schulung der Mitarbeiter
(334266)

Welche Aussagen sind in Bezug auf die Verwaltung von Passwörtern wahr? (Mehrfachnennung möglich)

(168866)

Password-Sharing ist bei Vertretungsregelungen grundsätzlich erlaubt.
(334277)

Passwörter sind laut ISA+ Informations-Sicherheits-Analyse Vorgaben zwingend alle 30 Tage zu ändern.
(334276)

Eine Passwortrichtlinie muss erstellt und freigegeben sein.
(334272)

Welche der folgenden Optionen gehören zu den Anforderungen und Inhalten eines Rechtekonzepts? (Mehrfachnennung möglich)

(168868)

Großer Berechtigungskreis, damit Vertretung erleichtert wird.
(334290)

Dokumentation aller Vergabe- und Entzugsprozesse.
(334286)

Prinzip der geringsten Berechtigung.
(334285)

Welche Aussagen sind im Unternehmen in Bezug auf den Umgang mit Schadsoftware richtig? (Mehrfachnennung möglich)

(168869)

Virenscanner sind heutzutage nicht mehr notwendig, da Betriebssysteme mittlerweile andere Maßnahmen zum Schutz vor Schadsoftware eingebaut haben (z.B. ASLR bei Windows).
(334296)

Auf Serversystemen ist ein Virenscanner überflüssig.
(334295)

Auf jedem System muss eine geeignete Abwehrmaßnahme (z.B. ein Virenscanner) installiert sein.
(334291)

Was ist bezüglich der Beauftragung von externem Service Personal wahr? (Mehrfachnennung möglich)

(168871)

Nur Zutritt zu unbedenklichen Räumen geben.
(334306)

Wichtige Räumlichkeiten abschließen.
(334305)

Das beaufsichtigende Personal muss dementsprechend geschult sein, um Handlungen zu erkennen.
(334307)

Wie läuft der Zertifizierungsprozess ab? (Mehrfachnennung möglich)

(168873)

Die Gültigkeit des Zertifikats beträgt 12 Monate.
(334321)

Zwischen Antrag und Audit dürfen maximal 12 Monate liegen.
(334319)

Im Rahmen des Auditantrags muss eine Selbsteinschätzung eingereicht werden.
(334316)

Beeinträchtigungen der Informationssicherheit können zu folgenden Eigenschäden der Organisation führen: (Mehrfachnennung möglich)

(168875)

Verletzung von Persönlichkeitsrechten von Kunden und Bürgern
(334332)

Geldstrafe für den IT-Leiter
(334333)

Bußgelder
(334327)

Welche Aussagen sind zutreffend? (Mehrfachnennung möglich)

(168876)

Nur schwere Sicherheitsvorfälle sind dem Informationssicherheitsbeauftragten zu melden.
(334337)

Datensicherheit und Datenschutz sind deckungsgleiche Begriffe.
(334335)

Verträge, Richtlinien, Dienstvereinbarungen /-anweisungen zählen zur „IT-Compliance“.
(334341)

Welche Stellung und Aufgaben muss der/die Informationssicherheitsbeauftragte in der Organisation erhalten? (Mehrfachnennung möglich)

(168877)

Die Sicherheits- und Notfallvorsorgekonzepte erstellen sowie weitere Richtlinien und Regelungen zur Informationssicherheit koordinieren.
(334345)

Die Leitungsebene bei der Erstellung der Leitlinie zur Informationssicherheit unterstützen.
(334344)

Informationssicherheitsprozess steuern und bei allen damit zusammenhängenden Aufgaben mitwirken.
(334343)

Welche Lösungsmöglichkeiten gibt es für den Konflikt zwischen E-Mail-Überwachung bzw. Archivierung und Fernmeldegeheimnis/Datenschutz? (Mehrfachnennung möglich)

(168881)

Gesonderte „Surf-Stationen“ beim Betriebs- / Personalrat
(334378)

Ausschließlich webbasierter Zugriff auf private Mail-Accounts
(334374)

Totalverbot des Einsatzes von E-Mails zu privaten Zwecken
(334373)

In der zu überprüfenden Gemeinde werden die Checklisten für den Ein- und Austritt von Mitarbeitern überprüft. Vom ISA+ Informations-Sicherheits-Analyse-Prüfer wird der Reifegrad 2 erteilt. Welche Maßnahme (neben anderen) muss getroffen werden, um den Reifegrad auf 3 zu heben? (Mehrfachnennung möglich)

(1158488)

Die alten Versionen (Zeitraum 3 Jahre) der Checklisten müssen vorliegen.
(1211743)

Mit der Erstellung von Checklisten muss zeitnah begonnen werden.
(1211742)

Ein Verfahren ist definiert, das festlegt, wer für die Erteilung von Zugangsberechtigungen zuständig ist.
(1211744)

Bei der Akteneinsicht ergibt sich folgende Regelung für die Aktualisierung von Virenscannern in der zu überprüfenden Gemeinde: Updates werden automatisch nach Veröffentlichung des Virenscanner-Herstellers installiert. Dies wird gemäß ISA+ Informations-Sicherheits-Analyse Fragenkatalog als Reifegrad 1 bewertet. Welche der folgenden Maßnahmen (neben anderen) müssen etabliert sein, um den Reifegrad auf 2 zu erhöhen? (Mehrfachnennung möglich)

(1158489)

Die Mitarbeiter erhalten ein Merkblatt, dass sie die erfolgreiche Installation der Updates wöchentlich überprüfen sollen.
(1211751)

Geprüfte und freigegebene Updates werden automatisch installiert.
(1211749)

Updates für den Virenscanner werden geprüft und freigegeben.
(1211748)

Die IT-Betreuerin der zu überprüfenden Gemeinde wird zum Thema Passwortrichtlinie befragt. Diese gibt an, dass mit der Erstellung einer Gruppenrichtlinie begonnen wurde, um die vorhandene Richtlinie auch technisch durchzusetzen. Welchen höchsten Reifegrad nach ISA+ Informations-Sicherheits-Analyse hat die Gemeinde mit dieser Maßnahme erreicht? (Mehrfachnennung möglich)

(1158490)

Reifegrad 2
(1211757)

Reifegrad 0
(1211755)

Reifegrad 1
(1211756)

Der ISA+ Informations-Sicherheits-Analyse-Prüfer interviewt einen Mitarbeiter aus der zu überprüfenden Gemeinde, welche Maßnahmen zu treffen sind, wenn dritte Personen (z.B. Handwerker) im Haus sind. Er gibt an, dass diese immer beaufsichtigt werden und Räumlichkeiten, in denen sich sensible Akten befinden, vorsorglich abgesperrt werden. Dieses Verfahren ist auch so dokumentiert. Welchem ISA+ Informations-Sicherheits-Analyse Reifegrad entspricht dies (nur den höchsten RG angeben)? (Mehrfachnennung möglich)

(1158491)

Reifegrad 0
(1211759)

Reifegrad 1
(1211760)

Reifegrad 3
(1211762)

Bei der Akteneinsicht wird überprüft, ob die gesetzlichen Anforderungen an die Informationsverarbeitung eingehalten werden. In der zu überprüfenden Gemeinde existiert ein Verzeichnis mit allen aktuellen Verfahren und zu jedem ist eine verantwortliche Person benannt. Diese überprüft in regelmäßigen Abständen die Durchführung. Aus den Dokumenten ergibt sich jedoch kein Vorgehen für die Dokumentation neuer oder die Veränderung bestehender Verfahren im Verzeichnis.
Bewerten Sie den höchsten Reifegrad nach ISA+ Informations-Sicherheits-Analyse (Mehrfachnennung möglich)

(1158492)

Reifegrad 3
(1211766)

Reifegrad 1
(1211764)

Reifegrad 2
(1211765)

Security Management nach TISAX - de - sample set1 - v1

Aus welchen Gründen besteht die Automobilindustrie auf ein erhöhtes Sicherheitsniveau bei ihrer Lieferantenkette? (Mehrfachnennung möglich)

(1158493)

Erhöhung der Informationssicherheit durch mehr Transparenz gegenüber der Konkurrenz.
(1211779)

Die Automobilindustrie möchte den administrativen Aufwand erhöhen, um die Qualität zu sichern.
(1211778)

Industriespionage
(1211774)

Welche Aussagen in Bezug auf Sicherheitsereignisse und -vorfälle sind wahr? (Mehrfachnennung möglich)

(1158494)

Ein Sicherheitsvorfall sollte auf gar keinen Fall kommuniziert werden.
(1211787)

Ein Sicherheitsereignis ist auch immer ein Sicherheitsvorfall.
(1211786)

Bei Feststellung der Ausnutzung einer Sicherheitslücke innerhalb des Unternehmens handelt es sich um einen Sicherheitsvorfall.
(1211782)

Welche der folgenden Aussagen zu TISAX und ISO27001 sind korrekt? (Mehrfachnennung möglich)

(1158495)

Bei der ISO27001 handelt es sich um einen branchenspezifischen Standard.
(1211794)

Das Zertifikat nach ISO27001 kann auch mit einer Abweichung erteilt werden.
(1211791)

Bei TISAX wird ein Standardscope verwendet.
(1211790)

Welche der folgenden Kataloge sind Bestandteil des VDA ISA 5.0? (Mehrfachnennung möglich)

(1158496)

IT-Sicherheit
(1211803)

Werksicherheit
(1211802)

Informationssicherheit
(1211798)

Was kann mit einer KPI (Key Performance Indicator) innerhalb eines Management Systems gemessen werden? (Mehrfachnennung möglich)

(1158497)

Effektivität
(1211808)

Effizienz
(1211807)

Konformität
(1211806)

Welche Aussagen zu den Anforderungsstufen sind korrekt? (Mehrfachnennung möglich)

(1158498)

Die "sollte"-Anforderungen sind Anregungen, müssen aber nicht erfüllt werden.
(1211818)

Eine "sollte"-Anforderung kann bei begründeten und belegten Ausnahmen ausgeschlossen werden.
(1211815)

Eine "muss"-Anforderung ist bei einer TISAX Prüfung zwingend zu erfüllen.
(1211814)

Was sind Kapitel des Katalogs Informationssicherheit nach VDA ISA? (Mehrfachnennung möglich)

(1158499)

Work Security
(1211827)

Data Security
(1211826)

IT Security
(1211822)

Welche Aussagen zur Zertifizierungsabfolge nach TISAX sind korrekt? (Mehrfachnennung möglich)

(1158500)

Die Registrierung bei der ENX erfolgt nach dem initialen Assessment.
(1211834)

Nach dem Zertifizierungsaudit erfolgt die Meldung an die ENX.
(1211831)

Nach der Registrierung bei der ENX erfolgt die Auswahl der Zertifizierungsstelle.
(1211830)

Welche Feststellungen können in einem Audit nach TISAX durch die Zertifizierungsstelle bemerkt werden? (Mehrfachnennung möglich)

(1158501)

Bedrohung
(1211843)

Schwachstelle
(1211842)

Hauptabweichung
(1211838)

In den Hinweisen nach VDA ISA werden folgende Themengebiete beschrieben: (Mehrfachnennung möglich)

(1158502)

Firewallregeln
(1211850)

Optiken
(1211847)

Sicherheitszonen
(1211846)

Welche Arten von Dokumenten müssen typischerweise innerhalb von Managementsystemen gelenkt werden? (Mehrfachnennung möglich)

(1158503)

Vertragsunterlagen
(1211859)

Prozesse
(1211855)

Richtlinien
(1211854)

Welche Aspekte sind im Kapitel Human Ressources nach VDA ISA 5.0 gefordert? (Mehrfachnennung möglich)

(1158504)

Jeder Mitarbeiter muss ein polizeiliches Führungszeugnis vorlegen
(1211866)

Information über geltende Richtlinien
(1211863)

Gültige Geheimhaltungsvereinbarungen
(1211862)

Welche Aussagen zum VDA ISA 5.0 sind korrekt? (Mehrfachnennung möglich)

(1158505)

Datenschutz wird ausschließlich innerhalb des Zusatzkatalogs "Datenschutz" gefordert.
(1211874)

Der Katalog "Datenschutz" wird z.B. bei Unternehmen mit viel oder ausschließlichem Gebrauch von personenbezogenen Daten geprüft.
(1211871)

Der Katalog Informationssicherheit besteht aus insgesamt 41 Controls.
(1211870)

Was soll innerhalb des Kapitels IT Security nach VDA 5.0 erreicht werden? (Mehrfachnennung möglich)

(1158506)

Verbot der Kommunikation mit Dritten
(1211882)

Durchführung von Systemaudits
(1211879)

Sicherer Austausch von Informationen mit Dritten
(1211878)

Im Kapitel Identity und Access Management werden Anforderungen für die Vertraulichkeit von Authentifizierungsinformationen definiert. Welche Maßnahmen können hierbei unterstützen? (Mehrfachnennung möglich)

(1158507)

Verwendung des selben Passworts für alle Anwendungen
(1211891)

Weitergabe von Passwörtern an Kollegen, um sich die Arbeit zu erleichtern
(1211890)

Verwendung von Standardpasswörtern verhindern
(1211886)

Ein Audit ist ein Prozess, mit dem bestimmt werden soll, inwieweit Auditkriterien erfüllt sind. Welche der folgenden Eigenschaften muss dieser Prozess gemäß VDA ISA unter anderem aufweisen? (Mehrfachnennung möglich)

(1158508)

Er muss mit einer Zertiﬁzierung abschließen.
(1211898)

Er muss durch eine externe Partei gesteuert werden.
(1211897)

Er muss systematisch sein.
(1211894)

Zu welchen Themen definiert VDA ISA (Informationssicherheit) Anforderungen im Zusammenhang mit dem Kapitel "IT Sicherheit" (5)? (Mehrfachnennung möglich)

(1158509)

Interne Organisation
(1211903)

Protokollierung und Überwachung
(1211902)

Datensicherung
(1211901)

Worüber müssen sich Personen bewusst sein, die Tätigkeiten für eine Organisation ausüben, die Konformität mit VDA ISA beansprucht? (Mehrfachnennung möglich)

(1158510)

Über die Erklärung zur Anwendbarkeit und die dort enthaltenen Begründungen möglicher Ausschlüsse
(1211911)

Über alle identiﬁzierten Informationssicherheitsrisiken
(1211909)

Über die Informationssicherheitspolitik
(1211906)

Was trifft auf Prozesse im Kontext von Managementsystemen zu? (Mehrfachnennung möglich)

(1158511)

Für Prozesse sollten klare Verantwortlichkeiten und ggf. Schnittstellen mit anderen Prozessen definiert sein.
(1211914)

Prozesse stellen einen Teil bzw. Teile eines Managementsystems dar.
(1211913)

ISO/IEC 27000 deﬁniert einen Prozess als einen Satz zusammenhängender und sich gegenseitig beeinﬂussender Tätigkeiten, der Eingaben in Ergebnisse umwandelt.
(1211912)

Was triﬀt auf den Standard ISO/IEC 27001 zu? (Mehrfachnennung möglich)

(1158512)

Er legt Anforderungen an Konformitätsbewertungsstellen fest.
(1211929)

Er enthält in Form eines Praxisleitfadens Empfehlungen zur Informationssicherheit.
(1211927)

Er formuliert die minimalen Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS).
(1211924)

Was ist in der Phase "Verbesserung" nach VDA ISA fortlaufend zu optimieren? (Mehrfachnennung möglich)

(1158513)

Nachhaltigkeit des ISMS
(1211922)

Genauigkeit des ISMS
(1211921)

Eignung des ISMS
(1211918)

VDA ISA definiert Maßnahmen (Controls) und Anforderungen zu/zur ... (Mehrfachnennung möglich)

(1158514)

Verteilung und Überprüfung von Zertifikaten (Certificate disttribution and validation)
(1211942)

Verwaltung der Werte (Asset management) einer Organisation
(1211937)

Personalsicherheit (Human resource security)
(1211936)

Zu welchen Themen definiert VDA ISA im Katalog Informationssicherheit Ziele und Anforderungen? (Mehrfachnennung möglich)

(1158515)

Energieeffizienz
(1211954)

Betriebliche Gesundheits- und Daseinsvorsorge
(1211953)

Organisation der Informationssicherheit
(1211948)

Welche der folgenden Rahmenwerke, Standards oder Standardfamilien befassen sich schwerpunktmäßig mit IT- oder Informationssicherheit (oder werden als Standard für IT- oder Informationssicherheit bezeichnet)? (Mehrfachnennung möglich)

(1158516)

FitSM
(1211933)

BSI Grundschutz
(1211931)

ISO/IEC 27000
(1211930)

Welche Eigenschaften von Informationen sollen im Rahmen der Informationssicherheit aufrechterhalten werden? (Mehrfachnennung möglich)

(1158517)

Unverletzbarkeit
(1211962)

Stabilität
(1211961)

Vertraulichkeit
(1211958)

Was trifft auf den PDCA-Zyklus zu? (Mehrfachnennung möglich)

(1158518)

P steht für "Perform", D für "Deliver", C für "Control" und A für "Adapt".
(1211967)

PDCA ist ein grundlegender Ansatz zur kontinuierlichen Verbesserung.
(1211965)

P steht für "Plan", D für "Do", C für "Check" und A für "Act".
(1211964)

Welche der folgenden Aussagen zu Maßnahmen (Controls) sind korrekt? (Mehrfachnennung möglich)

(1158519)

Alle Maßnahmen, die die Norm formuliert, sind rein organisatorischer Natur.
(1211974)

Alle Maßnahmen, die die Norm formuliert, sind rein technischer Natur.
(1211973)

Maßnahmen können Prozesse und Richtlinien umfassen.
(1211970)

Was ist Vertraulichkeit? (Mehrfachnennung möglich)

(1158520)

Eine in der ISO/IEC 27000 festgelegte Geheimhaltungsstufe.
(1211978)

Eine der Eigenschaften von Informationen, die im Rahmen der Informationssicherheit aufrechterhalten werden soll.
(1211977)

Eigenschaft, dass Informationen unbefugten Parteien nicht verfügbar gemacht oder offengelegt werden.
(1211976)

Welche der folgenden Aussagen im Zusammenhang mit Vertraulichkeit und Integrität von Informationen sind korrekt? (Mehrfachnennung möglich)

(1158521)

Ein angemessenes Niveau an Vertraulichkeit und Integrität lässt sich nur durch den Einsatz von Verschlüsselung und durch digitale Signaturen erreichen.
(1211985)

Informationen, deren Vertraulichkeit nicht gegeben ist, können auch nicht in ihrer Integrität geschützt werden.
(1211984)

Vertraulichkeit bedeutet Schutz vor Offenlegung von Informationen gegenüber unbefugten Personen.
(1211981)

In welchen der folgenden Fälle liegt eine Verletzung der Integrität vor? (Mehrfachnennung möglich)

(1158522)

Auf ein Dokument wurde unberechtigterweise zugegriffen.
(1211990)

Aus einem Dokument wurden unberechtigterweise Informationen entfernt.
(1211989)

Informationen in einem Dokument wurden unberechtigterweise umorganisiert, also in ihrer Reihenfolge verändert.
(1211987)

Datenschutzbeauftragter Grundlagen - de - sample set - v1

Was ist ein personenbezogenes Datum? (Mehrfachnennung möglich)

(1158613)

Geschäftsgeheimnis
(1212516)

Foto
(1212508)

Geburtsdatum
(1212507)

Welche Schutzziele verfolgt die DSGVO? (Mehrfachnennung möglich)

(1158614)

Förderung der Informationsfreiheit
(1212522)

Schutz von personenbezogenen Daten vor Missbrauch
(1212519)

Stärkung des Grundrechts auf informationelle Selbstbestimmung
(1212518)

Welche grundsätzlichen Aussagen über das BDSG sind richtig? (Mehrfachnennung möglich)

(1158615)

Das BDSG enthält Regelungen, welche diejenigen der DSGVO aushebeln.
(1212535)

Das BDSG findet keine Anwendung auf Vereine oder Verbände.
(1212534)

Das BDSG konkretisiert und ergänzt die DSGVO da, wo es Öffnungsklauseln der DSGVO gestatten.
(1212531)

Welche grundsätzlichen Aussagen über die DSGVO sind richtig? (Mehrfachnennung möglich)

(1158616)

Die DSGVO kann, wo Öffnungsklauseln bestehen, durch nationales Recht konkretisiert werden.
(1212540)

Die DSGVO gilt unmittelbar in allen EU-Mitgliedsstaaten gleichsam.
(1212538)

Die DSGVO sichert ein einheitliches Datenschutzniveau in Europa.
(1212537)

Welche Grundsätze für die Verarbeitung personenbezogener Daten enthält die DSGVO? (Mehrfachnennung möglich)

(1158617)

Integrität und Vertraulichkeit
(1212550)

Datenminimierung
(1212549)

Rechtmäßigkeit der Verarbeitung und Transparenz
(1212548)

Welche Aussagen über die Grundsätze für die Verarbeitung personenbezogener Daten ist falsch? (Mehrfachnennung möglich)

(1158618)

Die Einhaltung der Grundsätze stellt die Grundlage für eine rechtskonforme Datenverarbeitung dar.
(1212567)

Die Grundsätze sind nur eine Empfehlung und nicht verbindlich.
(1212559)

Für ihre Einhaltung besteht keine Rechenschaftspflicht.
(1212558)

Was ist in Bezug auf die Rechtmäßigkeit einer Datenverarbeitung richtig? (Mehrfachnennung möglich)

(1158619)

Die Rechtmäßigkeit kann sich nur aus einer Einwilligung der betroffenen Person in Verbindung mit einem nationalen Gesetz ergeben.
(1212574)

Eine Rechtmäßigkeit kann sich nur aus einer Einwilligung der betroffenen Person ergeben.
(1212573)

