Fragenkatalog

Was soll ein ISMS bewirken, wenn Sie es als System mit Input

und Output betrachten?

a) Geschäftsziele und daraus resultierende Sicherheitsanforderungen sind der Input, die gemanagte Informationssicherheit ist der Output.

b) Die Eingangsparameter sind die Anforderungen der Unternehmensleitung für Informationssicherheit, und das Ergebnis ist der Nachweis durch die Zertifizierung.

c) Offizielle Bedrohungskataloge und die resultierenden Sicherheitsmaßnahmen sind der Input, die Sicherheitsorganisation und ein funktionierendes Security Incident Management sind der Output.

d) Die von den Geschäftsbereichen definierten Risiken sind der Input. Die risikominimierenden Maßnahmen sind der Output.

Ein Unternehmen möchte den Geltungsbereich (Scope) seines ISMS in einer Weise festlegen, dass unter anderem das Personalwesen und alle damit verbundenen Prozesse (HR-Prozesse) vollständig aus dem Geltungsbereich ausgenommen sind. Kann das sinnvoll und zulässig sein?

a) Ja, der Geltungsbereich kann vom Unternehmen selbst festgelegt und beliebig limitiert werden.

b) Nein, da eine Einschränkung des Geltungsbereichs des ISMS grundsätzlich nicht möglich ist.

c) Nein, da dies in der Folge die Nicht-Anwendbarkeit einer Reihe von Maßnahmen (Controls) aus ISO/IEC 27001, Anhang A, bedeuten würde, deren Anwendung für die Effektivität eines ISMS allerdings wesentlich ist.

d) Ja, da es sich gemäß ISO/IEC 27002 beim Personalwesen um einen Bereich handelt, dessen Bedeutung für den Erhalt der erforderlichen Informationssicherheit in der Gesamtorganisation unwesentlich ist.

Welchen der folgenden Ansätze empfiehlt ISO/IEG 27002 hinsichtlich der Etablierung der Richtlinien zur Informationssicherheit?

a) Eine übergeordnete Informationssicherheits-Leitlinie wird durch eine Reihe themenspezifischer Richtlinien ergänzt.

b) Eine übergeordnete Informationssicherheits-Leitlinie adressiert alle relevanten Sicherheitsthemen an zentraler Stelle.

c) Zu jeder Maßnahme (Control) aus ISO/IEC 27001, Anhang A, wird genau eine Richtlinie formuliert.

d) Richtlinien zur Informationssicherheit werden nur solange benötigt, wie noch keine Maßnahmen (Controls) umgesetzt wurden.

Eine unternehmensinterne Richtlinie sieht vor, dass Tabellen nur verschlüsselt per E-Mail verschickt werden dürfen. Bei einer Stichprobe im Rahmen eines internen Audits wird ein unverschlüsseltes Tabellendokument in den gesendeten Objekten entdeckt. Wer ist dafür verantwortlich, sicherzustellen, dass die Sicherheitsregeln zukünftig besser eingehalten werden?

a) Der Eigentümer/Eigner (Owner) des Dokuments

b) Der letzte Autor des Dokuments

c) Der verantwortliche Linienvorgesetzte I Führungskraft (Manager)

d) Alle drei

Welche der nachfolgenden Aussagen ist hinsichtlich der Zuweisung von Verantwortlichkeiten für Informationssicherheit zutreffend und entspricht den Empfehlungen aus ISO/IEC 27002?

a) Personen, denen Sicherheitsverantwortung zugewiesen wurde, dürfen die gesamte Verantwortung an andere Personen weiter delegieren.

b) Sicherheitsverantwortung im Rahmen des ISMS darf nur an ausgebildete und offiziell zertifizierte Personen übertragen werden.

c) Personen, denen Sicherheitsverantwortung zugewiesen wurde, dürfen Aufgaben, die in diesem Zusammenhang anfallen, an andere Personen delegieren.

d) Personen, denen Sicherheitsverantwortung zugewiesen wurde, sind von den in den allgemeinen Richtlinien zur Informationssicherheit getroffenen Festlegungen ausgenommen.