Die Rechtmäßigkeit einer Datenverarbeitung kann in bestimmten Fällen eine Interessensabwägung erfordern.
(1212571)

Was gilt es in Bezug auf eine wirksame Einwilligung zu beachten? (Mehrfachnennung möglich)

(1158620)

Die Einwilligung kann auch vorausgesetzt werden, obwohl über diese keine Sicherheit besteht.
(1212585)

Für den Widerruf einer Einwilligung dürfen keine Hürden oder Bedingungen aufgestellt werden.
(1212581)

Die Einwilligung kann durch die betroffene Person jederzeit widerrufen werden.
(1212580)

Welche Arten von Daten zählen zu den besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO? (Mehrfachnennung möglich)

(1158621)

Bank- und Kontodaten
(1212594)

Gehaltsdaten
(1212593)

Sexuelle Orientierung
(1212592)

Welche Aussagen über besondere Kategorien personenbezogener Daten ist richtig? (Mehrfachnennung möglich)

(1158622)

Diese Daten dürfen immer nur unter Einwilligung der betroffenen Person erhoben und verarbeitet werden.
(1212604)

Für die Verarbeitung dieser Daten gilt auch das Verbot mit Erlaubnisvorbehalt.
(1212602)

Ihre Verarbeitung kann auf der Grundlage einer gesetzlichen Vorschrift zwingend erforderlich sein.
(1212601)

Die Rechte der betroffenen Person sind besonders wichtig für die Wahrnehmung des Grundrechts auf informationelle Selbstbestimmung. Welche grundsätzliche Aussagen treffen zu? (Mehrfachnennung möglich)

(1158623)

Die Betroffenenrechte stehen in Deutschland nur Personen mit deutscher Staatsbürgerschaft zu.
(1212613)

Die Betroffenenrechte kann jeder ohne Nennung von Gründen wahrnehmen.
(1212609)

Die Betroffenenrechte sind in der DSGVO beschrieben und werden durch das BDSG geringfügig ergänzt.
(1212608)

Welche Rechte der betroffenen Personen existieren ausdrücklich im Gesetz? (Mehrfachnennung möglich)

(1158624)

Recht zur Datenanalyse
(1212627)

Recht auf Widerspruch und Recht auf Datenübertragbarkeit
(1212621)

Recht auf Berichtigung und Recht auf Einschränkung der Datenverarbeitung
(1212620)

Welche Anforderungen an Informations- und Transparenzpflichten bestehen für Unternehmen? (Mehrfachnennung möglich)

(1158625)

Die Informationspflichten betreffen nur Unternehmen, die mehr als 50 Mitarbeiter haben.
(1212633)

Eine Information über eine Datenerhebung ist bereits zum Zeitpunkt der Erhebung der Daten erforderlich.
(1212630)

Gesetzlich geforderte Informationen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden.
(1212629)

Welche Aussagen zur gesetzlichen Auskunftspflicht sind nicht zutreffend? (Mehrfachnennung möglich)

(1158626)

Die Auskunft muss grundsätzlich innerhalb von einem Monat erteilt werden.
(1212643)

Für die Erteilung der Auskunft kann immer eine Gebühr verlangt werden.
(1212639)

Es genügt, wenn die Auskunft im selben Jahr der eingegangenen Anfrage getätigt wird.
(1212638)

Was ist hinsichtlich der Löschung von Daten zu beachten? (Mehrfachnennung möglich)

(1158627)

Daten müssen immer vollständig gelöscht werden, wenn ein Vertragskunde gekündigt hat.
(1212654)

Daten müssen immer gelöscht werden, wenn betroffene Personen dies fordern.
(1212653)

Einem Löschantrag können gesetzliche Aufbewahrungsfristen entgegenstehen.
(1212652)

Welche Feststellungen zu Rechtsbehelfen, Haftungen und Sanktionen in Bezug auf unrechtmäßige Datenverarbeitungen sind korrekt? (Mehrfachnennung möglich)

(1158629)

Die Aufsichtsbehörden verhängen Bußgelder nur, wenn mehreren betroffenen Personen ein Schaden entstanden ist.
(1212674)

Ein Anspruch auf Schadensersatz steht betroffenen Personen nur zu, wenn ihre Daten unwissentlich verarbeitet worden sind.
(1212673)

Betroffene Personen können einen materiellen oder immateriellen Schaden aus einer unrechtmäßigen Datenverarbeitung erleiden.
(1212671)

Welche Aussagen sind betreffend des Schutzes der Daten von Beschäftigten zutreffend? (Mehrfachnennung möglich)

(1158630)

Wenn vorhanden, muss der Betriebsrat den Datenverarbeitungen vorab immer erst zustimmen.
(1212684)

Für die Verarbeitung von Beschäftigtendaten bedarf es vorab immer einer Einwilligung.
(1212683)

Der Begriff der Beschäftigen ist weit gefasst und umfasst eine Vielzahl von Personengruppen.
(1212678)

Was gilt datenschutzrechtlich hinsichtlich Videoüberwachungen? (Mehrfachnennung möglich)

(1158631)

Die Aufnahmen von Videoüberwachungen dürfen unbegrenzt lange gespeichert werden, wenn diese noch benötigt werden könnten.
(1212694)

Videoüberwachungen bedürfen immer der Einwilligung der betroffenen Personen.
(1212693)

Durch Videoüberwachung erfasste Daten sind personenbezogene Daten, wenn darauf Personen zu sehen sind.
(1212688)

Welche Regelungen trifft die DSGVO hinsichtlich Verantwortliche und Auftragsverarbeiter? (Mehrfachnennung möglich)

(1158632)

Für Auftragsverarbeitungen muss ein Vertrag zur Auftragsverarbeitung zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossen werden.
(1212700)

Der Auftragsverarbeiter darf die Datenverarbeitungen nur den Anweisungen des Verantwortlichen entsprechend verarbeiten.
(1212699)

Der Verantwortliche ist für die Rechtskonformität von Datenverarbeitungen durch seine Auftragsverarbeiter haftbar und verantwortlich.
(1212698)

Was sind Beispiele für eine klassische Auftragsverarbeitung? (Mehrfachnennung möglich)

(1158633)

Botendienste
(1212714)

Reinigungsdienstleistungen
(1212713)

Wartung von Software, bei der dem Dienstleister ein Zugriff auf personenbezogene Daten möglich ist.
(1212708)

Was muss das Verzeichnis der Verarbeitungstätigkeiten zwingend beinhalten? (Mehrfachnennung möglich)

(1158634)

Verträge zur Auftragsverarbeitung
(1212723)

Löschfristen
(1212719)

Art der Daten
(1212718)

Welche Behauptungen über die Pflicht zur Benennung eines Datenschutzbeauftragten und dessen Stellung sind erfunden? (Mehrfachnennung möglich)

(1158635)

In Konzernen kann unter bestimmten Voraussetzungen eine Person als Datenschutzbeauftragter für alle Unternehmen benannt werden.
(1212734)

Die Voraussetzung für eine Benennung zum Datenschutzbeauftragten ist eine ausreichende Fachkunde.
(1212733)

Der DSB ist weisungsberechtigt gegenüber allen Beschäftigten im Unternehmen in Bezug auf das Vorgehen bei der Datenverarbeitung.
(1212728)

Was sind in jedem Fall Aufgaben des Datenschutzbeauftragten? (Mehrfachnennung möglich)

(1158636)

Durchführung der Datenschutz-Folgenabschätzung
(1212744)

Führung des Verzeichnisses der Verarbeitungstätigkeiten
(1212743)

Unterstützung bei der Schulung der Mitarbeiter auf den Datenschutz
(1212742)

Was gilt durch die DSGVO in Bezug auf Übermittlungen von personenbezogenen Daten? (Mehrfachnennung möglich)

(1158637)

Datenübermittlungen an Auftragsverarbeiter können mittels Binding-Corporate-Rules gerechtfertigt werden.
(1212754)

Datenübermittlungen an Dienstleister in den USA können durch den Abschluss von Verträgen zur Auftragsverarbeitung erlaubt sein.
(1212753)

Die Daten müssen während der elektronischer Übermittlungen ausreichend geschützt werden.
(1212748)

Welche Aussagen zur Datenschutz-Folgenabschätzung sind richtig? (Mehrfachnennung möglich)

(1158638)

Eine Datenschutz-Folgenabschätzung ist durchzuführen, wenn ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht.
(1212763)

Der Datenschutzbeauftragte ist frühzeitig in die Durchführung der Datenschutz-Folgenabschätzung einzubinden.
(1212761)

Der Schwerpunkt einer Datenschutz-Folgenabschätzung liegt auf einer Risikoanalyse.
(1212760)

Was sind ausdrückliche Ziele der Sicherheit der Verarbeitung aus Art. 32 DSGVO? (Mehrfachnennung möglich)

(1158639)

Nachhaltigkeit
(1212777)

Pseudonymisierung
(1212770)

Integrität
(1212769)

Welche speziellen Anforderungen stellt die DSGVO an eine Datenverarbeitung mittels technischer Informationssysteme? (Mehrfachnennung möglich)

(1158640)

Privacy by Design
(1212780)

Pseudonymisierung
(1212779)

Anonymisierung
(1212778)

Welche Aussage zur Auswahl von technischen und organisatorischen Maßnahmen ist nicht korrekt? (Mehrfachnennung möglich)

(1158641)

Eine E-Mail-Verschlüsselung erhöht die Vertraulichkeit von Daten während der Übermittlung.
(1212794)

Eine Videoüberwachung erhöht den Schutz vor unberechtigtem Zutritt zu Datenverarbeitungsräumen.
(1212793)

Ein regelmäßiges Backup schützt vor unberechtigtem Zugriff auf Daten.
(1212788)

Wie ist im Fall einer Datenschutzverletzung vorzugehen? (Mehrfachnennung möglich)

(1158642)

Die Aufsichtsbehörde ist unverzüglich einzuladen.
(1212804)

Die Aufsichtsbehörde ist unverzüglich zu informieren.
(1212803)

Es sind umgehend Maßnahmen einzuleiten, um die Verletzung zu stoppen und einer Wiederholung vorzubeugen.
(1212801)

Welche Funktionen übt die Aufsichtsbehörde nicht aus? (Mehrfachnennung möglich)

(1158643)

Sie übernimmt auf Zuruf die Durchführung der Datenschutz-Folgenabschätzung.
(1212813)

Sie geht auch anonymen Beschwerden zum Datenschutz nach.
(1212810)

Sie unterstützt Datenschutzbeauftragte und Verantwortliche bei Fragen zum Datenschutz.
(1212809)

ISA3402 Foundation - de - set 1 - v1

ISAE3402 Reports existieren in zwei Varianten: ein Typ 1 Report und ein Typ 2 Report. Welche Aussagen bezüglich der wesentlichen Unterschiede sind richtig? (Mehrfachnennung möglich)

(100167010)

Typ 1 und Typ 2 ersetzen eine ISO27001 Zertifizierung.
(89899318106)

Typ 1 und Typ 2 Berichte sind jeweils branchenorientiert ausgestaltet.
(89899318105)

Ein Typ 2 Report kann erstellt werden, ohne dass vorher ein Typ 1 Audit durchgeführt wurde.
(89899318101)

Als Vertreter einer User Organisation sollen Sie die Effektivität der internen Kontrollen bei einem Dienstleister überprüfen. Der Dienstleister übersendet Ihnen einen ISAE3402 Typ 1 Report. Welche der folgenden Aussagen sind richtig? (Mehrfachnennung möglich)

(100167011)

Für die Bewertung der Effektivität sind sowohl ein Typ 1 als auch ein Type 2 Report erforderlich.
(89899318113)

Der Typ 1 Report ist zur Beruteilung der Effektivität nicht ausreichend.
(89899318110)

Ein Typ 1 Report ist für die Beurteilung der Effektivität nicht ausreichend, da er nur eine Aussage zur Angemessenheit des Kontrollsystems enthält, nicht aber zu dessen Effektivität.
(89899318109)

ISAE3402 Reports beurteilen mit hinreichender Sicherheit (engl . "Reasonable Assurance") ein internes Kontrollsystem bei einer Service-Organiation. Ein solcher Bericht wird von qualifizierten Prüfern erstellt. Welche Aussagen sind richtig? (Mehrfachnennung möglich)

(100167012)

Ein ISO27001-Prüfer darf einen solchen Report erstellen.
(89899318121)

Einen solchen Report darf jedermann erstellen, der bei der jeweiligen nationalen Akkreditierungsstelle akkreditiert ist.
(89899318120)

Nur Wirtschaftsprüfer sind autorisiert, Berichte nach dem Standard ISAE3402 zu erstellen.
(89899318119)

Ein ISAE3402 Report besteht aus mehreren Abschnitten (engl. Sections). Welche Zuordnung bzgl. der Report-Inhalte ist richtig? (Mehrfachnennung möglich)

(100167013)

Abschnitt 1 enthält das vom Prüfer erstellte Zertifikat.
(89899318131)

Abschnitt 6 umfasst eine Kostendarstellung.
(89899318130)

Abschnitt 3 enthält die Beschreibung der internen Kontrollen und Kontrollziele (bereitgestellt durch das Dienstleistungsunternehmen)
(89899318127)

Ein ISAE3402 Report enthält die Einschätzung bezüglich eines Kontrollsystems bei einer Service Organisation. Was ist die Intention eines ISAE3402 Reports? (Mehrfachnennung möglich)

(100167014)

Ein ISAE3402 Report muss immer durch ein Audit ergänzt werden, das der Prüfer der User Organisation bei der Service-Organisation durchführt.
(89899318139)

Informationssicherheitsrelevante Aspekte sind niemals Gegenstand eines ISAE3402 Reports.
(89899318138)

Ein ISAE3402 Report ermöglicht es dem Prüfer einer User-Organisation, sich ein Bild über die Effektivität des Kontrollsystems bei einer Service-Organisation zu machen, ohne dort selbst Prüfungshandlungen durchführen zu müssen.
(89899318136)

Welche typischen Beispiele für ausgelagerte Dienstleistungen könnten Gegenstand eines ISAE3402 Reports sein? (Mehrfachnennung möglich)

(100167015)

Der ausgelagerte Betrieb eines Zutrittskontrollsystems.
(89899318146)

Der Betrieb von Buchhaltungssystemen durch einen externen Dienstleister.
(89899318142)

Lohn- und Gehaltsabrechung werden von einem externen Dienstleister erbracht.
(89899318141)

Sie als Vertreter einer User Organisation beabsichtigen, bisher im Hause erbrachte Dienstleistungen auszulagern. Welche Aussagen sind richtig? (Mehrfachnennung möglich)

(100167016)

Ein ISAE3402 Typ 1 Report zur Bewertung der Effektivität des internen Kontrollsystems bei der Service Organisation ist ausreichend.
(89899318152)

Ein ISAE3402 Report kann bei der Bewertung der Service Organisation hilfreich sein.
(89899318150)

Die Dienstleisterkette ist inklusive etwaiger Subdienstleister zu berücksichtigen.
(89899318149)

Eine User Organisation hat zahlreiche Dienstleistungen mit Rechnungslegungsrelevanz ausgelagert. Einer der Dienstleister beabsichtigt, weitere Subdienstleister einzusetzen. Welche Aussagen sind richtig? (Mehrfachnennung möglich)

(100167017)

Die Zusammenarbeit mit dem Subdienstleister muss nicht geregelt sein.
(89899318161)

Subdienstleister können ohne jegliche Vorkehrung eingesetzt werden, ohne die User Organisation zu informieren.
(89899318160)

Ein Subdienstleister kann mittels des sog. Inclusive-Verfahrens in den ISAE3402 Bericht der Service-Organisation einbezogen werden.
(89899318154)

Welche Anforderungen werden an ein dienstleistungsbezogenes internes Kontrollsystem gestellt? (Mehrfachnennung möglich)

(100167018)

Gesetzliche und branchenspezifische Kriterien sind zu beachten.
(89899318166)

Kontrollziele und Kontrollen sind anhand einer durchgeführten Risikoanalyse zu spezifizieren.
(89899318165)

Interne Kontrollsysteme können auch Kontrollen enthalten, die keinen direkten Bezug zur Rechnungslegung der User Organisation enthalten.
(89899318164)

Welche Arten von Kriterien liegen einem internen Kontrollsystem üblicherweise zugrunde? (Mehrfachnennung möglich)

(100167019)

Service Management Kriterien aus der ISO20000
(89899318176)

Vertragliche Kriterien, die sich aus der Vereinbarung zwischen Service- und User-Organisation ergeben.
(89899318174)

Branchen- und industriespezifische Kriterien
(89899318173)

Welche Aussagen zu Standards, die mit ISAE3402 verwandt sind, sind richtig? (Mehrfachnennung möglich)

(100167020)

ISAE3402 ist das internationale Pendant zu SOC2.
(89899318184)

ISAE3402 und SOC1 stehen in keiner Beziehung zueinander.
(89899318183)

Die Aktivitäten rund um ISAE3402 lassen sich auf den sog. Sarbanes-Oxley-Act und den ursprünglich dazu definierten Prüfstandard SAS70 zurückführen.
(89899318181)

Welche der folgenden Prüfungsnachweise für die Funktionsprüfung der zu untersuchenden Kontrollen können herangezogen werden? (Mehrfachnennung möglich)

(100167021)

Sichtung von Dokumenten
(89899318191)

Stichprobenbasiertes Überprüfung von Datensätzen
(89899318190)

Beobachtung der Durchführung von Kontrollen
(89899318189)

Welche der folgenden Aussagen zur Dokumentation des internen Kontrollsystems sind richtig? (Mehrfachnennung möglich)

(100167022)

Die Dokumentation des internen Kontrollsystems wird vom Prüfer der User Organisation erstellt.
(89899318203)

Eine Dokumentation ist ausschließlich für interne Zwecke erforderlich und immer geheimzuhalten.
(89899318202)

Das interne Kontrollsystem ist so zu dokumentieren, dass ein sachkundiger Dritter die Abläufe nachvollziehen kann.
(89899318200)

Ein ISAE3402 Report beurteilt ein internes Kontrollsystem, welches auf einem risikobasierten Ansatz basiert. Eine Risikoanalyse … (Mehrfachnennung möglich)

(100167023)

… muss immer durch die IT-Leitung erstellt werden.
(89899318215)

… steht in keinem Verhältnis zu dem durch sie erzeugten Mehrwert.
(89899318214)

… ist Voraussetzung für die Angemessenheit des Control Designs.
(89899318209)

Die sog. IT General Controls (ITGCs) beschreiben Kontrollen, die sich auf die allgemeinen IT-Abläufe einer Service Organisation beziehen. Welche Aussagen sind richtig? (Mehrfachnennung möglich)

(100167024)

ITGCs sind nur erforderlich, wenn der Prüfer der User Organisation diese explizit einfordert.
(89899318221)

Incident Management ist, da es das Risiko der Nichtverfügbarkeit von finanzrelevanten Daten adressiert, ein wesentlicher Bestandteil der ITGCs.
(89899318218)

Backup & Restore sind wesentliche Kontrollen, die zu den ITGCs zählen.
(89899318217)

An welchen Komponenten orientiert sich die Ausgestaltung eines internen Kontrollsystems, das mittels eines ISAE3402 Reports geprüft wird? (Mehrfachnennung möglich)

(100167025)

Wünsche der Geschäftsleitung
(89899318229)

Kontrollaktivitäten
(89899318226)

Risikobeurteilung
(89899318225)

ISAE 3402, ist ein von der International Federation of Accountants (IFAC) veröffentlichter internationaler Prüfungsstandard, in dem die Prüfung eines Internen Kontrollsystems bei einem Dienstleistungsunternehmen inklusive Berichterstattung durch einen Wirtschaftsprüfer geregelt ist. Welche der folgenden Aussagen sind richtig? (Mehrfachnennung möglich)

(100167026)

Die Prüforganisation, die eine Service Organisation prüft, wird immer durch die User Organisation bestimmt.
(89899318239)

Der Standard verlangt, dass in der hieraus abgeleiteten Berichterstattung detailliert auf die einzelnen Kontrollziele, die Kontrollen sowie die durch die Prüfungstätigkeiten aufgedeckten Feststellungen eingegangen wird.
(89899318236)

Es können entweder lediglich eine Prüfung des Kontrolldesigns und der Implementierung der Kontrollen vorgenommen oder zusätzlich hierzu auch noch die tatsächliche Durchführung der Kontrollhandlungen über einen definierten Zeitraum geprüft werden.
(89899318235)

Ein ISAE3402 Bericht enthält bestimmte Bestandteile. Welche? (Mehrfachnennung möglich)

(100167027)

Ein Zertifikat, das der Prüfer ausstellt.
(89899318251)

Beschreibung des Frameworks, der Kontrollziele (Control Objectives) und Kontrollaktivitäten (Controls),
(89899318246)

Bestätigung des Managements der Service Organisation
(89899318245)

Dienstleister suchen nach einer Möglichkeit, ihren Kunden eine unabhängige Beurteilung ihres internen Kontrollumfeldes zur Verfügung zu stellen. ISAE3402 ist einer der am häufigsten hierfür verwendeten Prüfstandards. Die Erstellung eines Prüfberichtes nach ISAE 3402 - zusammen mit einer Beurteilung der internen Kontrollen - kann hilfreich sein bei ... (Mehrfachnennung möglich)

(100167028)

… der Einschätzung der Konformität der Abläufe zur ISO27001.
(89899318259)

… der Bewertung der zu erwartenden Kosten.
(89899318258)

… dem Aufzeigen bestehender Prozess- und Kontrollschwächen in der internen und auslagerungsbezogenen Organisation, die zu einer Erhöhung von Risiken führen können.
(89899318255)

Welche Aussagen zu ISAE3402 Typ 2 Berichten sind zutreffend? (Mehrfachnennung möglich)

(100167029)

Ein Typ 2 Report bietet die Möglichkeit der Verwendung durch andere Prüfer als Grundlage für die Reduktion ihrer Prüfungshandlungen beim Dienstleistungsunternehm
(89899318266)

Ein Typ 2 Report erfordert im Vergleich mit einem Typ 1 Report einen höheren internen und externen Arbeitsaufwand.
(89899318265)

Ein Typ 2 Report legt einen stärkeren Schwerpunkt auf das Führen von Prüfungsnachweisen.
(89899318264)

Als Vertreter einer User Organisation sollen Sie die Effektivität der internen Kontrollen bei einem Dienstleister überprüfen. Der Dienstleister übersendet Ihnen einen ISAE3402 Typ 2 Report. Welche der folgenden Aussagen sind richtig? (Mehrfachnennung möglich)

(100167030)

Das wesentliche Unterscheidungskriterium zum Type 1 Report ist die beim Typ 2 Report beinhaltete Prüfung der Wirksamkeit.
(89899318275)

Der Typ 2 Report weist die Effektivität des Kontrollsystems nach.
(89899318274)

Der Typ 2 Report beinhaltet auch das Ergebnis der Prüfung der Wirksamkeit (für einen Zeitraum zwischen sechs und 12 Monaten).
(89899318273)

Frameworks helfen beim Design von Kontrollzielen und Kontrollen für ISAE3402 Reports. Welche der folgenden Frameworks sind das? (Mehrfachnennung möglich)

(100167031)

ISO9001
(89899318285)

ITIL
(89899318282)

COSO
(89899318281)

Auf welchen Komponenten basiert ein internes Kontrollsystem, das mittels eines ISAE3402 Reports geprüft wird? (Mehrfachnennung möglich)

(100167032)

Kosten
(89899318295)

Wünsche der IT-Leitung
(89899318294)

Kontrollumfeld
(89899318290)

Welche Aussagen zum Abschnitt 5 (Section 5) des Berichts sind zutreffend? (Mehrfachnennung möglich)

(100167033)

Jeder ISAE3402 Report muss zwingend einen Abschnitt 5 enthalten.
(89899318302)

Der Abschnitt 5 muss nicht verpflichtend Bestandteil eines ISAE3402 Reports sein.
(89899318300)

In Abschnitt 5 kann die Serviceorganisation ergänzende Informationen für die User Organisation bereitstellen.
(89899318299)

Welche der folgenden Aussagen sind korrekt? Ein ISAE3402 Bericht ist … (Mehrfachnennung möglich)

(100167034)

… für Auslagerungen irrelevant.
(89899318311)

… ein Nachweis über Angemessenheit (Typ 1) und Effektivität (Typ 2) des internen Kontrollsystems einer Service Organisation.
(89899318309)

… ein Bericht eines unabhängigen Prüfers und kein Zertifikat.
(89899318308)

Welche Aussagen betreffend festgestellter Abweichungen (sog. Findings oder auch Deviations) sind zutreffend? (Mehrfachnennung möglich)

(100167035)

Abweichungen sind nicht im Standard ISAE3402 vorgesehen.
(89899318320)

Abweichungen werden nicht im Bericht dokumentiert.
(89899318319)

Pläne zur Behebung der Abweichungen (sog. Remediation Plans) können in Abschnitt 5 dargestellt werden.
(89899318317)

Welche Aufgaben hat die Service Organisation im Kontext einer ISAE3402 Reporterstellung? (Mehrfachnennung möglich)

(100167036)

Das Management der Service Organisation muss die Korrektheit aller gemachten Angaben bestätigen.
(89899318327)

Sie muss Nachweise (Evidences) bezüglich der Durchführung der einzelnen Kontrollen erstellen und vorhalten.
(89899318326)

Sie muss ein internes Kontrollsystem aufbauen.
(89899318325)

Was sind die Beweggründe für eine User Organisation, von einer oder mehreren Service Organisationen Berichte nach ISAE3402 anzufordern? (Mehrfachnennung möglich)

(100167037)

Sie möchte mit dem ISAE3402 Bericht jegliche Art von Betrug ausschließen.
(89899318340)

Sie möchte anhand des Kontrollumfelds die Preise der Service Organisation reduzieren.
(89899318339)

Sie möchte den ISAE3402 Bericht als Qualitätsnachweis der Service Organisation heranziehen.
(89899318335)

Warum sollte eine Service Organisation einen ISAE3402 Report bereitstellen? (Mehrfachnennung möglich)

(100167038)

Um ein Zertifikat zu erhalten.
(89899318347)

Um die Anzahl individueller Prüfungen zu verringern.
(89899318344)

Um den Nachweis eines effektiven Kontrollsystems unabhängig zu erbringen.
(89899318343)

Informationssicherheitsrelevante Themen in einem ISAE3402 Report … (Mehrfachnennung möglich)

(100167039)

… sind nie Bestandteil.
(89899318355)

… sind aufgrund der zunehmenden Digitalisierung der Dienstleistungen der der Service Organistionen meist Bestandteil eines ISAE3402 Reports.
(89899318354)

… sind oft enthalten, da ein unmittelbarer Zusammenhang mit den IT General Controls (ITGCs) besteht.
(89899318353)

Requirement Engineering - de - set 1 - v1

Welche Zielsetzung verfolgt das Requirements Engineering? (Mehrfachnennung möglich)

(1158644)

Alle Anforderungen modellbasiert dokumentieren
(1212825)

Anforderungen umsetzen, auch wenn Konflikte hinsichtlich ihrer Inhalte bestehen
(1212824)

Methodisch Konsens unter den Stakeholdern herstellen
(1212819)

Anforderungen prägen sich in der Praxis sehr unterschiedlich aus. Eine Unterscheidung unterschiedlicher Anforderungsarten ist hilfreich, um die Anforderungen zu kategorisieren. Welches sind Arten von Anforderungen, die üblicherweise unterschieden werden? (Mehrfachnennung möglich)

(1158645)

Technische Anforderungen
(1212831)

Randbedingungen
(1212830)

Qualitätsanforderungen
(1212829)

Um den Projekterfolg sicherzustellen legen Sie als Requirements Engineer die Qualtitätsanforderungen am Anfang des Projektes fest. Wodurch charakterisiert sich eine Qualitätsanforderung an ein System? (Mehrfachnennung möglich)

(1158646)

Sie beeinflusst die Architektur eines Systems nicht.
(1212845)

Sie beziehen sich auf Aspekte wie Performanz, Verfügbarkeit, Skalierbarkeit oder die Zuverlässigkeit.
(1212844)

Sie legt gewünschte Qualitäten des Systems fest
(1212843)

Funktionale Anforderungen beschreiben die Funktionalitäten eines Systems, die das Ergebnis eines Verhaltens, das von einer Funktion des Systems bereitgestellt werden soll, beschreiben. Welche der folgenden Anforderungen sind funktionale Anforderungen? (Mehrfachnennung möglich)

(1158647)

Die Reaktionszeit darf max. 0,5 Sekunden betragen.
(1212856)

Die Sortierung der angezeigten Listenelemente soll durch den Benutzer geändert werden können.
(1212852)

Nach Bestätigung der erforderlichen Eingaben muss der Datensatz in der Datenbank gespeichert werden.
(1212851)

Unterschiedliche Interessengruppen sind im Prozess des Requirements Engineerings von Relevanz. Welches der folgenden Beispiele sind Stakeholder im Sinne des Requirements Engineerings? (Mehrfachnennung möglich)

(1158648)

Nur interne Mitarbeiter sind als Stakeholder zu führen.
(1212866)

Die Ehefrau des IT-Leiters
(1212865)

Sponsoren (Geldgeber)
(1212861)

Der Requirements Engineer als Projektrolle steht häufig im Mittelpunkt des Requirements Engineering Prozesses. Um den vielfältigen Aufgaben gerecht zu werden benötigt der Requirements Engineer verschiedene Fähigkeiten und Kenntnisse. Welche Eigenschaften stehen hier im Vordergrund? (Mehrfachnennung möglich)

(1158649)

Eine Ausbildung in NLP (neurolinguistischem Programmieren)
(1212877)

Tiefgreifendes Wissen in allen Fachgebieten, die die Systemimplementierung berühren
(1212876)

Empathie, um sich in schwierige Stakeholder hinversetzen zu können
(1212870)

Anforderungen können auf unterschiedliche Art und Weise dargestellt und ausgedrückt werden. Welche Arten der Dokumentation sind im Requirements Engineering vorgesehen? (Mehrfachnennung möglich)

(1158650)

Es gibt keine unterschiedlichen Arten von Dokumentationen im Requirements Engineering
(1212887)

Mischformen aus natürlichsprachiger und modellbasierter Dokumentation
(1212882)

Modellbasierte Dokumentation mittels konzeptueller Modelle
(1212881)

Welche Arten von modellbasierten Dokumentationen werden im Requirements Engineering verwendet? (Mehrfachnennung möglich)

(1158651)

Klassendiagramme zur Dokumentation der Abläufe des Systems
(1212894)

Zustandsdiagramme zur Dokumentation der Datenmodellierung
(1212893)

Klassendiagramm zur Datenmodellierung und Darstellung der statisch-strukturellen Aspekte
(1212889)

Einen bestimmten fachlichen Aspekt aus mehreren Blickwinkeln zu betrachten hilft, die Fachlichkeit vollumfänglich zu erfassen. Dazu werden im Requirements Engineering unterschiedliche Sichten (Perspektiven) auf Anforderungen eingenommen. Welches sind Perspektiven auf Anforderungen im Requirements Engineering? (Mehrfachnennung möglich)

(1158652)

Quellcodeperspektive
(1212900)

Funktionsperspektive
(1212899)

Verhaltensperspektive
(1212898)

Unterschiedliche Perspektiven auf Anforderungen helfen dabei, fachliche Aspekte vollumfänglich zu erfassen. Die Strukturperspektive beschreibt dabei die statisch-strukturellen Aspekte von Ein- und Ausgabedaten eines Systems. Welche der folgenden modellbasierten Dokumentationsformen gehören in diese Perspektive? (Mehrfachnennung möglich)

(1158653)

Statecharts
(1212909)

UML Aktivitätsdiagramm
(1212908)

UML Klassendiagramme
(1212906)

Unterschiedliche Perspektiven auf Anforderungen helfen dabei, fachliche Aspekte vollumfänglich zu erfassen. Die Verhaltensperspektive beschreibt dabei das zustandsorientierte Verhalten des Systems und seiner Einbettung in den Systemkontext. Welche der folgenden modellbasierten Dokumentationsformen gehören in diese Perspektive? (Mehrfachnennung möglich)

(1158654)

ER-Diagramm
(1212916)

UML Aktivitätsdiagramm
(1212915)

UML Zustandsdiagramm
(1212913)

Um Anforderungen an ein System ermitteln zu können ist es notwendig, im Requirements Engineering das System von dessen Umgebung abzugrenzen. Welche der folgenden Aussagen sind in diesem Zusammenhang korrekt? (Mehrfachnennung möglich)

(1158655)

Die irrelevante Umgebung hat keine Auswirkungen auf die Anforderungen an das System.
(1212923)

Alle Aspekte im Systemkontext beeinflussen die Anforderungen an das System.
(1212922)

Im Systemkontext sind alle Aspekte enthalten, die für die Anforderungen des geplanten Systems relevant sind und nicht im Rahmen der Entwicklung dieses Systems gestaltet werden können.
(1212921)

Eine der wichtigsten Aktivitäten im Requirements Engineering ist die Ermittlung der Systemanforderungen. Welche Arten von Anforderungsquellen werden hierfür schwerpunktmässig herangezogen? (Mehrfachnennung möglich)

(1158656)

Am Markt verfügbare Konkurrenzprodukte dürfen aus urheberrechtlichen Gründen nicht berücksichtigt werden.
(1212936)

Systeme im Betrieb
(1212931)

Jegliche Art von verfügbaren Dokumenten
(1212930)

Eine der wichtigsten Aktivitäten im Requirements Engineering ist die Ermittlung der Systemanforderungen. Welche Ermittlungstechniken werden hierfür schwerpunktmässig herangezogen? (Mehrfachnennung möglich)

(1158657)

Controlling-zentrierte Techniken
(1212942)

Kaufmännische Techniken
(1212941)

Kreativitätstechniken, um innovative Anforderungen zu entwickeln
(1212938)

Das Kano-Modell ist ein Modell, das im Requirements Engineering zur systematischen Kategorisierung von Anforderungen verwendet wird. Es beschreibt den Zusammenhang zwischen dem Erreichen bestimmter Eigenschaften eines Systems und der erwarteten Zufriedenheit von Kunden. Welche der folgenden Aussagen sind richtig? (Mehrfachnennung möglich)

(1158658)

Das Kano-Modell wird nur im IT Service Management verwendet, da es ausschließlich IT-Bezug hat.
(1212952)

Begeisterungsanforderungen stiften hohe Kundenzufriedenheit und werden dem Stakeholder erst beim Nutzen bewusst.
(1212949)

Leistungsanforderungen sind explizit geforderte, nutzenstiftende Systemmerkmale
(1212948)

Ermittlungstechniken werden eingesetzt, um Anforderungen systematisch zu Erheben. Jedes System besitzt individuelle Anforderungen, die mit einer geeigneten Ermittlungstechnik erhoben werden können. Welche der folgenden Aussagen sind richtig? (Mehrfachnennung möglich)

(1158659)

Bei Befragungstechniken dürfen ausschließlich geschlossene Fragen gestellt werden.
(1212962)

Interviews und Fragebögen sind eine Form von Befragungstechniken.
(1212959)

Bei Befragungstechniken sollen offene und geschlossene Fragen kombiniert werden.
(1212958)

Grafische Modelle werden zum leichteren Verständnis von Anforderungen verwendet. Welche der folgenden Aussagen zu Modellen sind richtig? (Mehrfachnennung möglich)

(1158660)

Die Nutzung von mehreren Modellen zur grafischen Darstellung von Anforderungen ist im Requirements Engineering nicht vorgesehen.
(1212972)

Modelle werden immer für einen bestimmten Zweck verwendet (pragmatische Eigenschaft).
(1212969)

Wesentliche Eigenschaft eines Modell ist die Verkürzung der Realität, indem beispielsweise bestimmte Details weggelassen werden.
(1212968)

Konzeptuelle Modellierungssprachen definieren sich aus Syntax und Semantik. Welche der folgenden Aussagen sind richtig? (Mehrfachnennung möglich)

(1158661)

Die Syntax liefert die Basis für die Interpretation eines konzeptuellen Modells.
(1212983)

Die Syntax einer Modellierungssprache legt die Bedeutung der einzelnen Modellelemente fest.
(1212982)

Die Semantik einer Modellierungssprache legt die Bedeutung der einzelnen Modellelemente fest.
(1212978)

Bei der Spezifikation von Anforderungen ist es wichtig, bestimmte Qualitätskriterien zu beachten. Als Requirements Engineer haben Sie die Aufgabe, die Dokumentation im Hinblick auf diese Qualitätskriterien zu überprüfen. Welche der folgenden Qualitätsaspekte sind hierbei zu berücksichtigen? (Mehrfachnennung möglich)

(1158662)

Vielschichtigkeit
(1212993)

Inkonsistenz
(1212992)

Eindeutigkeit
(1212988)

Die häufigste Dokumentationsform für Anforderungen ist die natürliche Sprache. Diese hat den Vorteil, universell einsetzbar und von jedermann verwendbar zu sein. Welche Nachteile ergeben sich aus der Nutzung der natürlichsprachigen Dokumentation von Anforderungen? (Mehrfachnennung möglich)

(1158663)

Bei der Nutzung der natürlichen Sprache können Missverständnisse ausgeschlossen werden.
(1213001)

Eindeutigkeit
(1213000)

Meist unvollständige Darstellung
(1212998)

Die häufigste Dokumentationsform für Anforderungen ist die natürliche Sprache. Diese hat den Nachteil, oft mehrdeutig zu sein, was der angestrebten Eindeutigkeit im Requiremengts Engineering entgegen steht. Die Satzschablone (Requirements Template) ist ein Werkzeug, mit dem sich die Nachteile der natürlichen Sprache kompensieren lässt. Welche der folgenden Aussagen sind in diesem Zusammenhang korrekt? (Mehrfachnennung möglich)

(1158664)

Eine Satzschablone unterstützt den Requirements Engineer bei der Erstellung syntaktisch korrekter Anforderungen.
(1213009)

Eine Satzschablone unterstützt bei der Vermeidung sprachlicher Effekte.
(1213008)

Die Satzschablone unterstützt den Ersteller einer Anforderung durch eine vorgegebene Struktur.
(1213007)

Use Case Spezifikationen erweitern grafisch modellierte Use Cases (Anwendungsfälle) um Aspekte, für die es keine Modellierungselemente gibt. Welche der folgenden Aussagen sind richtig? (Mehrfachnennung möglich)

(1158665)

Use Case Diagramme ermöglichen eine vollständige Beschreibung von Anwendungsfällen und benötigen daher keine Use Case Spezifikationen.
(1213018)

Im Use Case Diagramm können Akteuere, Systemgrenzen und Nutzungsbeziehungen dargestellt werden, Use Case Spezifikationen erweitern diese Darstellung.
(1213017)

Die Darstellung von Use Cases kombiniert die beiden Konzepte Use Case Diagramm und Use Case Spezifikation, um einen Anwendungsfall möglichst vollständig zu beschreiben.
(1213016)

Bei der Prüfung von Anforderungen haben sich verschiedene Prüfprinzipien etabliert. Welche der folgenden Aussagen sind richtig? (Mehrfachnennung möglich)

(1158666)

Die Prüfung aus unterschiedlichen Sichten hat sich in der Praxis nicht bewährt, da die Betrachtung aus unterschiedlichen Blickwinkeln nur zu zusätzlichen Anforderungen führt.
(1213030)

Die Konstruktion von Entwicklungsartefakten ist nicht notwendig, da dadurch nicht der gewünschte Mehrwert geschaffen wird.
(1213029)

Die Trennung von Fehlersuche und Fehlerkorrektur ist ein bewährtes Prinzip bei der Qualitätssicherung von Anforderungen.
(1213024)

Eine möglichst objektive Beurteilung von Anforderungen im Rahmen der Prüfung ist besonders wichtig, um qualitativ hochwertige Anforderungen zu erhalten. Welche Aussagen bzgl. der Rolle des Prüfers sind richtig? (Mehrfachnennung möglich)

(1158667)

Die Ergebnisse aus der Prüfung müssen durch den Prüfer nur im Anlassfall oder bei Fehlern dokumentiert werden.
(1213039)

Etwaige Zielkonflikte bei der Prüfung müssen transparent gemacht und aufgelöst werden.
(1213035)

Der Prüfer sollte frei von Voreingenommenheit und Beeinflussung Dritter agieren können.
(1213034)

Zur Prüfung von Anforderungen werden häufig Techniken eingesetzt, um eine möglichst hohe Qualität sicherzustellen. Stellungnahme, Inspektion und Walkthrough sind gängige Prüftechniken. Welche der folgenden Aussagen sind richtig? (Mehrfachnennung möglich)

(1158668)

Bei der Stellungnahme werden vorher die Qualitätskriterien festgelegt, auf Basis derer die dritte Person die Prüfung durchführen soll.
(1213047)

Die Inspektion ist eine Methodik, um Anforderungen systematisch auf Fehler hin zu untersuchen.
(1213046)

Bei der Inspektion ist ein striktes Prozessschema zu beachten.
(1213045)

Prototypen werden eingesetzt, um Anforderungen für Stakeholder erlebbar zu machen. Um maximale Erkenntnis aus der Verprobung des Prototyps zu gewinnen sind ergänzende Vorbereitungen notwendig. Welche sind dies? (Mehrfachnennung möglich)

(1158669)

Die Einführung der Nutzer in die Benutzung des Prototypen ist nicht erforderlich, da alle Prototypen immer selbsterklärend sind.
(1213057)

Die Nutzung des Prototyps sollte möglichst realitätsnah und ohne äußerliche Einflüsse getestet werden.
(1213055)

Prüfszenarien, die die relevanten Nutzungsabläufe und zu erhebenden Daten beschreiben, sollen definiert werden
(1213054)

Bei der Abstimmung der Anforderungen können Konflikte jederzeit auftreten. Im Requirements Engineering werden gerne vereinfacht auf die folgenden vier Phasen im systematische Konfliktmanagement hingewiesen und beschrieben. Konfliktidentifikation , Konfliktanalyse, Konfliktauflösung sowie Dokumentation der Konfliktauflösung. Welche der folgenden Aussagen sind richtig? (Mehrfachnennung möglich)

(1158670)

Ein Konflikt kann im Verlauf des Requirements Engineerings erneut auftreten, daher ist eine geeignete Dokumentation der Konfliktauflösung essentiell.
(1213066)

Zu den Aufgaben des Requirements Engineers gehört das Moderieren der Auflösung von Konflikten.
(1213065)

Ein Interessenskonflikt zwischen Stakeholdern kann durch unterschiedliche Ziele der beteiligten Stakeholder hervorgerufen werden.
(1213064)

Eine Prorisierung von Anforderungen ist notwendig, um die Reihenfolge der Implementierung zu bestimmen. Welche der folgenden Aussagen bzgl. Priorisierungstechniken sind richtig? (Mehrfachnennung möglich)

(1158671)

Das Kano-Modell kann zur Priorisierung von Anforderungen nicht verwendet werden.
(1213078)

Die Wiegers'sche Priorisierungsmatrix ist ein Vertreter der Ad-hoc-Priorisierungsverfahren und wird mit der Top Ten Technik ergänzt.
(1213077)