Trotz eines modernen, Smartcard basierten, Zugangskontrollsystems kam es an einem kritischen IT-System zu einem schweren Informationssicherheits-Vorfall. Welche der folgenden Informationen stellt in diesem Zusammenhang die wichtigste Eingabe (Input) in die nächste Managementbewertung dar?

a) Informationen zu Bedrohungen, die zuvor im Rahmen der Risikoeinschätzung nicht ausreichend berücksichtigt wurden

b) Ergebnisse von Messungen der Wirksamkeit des Zugangskontrollsystems

c) Ein aktualisierter Risikobehandlungsplan

d) Eine Aufzeichnung über diesen Informationssicherheitsvorfall einschließlich Informationen zu Ursachen, Auslösern, Reaktionen und Folgemaßnahmen

Wobei handelt es sich um typische Beispiele für Richtlinien zur Informationssicherheit, die im Rahmen eines ISMS festgelegt werden?

1. Richtlinie zur Zugangskontrolle

2. Richtlinie zu Mobile Computing und Remote - Zugriff

3. Richtlinie zum Einsatz von Verschlüsselung

4. Passwort Richtlinie

5. Richtlinie zur Entsorgung von Medien

6. Richtlinie zur sicheren Softwareentwicklung

7. Informationssicherheits- Richtlinie für Lieferanten/ Third Parties

Der Informationssicherheitsbeauftragte kopiert Beispiele für Informationssicherheits- Richtlinien aus dem Internet, um die erforderliche Dokumentation im Rahmen des ISMS schnell fertig zu stellen. In welcher Hinsicht ist dieses Vorgehen zur Erfüllung der Anforderungen aus ISO/IEC 27001 problematisch?

a) Das Kopieren von Richtlinien ist illegal, und die Dokumente können daher nicht genutzt werden.

b) Ein ISMS erfordert gar keine dokumentierten Richtlinien.

c) Wird bei einem Zertifizierungsaudit aufgedeckt, dass die Richtlinien aus dem Internet kopiert wurden, so stellt dies eine kritische Abweichung dar.

d) Die Richtlinien sollten auf die Informationssicherheitspläne, Zielsetzungen und Anforderungen der Organisation abgestimmt werden und können daher nicht einfach unverändert verwendet werden.

Die folgenden Schritte sind wichtig bei der Etablierung eines ISMS:

1. Erstellung einer Erklärung zur Anwendbarkeit der Maßnahmen aus ISO/IEC 27001, Anhang A

2. Definition des Geltungsbereichs des ISMS

3. Formulierung und Kommunikation einer Obergeordneten Informationssicherheits- Leitlinie

4. Analyse I Einschätzung von Informationssicherheits- Risiken

5. Erstellung eines Asset-Inventars

Wie lautet die korrekte Reihenfolge für diese Schritte, wenn Sie die wechselseitigen Abhängigkeiten berücksichtigen?

In einem Unternehmen wurden alle Mitarbeiter in eintägigen Schulungen über Sicherheitsziele und Maßnahmen informiert. Da die Schulungen zielgruppenspezifisch waren, wurden nicht alle Mitarbeiter in allen Zielen und Maßnahmen geschult. Nach einem Jahr zeigt sich, dass die Schulungsinhalte nur noch bei wenigen Mitarbeitern präsent sind. Wie beurteilen Sie diese Situation?

a) Der Umfang der Schulungen war zu gering. Nicht alle Mitarbeiter wurden über alle Ziele und Maßnahmen umfassend informiert.

b) Die Art und Weise der Wissensvermittlung war offenbar unzureichend. Es bietet sich an, in Zukunft vermehrt visuelle Schulungsunterlagen einzusetzen, um eine nachhaltigere Präsenz der Inhalte zu gewährleisten.

c) Die Schulungen waren bisher eine einmalige Initiative. Sie sollten durch regelmäßige Auffrischungen ergänzt werden, und der Wissensstand der Mitarbeiter sollte kontinuierlich geprüft werden.

d) Die Schulungen waren zu kurz. Statt eintägiger Kurse sollten alle Mitarbeiter an 5-tagigen ISO/IEC 27000 Professional-Schulungen teilnehmen.

Wer gehört potenziell zur Zielgruppe von Sensibilisierungsmaßnahmen im Zusammenhang mit dem ISMS?

1. Mitarbeiter der Organisation

2. Externe Nutzer von Informationssystemen, die von der Organisation

bereitgestellt werden

3. Vertragspartner

Ein ISMS erfordert eine Reihe von Dokumenten. Wie könnte eine Organisation der unbeabsichtigten Nutzung veralteter Dokumente entgegenwirken?

a) Durch einheitliche Dokumenten-Vorlagen (Templates).

b) Indem nur die Dokumente als relevant und gültig angesehen werden, die in einem zentralen Dokumentenmanagement-System erfasst sind.

c) Durch die Einführung von Versionsnummern für Dokumente.

d) Indem Änderungen an bereits genehmigten und verteilten Dokumenten vermieden werden.

In einem Dokument ist folgendes zu lesen: Wurde ein Sicherheitsrisiko identifiziert, ist wie folgt vorzugehen, um das Risiko aufzuzeichnen:

Schritt 1) Öffnen der Risikomanagement Anwendung;

Schritt 2) Klick auf "Neues Risiko erfassen"

Schritt 3) Auswahl der betroffenen Assets aus dem Asset-Inventar

Schritt 4) ...

Um welche Art von Dokument handelt es sich hierbei?

Bei welchem der folgenden Objekte handelt es sich nicht um eine Aufzeichnung im Rahmen des ISMS?

a) ISMS-Leitlinie

b) Gästebuch

c) Ausgefülltes Formular für Zugangsberechtigungen

d) Ticket zu einem Informationssicherheitsvorfall

Welche der folgenden Erklärungen zu Dokumenten und Aufzeichnungen ist korrekt?

a) Als Aufzeichnungen bezeichnet man alle elektronischen Dokumente, also zum Beispiel Datensatze in einer Datenbank oder elektronisch ausgefüllte Formulare. Dokumente haben stets Papierform, weshalb sie im Rahmen der Beweisführung eine wesentliche Rolle spielen.

b) Als Aufzeichnungen bezeichnet man Video- oder Audiomitschnitte sicherheitsrelevanter Vorfälle, wie zum Beispiel den Mitschnitt einer Überwachungskamera vor einer Sicherheitszone. Ein Dokument im Sinne der ISOIIEC 27000-Reihe dokumentiert durchgeführte Maßnahmen in Folge von Sicherheitsvorfällen.

c) Aufzeichnungen werden beispielsweise verwendet, um die Durchführung von Prozessaktivitäten zu dokumentieren. Alle Aufzeichnungen sind auch Dokumente, aber nicht jedes Dokument ist eine Aufzeichnung.

d) Aufzeichnungen werden beispielsweise verwendet, um den Erfolg spezifischer Maßnahmen (Controls) zu bewerten. Aufzeichnungen müssen im Gegensatz zu Dokumenten immer durch das Management genehmigt werden.

Wie oft und unter welchen Umständen sollte eine Neubewertung von Informationssicherheitsrisiken im Rahmen des ISMS durchgeführt werden?

a) In regelmäßigen Abständen sowie immer dann, wenn sich wesentliche Risikofaktoren verändert haben.

b) Nach jedem identifizierten Informationssicherheitsvorfall.

c) Vor und nach jeder Managementbewertung des ISMS.

d) Vor jedem internen oder externen Audit.

Was beschreibt am besten die Grundidee eines Asset- Inventars im Rahmen eines ISMS?

a) Ein fundierter Überblick über IT-Komponenten, Netzwerke, Server, Applikationen, Lizenzen und Benutzerkonten, für die ein ganzheitliches IT-Sicherheitskonzept umgesetzt werden muss.

b) Eine strukturierte Übersicht über die zu schützenden Informationswerte sowie die unterstützenden informationsverarbeitenden Systeme, die als Ausgangspunkt für eine Risikoeinschätzung herangezogen werden kann.

c) Eine Liste aller Dokumente in einem Unternehmen, einschließlich ihrer Klassifikation im Hinblick auf ihre Sensitivität und Geschäftskritikalität.

d) Eine freigegebene Richtlinie mit ausgewählten Kriterien zur Informationsklassifizierung, Risikobewertung und Risikoakzeptanz.