Ranking und Top Ten-Technik sind Vertreter der Ad-hoc-Priorisierungsverfahren.
(1213075)

Für die Prorisierung von Anforderungen können unterschiedliche Kriterien und Aspekte herangezogen werden. Kosten für die Umsetzung, Risiken und Wichtigkeit sind nur einige der möglichen Kriterien. Welche der genannten Aspekte sind weitere Kriterien, die zur Priorisierung herangezogen werden können? (Mehrfachnennung möglich)

(1158672)

Politische Position des Anforderers innerhalb des Unternehmens
(1213086)

Zeitdauer für die Umsetzung
(1213083)

Volatilität
(1213082)

Anforderungen unterliegen über den gesamten Lebenszyklus möglichen Änderungen. Das Change Control Board hat die Aufgabe, als Gremium über solche Änderungsanträge zu entscheiden. Welche Aspekte sollen dabei berücksichtigt werden? (Mehrfachnennung möglich)

(1158673)

IT-Systemumgebung
(1213094)

Programmiersprache
(1213093)

Aufwände
(1213090)

CISIS12 Security Officer - de - sample set 1 - v1

In der Informationssicherheit werden abstrakte Schutzziele definiert. Die zentralen Schutzziele sind Vertraulichkeit, Integrität und Verfügbarkeit. Welche der folgenden Definitionen können den Schutzziel Vertraulichkeit zugeordnet werden? (Mehrfachnennung möglich)

(7718600)

Die Vertraulichkeit wird in der internationalen Norm ISO/IEC 27000 als Geheimhaltungsstufe definiert.
(8989504)

Die Vertraulichkeit kann auch durch andere Schutzziele ersetzt werden.
(8989503)

Die Vertraulichkeit ist auch die Eigenschaft, dass eine Entität das ist, was sie vorgibt zu sein.
(8989502)

Die Vertraulichkeit bezeichnet die Eigenschaft, dass Informationen nur für autorisierte Personen, Entitäten und Prozesse zugänglich sind.
(8989500)

Eines der zentralen Schutzziele in der Informationssicherheit ist die Integrität. In welchen der folgenden Fällen liegt eine Verletzung der Integrität vor? (Mehrfachnennung möglich)

(7718601)

In einem Dokument wurden Informationen von einer berechtigten Entität hinzugefügt.
(8989510)

In der Email-Kommunikation zwischen zwei vertrauenswürdigen Personen wurde von einer unbekannten Entität die Nachricht kopiert und angepasst.
(8989508)

Aus einem Dokument wurden von Personen, die nicht berechtigt sind, Informationen gelöscht.
(8989507)

In einem Dokument wurden Informationen unberechtigterweise hinzugefügt.
(8989506)

Die Verfügbarkeit im engl. auch Availability genannt, ist eines Schutzziele in der Informationssicherheit. Was versteht man unter dem Verfügbarkeit? (Mehrfachnennung möglich)

(7718602)

Verfügbarkeit bedeutet, im beliebigen Umfang permanent Ressourcen abrufen zu können.
(8989519)

Die Eigenschaft einer (Keine Vorschläge) Einrichtung, genügend Ressourcen für eine Aufgabe zur Verfügung zu haben.
(8989518)

Dieses Schutzziel andressiert die Verhinderung von Systemausfällen; der Zugriff auf Daten MUSS innerhalb eines vereinbarten Zeitrahmens gewährleistet sein.
(8989516)

Die Verfügbarkeit kann z.B. durch Elementarschäden oder Katastrophen bedroht werden.
(8989515)

Welche der folgenden Aussagen sind im Zusammenhang mit Vertraulichkeit und Integrität korrekt? (Mehrfachnennung möglich)

(7718603)

Vertraulichkeit und Integrität können immer nur gemeinsam behandelt werden.
(8989526)

Vertraulichkeit und Integrität können durch die Authentizität und Verlässlichkeit begründet ersetzt werden. Dies darf aber nur durch die Leitungseben autorisiert werden.
(8989525)

Ein angemessenes Niveau an Vertraulichkeit und Integrität lässt sich nur durch den Einsatz von kryptographischen Maßnahmen (Verschlüsselung) erreichen.
(8989523)

Vertraulichkeit bedeutet Schutz vor Offenlegung von Informationen gegenüber unbefugter Personen
(8989520)

Die Informationssicherheit besteht aus mehreren Bausteinen und ist immer unter einem ganzheitlichem Aspekt zu betrachten. Wichtig dabei ist das optimale Zusammenspiel von technischer, organisatorischer und personeller Sicherheit. Welche der folgenden Aussagen erfüllt das Informationssicherheitskonzept? (Mehrfachnennung möglich)

(7718604)

Klare Regeln und ein hohes Sicherheitsbewusstsein bei den Beschäftigten sind genauso wichtig wie z.B. die technischen Maßnahmen zur Sicherstellung der Informationssicherheit.
(8989530)

Es ist wichtig, Beschäftigte regelmäßig im Bereich Informationssicherheit zu sensibilisieren. Denn nur so kann verhindert werden, dass ein unbewusstes Fehlverhalten zu (organisationskritischen) Schäden führen.
(8989529)

Logische Sicherheit in der Informationssicherheit beschreibt u.a. die relevanten technischen Maßnahmen zur Gewährleistung und Verbesserung der Informationssicherheit.
(8989528)

Personelle Sicherheit beschreibt alle relevanten personellen Maßnahmen (Bewachung, Pförtner- und Empfangsdienste, etc.), ist Bestandteil der Informationssicherheit und MUSS immer im Zusammenhang mit der logischen und der physischen Sicherheit betrachten werden.
(8989527)

Die europäische Datenschutz-Grundverordnung - (DSGVO) und das Deutsche Bundesdatenschutzgesetz BDSG-neu ist am 25.5.2018 in Kraft getreten. Welche der folgenden Aussagen sind im Zusammenhang der DSGVO, dem BDSG-neu und der Informationssicherheit korrekt? (Mehrfachnennung möglich)

(7718605)

Das BDSG-neu ist das zentrale Datenschutzgesetz in Deutschland. Die Informationssicherheit und der Datenschutz werden in ihm geregelt.
(8989538)

Der Datenschutz MUSS nicht auf nationaler Ebene geregelt werden, da die DSGVO für alle Mitgliedsländern der Europäischen Union die Umsetzung des Datenschutzes regelt.
(8989537)

Bei der Umsetzung des Datenschutzes handelt es sich um gesetzliche Anforderungen. Bei der Informationssicherheit können Organisationen unterschiedliche Konzepte einführen und durchsetzen.
(8989535)

Die Hauptaufgabe dieses Bundesdatenschutzgesetzes ist es, den Datenschutz auf nationaler Ebene zu regeln, wenn die DSGVO durch sog. Öffnungsklauseln den einzelnen Mitgliedsländern der Europäischen Union in der Umsetzung des Datenschutzes einen Spielraum gewährt.
(8989534)

Was ist ein Rechtskataster? (Mehrfachnennung möglich)

(7718606)

Allen Ansprüchen an ein zentrales Rechtskataster MÜSSEN mit allen nationalen und internationalen Gesetzen in den Bereichen Umwelt, Arbeitssicherheit und Gesundheitsschutz abgeglichen werden. Die Verordnungen und Richtlinien im Bereich Informationssicherheit werden vom Bundesamt für Informationssicherheit (BSI) regelmäßig bereitgestellt.
(8989545)

Organisation sind zwar verpflichtet, Kenntnis über wichtige Gesetze zu haben MÜSSEN aber diese Anforderungen nur dann managen, wenn die Organisation bereits nach der Norm ISO 9001, der ISO 14001:2015 (Umweltmanagement) oder nach der ISO 45001:2018 (Arbeitssicherheit und Gesundheitsschutz) zertifiziert wurde. Für das Thema Informationssicherheitsmanagement wurde das IT Sicherheitsgesetz eingeführt.
(8989544)

Ein Rechtskataster ist eine gute Möglichkeit, die Rechtsanforderungen einer Organisation strukturiert zu erfassen, zu verwalten und an die relevanten Parteien zu kommunizieren. Für ein Informationssicherheitsmanagementsystem sind diese Anforderungen aber nicht zu berücksichtigen.
(8989543)

Ein Rechtskataster bildet die relevanten Gesetze und Vorschriften ab, von denen eine Organisation betroffen ist.
(8989540)

"Im Jahr 2015 wurde durch den Deutschen Bundestag das IT-Sicherheitsgesetz (IT-SiG) beschlossen, das in erster Linie Änderungen an bestehenden Gesetzen, darunterdem BSI-Gesetz (BSIG), umfasst. Im Kern bedeuteten diese Änderungen die Abkehr vom Prinzip der Freiwilligkeit für den Bereich sogenannter kritischer Infrastrukturen. Welche der folgenden Aussagen sind korrekt?" (Mehrfachnennung möglich)

(7718607)

Das IT-Sicherheitsgesetz verpflichtet alle Betreiber von kritischen Infrastrukturen ihre IT-Systeme und IT-Komponenten immer auf den letzten Stand der Technik zu bringen. Dazu bringt das BSI (Bundesamt für Sicherheit in der Informationstechnik) jährlich einen verbindlichen und detaillierten IT-Katalog heraus, welchen die Betreiber umsetzen MÜSSEN.
(8989550)

Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen (Daseinsversorgung), bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
(8989548)

Unter dem Schlagwort KRITIS versteht man übergreifend die Anforderungen, die sich aus dem IT-Sicherheitsgesetz und der Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-KritisV (BSI-Kritisverordnung) für Betreiber kritischer Infrastrukturen ergeben.
(8989547)

Das IT-Sicherheitsgesetz ist ein Artikelgesetz, das neben dem BSI-Gesetz auch das Energiewirtschaftsgesetz, das Telemediengesetz, das Telekommunikationsgesetz und weitere Gesetze ändert und ergänzt.
(8989546)

Managementsysteme bringen Struktur und Transparenz in das Unternehmen und unterstützen diese bei der Handhabung der immer komplexeren Anforderungen. Welche der folgenden Aspekte sind richtig? (Mehrfachnennung möglich)

(7718608)

Kleine Organisationen, die aufgrund ihrer Größe kein Managementsystem aufbauen können, dürfen den prozessorientierten Ansatz wählen um z.B. ein zertifizierbares Informationssicherheitsmanagement einführen zu können.
(8989557)

Managementsystemansatz und der prozessorientierte Ansatz sind gleichzustellen. Beide haben einen definierten Anfang und ein definiertes Ende und folgen einer temporären organisatorischen Struktur.
(8989556)

Ein Managementsystem kann nur mittels eines Audits bewertet werden. Kennzahlen sogenannte KPI (Key Performance Indicator) können für Managementsystem nicht angewendet werden, da die Werte nicht entsprechend aussagekräftig sind.
(8989555)

Ein Managementsystem ist ein System von Richtlinien, Verfahren, Anleitungen und zugehörigen Betriebsmitteln (inkl. Personal), die zur Erreichung der Ziele einer Organisation erforderlich sind.
(8989553)

Ein Managementsystem besteht unteranderem aus einer Vielzahl unterschiedlicher Prozessen. Welche dieser Aussagen sind in diesem Kontext richtig? (Mehrfachnennung möglich)

(7718609)

Die oberste Leitungsebene MUSS immer den Prozessmanager stellen, da die ansonsten die Gefahr besteht, dass der jeweilige Prozess nicht die Prozessziele erreicht.
(8989563)

Der prozessorientierte Ansatz in einer Organisation bedeutet, dass nur die von der Organisationsleitung festgelegten Prozesse entsprechend der hierarchischen Strukturen eingeführt werden dürfen. Die Abläufe erstrecken sich immer innerhalb der Abteilungsgrenzen.
(8989562)

Ein Prozess ist ein Satz von in Wechselbeziehungen stehenden Tätigkeiten (Aktivitäten) der Eingaben in Ergebnisse umwandelt.
(8989559)

Ein Managementsystem verfolgt einen prozessorientierten Ansatz. Der Fokus eines Managementsystems nach einem dieser Standards liegt also auf den Prozessen einer Organisation – und nicht beispielsweise auf deren hierarchischer Strukturierung.
(8989558)

Was trifft auf den PDCA-Zyklus zu? (Mehrfachnennung möglich)

(7718610)

P steht "Perform", D für "Deliver", C für "Control" und A für "Act"
(8989568)

Der PDCA-Zyklus beschreibt die Eigenschaft von Informationen, die im Rahmen der Informationssicherheit aufrechterhalten werden soll.
(8989567)

P steht "Plan", D für "Do", C für "Check" und A für "Act"
(8989565)

Der PDCA-Zyklus ist die Grundlage von Managementsystemen
(8989564)

Grundsätze eines Informationssicherheitsmanagementsystems ISMS (Mehrfachnennung möglich)

(7718611)

Externe und interne Beschäftigte tragen keinerlei Verantwortung. Die Übernahme von Eigenverantwortung ist nicht gefordert, da diese bereits in den entsprechenden NDAs (non-disclosure agreement) also Geiheimhatltungverträgen geregelt ist.
(8989575)

Der Informationssicherheitsbeauftragte ist für die Informationssicherheit in der Organisation alleine verantwortlich.
(8989574)

Bewusstsein (Awareness) für Informationssicherheit.
(8989571)

Verantwortung für Informationssicherheit übernehmen.
(8989570)

Kritische Erfolgsfaktoreneines eines Informationssicherheitsmanagementsystems ISMS (Mehrfachnennung möglich)

(7718612)

Die Unternehmenskultur MUSS sich an die ISMS-Vorgaben anpassen, da ansonsten die Zertifizierungen nicht möglich sind.
(8989580)

Alle IT-Komponenten sind immer auf Letztstand der Technik
(8989579)

Alle Leitungsebenen zeigen erkennbare Unterstützung.
(8989577)

Die Sicherheitspolitik, -ziele und –Tätigkeiten sind an die Organisationsziele angepasst.
(8989576)

Was ist ein Service? (Mehrfachnennung möglich)

(7718613)

Ein Service beschreibt nur die Zweckmäßigkeit (Utility) die an den Kunden ausgeliefert werden sollen.
(8989586)

Ein Service beschreibt die genauen inhaltlichen Aktivitäten die zu bestimmten Zeiten durchzuführen sind. Bei einem Server sind das die regelmäßig durchzuführenden Service/Wartungsarbeiten.
(8989585)

Ein Service kann Kunden bei der Erreichung der Ziel unterstützen.
(8989583)

Ein Service ist ein Mittel um einen Mehrwert für Kunden zu erbringen.
(8989582)

Das IT Service Management besteht aus mehreren Prozessen. Als einer der wichtigen Prozess kann sicherlich der Change Management Prozess angesehen werden. Welche der Aspekte sind richtig? (Mehrfachnennung möglich)

(7718614)

Die Entscheidung ob ein Change über das Change Management gesteuert wird, obliegt immer den Change Manager. Dieser führt auch alle Aktivitäten im Change Prozess selber durch, um den Erfolg des Changes nicht zu gefährden.
(8989593)

Eines der Ziele des Change Management ist auch die Pflege eines logischen Modells der relevanten Service- und Infrastrukturkomponenten einschließlich ihrer Beziehungen und Konfigurationsinformationen.
(8989592)

In der IT-Abteilung besteht keine Verpflichtung die Prinzipien des Change Management anzuwenden, da die Verfahren oft zu bürokratisch sind.
(8989591)

Es soll angestrebt werden, dass möglichste alle Changes an den Configuration Items (CI) unter der Kontrolle des Prozesses Change Management unterliegen.
(8989588)

Welche der folgenden Aussagen sind im Zusammenhang mit dem Projektmanagementmethoden korrekt? (Mehrfachnennung möglich)

(7718615)

PRINCE2 besteht aus vier integrierten Bausteinen und wird im sogenannten agilen Manifest aus dem Jahr 2001 im Detail beschrieben.
(8989599)

Eine agile Kultur ist mittlerweile keine wichtige Voraussetzung mehr, um erfolgreich agile Methoden wie z.B. Scrum einzuführen, da in vielen Organisationen der SCRUM-Master diese Rolle übernommen hat.
(8989598)

Die agile Projektmanagement-Methode SCRUM eignet sich besonders für Projekte, deren Aufgaben voneinander abhängig sind und kommt in Organisationen mit nur hierarchisch geprägten Strukturen zum Einsatz.
(8989597)

Die Wasserfall-Methode ist eine klassische Projektmanagement-Methode. Sie läuft schrittweise, also wie ein Wasserfall, gemäß einer fixen Reihenfolge ab.
(8989594)

Was ist ein Projekt bzw. was sind die Kernaufgaben des Projektmanagements? (Mehrfachnennung möglich)

(7718616)

Projekte zielen darauf ab, ein bestimmtes, einmaliges Ziel, wie zum Beispiel die Implementierung eines ISMS, zu erfüllen. Um dieses Ziel zu erfüllen MUSS immer die Wasserfall-Projektmethodik angewandt werden.
(8989603)

Ein Projekt ist ein kontinuierlicher Prozess, der von der Leitungsebene anhand des PDCA-Zyklus weiterentwickelt wird.
(8989602)

Projektmanagement umfasst die Planung, die Überwachung, die Steuerung und den Abschluss eines Projekts.
(8989601)

Ein Projekt ist ein einmaliger Geschäftsprozess, der von der Leitungsebene anhand eines z.B. Business Case genehmigt wird.
(8989600)

Ein Organisation benötigt klar definierte Rollen und Verantwortlichkeiten sowie die Sicherstellung der Akzeptanz der Beschäftigten. Welche der folgenden Aussagen sind richtig? (Mehrfachnennung möglich)

(7718617)

Rollen werden immer nur durch eine Person oder Organisationseinheiten besetzt. Mehrfachbesetzungen sind nicht nur in der Linienorganisation vorbehalten.
(8989608)

Rollen werden häufig auch mehrfach, d. h. durch mehrere Personen oder gar Organisationseinheiten besetzt.
(8989606)

„Rollen“ sind nicht mit „Stellen“ oder „Personen“ zu verwechseln.
(8989605)

Eine Rolle ist die Beschreibung einer Menge von Aufgaben und Verantwortlichkeiten im Rahmen der Aufgaben in einer Organisation
(8989604)

Welche Aufgaben übernimmt der Informationssicherheitsbeauftragter (ISB) in Organisation? (Mehrfachnennung möglich)

(7718618)

Die Aufgabe des Informationssicherheitsbeauftragten ist es, ein Informationssicherheitsmanagementsystem einzuführen, zu betreuen und weiterzuentwickeln.
(8989614)

Leitet das ISM-Team (Informationssicherheitsteam).
(8989613)

Ist unteranderem für die Einhaltung von normativen Forderungen zur Informationssicherheit (Z.B. CISIS12) zuständig.
(8989612)

Ist für alle Fragen rund um die Informationssicherheit in der Organisation zuständig ebenso für die Koordination und die Umsetzung des Sicherheitskonzeptes.
(8989611)

Governance, Risk & Compliance (GRC) umfasst drei wichtige Handlungsebenen eines Unternehmens für dessen erfolgreiche Führung zusammen. Welche der Aussagen unterstützen die "GRC" Definition? (Mehrfachnennung möglich)

(7718619)

Das Risk Management oder Risikomanagement zielt darauf ab, nur die IT-Risiken rechtzeitig zu erkennen. Unternehmensrisken werden im Informationssicherheitsmanagement nicht berücksichtigt.
(8989622)

Risikoappetit bezeichnet die durch kulturelle, interne, externe oder wirtschaftliche Einflüsse entstandene Neigung einer Institution, wie sie Risiken einschätzt, bewertet und mit ihnen umgeht.
(8989620)

Das Risk Management oder Risikomanagement zielt darauf ab, eventuelle Risiken, die das Erreichen der Unternehmensziele gefährden, frühzeitig zu erkennen und durch entsprechende Gegenmaßnahmen zu beseitigen oder zumindest einzuschränken.
(8989619)

Governance stellt sicher, dass die Anforderungen, Rahmenbedingungen und Möglichkeiten der interessierte Parteien (Stakeholder) evaluiert werden, um ausgewogene und vereinbarte Unternehmensziele zu bestimmen, die es zu erreichen gilt.
(8989618)

Die Norm ISO/IEC 27005 beinhaltet eine Beschreibung des kompletten Risikomanagementprozesses, der einzelnen Schritte der Risikoanalyse sowie Informationen zur Etablierung des Prozesses. Welcher der folgenden Aspekte sind falsch? (Mehrfachnennung möglich)

(7718620)

Die ISO/IEC 27005 liefert eine Beschreibung der Empfehlungen für einen Risikomanagementprozesses, beschreibt die einzelnen Schritte der Risikoanalyse sowie liefert Informationen zur Etablierung des Prozesses.
(8989629)

Die ISO/IEC 27005 enthält Leitlinien und Empfehlungen für ein systematisches und prozessorientiertes Risikomanagement.
(8989628)

Die Norm ISO/IEC 27005 liefert alle relevanten Informationen die für die Erfüllung der Informationssicherheitsmanagement-Anforderungen benötigt werden. Dies schließt die Akzeptanzkriterien und die Bewertungsmethodik ein.
(8989626)

Da es sich bei der ISO/IEC 27005 um einen ergänzenden (informativen) Standard handelt, ist eine Zertifizierung durch die Dakks möglich.
(8989625)

Nach der Norm ISO/IEC 27005 ist eine Aktivität die Identifikation von Risken (Risk identification). Welche Aktivitätsschritte sind hier vorgesehen? (Mehrfachnennung möglich)

(7718621)

Identifikation der geeigneten (Gegen-)Maßnahmen.
(8989635)

Identifikation der Schwachstellen.
(8989633)

Identifikation der Bedrohungen.
(8989632)

Identifikation der schützenswerten Assets.
(8989631)