Was beschreibt im Rahmen einer Risikoeinschätzung am besten den Unterschied zwischen einer Bedrohung und einer Schwachstelle?

a) Eine Bedrohung wirkt immer von außen auf ein Unternehmen ein; eine Schwachstelle ist stets organisationsintern.

b) Eine Bedrohung beschreibt ein Risiko, dass schon einmal eingetreten ist; eine Schwachstelle hingegen ist ein "abstraktes" Risiko.

c) Eine Bedrohung ist ein möglicher Auslöser eines Vorfalls, der zu einem Schaden führen kann; eine Schwachstelle ist eine Eigenschaft oder Situation, die von einer Bedrohung ausgenutzt werden kann.

d) Eine Bedrohung kann durch geeignete Maßnahmen eingedämmt werden; eine Schwachstelle hingegen lässt sich nicht verändern.

Eine Organisation hat ein ISMS implementiert. Das Management der Sicherheitsrisiken orientiert sich an ISO/IEC 27005. Derzeit erstellt einer der Sicherheitsverantwortlichen eine Risikomatrix. Er möchte dabei auch die Risiken berücksichtigen, die sich daraus ergeben, dass sich einer der Hauptstandorte in einem Hochwassergebiet befindet. In welcher Aktivität des Risikomanagement· Prozesses ist dieser Umstand ("Hochwassergebiet") zu berücksichtigen?

a) Kontext festlegen

b) Assets identifizieren

c) Bedrohungen identifizieren

d) Schwachstellen identifizieren

Eine Organisation möchte die Anforderungen ihrer Kunden an die Informationssicherheit besser verstehen und priorisieren. In diesem Zusammenhang werden auch die möglichen Auswirkungen identifizierter Risiken betrachtet. Die Auswirkung ist umso hoher, ...

a) je stärker das Erreichen von geschäftlichen Zielen durch den Risikoeintritt negativ beeinträchtigt wird.

b) je hoher die Eintrittswahrscheinlichkeit des Risikos ist.

c) je größer die Anzahl der durch das Risiko betroffenen Personen ist.

d) je höher die Kosten für Maßnahmen zur Risikovermeidung sind.

In den letzten drei Jahren wurden von insgesamt 1.500 ausgegebenen Mitarbeiter Notebooks, 25 als gestohlen oder verloren gegangen gemeldet. In welchem Zusammenhang ist diese Information am hilfreichsten?

a) Bei der Einschätzung der Auswirkung des Risikos "Notebook- Diebstahl".

b) Bei der Einschätzung der Eintrittswahrscheinlichkeit des Risikos "Notebook-Diebstahl".

c) Bei der Festlegung der Schwelle zur Risikoakzeptanz.

d) Bei der Definition der Risikobewertungskriterien und der Vorgehensweise für die Risikoeinschätzung.

Im Rahmen der Risikoanalyse ist es oft schwierig, den genauen finanziellen Schaden zu beziffern, der durch ein Risiko entstehen konnte, Welche der folgenden Aussagen ist im Zusammenhang mit den Anforderungen aus ISOIIEC 27001 korrekt?

a) Sie müssen den exakten finanziellen Schaden ermitteln, egal wie schwierig das ist.

b) Im Rahmen einer qualitativen Risikoanalyse können Sie das Schadensniveau im Falle des Risikoeintritts auch ohne Angabe des finanziellen Verlusts abschätzen.

c) Über die Daten zur Kapitalrendite lässt sich immer eine untere und obere Grenze des finanziellen Schadens angeben.

d) Sie müssen sich an Ihren Versicherer wenden, um finanzielle Auswirkungen auf Basis von Versicherungsprämien und Deckungssummen zu berechnen.

Ein Unternehmen hat ein ISMS eingeführt. Allerdings gibt es weder klare Kriterien zur Bewertung von Risiken noch zur Risikoakzeptanz. Wie erklären Sie dem Managementverantwortlichen, warum solche Kriterien wichtig sind?