Welche übergeordneten Ziele verfolgt die Norm CISIS12 in ihrer aktuellen Version? (Mehrfachnennung möglich)

(7718622)

Es werden alle Details beschrieben, was eine IT-Abteilung tut (durchführt) und sicherstellen MUSS, um ihre die Aktivitäten und Maßnahmen im Bereich der IT-Sicherheit und dem Datenschutz wirksam steuern zu können.
(8989642)

Die Norm fördert den kontinuierlichen Verbesserungsansatz.
(8989640)

Das ISMS nach CISIS12 soll den stetig steigenden Sicherheitsanspruch bei der Digitalisierung wirksam unterstützen.
(8989639)

Das ISMS soll als übergreifende Steuerungsstruktur in der Organisation integriert sein, um die Sicherheit für Prozesse, Verfahren, Assets und Personal nachhaltig sicherzustellen.
(8989638)

Welche der Aussagen über das CISIS12-Vorgehensmodell und normative Verweise sind korrekt? (Mehrfachnennung möglich)

(7718623)

Die Norm CISIS12 ist nicht abwärtskompatibel mit den Vorgängerversionen 1.x und 2.x.
(8989649)

Die Norm CISIS12 verweist auf den BSI Standard 200-1 bis 200-4 sowie auf das IT-Grundschutz-Kompendium
(8989647)

Das Vorgehensmodell besteht aus fünf Strategie- und Umsetzungsbereichen.
(8989646)

Das Vorgehensmodell fokussiert sich weiterhin auf den Aufbau und die Etablierung eines Informationssicherheitsmanagementsystems in zwölf Schritten. Der Schritt 0 Projekt Start-Up und der Schritt 13 Audits (Externe- bzw. Zertifizierungsaudit) wurden in der Norm berücksichtigt.
(8989645)

Die Norm CISIS12 ist ein Informationssicherheitsmanagementsystem (ISMS). Welche Aussagen sind richtig? (Mehrfachnennung möglich)

(7718624)

Die Norm CISIS12 deckt die Anforderungen der DSGVO automatisch mit ab.
(8989656)

Die Norm CISIS12 lässt sich nur mit einer entsprechenden Softwarelösung umsetzen.
(8989655)

Die Norm CISIS12 besteht grundsätzlich aus 12 +2 Schritten und aus fünf Strategie- und Umsetzungsbereichen.
(8989653)

Der PDCA-Zyklus bildet die Grundlage für das Informationssicherheitsmanagementsystem (ISMS) nach CISIS12.
(8989652)

Die wesentlichen Rahmenbedingungen (Organisation und Führung) zum Aufbau und zur Etablierung eines Informationssicherheitsmanagementsystems werden im Kapitel 4 der Norm CISIS12 beschrieben. Welche Anforderungen lassen sich zum Kapitel 4 der Norm CISIS 12 "Rahmenbedingungen (Organisation und Führung)" zuordnen? (Mehrfachnennung möglich)

(7718625)

Die Organisation MUSS ein angemessenes Sicherheitskonzept mit ihren Kunden und Gesetzgebern erstellen, planen und fortschreiben.
(8989661)

Die Organisationsziele MUSS immer mithilfe der SMART-Formel die spezifischen Ziele definieren. Diese Ziele sind von der von der Leitungsebene smart zu definieren.
(8989660)

Die Leitungsebene MUSS die Integration des Informationssicherheitsmanagements in die Geschäftsprozesse sicherstellen.
(8989658)

Die Organisation MUSS für den internen Kontext, in dem sich die Organisation bewegt, sowohl die internen als auch die externen Themenbereiche ermitteln, für die Informationssicherheit relevant ist.
(8989657)

Die ISMS Leitlinie definiert unter anderem den Zweck, die Ausrichtung, die grundsätzlichen Regeln für das Informationssicherheitsmanagementsystem. Welche der folgenden Anforderungen an die Norm CISIS12 "Leitlinie" sind richtig? (Mehrfachnennung möglich)

(7718626)

Die Leitlinie MUSS wie jedes Dokument von der Leitungsebene als geheim klassifizieren werden. Nur berechtigte Mitarbeiter dürfen einen Zugriff auf die Leitlinie haben.
(8989667)

Die Leitlinie MUSS vom Informationssicherheitsbeauftragten unterschrieben und kommuniziert werden.
(8989666)

Die Leitlinie MUSS immer schriftlich verfügbar sein und jeden Mitarbeiter persönlich ausgehändigt werden.
(8989665)

Die Organisation MUSS eine Leitlinie erstellen, die auf die Anforderungen der Organisation angepasst ist.
(8989662)

Im Kapitel 4 der Norm CISIS12 wird ein Sicherheitskonzept gefordert, welches von der Organisation geplant, umgesetzen und weiterentwickeln werden MUSS. Welche Inhalte sind gefordert? (Mehrfachnennung möglich)

(7718627)

Die Datenschutzanforderungen MÜSSEN lt. der Norm CISIS12 nicht im IT-Security-Konzept berücksichtigt werden.
(8989672)

Beschreibung der Chancen und Risiken für die Organisation.
(8989670)

Erforderliche Technologien (Werkzeuge) zur Unterstützung des Informationssicherheitsmanagementsystems.
(8989669)

Ziele und zeitliche Planung der Umsetzung des Informationssicherheitsmanagementsystems und der damit verbundenen Prozesse.
(8989668)

Als wesentlicher Faktor zum Aufbau eines Informationssicherheitsmanagementsystems ist die Bereitstellung der Kompetenz. Was sind Anforderung aus dem Kapitel 5 der Norm CISIS12 "Festlegung der Kompetenz"? (Mehrfachnennung möglich)

(7718628)

Die Kompetenzen können, MÜSSEN aber nicht festgelegt werden.
(8989680)

Die Auswahl der Personen darf nur auf Basis der Fähigkeiten erfolgen. Die genauen Anforderungen sind öffentlich im IT-Grundschutz im Detail beschrieben. Die Ausbildungen darf auch nur durch beim BSI akkreditierten Schulungsunternehmen durchgeführt werden.
(8989679)

Die Organisation darf auf keinem Fall die entsprechenden Kompetenznachweise aus datenschutzrechtlichen Vorgaben vorhalten.
(8989678)

Für alle relevanten Personen, die innerhalb der Organisation im Kontext des Informationssicherheitsmanagements tätig sind, MUSS die erforderliche Kompetenz festgelegt werden.
(8989675)

Die Organisation MUSS eine angemessene Dokumentation aufbauen, die das Informationssicherheitsmanagementsystem beschreibt. Welche der Aussagen sind korrekt? (Mehrfachnennung möglich)

(7718629)

Nachweise sind keine Dokumente und MÜSSEN daher nicht vorgehalten werden.
(8989685)

Alle Dokumente MÜSSEN elektronisch und in Papierform vorliegen.
(8989684)

Die Organisation MUSS sicherstellen, dass die für das Informationssicherheitsmanagementsystem notwendigen Dokumente gelenkt werden.
(8989682)

Aufgrund unterschiedlicher Anforderungen KÖNNEN sich die Qualität und Quantität einer Dokumentation bei unterschiedlichen Organisationen unterscheiden.
(8989681)

Welche Dokumente werden lt. der Norm CISIS12 als Pflichtdokumente gefordert? (Mehrfachnennung möglich)

(7718630)

Asset-Inventar
(8989691)

IT-Servicemanagementhandbuch.
(8989689)

Dokumente bzgl. der Rollenbenennung und ISMS-Team.
(8989688)

Leitlinie für Informationssicherheit.
(8989687)

Zum nachhaltigen Aufbau und zur Etablierung eines Informationssicherheits-managementsystems MUSS die Organisation die notwendigen Prozesse planen, umsetzen und koordinieren. Welche normativen Anforderungen sind im Kapitel 6 - Betrieb beschrieben? (Mehrfachnennung möglich)

(7718631)

Der Umsetzungsprozess MUSS unter Zuhilfenahme der Wasserfall-Methode überwacht werden.
(8989697)

Im Rahmen des Umsetzungsprozesses, zur Erfüllung der Informationssicherheitsanforderungen, MÜSSEN die (kritischen) Prozesse der Organisation entsprechend fokussiert werden.
(8989696)

Die Organisation MUSS Sorge tragen, dass die Prozess angemessen dokumentiert sind.
(8989695)

Die Organisation MUSS zur Erfüllung der Informationssicherheitsanforderungen ausgelagerte (Unterstützungs-)Prozesse regelmäßig überwachen und koordinieren.
(8989694)

Die Organisation stellt sicher, dass für die Erfüllung der Informationssicherheitsanforderungen die IT-Servicemanagementprozesse etabliert und gelebt werden. Welche dieser Prozess sind verpflichtend umzusetzen? (Mehrfachnennung möglich)

(7718632)

Problemmanagement Prozess.
(8989703)

Kapazitätsmanagement.
(8989702)

Störungsprozess.
(8989700)

Wartungsprozess.
(8989699)

Im Rahmen der Norm CISIS12 MUSS ein angemessenes Risikomanagement aufgebaut und betrieben werden. Welche der folgenden Aussagen sind falsch? (Mehrfachnennung möglich)

(7718633)

Die Organisation MUSS Sorge tragen, dass der Risikobehandlungsprozess als dokumentierte Information vorliegt.
(8989711)

Die Organisation MUSS Festlegungen treffen, um die Wirksamkeit der etablierten Maßnahmen zu bewerten.
(8989710)

Die Organisation MUSS die Chancen und Risiken erheben, bewerten und entsprechende Maßnahmen ableiten.
(8989709)

Die Organisation MUSS die Risiken erheben, bewerten und entsprechende Maßnahmen ableiten. Die Chancen werden in einen eigenen Prozess behandelt.
(8989706)

Welche Punkte MUSS die Organisation im Rahmen der Überwachung, Messung und Bewertung des Informationssicherheitsmanagementsystems festlegen? (Mehrfachnennung möglich)

(7718634)

Alle Kennzahlen MÜSSEN immer am Monatsende zur Verfügung stehen um das ISMS Team gegenüber der Leitungesbene zu entlasten.
(8989717)

Der Aufbau und Betrieb einer Balance Balanced Scorecard (BSC, englisch für ausgewogener Berichtsbogen) ist verpflichtend zu etablieren.
(8989716)

Mess-, Überwachungs- und Bewertungsmethoden
(8989714)

Objekte der Überwachung, Messung und Bewertung.
(8989713)

Welche Aktivitäten sind bei der Umsetzung im "Schritt 0" der Norm CISIS12 zu berücksichtigen und welche Aussagen würden Sie als richtig ansehen? (Mehrfachnennung möglich)

(7718635)

Je nach Größe des Unternehmens SOLLTE ein „Projekthandbuch“ erstellt werden. Starten Sie mit dem ISMS Projekt sofort um den Projekterfolg (Best Practice) nicht zu gefährden. Der Projektauftrag kann auch bis zum Schritt 3 - Informationssicherheitsteam aufbauen erfolgen. Erst danach MUSS der Informationssicherheitsbeauftragten (ISB) die Leitungseben informieren.
(8989724)

Die Ziele für das anstehende ISMS Projekte MÜSSEN immer so früh wie möglich mit dem Informationssicherheitsbeauftragten (ISB) abgestimmt und im Projektstrukturplan schriftlich fixiert werden.
(8989723)

Eine Stakeholderanalyse unterstütz bei der Erfassung der ISMS Ziele.
(8989720)

Ohne einer angemessenen Planung und Unterstützung der Leitungsebene ist es nahezu nicht möglich CISIS12 in einer Organisation einzuführen.
(8989719)

Die Leitlinie für Informationssicherheit (ISL) ist das zentrale strategische Dokument der Organisationsleitung bei der Einführung, Etablierung, Umsetzung und kontinuierlichen Verbesserung der Informationssicherheit. Welche Aufgabe hat eine Leitlinie und welche Aspekte sind richtig? (Mehrfachnennung möglich)

(7718636)

Jede Organisation hat meistens keine spezifische Vorgaben und Ziele, die in die Leitlinie einfließen MÜSSEN. Achtung! Nutzen Sie die bereitgestellten Vorlagen.
(8989730)

Die Leitlinie ist als streng vertraulich zu kennzeichnen, da die beschriebenen Geheimnisse der Organisation publik gemacht werden könnten.
(8989729)

Die Leitlinie für Informationssicherheit beschreibt die Sicherheitsziele und das angestrebte Sicherheitsniveau.
(8989727)

Sie gehört zu den ersten wesentlichen Elementen für den Aufbau eines ISMS. Die Leitlinie muss auf die Organisation bezogen sein und die Formulierungen den Gepflogenheiten der Organisation entsprechen.
(8989726)

Was ist im Schritt 2 der Norm "Beschäftigte sensibilisieren" zu beachten? (Mehrfachnennung möglich)

(7718637)

In der Organisation ist nur die Leitungsebene für die Informationssicherheit und Datenschutz verantwortlich. Beschäftigte sind daher im Sinne der DSGV bzw. BDSG nicht mitverantwortlich. Eine Eigenverantwortung ist nicht vorgesehen.
(8989736)

Nur internen Beschäftigten MÜSSEN vom Informationssicherheitsbeauftragten (ISB) regelmäßig geschult werden. Die Schulung etwaiger externer Beschäftigter ist über das Lieferantenmanagement (Supplier-Management) zu regeln.
(8989735)

Die Eigenverantwortung der Beschäftigten ist zu fördern. Jeder ist für die Informationssicherheit und Datenschutz in seinem Arbeitsbereich (mit-) verantwortlich.
(8989733)

Internen und externen Beschäftigten MÜSSEN zielgruppengerecht zu den Themen Informationssicherheit und Datenschutz regelmäßig geschult werden.
(8989732)

Eine erfolgreiche Umsetzung bzw. Weiterentwicklung eines ISMS kann oft nur mit Experten gelingen. Welche Aspekte sind daher im Schritt 3 der Norm CISIS12 "Informationssicherheitsteam aufbauen" zu berücksichtigen? (Mehrfachnennung möglich)

(7718638)

Die Aufgaben eines Informationssicherheitsbeauftragten (ISB) und die eines Datenschutzbeauftragten sollten zusammengelgt werden. Daher ist eine eigene ISMS Ausbildung bzw. Schulung nicht notwendig.
(8989743)

Ein Informationssicherheitsbeauftragten (ISB) entbindet die oberste Leitung immer von ihrer Gesamtverantwortung für alle Belage in der Informationssicherheit.
(8989742)

Die Rolle des Informationssicherheitsbeauftragten (ISB) ist im Unternehmen zu etablieren.
(8989739)

Die Benennung eines Informationssicherheitsbeauftragten (ISB) entbindet die oberste Leitung nicht von ihrer Gesamtverantwortung für die Informationssicherheit.
(8989738)

Eine angemessene Dokumentation ist die notwendige Basis, um die IT-Services und die Informationssicherheit strukturiert zu steuern. Welche Dokumente sind Referenzdokumente? (Mehrfachnennung möglich)

(7718639)

Lieferantenmanagement
(8989750)

Business Impact Analyse (BIA)
(8989749)

IT-Servicemanagementhandbuch.
(8989746)

Schulungs- und Sensibilisierungskonzept.
(8989745)

Das IT-Servicemanagement ist die Gesamtheit aller Maßnahmen und Methoden, die nötig sind, um eine bestmögliche Unterstützung der Geschäftsprozesse durch die IT-Organisation zu erreichen. Welche Aussagen sind korrekt? (Mehrfachnennung möglich)

(7718640)

Das Problem Management MUSS und der Berechtigungsprozess SOLLTE optional umgesetzt werden.
(8989756)

Der Wartungs- und Änderungsprozess MÜSSEN und der Störungsbeseitigungsprozess SOLLTEN umgesetzt werde.
(8989755)

Der Störungsbeseitigungsprozess engl. Incident Management MUSS und der Service Request Management und Problem Management KÖNNEN umgesetzt werden.
(8989753)

Der Wartungs- und Änderungsprozess MÜSSEN umgesetzt werden.
(8989752)

Welche Aussagen sind zum Schritt 6 der Norm CISIS12 "Compliance, Prozesse und Anwendungen" falsch? (Mehrfachnennung möglich)

(7718641)

Nachvollziehbare Begründungen zum Schutzbedarf der Anwendung ist einfordern. Die finale Freigabe erfolgt durch die oberste Leitung.
(8989763)

Der Ergebnisse der Schutzbedarfserhebung MÜSSEN schriftlich dokumentiert werden.
(8989762)

Die Schutzbedarf wird durch Interviews bzw. per E-Mail-Befragung bei den jeweiligen Fachverantwortlichen erhoben.
(8989761)

Die Schutzbedarf darf nur schriftlich z.B. E-Mail-Befragung bei den jeweiligen Fachverantwortlichen erhoben werden.
(8989758)

Im Schritt 7 wird die IT Struktur analysiert. Die IT-Struktur stellt die notwendige Basis dar, um die Geschäftsprozesse der Organisation zu ermöglichen. Welche der Anforderungen sind hier richtig? (Mehrfachnennung möglich)

(7718642)

Es MÜSSEN immer alle Assets einer Organisation erhoben werden und graphisch im Netzstrukturplan dargestellt werden, unabhängig ob die Assets im Scope sind oder nicht.
(8989769)

Im bereinigten Netzplan sind die IT-Strukturen und Assets sinnhaft zu gruppieren und immer nach dem BSI-Vorgaben in einem entsprechenden Netzstrukturtool zu erstellen. Die Benennung kann daher ohne eine festgelegten Namenskonvention erfolgen.
(8989768)

Beim sogenannten Maximumprinzip wird der Schutzbedarf eines Objekts aus dem Maximum der Schutzbedarfe der Anwendungen, die darauf aufbauen gebildet.
(8989766)

Die Assets MÜSSEN für die IT-Struktur identifiziert und klassifiziert werden. Eine aktuelle Übersicht dokumentiert diese IT-Strukturen und Assets einschließlich des zugehörigen Werte-Eigentümer (Asset-Owner).
(8989765)

Der Soll-Ist-Vergleich, Schritt 9 der Norm CISIS12, kann schon als Teil des Reifegrades der Implementierung eines ISMS verstanden werden. Welche der Aussagen sind aus Ihrer Sicht korrekt? (Mehrfachnennung möglich)

(7718643)

Der Soll-Ist-Vergleich ist im weiteren Sinne ein sogenanntes Vor-Audit, welches vom CISIS12 Berater durchgeführt werden soll. Es werden die Istwerte und -leistungen mit dem Vorgaben abgeglichen.
(8989774)

Unabhängig von der Nutzung eines Tools, müssen die Maßnahmen nach ihrem Umsetzungsgrad bewertet werden. Die Bewertung sollte in einem gruppendynamischen Prozess erfolgen.
(8989772)

Zu einem funktionierenden ISMS Betrieb gehört das Wissen über das aktuell erreichte Zielniveau, um Abweichungen rechtzeitig festzustellen und um z.B. Verbesserungsmaßnahmen einleiten zu können.
(8989771)

Der Soll-Ist-Vergleich ist im weiteren Sinne der Vergleich der Istwerte und -leistungen mit dem „was hätte sein sollen“
(8989770)

Welche Annahmen zu Schritt 10 der Norm CISIS12 "Maßnahmenumsetzung" sind korrekt. (Mehrfachnennung möglich)

(7718644)

Über den Umsetzungstand jeder einzelnen Maßnahme ist der Organisationsleitung monatlich vom Umsetzer zu berichten.
(8989782)

Es MUSS nur die Rolle des Umsetzers definiert werden. Weitere Rollen KÖNNEN definiert werden.
(8989781)

Über die Reihenfolge der Umsetzung entscheidet nur der Informationssicherheitsbeauftragte.
(8989780)

Die Maßnahmen aus dem Schritt 9 der Norm CISIS12 "Soll-Ist Vergelich" sind zu konsolidieren und zu priorisieren
(8989777)

Die noch nicht umgesetzten Maßnahmen werden in Bezug auf Kosten für deren Realisierung untersucht. Welche Aspekte sind richtigt? (Mehrfachnennung möglich)

(7718645)

Bei der Umsetzungsplanung werden die Aufgaben und Verantwortlichkeiten festgelegt. Dabei ist nur ist zu beachten, dass der Informationssicherheitsbeauftragte (ISB) die Hauptverantwortung trägt und die Leitungsebene für die Umsetzung zuständig ist.
(8989787)

Bei der Umsetzungsplanung MUSS jede Maßnahmen aufgeführt werden. Eine Konsoliderung ist nicht vorgesehen.
(8989786)

Bei der Umsetzungsplanungen KÖNNEN zueinander identische Maßnahmen konsolidiert werden.
(8989784)

Maßnahmen werden priorisiert und der Geschäftsleitung zur Freigabe der benötigten Ressourcen als Entscheidungsgrundlage vorgelegt. Ein konkreter Umsetzungsplan wird gefordert.
(8989783)

Nach welchen Kriterien erfolgt die Umsetzungsplanung? (Mehrfachnennung möglich)

(7718646)

Priorität
(8989791)

Kostenabschätzung.
(8989790)

Breitenwirkung.
(8989789)

Angestrebter Schutzbedarf.
(8989788)

Audits sind ein wichtiges Instrument um die ISMS Konformität, d. h. die Einhaltung der im Standard enthaltenen oder in internen Richtlinien definierten Vorgaben, nachzuweisen bzw. zu prüfen. Welche Aspekte und Behauptungen sind richtig? (Mehrfachnennung möglich)

(7718647)

Ein Audit ist nach der internationalen Norm ISO/IEC 27021 ein dokumentierters Verfahren, welches nach demselben Prinzip des Soll-Ist-Vergleich ablaufen soll, unabhängig davon ob Auditkriterien erfüllt sind oder nicht.
(8989799)