1. Sie sind notwendiger Input für den Prozess zur Risikoeinschätzung die Ergebnisse dieses Prozesses vergleichbar und reproduzierbar zu machen.

2. Sie stellen sicher, dass keine Risiken übersehen werden.

3. Sie unterstützen die Identifikation von Schwachstellen und Bedrohungen in Bezug auf die inventarisierten Werte (Assets).

Welches ist keine der in ISO/lEC 27005 vorgeschlagenen Optionen zur Risikobehandlung?

a) Risikoreduktion.

b) Risikovermeidung.

c) Risikoaufteilung.

d) Risikoübertragung.

Im Rahmen der Risikoeinschätzung wurde ein Risiko identifiziert und bewertet, dass die Akzeptanzkriterien für Risiken nicht erfüllt, Trotzdem beschließt das Top-Management, dieses Risiko zu akzeptieren, da es hierzu keine wirtschaftliche Alternative gibt. Ist dies zulässig?

a) Ja. Die Akzeptanzkriterien haben nur informativen Charakter und sind speziell für das Management nicht bindend.

b) Ja, wenn dies ausreichend begründet wird. Sollte dies häufiger vorkommen, sollten zudem gegebenenfalls die Akzeptanzkriterien vom Management auf Angemessenheit und Eignung geprüft werden.

c) Nein, dies hatte den sofortigen Verlust des ISO/IEC 27001- Zertifikats zur Folge.

d) Nein, die Akzeptanzkriterien müssen immer zuerst so angepasst werden, dass das jeweilige Risiko sie erfüllt.

Ein Prozess zum Risikomanagement besteht üblicherweise aus mehreren Phasen oder Aktivitäten. Was ist das primäre Ziel der Phase der Risikobehandlung (Risk Treatment)?

a) Die Bestimmung der Eintrittswahrscheinlichkeiten von Risiken

b) Die Bestimmung des möglichen Schadens, der durch den Eintritt von Risiken entsteht

c) Die Darstellung der Bedrohungen, denen IT-Ressourcen ausgesetzt sind

d) Die Identifikation und Auswahl von Maßnahmen, um Risiken zu vermeiden oder zu reduzieren

Im Rahmen eines ISMS Audits ist auch das Informationssicherheitsrisikomanagement Gegenstand einer Prüfung. Folgende Dokumente liegen vor: eine Beschreibung der Methode zur Risikoeinschätzung und der aktuelle Bericht zur Risikoeinschätzung, ist dies im Hinblick auf die Anforderungen aus ISO/IEC 27001 ausreichend?

a) Ja, hiermit werden alle Dokumentationsanforderungen erfüllt.

b) Nein, es fehlt mindestens ein Risikobehandlungsplan, der die Verbindung zwischen Maßnahmen und Risiken herstellt und Verantwortlichkeiten und Aktivitäten zur Planung und Umsetzung von Maßnahmen darstellt.

c) Nein, es fehlen mindestens die technischen Auditberichte über die Konformität der informationsverarbeitenden Systeme gegenüber den geltenden gesetzlichen und vertraglichen Vorgaben.

d) Nein, es müssen auch Nachweise darüber geführt werden, welche Assets von der Risikoeinschätzung ausgenommen wurden, obwohl sie in den Geltungsbereich des ISMS fallen.

Welchen der folgenden Leistungsindikatoren würden Sie am ehesten verwenden, um die Effizienz des ISMS und der ergriffenen Maßnahmen zur Informationssicherheit zu belegen?

a) Schaden (in Euro), der der Organisation in Folge der Auswirkungen von Sicherheitsvorfällen entstanden ist.

b) Kosten und Aufwand zur Behandlung von Informationssicherheitsrisiken in Relation zur Senkung der Risikohöhe und des Schadenserwartungswerts durch Sicherheitsrisiken.

c) Prozentuale Senkung der Kosten für Sicherheitsmaßnahmen im Vergleich zum Vorjahr.

d) Anzahl der identifizierten Assets und Risiken, sowie Umfang der Richtlinien zur Informationssicherheit.