Ein Audit ist nach der Norm ISO 19011 ein systematischer, unabhängiger und dokumentierter Prozess. Audit-Nachweise und deren objektive Bewertung, erlauben es festzustellen, ob zuvor festgelegte Auditkriterien erfüllt sind oder nicht.
(8989797)

Interne Audits werden unter der direkten Verantwortung und Kontrolle einer Organisation innerhalb ihrer eigenen Grenzen durchgeführt.
(8989796)

Das interne Audit dient als Werkzeug zur Identifikation von Verbesserungspotentialen. Bei einem internen Audit liegt die Verantwortung bei der Organisation selbst.
(8989795)

Welche Aussagen sind im Zusammenhang mit dem Schritt 12 der Norm CISIS12 "Revision" richtig? (Mehrfachnennung möglich)

(7718648)

Der kontinuierliche Verbesserungsprozess bezieht sich nur auf den Managementbericht.
(8989807)

Die Geschäftsprozesse müssen nur einmal hinsichtlich der Informationssicherheit betrachtet werden.
(8989806)

Für eine Revision wird eine ausgebildeter Revisor benötigt.
(8989805)

Durch die regelmäßigen Revisionen der Informationssicherheit kann über deren wirksame Umsetzung, Aktualität, Vollständigkeit, Angemessenheit und den aktuellen Zustand der Informationssicherheit eine Aussage getroffen werden.
(8989802)

Welche Aussagen sind zum Zertifizierungsprozess korrekt? (Mehrfachnennung möglich)

(7718649)

Das Audit erfolgt automatisch 4 Wochen nach Beendigung der CISIS12-Einführung.
(8989812)

Das Audit erfolgt durch den zertifizierte Berater
(8989811)

Der Auditor muss von der Zertifizierungsstelle für CISIS12 zugelassen sein.
(8989809)

Die Zertifizierung erfolgt über Zertifizierungsstellen und nur auf Antrag.
(8989808)

CISIS12 Basic - de - sample set 1 - v1

In der Informationssicherheit werden abstrakte Schutzziele definiert. Die zentralen Schutzziele sind Vertraulichkeit, Integrität und Verfügbarkeit. Welche der folgenden Definitionen können den Schutzziel Vertraulichkeit zugeordnet werden? (Mehrfachnennung möglich)

(7718600)

Die Vertraulichkeit wird in der internationalen Norm ISO/IEC 27000 als Geheimhaltungsstufe definiert.
(8989504)

Die Vertraulichkeit kann auch durch andere Schutzziele ersetzt werden.
(8989503)

Die Vertraulichkeit ist auch die Eigenschaft, dass eine Entität das ist, was sie vorgibt zu sein.
(8989502)

Die Vertraulichkeit bezeichnet die Eigenschaft, dass Informationen nur für autorisierte Personen, Entitäten und Prozesse zugänglich sind.
(8989500)

Eines der zentralen Schutzziele in der Informationssicherheit ist die Integrität. In welchen der folgenden Fällen liegt eine Verletzung der Integrität vor? (Mehrfachnennung möglich)

(7718601)

In einem Dokument wurden Informationen von einer berechtigten Entität hinzugefügt.
(8989510)

In der Email-Kommunikation zwischen zwei vertrauenswürdigen Personen wurde von einer unbekannten Entität die Nachricht kopiert und angepasst.
(8989508)

Aus einem Dokument wurden von Personen, die nicht berechtigt sind, Informationen gelöscht.
(8989507)

In einem Dokument wurden Informationen unberechtigterweise hinzugefügt.
(8989506)

Die Verfügbarkeit im engl. auch Availability genannt, ist eines Schutzziele in der Informationssicherheit. Was versteht man unter dem Verfügbarkeit? (Mehrfachnennung möglich)

(7718602)

Verfügbarkeit bedeutet, im beliebigen Umfang permanent Ressourcen abrufen zu können.
(8989519)

Die Eigenschaft einer (Keine Vorschläge) Einrichtung, genügend Ressourcen für eine Aufgabe zur Verfügung zu haben.
(8989518)

Dieses Schutzziel andressiert die Verhinderung von Systemausfällen; der Zugriff auf Daten MUSS innerhalb eines vereinbarten Zeitrahmens gewährleistet sein.
(8989516)

Die Verfügbarkeit kann z.B. durch Elementarschäden oder Katastrophen bedroht werden.
(8989515)

Welche der folgenden Aussagen sind im Zusammenhang mit Vertraulichkeit und Integrität korrekt? (Mehrfachnennung möglich)

(7718603)

Vertraulichkeit und Integrität können immer nur gemeinsam behandelt werden.
(8989526)

Vertraulichkeit und Integrität können durch die Authentizität und Verlässlichkeit begründet ersetzt werden. Dies darf aber nur durch die Leitungseben autorisiert werden.
(8989525)

Ein angemessenes Niveau an Vertraulichkeit und Integrität lässt sich nur durch den Einsatz von kryptographischen Maßnahmen (Verschlüsselung) erreichen.
(8989523)

Vertraulichkeit bedeutet Schutz vor Offenlegung von Informationen gegenüber unbefugter Personen
(8989520)

Die Informationssicherheit besteht aus mehreren Bausteinen und ist immer unter einem ganzheitlichem Aspekt zu betrachten. Wichtig dabei ist das optimale Zusammenspiel von technischer, organisatorischer und personeller Sicherheit. Welche der folgenden Aussagen erfüllt das Informationssicherheitskonzept? (Mehrfachnennung möglich)

(7718604)

Klare Regeln und ein hohes Sicherheitsbewusstsein bei den Beschäftigten sind genauso wichtig wie z.B. die technischen Maßnahmen zur Sicherstellung der Informationssicherheit.
(8989530)

Es ist wichtig, Beschäftigte regelmäßig im Bereich Informationssicherheit zu sensibilisieren. Denn nur so kann verhindert werden, dass ein unbewusstes Fehlverhalten zu (organisationskritischen) Schäden führen.
(8989529)

Logische Sicherheit in der Informationssicherheit beschreibt u.a. die relevanten technischen Maßnahmen zur Gewährleistung und Verbesserung der Informationssicherheit.
(8989528)

Personelle Sicherheit beschreibt alle relevanten personellen Maßnahmen (Bewachung, Pförtner- und Empfangsdienste, etc.), ist Bestandteil der Informationssicherheit und MUSS immer im Zusammenhang mit der logischen und der physischen Sicherheit betrachten werden.
(8989527)

Die europäische Datenschutz-Grundverordnung - (DSGVO) und das Deutsche Bundesdatenschutzgesetz BDSG-neu ist am 25.5.2018 in Kraft getreten. Welche der folgenden Aussagen sind im Zusammenhang der DSGVO, dem BDSG-neu und der Informationssicherheit korrekt? (Mehrfachnennung möglich)

(7718605)

Das BDSG-neu ist das zentrale Datenschutzgesetz in Deutschland. Die Informationssicherheit und der Datenschutz werden in ihm geregelt.
(8989538)

Der Datenschutz MUSS nicht auf nationaler Ebene geregelt werden, da die DSGVO für alle Mitgliedsländern der Europäischen Union die Umsetzung des Datenschutzes regelt.
(8989537)

Bei der Umsetzung des Datenschutzes handelt es sich um gesetzliche Anforderungen. Bei der Informationssicherheit können Organisationen unterschiedliche Konzepte einführen und durchsetzen.
(8989535)

Die Hauptaufgabe dieses Bundesdatenschutzgesetzes ist es, den Datenschutz auf nationaler Ebene zu regeln, wenn die DSGVO durch sog. Öffnungsklauseln den einzelnen Mitgliedsländern der Europäischen Union in der Umsetzung des Datenschutzes einen Spielraum gewährt.
(8989534)

Was trifft auf den PDCA-Zyklus zu? (Mehrfachnennung möglich)

(7718610)

P steht "Perform", D für "Deliver", C für "Control" und A für "Act"
(8989568)

Der PDCA-Zyklus beschreibt die Eigenschaft von Informationen, die im Rahmen der Informationssicherheit aufrechterhalten werden soll.
(8989567)

P steht "Plan", D für "Do", C für "Check" und A für "Act"
(8989565)

Der PDCA-Zyklus ist die Grundlage von Managementsystemen
(8989564)

Grundsätze eines Informationssicherheitsmanagementsystems ISMS (Mehrfachnennung möglich)

(7718611)

Externe und interne Beschäftigte tragen keinerlei Verantwortung. Die Übernahme von Eigenverantwortung ist nicht gefordert, da diese bereits in den entsprechenden NDAs (non-disclosure agreement) also Geiheimhatltungverträgen geregelt ist.
(8989575)

Der Informationssicherheitsbeauftragte ist für die Informationssicherheit in der Organisation alleine verantwortlich.
(8989574)

Bewusstsein (Awareness) für Informationssicherheit.
(8989571)

Verantwortung für Informationssicherheit übernehmen.
(8989570)

Was ist ein Service? (Mehrfachnennung möglich)

(7718613)

Ein Service beschreibt nur die Zweckmäßigkeit (Utility) die an den Kunden ausgeliefert werden sollen.
(8989586)

Ein Service beschreibt die genauen inhaltlichen Aktivitäten die zu bestimmten Zeiten durchzuführen sind. Bei einem Server sind das die regelmäßig durchzuführenden Service/Wartungsarbeiten.
(8989585)

Ein Service kann Kunden bei der Erreichung der Ziel unterstützen.
(8989583)

Ein Service ist ein Mittel um einen Mehrwert für Kunden zu erbringen.
(8989582)

Was ist ein Projekt bzw. was sind die Kernaufgaben des Projektmanagements? (Mehrfachnennung möglich)

(7718616)

Projekte zielen darauf ab, ein bestimmtes, einmaliges Ziel, wie zum Beispiel die Implementierung eines ISMS, zu erfüllen. Um dieses Ziel zu erfüllen MUSS immer die Wasserfall-Projektmethodik angewandt werden.
(8989603)

Ein Projekt ist ein kontinuierlicher Prozess, der von der Leitungsebene anhand des PDCA-Zyklus weiterentwickelt wird.
(8989602)

Projektmanagement umfasst die Planung, die Überwachung, die Steuerung und den Abschluss eines Projekts.
(8989601)

Ein Projekt ist ein einmaliger Geschäftsprozess, der von der Leitungsebene anhand eines z.B. Business Case genehmigt wird.
(8989600)

Ein Organisation benötigt klar definierte Rollen und Verantwortlichkeiten sowie die Sicherstellung der Akzeptanz der Beschäftigten. Welche der folgenden Aussagen sind richtig? (Mehrfachnennung möglich)

(7718617)

Rollen werden immer nur durch eine Person oder Organisationseinheiten besetzt. Mehrfachbesetzungen sind nicht nur in der Linienorganisation vorbehalten.
(8989608)

Rollen werden häufig auch mehrfach, d. h. durch mehrere Personen oder gar Organisationseinheiten besetzt.
(8989606)

„Rollen“ sind nicht mit „Stellen“ oder „Personen“ zu verwechseln.
(8989605)

Eine Rolle ist die Beschreibung einer Menge von Aufgaben und Verantwortlichkeiten im Rahmen der Aufgaben in einer Organisation
(8989604)

Welche Aufgaben übernimmt der Informationssicherheitsbeauftragter (ISB) in Organisation? (Mehrfachnennung möglich)

(7718618)

Die Aufgabe des Informationssicherheitsbeauftragten ist es, ein Informationssicherheitsmanagementsystem einzuführen, zu betreuen und weiterzuentwickeln.
(8989614)

Leitet das ISM-Team (Informationssicherheitsteam).
(8989613)

Ist unteranderem für die Einhaltung von normativen Forderungen zur Informationssicherheit (Z.B. CISIS12) zuständig.
(8989612)

Ist für alle Fragen rund um die Informationssicherheit in der Organisation zuständig ebenso für die Koordination und die Umsetzung des Sicherheitskonzeptes.
(8989611)

Governance, Risk & Compliance (GRC) umfasst drei wichtige Handlungsebenen eines Unternehmens für dessen erfolgreiche Führung zusammen. Welche der Aussagen unterstützen die "GRC" Definition? (Mehrfachnennung möglich)

(7718619)

Das Risk Management oder Risikomanagement zielt darauf ab, nur die IT-Risiken rechtzeitig zu erkennen. Unternehmensrisken werden im Informationssicherheitsmanagement nicht berücksichtigt.
(8989622)

Risikoappetit bezeichnet die durch kulturelle, interne, externe oder wirtschaftliche Einflüsse entstandene Neigung einer Institution, wie sie Risiken einschätzt, bewertet und mit ihnen umgeht.
(8989620)

Das Risk Management oder Risikomanagement zielt darauf ab, eventuelle Risiken, die das Erreichen der Unternehmensziele gefährden, frühzeitig zu erkennen und durch entsprechende Gegenmaßnahmen zu beseitigen oder zumindest einzuschränken.
(8989619)

Governance stellt sicher, dass die Anforderungen, Rahmenbedingungen und Möglichkeiten der interessierte Parteien (Stakeholder) evaluiert werden, um ausgewogene und vereinbarte Unternehmensziele zu bestimmen, die es zu erreichen gilt.
(8989618)

Die Norm ISO/IEC 27005 beinhaltet eine Beschreibung des kompletten Risikomanagementprozesses, der einzelnen Schritte der Risikoanalyse sowie Informationen zur Etablierung des Prozesses. Welcher der folgenden Aspekte sind falsch? (Mehrfachnennung möglich)

(7718620)

Die ISO/IEC 27005 liefert eine Beschreibung der Empfehlungen für einen Risikomanagementprozesses, beschreibt die einzelnen Schritte der Risikoanalyse sowie liefert Informationen zur Etablierung des Prozesses.
(8989629)

Die ISO/IEC 27005 enthält Leitlinien und Empfehlungen für ein systematisches und prozessorientiertes Risikomanagement.
(8989628)

Die Norm ISO/IEC 27005 liefert alle relevanten Informationen die für die Erfüllung der Informationssicherheitsmanagement-Anforderungen benötigt werden. Dies schließt die Akzeptanzkriterien und die Bewertungsmethodik ein.
(8989626)

Da es sich bei der ISO/IEC 27005 um einen ergänzenden (informativen) Standard handelt, ist eine Zertifizierung durch die Dakks möglich.
(8989625)

Nach der Norm ISO/IEC 27005 ist eine Aktivität die Identifikation von Risken (Risk identification). Welche Aktivitätsschritte sind hier vorgesehen? (Mehrfachnennung möglich)

(7718621)

Identifikation der geeigneten (Gegen-)Maßnahmen.
(8989635)

Identifikation der Schwachstellen.
(8989633)

Identifikation der Bedrohungen.
(8989632)

Identifikation der schützenswerten Assets.
(8989631)

Welche übergeordneten Ziele verfolgt die Norm CISIS12 in ihrer aktuellen Version? (Mehrfachnennung möglich)

(7718622)

Es werden alle Details beschrieben, was eine IT-Abteilung tut (durchführt) und sicherstellen MUSS, um ihre die Aktivitäten und Maßnahmen im Bereich der IT-Sicherheit und dem Datenschutz wirksam steuern zu können.
(8989642)

Die Norm fördert den kontinuierlichen Verbesserungsansatz.
(8989640)

Das ISMS nach CISIS12 soll den stetig steigenden Sicherheitsanspruch bei der Digitalisierung wirksam unterstützen.
(8989639)

Das ISMS soll als übergreifende Steuerungsstruktur in der Organisation integriert sein, um die Sicherheit für Prozesse, Verfahren, Assets und Personal nachhaltig sicherzustellen.
(8989638)

Welche der Aussagen über das CISIS12-Vorgehensmodell und normative Verweise sind korrekt? (Mehrfachnennung möglich)

(7718623)

Die Norm CISIS12 ist nicht abwärtskompatibel mit den Vorgängerversionen 1.x und 2.x.
(8989649)

Die Norm CISIS12 verweist auf den BSI Standard 200-1 bis 200-4 sowie auf das IT-Grundschutz-Kompendium
(8989647)

Das Vorgehensmodell besteht aus fünf Strategie- und Umsetzungsbereichen.
(8989646)

Das Vorgehensmodell fokussiert sich weiterhin auf den Aufbau und die Etablierung eines Informationssicherheitsmanagementsystems in zwölf Schritten. Der Schritt 0 Projekt Start-Up und der Schritt 13 Audits (Externe- bzw. Zertifizierungsaudit) wurden in der Norm berücksichtigt.
(8989645)

Die Norm CISIS12 ist ein Informationssicherheitsmanagementsystem (ISMS). Welche Aussagen sind richtig? (Mehrfachnennung möglich)

(7718624)

Die Norm CISIS12 deckt die Anforderungen der DSGVO automatisch mit ab.
(8989656)

Die Norm CISIS12 lässt sich nur mit einer entsprechenden Softwarelösung umsetzen.
(8989655)

Die Norm CISIS12 besteht grundsätzlich aus 12 +2 Schritten und aus fünf Strategie- und Umsetzungsbereichen.
(8989653)

Der PDCA-Zyklus bildet die Grundlage für das Informationssicherheitsmanagementsystem (ISMS) nach CISIS12.
(8989652)

Die wesentlichen Rahmenbedingungen (Organisation und Führung) zum Aufbau und zur Etablierung eines Informationssicherheitsmanagementsystems werden im Kapitel 4 der Norm CISIS12 beschrieben. Welche Anforderungen lassen sich zum Kapitel 4 der Norm CISIS 12 "Rahmenbedingungen (Organisation und Führung)" zuordnen? (Mehrfachnennung möglich)

(7718625)

Die Organisation MUSS ein angemessenes Sicherheitskonzept mit ihren Kunden und Gesetzgebern erstellen, planen und fortschreiben.
(8989661)

Die Organisationsziele MUSS immer mithilfe der SMART-Formel die spezifischen Ziele definieren. Diese Ziele sind von der von der Leitungsebene smart zu definieren.
(8989660)

Die Leitungsebene MUSS die Integration des Informationssicherheitsmanagements in die Geschäftsprozesse sicherstellen.
(8989658)

Die Organisation MUSS für den internen Kontext, in dem sich die Organisation bewegt, sowohl die internen als auch die externen Themenbereiche ermitteln, für die Informationssicherheit relevant ist.
(8989657)

Die ISMS Leitlinie definiert unter anderem den Zweck, die Ausrichtung, die grundsätzlichen Regeln für das Informationssicherheitsmanagementsystem. Welche der folgenden Anforderungen an die Norm CISIS12 "Leitlinie" sind richtig? (Mehrfachnennung möglich)

(7718626)

Die Leitlinie MUSS wie jedes Dokument von der Leitungsebene als geheim klassifizieren werden. Nur berechtigte Mitarbeiter dürfen einen Zugriff auf die Leitlinie haben.
(8989667)

Die Leitlinie MUSS vom Informationssicherheitsbeauftragten unterschrieben und kommuniziert werden.
(8989666)

Die Leitlinie MUSS immer schriftlich verfügbar sein und jeden Mitarbeiter persönlich ausgehändigt werden.
(8989665)

Die Organisation MUSS eine Leitlinie erstellen, die auf die Anforderungen der Organisation angepasst ist.
(8989662)

Im Kapitel 4 der Norm CISIS12 wird ein Sicherheitskonzept gefordert, welches von der Organisation geplant, umgesetzen und weiterentwickeln werden MUSS. Welche Inhalte sind gefordert? (Mehrfachnennung möglich)

(7718627)

Die Datenschutzanforderungen MÜSSEN lt. der Norm CISIS12 nicht im IT-Security-Konzept berücksichtigt werden.
(8989672)

Beschreibung der Chancen und Risiken für die Organisation.
(8989670)

Erforderliche Technologien (Werkzeuge) zur Unterstützung des Informationssicherheitsmanagementsystems.
(8989669)

Ziele und zeitliche Planung der Umsetzung des Informationssicherheitsmanagementsystems und der damit verbundenen Prozesse.
(8989668)

Die Organisation MUSS eine angemessene Dokumentation aufbauen, die das Informationssicherheitsmanagementsystem beschreibt. Welche der Aussagen sind korrekt? (Mehrfachnennung möglich)

(7718629)

Nachweise sind keine Dokumente und MÜSSEN daher nicht vorgehalten werden.
(8989685)

Alle Dokumente MÜSSEN elektronisch und in Papierform vorliegen.
(8989684)

Die Organisation MUSS sicherstellen, dass die für das Informationssicherheitsmanagementsystem notwendigen Dokumente gelenkt werden.
(8989682)

Aufgrund unterschiedlicher Anforderungen KÖNNEN sich die Qualität und Quantität einer Dokumentation bei unterschiedlichen Organisationen unterscheiden.
(8989681)

Welche Aktivitäten sind bei der Umsetzung im "Schritt 0" der Norm CISIS12 zu berücksichtigen und welche Aussagen würden Sie als richtig ansehen? (Mehrfachnennung möglich)

(7718635)

Je nach Größe des Unternehmens SOLLTE ein „Projekthandbuch“ erstellt werden. Starten Sie mit dem ISMS Projekt sofort um den Projekterfolg (Best Practice) nicht zu gefährden. Der Projektauftrag kann auch bis zum Schritt 3 - Informationssicherheitsteam aufbauen erfolgen. Erst danach MUSS der Informationssicherheitsbeauftragten (ISB) die Leitungseben informieren.
(8989724)

Die Ziele für das anstehende ISMS Projekte MÜSSEN immer so früh wie möglich mit dem Informationssicherheitsbeauftragten (ISB) abgestimmt und im Projektstrukturplan schriftlich fixiert werden.
(8989723)

Eine Stakeholderanalyse unterstütz bei der Erfassung der ISMS Ziele.
(8989720)

Ohne einer angemessenen Planung und Unterstützung der Leitungsebene ist es nahezu nicht möglich CISIS12 in einer Organisation einzuführen.
(8989719)

Die Leitlinie für Informationssicherheit (ISL) ist das zentrale strategische Dokument der Organisationsleitung bei der Einführung, Etablierung, Umsetzung und kontinuierlichen Verbesserung der Informationssicherheit. Welche Aufgabe hat eine Leitlinie und welche Aspekte sind richtig? (Mehrfachnennung möglich)

(7718636)

Jede Organisation hat meistens keine spezifische Vorgaben und Ziele, die in die Leitlinie einfließen MÜSSEN. Achtung! Nutzen Sie die bereitgestellten Vorlagen.
(8989730)

Die Leitlinie ist als streng vertraulich zu kennzeichnen, da die beschriebenen Geheimnisse der Organisation publik gemacht werden könnten.
(8989729)

Die Leitlinie für Informationssicherheit beschreibt die Sicherheitsziele und das angestrebte Sicherheitsniveau.
(8989727)

Sie gehört zu den ersten wesentlichen Elementen für den Aufbau eines ISMS. Die Leitlinie muss auf die Organisation bezogen sein und die Formulierungen den Gepflogenheiten der Organisation entsprechen.
(8989726)

Was ist im Schritt 2 der Norm "Beschäftigte sensibilisieren" zu beachten? (Mehrfachnennung möglich)

(7718637)

In der Organisation ist nur die Leitungsebene für die Informationssicherheit und Datenschutz verantwortlich. Beschäftigte sind daher im Sinne der DSGV bzw. BDSG nicht mitverantwortlich. Eine Eigenverantwortung ist nicht vorgesehen.
(8989736)

Nur internen Beschäftigten MÜSSEN vom Informationssicherheitsbeauftragten (ISB) regelmäßig geschult werden. Die Schulung etwaiger externer Beschäftigter ist über das Lieferantenmanagement (Supplier-Management) zu regeln.
(8989735)

Die Eigenverantwortung der Beschäftigten ist zu fördern. Jeder ist für die Informationssicherheit und Datenschutz in seinem Arbeitsbereich (mit-) verantwortlich.
(8989733)

Internen und externen Beschäftigten MÜSSEN zielgruppengerecht zu den Themen Informationssicherheit und Datenschutz regelmäßig geschult werden.
(8989732)

Eine erfolgreiche Umsetzung bzw. Weiterentwicklung eines ISMS kann oft nur mit Experten gelingen. Welche Aspekte sind daher im Schritt 3 der Norm CISIS12 "Informationssicherheitsteam aufbauen" zu berücksichtigen? (Mehrfachnennung möglich)

(7718638)

Die Aufgaben eines Informationssicherheitsbeauftragten (ISB) und die eines Datenschutzbeauftragten sollten zusammengelgt werden. Daher ist eine eigene ISMS Ausbildung bzw. Schulung nicht notwendig.
(8989743)

Ein Informationssicherheitsbeauftragten (ISB) entbindet die oberste Leitung immer von ihrer Gesamtverantwortung für alle Belage in der Informationssicherheit.
(8989742)

Die Rolle des Informationssicherheitsbeauftragten (ISB) ist im Unternehmen zu etablieren.
(8989739)

Die Benennung eines Informationssicherheitsbeauftragten (ISB) entbindet die oberste Leitung nicht von ihrer Gesamtverantwortung für die Informationssicherheit.
(8989738)

Eine angemessene Dokumentation ist die notwendige Basis, um die IT-Services und die Informationssicherheit strukturiert zu steuern. Welche Dokumente sind Referenzdokumente? (Mehrfachnennung möglich)

(7718639)

Lieferantenmanagement
(8989750)

Business Impact Analyse (BIA)
(8989749)

IT-Servicemanagementhandbuch.
(8989746)

Schulungs- und Sensibilisierungskonzept.
(8989745)

Im Schritt 7 wird die IT Struktur analysiert. Die IT-Struktur stellt die notwendige Basis dar, um die Geschäftsprozesse der Organisation zu ermöglichen. Welche der Anforderungen sind hier richtig? (Mehrfachnennung möglich)

(7718642)

Es MÜSSEN immer alle Assets einer Organisation erhoben werden und graphisch im Netzstrukturplan dargestellt werden, unabhängig ob die Assets im Scope sind oder nicht.
(8989769)

Im bereinigten Netzplan sind die IT-Strukturen und Assets sinnhaft zu gruppieren und immer nach dem BSI-Vorgaben in einem entsprechenden Netzstrukturtool zu erstellen. Die Benennung kann daher ohne eine festgelegten Namenskonvention erfolgen.
(8989768)

Beim sogenannten Maximumprinzip wird der Schutzbedarf eines Objekts aus dem Maximum der Schutzbedarfe der Anwendungen, die darauf aufbauen gebildet.
(8989766)

Die Assets MÜSSEN für die IT-Struktur identifiziert und klassifiziert werden. Eine aktuelle Übersicht dokumentiert diese IT-Strukturen und Assets einschließlich des zugehörigen Werte-Eigentümer (Asset-Owner).
(8989765)

Der Soll-Ist-Vergleich, Schritt 9 der Norm CISIS12, kann schon als Teil des Reifegrades der Implementierung eines ISMS verstanden werden. Welche der Aussagen sind aus Ihrer Sicht korrekt? (Mehrfachnennung möglich)

(7718643)

Der Soll-Ist-Vergleich ist im weiteren Sinne ein sogenanntes Vor-Audit, welches vom CISIS12 Berater durchgeführt werden soll. Es werden die Istwerte und -leistungen mit dem Vorgaben abgeglichen.
(8989774)

Unabhängig von der Nutzung eines Tools, müssen die Maßnahmen nach ihrem Umsetzungsgrad bewertet werden. Die Bewertung sollte in einem gruppendynamischen Prozess erfolgen.
(8989772)

Zu einem funktionierenden ISMS Betrieb gehört das Wissen über das aktuell erreichte Zielniveau, um Abweichungen rechtzeitig festzustellen und um z.B. Verbesserungsmaßnahmen einleiten zu können.
(8989771)

Der Soll-Ist-Vergleich ist im weiteren Sinne der Vergleich der Istwerte und -leistungen mit dem „was hätte sein sollen“
(8989770)

Die noch nicht umgesetzten Maßnahmen werden in Bezug auf Kosten für deren Realisierung untersucht. Welche Aspekte sind richtigt? (Mehrfachnennung möglich)

(7718645)

Bei der Umsetzungsplanung werden die Aufgaben und Verantwortlichkeiten festgelegt. Dabei ist nur ist zu beachten, dass der Informationssicherheitsbeauftragte (ISB) die Hauptverantwortung trägt und die Leitungsebene für die Umsetzung zuständig ist.
(8989787)

Bei der Umsetzungsplanung MUSS jede Maßnahmen aufgeführt werden. Eine Konsoliderung ist nicht vorgesehen.
(8989786)

Bei der Umsetzungsplanungen KÖNNEN zueinander identische Maßnahmen konsolidiert werden.
(8989784)

Maßnahmen werden priorisiert und der Geschäftsleitung zur Freigabe der benötigten Ressourcen als Entscheidungsgrundlage vorgelegt. Ein konkreter Umsetzungsplan wird gefordert.
(8989783)

CISIS12 Security Officer Beraterupdate - de - sample set 1 - v1

Das IT Service Management besteht aus mehreren Prozessen. Als einer der wichtigen Prozess kann sicherlich der Change Management Prozess angesehen werden. Welche der Aspekte sind richtig? (Mehrfachnennung möglich)

(7718614)

Die Entscheidung ob ein Change über das Change Management gesteuert wird, obliegt immer den Change Manager. Dieser führt auch alle Aktivitäten im Change Prozess selber durch, um den Erfolg des Changes nicht zu gefährden.
(8989593)

Eines der Ziele des Change Management ist auch die Pflege eines logischen Modells der relevanten Service- und Infrastrukturkomponenten einschließlich ihrer Beziehungen und Konfigurationsinformationen.
(8989592)

In der IT-Abteilung besteht keine Verpflichtung die Prinzipien des Change Management anzuwenden, da die Verfahren oft zu bürokratisch sind.
(8989591)

Es soll angestrebt werden, dass möglichste alle Changes an den Configuration Items (CI) unter der Kontrolle des Prozesses Change Management unterliegen.
(8989588)

Welche der folgenden Aussagen sind im Zusammenhang mit dem Projektmanagementmethoden korrekt? (Mehrfachnennung möglich)

(7718615)

PRINCE2 besteht aus vier integrierten Bausteinen und wird im sogenannten agilen Manifest aus dem Jahr 2001 im Detail beschrieben.
(8989599)

Eine agile Kultur ist mittlerweile keine wichtige Voraussetzung mehr, um erfolgreich agile Methoden wie z.B. Scrum einzuführen, da in vielen Organisationen der SCRUM-Master diese Rolle übernommen hat.
(8989598)

Die agile Projektmanagement-Methode SCRUM eignet sich besonders für Projekte, deren Aufgaben voneinander abhängig sind und kommt in Organisationen mit nur hierarchisch geprägten Strukturen zum Einsatz.
(8989597)

Die Wasserfall-Methode ist eine klassische Projektmanagement-Methode. Sie läuft schrittweise, also wie ein Wasserfall, gemäß einer fixen Reihenfolge ab.
(8989594)

Governance, Risk & Compliance (GRC) umfasst drei wichtige Handlungsebenen eines Unternehmens für dessen erfolgreiche Führung zusammen. Welche der Aussagen unterstützen die "GRC" Definition? (Mehrfachnennung möglich)

(7718619)

Das Risk Management oder Risikomanagement zielt darauf ab, nur die IT-Risiken rechtzeitig zu erkennen. Unternehmensrisken werden im Informationssicherheitsmanagement nicht berücksichtigt.
(8989622)

Risikoappetit bezeichnet die durch kulturelle, interne, externe oder wirtschaftliche Einflüsse entstandene Neigung einer Institution, wie sie Risiken einschätzt, bewertet und mit ihnen umgeht.
(8989620)

Das Risk Management oder Risikomanagement zielt darauf ab, eventuelle Risiken, die das Erreichen der Unternehmensziele gefährden, frühzeitig zu erkennen und durch entsprechende Gegenmaßnahmen zu beseitigen oder zumindest einzuschränken.
(8989619)

Governance stellt sicher, dass die Anforderungen, Rahmenbedingungen und Möglichkeiten der interessierte Parteien (Stakeholder) evaluiert werden, um ausgewogene und vereinbarte Unternehmensziele zu bestimmen, die es zu erreichen gilt.
(8989618)

Welche übergeordneten Ziele verfolgt die Norm CISIS12 in ihrer aktuellen Version? (Mehrfachnennung möglich)

(7718622)

Es werden alle Details beschrieben, was eine IT-Abteilung tut (durchführt) und sicherstellen MUSS, um ihre die Aktivitäten und Maßnahmen im Bereich der IT-Sicherheit und dem Datenschutz wirksam steuern zu können.
(8989642)

Die Norm fördert den kontinuierlichen Verbesserungsansatz.
(8989640)

Das ISMS nach CISIS12 soll den stetig steigenden Sicherheitsanspruch bei der Digitalisierung wirksam unterstützen.
(8989639)

Das ISMS soll als übergreifende Steuerungsstruktur in der Organisation integriert sein, um die Sicherheit für Prozesse, Verfahren, Assets und Personal nachhaltig sicherzustellen.
(8989638)

Welche der Aussagen über das CISIS12-Vorgehensmodell und normative Verweise sind korrekt? (Mehrfachnennung möglich)

(7718623)

Die Norm CISIS12 ist nicht abwärtskompatibel mit den Vorgängerversionen 1.x und 2.x.
(8989649)

Die Norm CISIS12 verweist auf den BSI Standard 200-1 bis 200-4 sowie auf das IT-Grundschutz-Kompendium
(8989647)

Das Vorgehensmodell besteht aus fünf Strategie- und Umsetzungsbereichen.
(8989646)

Das Vorgehensmodell fokussiert sich weiterhin auf den Aufbau und die Etablierung eines Informationssicherheitsmanagementsystems in zwölf Schritten. Der Schritt 0 Projekt Start-Up und der Schritt 13 Audits (Externe- bzw. Zertifizierungsaudit) wurden in der Norm berücksichtigt.
(8989645)

Die Norm CISIS12 ist ein Informationssicherheitsmanagementsystem (ISMS). Welche Aussagen sind richtig? (Mehrfachnennung möglich)

(7718624)

Die Norm CISIS12 deckt die Anforderungen der DSGVO automatisch mit ab.
(8989656)

Die Norm CISIS12 lässt sich nur mit einer entsprechenden Softwarelösung umsetzen.
(8989655)

Die Norm CISIS12 besteht grundsätzlich aus 12 +2 Schritten und aus fünf Strategie- und Umsetzungsbereichen.
(8989653)

Der PDCA-Zyklus bildet die Grundlage für das Informationssicherheitsmanagementsystem (ISMS) nach CISIS12.
(8989652)

Die wesentlichen Rahmenbedingungen (Organisation und Führung) zum Aufbau und zur Etablierung eines Informationssicherheitsmanagementsystems werden im Kapitel 4 der Norm CISIS12 beschrieben. Welche Anforderungen lassen sich zum Kapitel 4 der Norm CISIS 12 "Rahmenbedingungen (Organisation und Führung)" zuordnen? (Mehrfachnennung möglich)

(7718625)

Die Organisation MUSS ein angemessenes Sicherheitskonzept mit ihren Kunden und Gesetzgebern erstellen, planen und fortschreiben.
(8989661)

Die Organisationsziele MUSS immer mithilfe der SMART-Formel die spezifischen Ziele definieren. Diese Ziele sind von der von der Leitungsebene smart zu definieren.
(8989660)

Die Leitungsebene MUSS die Integration des Informationssicherheitsmanagements in die Geschäftsprozesse sicherstellen.
(8989658)

Die Organisation MUSS für den internen Kontext, in dem sich die Organisation bewegt, sowohl die internen als auch die externen Themenbereiche ermitteln, für die Informationssicherheit relevant ist.
(8989657)

Die ISMS Leitlinie definiert unter anderem den Zweck, die Ausrichtung, die grundsätzlichen Regeln für das Informationssicherheitsmanagementsystem. Welche der folgenden Anforderungen an die Norm CISIS12 "Leitlinie" sind richtig? (Mehrfachnennung möglich)

(7718626)

Die Leitlinie MUSS wie jedes Dokument von der Leitungsebene als geheim klassifizieren werden. Nur berechtigte Mitarbeiter dürfen einen Zugriff auf die Leitlinie haben.
(8989667)

Die Leitlinie MUSS vom Informationssicherheitsbeauftragten unterschrieben und kommuniziert werden.
(8989666)

Die Leitlinie MUSS immer schriftlich verfügbar sein und jeden Mitarbeiter persönlich ausgehändigt werden.
(8989665)

Die Organisation MUSS eine Leitlinie erstellen, die auf die Anforderungen der Organisation angepasst ist.
(8989662)

Im Kapitel 4 der Norm CISIS12 wird ein Sicherheitskonzept gefordert, welches von der Organisation geplant, umgesetzen und weiterentwickeln werden MUSS. Welche Inhalte sind gefordert? (Mehrfachnennung möglich)

(7718627)

Die Datenschutzanforderungen MÜSSEN lt. der Norm CISIS12 nicht im IT-Security-Konzept berücksichtigt werden.
(8989672)

Beschreibung der Chancen und Risiken für die Organisation.
(8989670)

Erforderliche Technologien (Werkzeuge) zur Unterstützung des Informationssicherheitsmanagementsystems.
(8989669)

Ziele und zeitliche Planung der Umsetzung des Informationssicherheitsmanagementsystems und der damit verbundenen Prozesse.
(8989668)

Als wesentlicher Faktor zum Aufbau eines Informationssicherheitsmanagementsystems ist die Bereitstellung der Kompetenz. Was sind Anforderung aus dem Kapitel 5 der Norm CISIS12 "Festlegung der Kompetenz"? (Mehrfachnennung möglich)

(7718628)

Die Kompetenzen können, MÜSSEN aber nicht festgelegt werden.
(8989680)

Die Auswahl der Personen darf nur auf Basis der Fähigkeiten erfolgen. Die genauen Anforderungen sind öffentlich im IT-Grundschutz im Detail beschrieben. Die Ausbildungen darf auch nur durch beim BSI akkreditierten Schulungsunternehmen durchgeführt werden.
(8989679)

Die Organisation darf auf keinem Fall die entsprechenden Kompetenznachweise aus datenschutzrechtlichen Vorgaben vorhalten.
(8989678)

Für alle relevanten Personen, die innerhalb der Organisation im Kontext des Informationssicherheitsmanagements tätig sind, MUSS die erforderliche Kompetenz festgelegt werden.
(8989675)

Die Organisation MUSS eine angemessene Dokumentation aufbauen, die das Informationssicherheitsmanagementsystem beschreibt. Welche der Aussagen sind korrekt? (Mehrfachnennung möglich)

(7718629)

Nachweise sind keine Dokumente und MÜSSEN daher nicht vorgehalten werden.
(8989685)

Alle Dokumente MÜSSEN elektronisch und in Papierform vorliegen.
(8989684)

Die Organisation MUSS sicherstellen, dass die für das Informationssicherheitsmanagementsystem notwendigen Dokumente gelenkt werden.
(8989682)

Aufgrund unterschiedlicher Anforderungen KÖNNEN sich die Qualität und Quantität einer Dokumentation bei unterschiedlichen Organisationen unterscheiden.
(8989681)

Welche Dokumente werden lt. der Norm CISIS12 als Pflichtdokumente gefordert? (Mehrfachnennung möglich)

(7718630)

Asset-Inventar
(8989691)

IT-Servicemanagementhandbuch.
(8989689)

Dokumente bzgl. der Rollenbenennung und ISMS-Team.
(8989688)

Leitlinie für Informationssicherheit.
(8989687)

Zum nachhaltigen Aufbau und zur Etablierung eines Informationssicherheits-managementsystems MUSS die Organisation die notwendigen Prozesse planen, umsetzen und koordinieren. Welche normativen Anforderungen sind im Kapitel 6 - Betrieb beschrieben? (Mehrfachnennung möglich)

(7718631)

Der Umsetzungsprozess MUSS unter Zuhilfenahme der Wasserfall-Methode überwacht werden.
(8989697)

Im Rahmen des Umsetzungsprozesses, zur Erfüllung der Informationssicherheitsanforderungen, MÜSSEN die (kritischen) Prozesse der Organisation entsprechend fokussiert werden.
(8989696)

Die Organisation MUSS Sorge tragen, dass die Prozess angemessen dokumentiert sind.
(8989695)

Die Organisation MUSS zur Erfüllung der Informationssicherheitsanforderungen ausgelagerte (Unterstützungs-)Prozesse regelmäßig überwachen und koordinieren.
(8989694)

Die Organisation stellt sicher, dass für die Erfüllung der Informationssicherheitsanforderungen die IT-Servicemanagementprozesse etabliert und gelebt werden. Welche dieser Prozess sind verpflichtend umzusetzen? (Mehrfachnennung möglich)

(7718632)

Problemmanagement Prozess.
(8989703)

Kapazitätsmanagement.
(8989702)

Störungsprozess.
(8989700)

Wartungsprozess.
(8989699)

Im Rahmen der Norm CISIS12 MUSS ein angemessenes Risikomanagement aufgebaut und betrieben werden. Welche der folgenden Aussagen sind falsch? (Mehrfachnennung möglich)

(7718633)

Die Organisation MUSS Sorge tragen, dass der Risikobehandlungsprozess als dokumentierte Information vorliegt.
(8989711)

Die Organisation MUSS Festlegungen treffen, um die Wirksamkeit der etablierten Maßnahmen zu bewerten.
(8989710)

Die Organisation MUSS die Chancen und Risiken erheben, bewerten und entsprechende Maßnahmen ableiten.
(8989709)

Die Organisation MUSS die Risiken erheben, bewerten und entsprechende Maßnahmen ableiten. Die Chancen werden in einen eigenen Prozess behandelt.
(8989706)

Welche Punkte MUSS die Organisation im Rahmen der Überwachung, Messung und Bewertung des Informationssicherheitsmanagementsystems festlegen? (Mehrfachnennung möglich)

(7718634)

Alle Kennzahlen MÜSSEN immer am Monatsende zur Verfügung stehen um das ISMS Team gegenüber der Leitungesbene zu entlasten.
(8989717)

Der Aufbau und Betrieb einer Balance Balanced Scorecard (BSC, englisch für ausgewogener Berichtsbogen) ist verpflichtend zu etablieren.
(8989716)

Mess-, Überwachungs- und Bewertungsmethoden
(8989714)

Objekte der Überwachung, Messung und Bewertung.
(8989713)

Welche Aktivitäten sind bei der Umsetzung im "Schritt 0" der Norm CISIS12 zu berücksichtigen und welche Aussagen würden Sie als richtig ansehen? (Mehrfachnennung möglich)

(7718635)

Je nach Größe des Unternehmens SOLLTE ein „Projekthandbuch“ erstellt werden. Starten Sie mit dem ISMS Projekt sofort um den Projekterfolg (Best Practice) nicht zu gefährden. Der Projektauftrag kann auch bis zum Schritt 3 - Informationssicherheitsteam aufbauen erfolgen. Erst danach MUSS der Informationssicherheitsbeauftragten (ISB) die Leitungseben informieren.
(8989724)

Die Ziele für das anstehende ISMS Projekte MÜSSEN immer so früh wie möglich mit dem Informationssicherheitsbeauftragten (ISB) abgestimmt und im Projektstrukturplan schriftlich fixiert werden.
(8989723)