Sie sind verantwortlich für die Planung und Koordination interner ISMS Audits. Sie haben die zu auditierenden Bereiche, Prozesse und Controls bereits nach ihrem aktuellen Status und ihrer Wichtigkeit klassifiziert und Ziele für die internen Audits definiert.

Welche der folgenden Aussagen über mögliche Quellen für Auditkriterien ist korrekt?

a) Der Umfang (Scope) des internen Auditprogramms entspricht dem Umfang eines ISMS- Zertifizierungsaudits. Daher liefert ISO/IEC 27001 die Auditkriterien.

b) Der Umfang (Scope) des internen Auditprogramms entspricht dem Umfang eines ISMS- Zertifizierungsaudits mit Ausnahme der Controls. Daher liefert ISO/IEC 27001 die Auditkriterien, jedoch ohne den Anhang A.

c) Für interne Audits können neben den Anforderungen aus ISO/IEC 27001 auch weitere Quellen für Auditkriterien wie organisationsinterne Leitlinien, Gesetze, Vertrage oder andere Standards in Frage kommen.

d) Durch interne Audits muss die Effektivität und Effizienz des ISMS nachgewiesen werden. Erfüllung von Vorgaben (Konformität) spielt hingegen keine Rolle. Daher müssen für interne Audits belastbare Kennzahlen definiert und anngewendet werden.

Im ISMS einer kleinen Organisation (ca. 35 Mitarbeiter) wurden ein Prozess zum Management von Sicherheitsrisiken, ein Prozess zum Umgang mit sicherheitsrelevanten Vorfällen und ein Prozess zum Management technischer Schwachstellen definiert und umgesetzt. Für jeden dieser Prozesse wurde ein Prozessmanager benannt, der die operative Verantwortung für den jeweiligen Prozess trägt. Nun sollen interne Audits des ISMS und damit der enthaltenen Prozesse geplant werden. Welcher der folgenden Ansätze ist in diesem Zusammenhang am sinnvollsten?

a) Jeder Prozessmanager wird damit beauftragt, seinen Prozess regelmäßig selbst zu auditieren, da er über die hierfür erforderliche spezifische Fachkenntnis verfügt.

b) Audits dürfen nur von akkreditierten Zertifizierungsstellen durchgeführt werden. Eine solche ist mit der Durchführung der internen ISMS-Audits zu beauftragen.

c) Kompetente Mitarbeiter, die nicht in die zu auditierenden Prozesse involviert sind, werden mit deren Auditierung beauftragt. Falls erforderlich, können zusätzlich oder alternativ externe Auditoren beauftragt werden.

d) Interne Audits müssen durch eine organisationseigene Revisionsabteilung durchgeführt werden, die über speziell ausgebildete interne Auditoren verfügt, die zugleich Kenntnis über die organisationsspezifischen Gegebenheiten besitzen.

Wobei handelt es sich nicht um eine Eigenschaft, die jedes Audit aufweisen sollte?

a) Es ist systematisch.

b) Es wird von einem unabhängigen Auditor durchgeführt, der dabei nicht seine eigene Arbeit bewertet.

c) Es dient der Zertifizierung.

d) Seine Ergebnisse werden dokumentiert.

Bringen Sie die folgenden Elemente eines ordentlich durchgeführten Audits in die richtige chronologische Reihenfolge:

1. Auditnachweise

2. Auditfeststellungen

3. Auditkriterien

4. Auditschlussfolgerungen

Was kann im Rahmen eines ISMS Audits als Auditnachweis herangezogen werden?

1. Die Dokumentation einer Verfahrensbeschreibung

2. Aufzeichnungen zu durchgeführten Prozessen oder Maßnahmen

3. Informationen, die ein Prozessbeteiligter im Rahmen des Audits mündlich mitteilt

4. Tatsachen, die der Auditor durch Beobachtung während des Audits selbst feststellt

Ein Audit hat einige Verbesserungsmöglichkeiten aufgedeckt, und es wurden bereits mögliche Maßnahmenoptionen identifiziert. Welche der folgenden Faktoren können einen Einfluss darauf haben, ob bzw. welche Maßnahmen zur Umsetzung ausgewählt oder verworfen werden?

1. Wirtschaftlichkeit von Maßnahmen

2. Verträglichkeit von Maßnahmen mit internen Vorgaben

3. Verträglichkeit von Maßnahmen mit externen Vorgaben wie Gesetzen

Gemäß ISO/IEC 27001 müssen anwendbare Gesetze sowie relevante vertragliche und sonstige Informationssicherheitsanforderungen identifiziert und ihre Einhaltung sichergestellt werden. Wie sollte eine Organisation vorgehen, wenn die aktuelle oder geplante Umsetzung einer Sicherheitsmaßnahme im Rahmen des ISMS gegen eine gesetzliche sicherheitsrelevante Anforderung verstößt?

a) Das ist nicht möglich, da alle Sicherheitsmaßnahmen aus ISO/IEC 27001, Anhang A, auf nationale Gesetzgebungen abgestimmt sind.

b) In diesem Fall soll laut Gesetz, unter allen Umständen eingehalten werden und die Maßnahme im Rahmen der Erklärung zur Anwendbarkeit aus dem ISMS ausgeschlossen werden.

c) In diesem Fall sollte die Ausprägung der Umsetzung der Sicherheitsmaßnahme so angepasst werden, dass sie dem geltenden Gesetz entspricht.

d) In diesem Fall sollte der betreffende Passus des Gesetzes im Rahmen der Erklärung zur Anwendbarkeit für nicht anwendbar erklärt werden.

Welche Person oder Institution stellt nach erfolgreich abgeschlossenem Zertifizierungsaudit das Zertifikat über die Erfüllung der Anforderungen des Standards ISO/IEC 27001 durch eine Organisation aus?

a) Die Internationale Organisation für Standardisierung (ISO)

b) Der (Lead) Auditor, der das Audit geleitet bzw. durchgeführt hat

c) Die Zertifizierungsstelle, die vom Auditauftraggeber beauftragt wurde

d) Die nationale Akkreditierungsstelle, der die Zertifizierungsstelle untergeordnet ist

Bei der Etablierung eines ISMS ist es wichtig, die verschiedenen Richtlinien, Prozesse und Maßnahmen sinnvoll und möglichst konfliktfrei aufeinander abzustimmen. Bei welchen zwei Maßnahmen aus ISO/IEC 27001, Anhang A, sehen Sie ein besonders hohes Konfliktpotenzial?

a) Schutz vor Schadsoftware und Datensicherung (Backup)

b) Protokollierung von Ereignissen (Event Logging) und Schutz personenbezogener Daten

c) Entsorgung von Medien und Verwaltung kryptographischer Schlüssel

d) Asset-Inventarisierung und Aufteilung von Verantwortlichkeiten (Segregation of Duties)

Ein Unternehmen der Logistikbranche hat vor kurzem mit dem Aufbau eines Informationssicherheits-Managementsystems (ISMS) gemäß ISOIIEC 27001 begonnen. In diesem Zusammenhang wurde auch ein Inventar aller sicherheitsrelevanten physischen Werte (Assets) (z.B. Computer- und Kommunikationsanlagen, Speichersysteme) erstellt. Als nächstes soll eine umfassende Risikoeinschätzung durchgeführt werden. Was empfehlen Sie dem Unternehmen in dieser Situation unter Berücksichtigung der Anforderungen aus ISO/IEC 27001?

1. Das Asset-Inventar muss vervollständigt werden, indem neben physischen Assets weitere Arten von Assets ergänzt werden (wie z.B. Informationen, Software oder Personen und ihre Qualifikationen).

2. Allen Assets müssen Eigentümer (Owner) zugeordnet werden.

3. Die mit den Assets verbundenen Risiken müssen identifiziert werden.

4. Die Haftung für alle Schäden, die durch das Eintreten von Risiken im Zusammenhang mit einem Asset verursacht werden, muss seinem Eigentümer (Owner) zugeordnet werden.