Eine Stakeholderanalyse unterstütz bei der Erfassung der ISMS Ziele.
(8989720)

Ohne einer angemessenen Planung und Unterstützung der Leitungsebene ist es nahezu nicht möglich CISIS12 in einer Organisation einzuführen.
(8989719)

Die Leitlinie für Informationssicherheit (ISL) ist das zentrale strategische Dokument der Organisationsleitung bei der Einführung, Etablierung, Umsetzung und kontinuierlichen Verbesserung der Informationssicherheit. Welche Aufgabe hat eine Leitlinie und welche Aspekte sind richtig? (Mehrfachnennung möglich)

(7718636)

Jede Organisation hat meistens keine spezifische Vorgaben und Ziele, die in die Leitlinie einfließen MÜSSEN. Achtung! Nutzen Sie die bereitgestellten Vorlagen.
(8989730)

Die Leitlinie ist als streng vertraulich zu kennzeichnen, da die beschriebenen Geheimnisse der Organisation publik gemacht werden könnten.
(8989729)

Die Leitlinie für Informationssicherheit beschreibt die Sicherheitsziele und das angestrebte Sicherheitsniveau.
(8989727)

Sie gehört zu den ersten wesentlichen Elementen für den Aufbau eines ISMS. Die Leitlinie muss auf die Organisation bezogen sein und die Formulierungen den Gepflogenheiten der Organisation entsprechen.
(8989726)

Was ist im Schritt 2 der Norm "Beschäftigte sensibilisieren" zu beachten? (Mehrfachnennung möglich)

(7718637)

In der Organisation ist nur die Leitungsebene für die Informationssicherheit und Datenschutz verantwortlich. Beschäftigte sind daher im Sinne der DSGV bzw. BDSG nicht mitverantwortlich. Eine Eigenverantwortung ist nicht vorgesehen.
(8989736)

Nur internen Beschäftigten MÜSSEN vom Informationssicherheitsbeauftragten (ISB) regelmäßig geschult werden. Die Schulung etwaiger externer Beschäftigter ist über das Lieferantenmanagement (Supplier-Management) zu regeln.
(8989735)

Die Eigenverantwortung der Beschäftigten ist zu fördern. Jeder ist für die Informationssicherheit und Datenschutz in seinem Arbeitsbereich (mit-) verantwortlich.
(8989733)

Internen und externen Beschäftigten MÜSSEN zielgruppengerecht zu den Themen Informationssicherheit und Datenschutz regelmäßig geschult werden.
(8989732)

Eine erfolgreiche Umsetzung bzw. Weiterentwicklung eines ISMS kann oft nur mit Experten gelingen. Welche Aspekte sind daher im Schritt 3 der Norm CISIS12 "Informationssicherheitsteam aufbauen" zu berücksichtigen? (Mehrfachnennung möglich)

(7718638)

Die Aufgaben eines Informationssicherheitsbeauftragten (ISB) und die eines Datenschutzbeauftragten sollten zusammengelgt werden. Daher ist eine eigene ISMS Ausbildung bzw. Schulung nicht notwendig.
(8989743)

Ein Informationssicherheitsbeauftragten (ISB) entbindet die oberste Leitung immer von ihrer Gesamtverantwortung für alle Belage in der Informationssicherheit.
(8989742)

Die Rolle des Informationssicherheitsbeauftragten (ISB) ist im Unternehmen zu etablieren.
(8989739)

Die Benennung eines Informationssicherheitsbeauftragten (ISB) entbindet die oberste Leitung nicht von ihrer Gesamtverantwortung für die Informationssicherheit.
(8989738)

Eine angemessene Dokumentation ist die notwendige Basis, um die IT-Services und die Informationssicherheit strukturiert zu steuern. Welche Dokumente sind Referenzdokumente? (Mehrfachnennung möglich)

(7718639)

Lieferantenmanagement
(8989750)

Business Impact Analyse (BIA)
(8989749)

IT-Servicemanagementhandbuch.
(8989746)

Schulungs- und Sensibilisierungskonzept.
(8989745)

Das IT-Servicemanagement ist die Gesamtheit aller Maßnahmen und Methoden, die nötig sind, um eine bestmögliche Unterstützung der Geschäftsprozesse durch die IT-Organisation zu erreichen. Welche Aussagen sind korrekt? (Mehrfachnennung möglich)

(7718640)

Das Problem Management MUSS und der Berechtigungsprozess SOLLTE optional umgesetzt werden.
(8989756)

Der Wartungs- und Änderungsprozess MÜSSEN und der Störungsbeseitigungsprozess SOLLTEN umgesetzt werde.
(8989755)

Der Störungsbeseitigungsprozess engl. Incident Management MUSS und der Service Request Management und Problem Management KÖNNEN umgesetzt werden.
(8989753)

Der Wartungs- und Änderungsprozess MÜSSEN umgesetzt werden.
(8989752)

Welche Aussagen sind zum Schritt 6 der Norm CISIS12 "Compliance, Prozesse und Anwendungen" falsch? (Mehrfachnennung möglich)

(7718641)

Nachvollziehbare Begründungen zum Schutzbedarf der Anwendung ist einfordern. Die finale Freigabe erfolgt durch die oberste Leitung.
(8989763)

Der Ergebnisse der Schutzbedarfserhebung MÜSSEN schriftlich dokumentiert werden.
(8989762)

Die Schutzbedarf wird durch Interviews bzw. per E-Mail-Befragung bei den jeweiligen Fachverantwortlichen erhoben.
(8989761)

Die Schutzbedarf darf nur schriftlich z.B. E-Mail-Befragung bei den jeweiligen Fachverantwortlichen erhoben werden.
(8989758)

Im Schritt 7 wird die IT Struktur analysiert. Die IT-Struktur stellt die notwendige Basis dar, um die Geschäftsprozesse der Organisation zu ermöglichen. Welche der Anforderungen sind hier richtig? (Mehrfachnennung möglich)

(7718642)

Es MÜSSEN immer alle Assets einer Organisation erhoben werden und graphisch im Netzstrukturplan dargestellt werden, unabhängig ob die Assets im Scope sind oder nicht.
(8989769)

Im bereinigten Netzplan sind die IT-Strukturen und Assets sinnhaft zu gruppieren und immer nach dem BSI-Vorgaben in einem entsprechenden Netzstrukturtool zu erstellen. Die Benennung kann daher ohne eine festgelegten Namenskonvention erfolgen.
(8989768)

Beim sogenannten Maximumprinzip wird der Schutzbedarf eines Objekts aus dem Maximum der Schutzbedarfe der Anwendungen, die darauf aufbauen gebildet.
(8989766)

Die Assets MÜSSEN für die IT-Struktur identifiziert und klassifiziert werden. Eine aktuelle Übersicht dokumentiert diese IT-Strukturen und Assets einschließlich des zugehörigen Werte-Eigentümer (Asset-Owner).
(8989765)

Der Soll-Ist-Vergleich, Schritt 9 der Norm CISIS12, kann schon als Teil des Reifegrades der Implementierung eines ISMS verstanden werden. Welche der Aussagen sind aus Ihrer Sicht korrekt? (Mehrfachnennung möglich)

(7718643)

Der Soll-Ist-Vergleich ist im weiteren Sinne ein sogenanntes Vor-Audit, welches vom CISIS12 Berater durchgeführt werden soll. Es werden die Istwerte und -leistungen mit dem Vorgaben abgeglichen.
(8989774)

Unabhängig von der Nutzung eines Tools, müssen die Maßnahmen nach ihrem Umsetzungsgrad bewertet werden. Die Bewertung sollte in einem gruppendynamischen Prozess erfolgen.
(8989772)

Zu einem funktionierenden ISMS Betrieb gehört das Wissen über das aktuell erreichte Zielniveau, um Abweichungen rechtzeitig festzustellen und um z.B. Verbesserungsmaßnahmen einleiten zu können.
(8989771)

Der Soll-Ist-Vergleich ist im weiteren Sinne der Vergleich der Istwerte und -leistungen mit dem „was hätte sein sollen“
(8989770)

Welche Annahmen zu Schritt 10 der Norm CISIS12 "Maßnahmenumsetzung" sind korrekt. (Mehrfachnennung möglich)

(7718644)

Über den Umsetzungstand jeder einzelnen Maßnahme ist der Organisationsleitung monatlich vom Umsetzer zu berichten.
(8989782)

Es MUSS nur die Rolle des Umsetzers definiert werden. Weitere Rollen KÖNNEN definiert werden.
(8989781)

Über die Reihenfolge der Umsetzung entscheidet nur der Informationssicherheitsbeauftragte.
(8989780)

Die Maßnahmen aus dem Schritt 9 der Norm CISIS12 "Soll-Ist Vergelich" sind zu konsolidieren und zu priorisieren
(8989777)

Die noch nicht umgesetzten Maßnahmen werden in Bezug auf Kosten für deren Realisierung untersucht. Welche Aspekte sind richtigt? (Mehrfachnennung möglich)

(7718645)

Bei der Umsetzungsplanung werden die Aufgaben und Verantwortlichkeiten festgelegt. Dabei ist nur ist zu beachten, dass der Informationssicherheitsbeauftragte (ISB) die Hauptverantwortung trägt und die Leitungsebene für die Umsetzung zuständig ist.
(8989787)

Bei der Umsetzungsplanung MUSS jede Maßnahmen aufgeführt werden. Eine Konsoliderung ist nicht vorgesehen.
(8989786)

Bei der Umsetzungsplanungen KÖNNEN zueinander identische Maßnahmen konsolidiert werden.
(8989784)

Maßnahmen werden priorisiert und der Geschäftsleitung zur Freigabe der benötigten Ressourcen als Entscheidungsgrundlage vorgelegt. Ein konkreter Umsetzungsplan wird gefordert.
(8989783)

Nach welchen Kriterien erfolgt die Umsetzungsplanung? (Mehrfachnennung möglich)

(7718646)

Priorität
(8989791)

Kostenabschätzung.
(8989790)

Breitenwirkung.
(8989789)

Angestrebter Schutzbedarf.
(8989788)

Audits sind ein wichtiges Instrument um die ISMS Konformität, d. h. die Einhaltung der im Standard enthaltenen oder in internen Richtlinien definierten Vorgaben, nachzuweisen bzw. zu prüfen. Welche Aspekte und Behauptungen sind richtig? (Mehrfachnennung möglich)

(7718647)

Ein Audit ist nach der internationalen Norm ISO/IEC 27021 ein dokumentierters Verfahren, welches nach

Musterprüfungen

ISMS 27001 fnd - de - sample set 1 - v2

Was ist Vertraulichkeit? (Mehrfachnennung möglich)

Welche Eigenschaften von Informationen sollen im Rahmen der Informationssicherheit aufrechterhalten werden? (Mehrfachnennung möglich)

Bei welchen der folgenden Standards handelt es sich um allgemeine, nicht branchenspezifische Leitfäden aus der ISO/IEC 27000 Familie? (Mehrfachnennung möglich)

Was trifft auf den Standard ISO/IEC 27001 zu? (Mehrfachnennung möglich)

Was trifft auf den PDCA-Zyklus zu? (Mehrfachnennung möglich)

Was trifft auf Prozesse im Kontext der ISO/IEC 27000 Standardfamilie zu? (Mehrfachnennung möglich)

Was trifft im Kontext des Standards ISO/IEC 27000 auf Maßnahmen (Controls) zu? (Mehrfachnennung möglich)

ISO/IEC 27001 definiert Maßnahmen (Controls) und Maßnahmenziele (Control Objectives) zu/zur ... (Mehrfachnennung möglich)

Welche der folgenden Rahmenwerke, Standards oder Standardfamilien befassen sich schwerpunktmäßig mit IT- oder Informationssicherheit (oder werden als Standard für IT- oder Informationssicherheit bezeichnet)? (Mehrfachnennung möglich)

Was sind Schritte, die im Rahmen des Prozesses zur Beurteilung von Informationssicherheitsrisiken festgelegt und angewendet (durchgeführt) werden müssen? (Mehrfachnennung möglich)

Wobei handelt es sich um Kriterien, die gemäß ISO/IEC 27001 im Rahmen des Prozesses zur Beurteilung von Informationssicherheitsrisiken festgelegt und angewendet werden müssen? (Mehrfachnennung möglich)

Welche der folgenden Aussagen zum Anhang A aus ISO/IEC 27001 sind insbesondere vor dem Hintergrund der Behandlung von Informationssicherheitsrisiken korrekt? (Mehrfachnennung möglich)

Was muss eine Organisation gemäß ISO/IEC 27001 im Rahmen ihres Prozesses zur Behandlung von Informationssicherheitsrisiken tun? (Mehrfachnennung möglich)

Worüber müssen sich Personen bewusst sein, die Tätigkeiten für eine Organisation ausüben, die Konformität mit ISO/IEC 27001 beansprucht? (Mehrfachnennung möglich)

Worüber sollen interne Audits Informationen liefern? (Mehrfachnennung möglich)

Welche der folgenden Aussagen zu internen Audits und Managementbewertungen sind korrekt? (Mehrfachnennung möglich)

Welche der folgenden Aussagen im Zusammenhang mit Vertraulichkeit und Integrität von Informationen sind korrekt? (Mehrfachnennung möglich)

Welche der folgenden Aussagen zu Maßnahmen (Controls) sind korrekt? (Mehrfachnennung möglich)

Ein Audit ist ein Prozess, mit dem bestimmt werden soll, inwieweit Auditkriterien erfüllt sind. Welche der folgenden Eigenschaften muss dieser Prozess gemäß ISO/IEC 27000 unter anderem aufweisen? (Mehrfachnennung möglich)

Welche der folgenden Schritte muss eine Organisation zur Einführung, Pflege und/oder Verbesserung eines ISMS unter anderem durchführen? (Mehrfachnennung möglich)

Zu welchen Themen definiert ISO/IEC 27001 (Anhang A) Maßnahmenziele und Maßnahmen im Zusammenhang mit dem Abschnitt "Betriebssicherheit" (A.12)? (Mehrfachnennung möglich)

Welche Aktivitäten sind für eine Organisation hinsichtlich des Kapitels "Kontext der Organisation" in der Norm ISO/IEC 27001 vorgeschrieben? (Mehrfachnennung möglich)

Was muss eine Organisation gemäß ISO/IEC 27001, Abschnitt "Unterstützung" (7), tun, um das ISMS effektiv etablieren und betreiben zu können? (Mehrfachnennung möglich)

Welche der folgenden Aktivitäten fordert ISO/IEC 27001 in der Phase des Betriebs (Operation) eines ISMS im Zusammenhang mit dem Risikomanagement? (Mehrfachnennung möglich)

Was ist in der Phase "Verbesserung" nach ISO/IEC 27001 fortlaufend zu optimieren? (Mehrfachnennung möglich)

Wobei handelt es sich gemäß ISO/IEC 27001, Abschnitt "Führung" (5), um Aufgaben des Top-Managements, um Verantwortung und Engagement für die Informationssicherheit und das ISMS zu demonstrieren? (Mehrfachnennung möglich)

In welchen der folgenden Fälle liegt eine Verletzung der Integrität vor? (Mehrfachnennung möglich)

Wodurch zeichnet sich ein führungsstarkes Top-Management im Zusammenhang mit einem ISMS aus? (Mehrfachnennung möglich)

Zu welchen Themen definiert ISO/IEC 27001 im Anhang A Maßnahmenziele und Maßnahmen? (Mehrfachnennung möglich)

Welche der folgenden Aussagen zum Anhang A der Norm ISO/IEC 27001 sind korrekt? (Mehrfachnennung möglich)

ITSec fnd - de - sample set 1 - v1

Welche der folgenden Aussagen zum Thema "Cracker" sind richtig? (Mehrfachnennung möglich)

Was sind grundlegende Voraussetzungen für die Sicherheit des Einmalschlüssel-Verfahrens(One-Time-Pad)? (Mehrfachnennung möglich)

Die Verschlüsselung mit Rot13 (rotate by 13 places) ist ein bekanntes Verschlüsselungsverfahren. Welche Aussagen sind wahr? (Mehrfachnennung möglich)

Bringen Sie diese Tätigkeiten einer forensischen Untersuchung in die richtige Reihenfolge. (Mehrfachnennung möglich)

Welche Aussagen sind bezüglich der Tätigkeit "Identifizierung" bei einer forensischen Untersuchung wahr? (Mehrfachnennung möglich)

Welche Aussagen sind bezüglich der Tätigkeit "Aufbereitung und Präsentation" bei einer forensischen Untersuchung wahr? (Mehrfachnennung möglich)

Welche Antworten sind bezüglich Sniffer wahr? (Mehrfachnennung möglich)

Welche Maßnahmen können getroffen werden, um das Risiko des versehentlichen Herunterladens (Drive-by-Download) von Schadsoftware zu verringern? (Mehrfachnennung möglich)

Welche Aussagen bezüglich ARP (Address Resolution Protocol) sind richtig? (Mehrfachnennung möglich)

Welche der folgenden Ziele hat ein Penetrationstest? (Mehrfachnennung möglich)

Welche der folgenden Kriterien sind im Klassifikationsschema für Penetrationstests nach BSI vorhanden? (Mehrfachnennung möglich)

Welche der folgenden Aussagen zum Begriff "Google Hacking" sind wahr? (Mehrfachnennung möglich)

Welche der folgenden Aussagen zum Thema OS-Fingerprinting sind wahr? (Mehrfachnennung möglich)

Welche der folgenden Antworten zum Thema Session Hijacking sind wahr? (Mehrfachnennung möglich)

Welche der folgenden Antworten bezüglich DNS-Spoofing bzw. Cache Poisoning sind wahr? (Mehrfachnennung möglich)

Welche der folgenden Antworten in Bezug auf ARP-Spoofing und dem Adress-Resolution-Protocol (ARP) sind wahr? (Mehrfachnennung möglich)

Welche Aussagen bezüglich IP-Spoofing bzw. dem Internet-Protocol sind wahr? (Mehrfachnennung möglich)

Welche Aussage ist bezüglich eines Angriffs durch Manipulation der URL-Parameter wahr? (Mehrfachnennung möglich)

Welche Aussagen bezüglich des Angriffes Directory Traversal sind wahr? (Mehrfachnennung möglich)

Welche Aussagen sind bezüglich Cross-Site-Scripting wahr? (Mehrfachnennung möglich)

Welche der folgenden Aussagen sind bezüglich SQL-Injection wahr? (Mehrfachnennung möglich)

Welche der folgenden Aussagen bezüglich Drive-by-Download sind wahr? (Mehrfachnennung möglich)

Welche der folgenden Aussagen zum Man-in-the-Middle-Angriff (MITM) sind wahr? (Mehrfachnennung möglich)

Welche der folgenden Aussagen sind zum Thema asymmetrische Verschlüsselungen korrekt? (Mehrfachnennung möglich)

Welche der folgenden Aussagen bezüglich Hash-Funktionen sind wahr? (Mehrfachnennung möglich)

Welche der folgenden Aussagen bezüglich eines Wörterbuch-Angriffs auf Passwort-Hashes sind korrekt? (Mehrfachnennung möglich)

Welche Aussagen bezüglich der Brute-Force-Methode auf Passwort-Hashes sind wahr? (Mehrfachnennung möglich)

Welche Aussagen bezüglich IT-Forensik sind wahr? (Mehrfachnennung möglich)

Welche Anforderungen an eine forensische Untersuchung sind wahr? (Mehrfachnennung möglich)

Welche der folgenden Tätigkeiten gelten als aktives Footprinting? (Mehrfachnennung möglich)

ITSec prof PT - de - sample set 1 - v1

Laut der Passwortrichtlinie müssen für die Wahl des Passworts Klein- und Großbuchstaben aus dem englischen Alphabet (a-z entspricht 26 Zeichen) sowie Ziffern verwendet werden. Alle anderen Zeichen sind nicht erlaubt. Welche Aussagen sind richtig? (Mehrfachnennung möglich)

Welche grundsätzlichen Phasen hat ein Penetration Test? (Mehrfachnennung möglich)

Was gehöhrt zu einer vollständigen Dokumentation eines Penetrationstests? (Mehrfachnennung möglich)

Welche Aktivitäten müssen laut der allgemeinen Methodik beim Threat Modeling durchgeführt werden? (Mehrfachnennung möglich)

Welche Aussagen sind bezüglich Thread Modeling wahr? (Mehrfachnennung möglich)

Welche grundsätzlichen persönlichen Voraussetzungen sollte ein Penetration Tester mitbringen? (Mehrfachnennung möglich)

Welche der folgenden Antworten beschreiben Methoden für den aktiven Angriff? (Mehrfachnennung möglich)

Welche der folgenden Antworten beschreiben Methoden für die Informationsbeschaffung? (Mehrfachnennung möglich)

Welche der folgenden Aussagen sind bezüglich Brute-Force wahr? (Mehrfachnennung möglich)

Welche der folgenden Systeme beschreiben symmetrische Kryptosysteme? (Mehrfachnennung möglich)

Welche Aussagen sind bezüglich eines TCP Handshakes wahr? (Mehrfachnennung möglich)

Welche Aussagen sind bezüglich "OS-Fingerprinting" und "Banner Grabbing" wahr? (Mehrfachnennung möglich)

Welche Aussagen sind bezüglich "Session Hijacking" wahr? (Mehrfachnennung möglich)

Welche Felder hat ein UDP Header? (Mehrfachnennung möglich)

Welche Felder hat ein TCP Header? (Mehrfachnennung möglich)

Welche Aussagen sind bezüglich dem TLS Protokoll (Transport Layer Security) wahr? (Mehrfachnennung möglich)

Was sind grundlegende Voraussetzungen für die Sicherheit des Einmalschlüssel-Verfahrens
(One-Time-Pad)? (Mehrfachnennung möglich)