Ein Berater schlägt folgende Informationssicherheitsmaßnahmen im Zusammenhang mit dem Personal vor:

1. Überprüfung des Hintergrunds von Bewerbern vor der Einstellung

2. Einführung von Arbeitsvertragsklauseln zum Thema Informationssicherheit

3. Schulungs- und Bewusstseinsmaßnahmen zur Informationssicherheit

4. Formale Disziplinarverfahren für Mitarbeiter, die einen Sicherheitsverbot begangen haben

Welche dieser Maßnahmen sind zur Erfüllung der Anforderungen aus ISO/IEC 27001 unverzichtbar?

Welches der folgenden Themen spielt bei der Planung und Umsetzung von Maßnahmen zum Umgang mit Medien gemäß ISO/IEC 27001, Anhang A, keine Rolle?

a) Management von Wechselmedien

b) Entsorgung von Medien

c) Physischer Transport von Medien

d) Erstellung eines Medieninventars

Das Management hat Ihnen die Verantwortung für die Sicherheit des von der Organisation genutzten ERP-Systems (Enterprise Resource Planning) übertragen, Anhand welcher Kriterien sollten Sie primär den Schutzbedarf dieses Assets bestimmen?

a) Sensitivität der verarbeiteten Informationen, Wertbeitrag zum Geschäft und rechtliche Anforderungen.

b) Faktoren/Vorgaben.

c) Abschreibungsdauer und Restwert der Lizenzen.

d) Verfügbarkeit der Netzwerkkomponenten. Anzahl der nicht erfolgreichen Changes im letzten Jahr.

Ein besonders sensibles Informationssystem wird als Asset im Rahmen des ISMS angesehen, für das ein entsprechender "Eigentümer" (Owner) definiert wurde. Für ganz bestimmte privilegierte Aktionen sind die Verantwortlichkeiten allerdings zwischen verschiedenen Person en aufgeteilt. Der Informationssicherheits-Beauftragte begründet dies mit dem erhöhten Bedarf an Schutz vor Missbrauch und Manipulation. Wie beurteilen Sie dieses Vorgehen vor dem Hintergrund der Anforderungen aus ISO/IEC 27001?

a) Dieser Ansatz kann sinnvoll sein und entspricht der Maßnahme (Control) "Aufteilung von Verantwortlichkeiten“.

b) Dieser Ansatz ist nicht empfehlenswert, da die Asset-Verantwortung unklar definiert wurde.

c) Dieses Vorgehen ist mit den Maßgaben aus ISO/IEC 27001 hinsichtlich der Klassifizierung von Assets nicht vereinbar.

d) Dieses Vorgehen ist nur akzeptabel, wenn die zusätzlichen Risiken, die durch die Aufteilung der Verantwortlichkeiten entstehen, formal dokumentiert und vom Top-Management abgenommen wurden.

In einem Unternehmen gibt es klar definierte und kommunizierte Richtlinien für den Umgang mit Passwörtern und anderen vertraulichen Authentifizierungsinformationen. Außerdem ist in den Richtlinien festgelegt, dass Passwörter eine bestimmte Mindestlange und Komplexität aufweisen müssen, Bei der Einrichtung neuer Benutzerkonten oder der Rücksetzung bestehender Konten werden durch den zuständigen Administrator temperate Passwörter gesetzt und den Nutzern der Systeme mitgeteilt, verbunden mit der Maßgabe, diese bald danach zu ändern. Hierzu wurde ein Web-Formular eingerichtet, dass allerdings nicht in der Lage ist, die Passwortsicherheit und Einhaltung der Passwort-Regeln zu kontrollieren. Wie beurteilen Sie diese Situation vor dem Hintergrund der Anforderungen aus ISO/IEC 27001?

a) Da es klar geregelte und kommunizierte Verfahren zur Vergabe von Passwörtern gibt, liegt keine Abweichung vor.

b) Da Passwort-Management-Systeme interaktiv sein müssen und eine Richtlinien-konforme Passwortqualität sicherstellen müssen, handelt es sich um eine Nichtkonformität.

c) Passwörter dürfen niemals über Web-Formulare geändert werden, da hierfür keine sicheren Protokolle zur Verfügung stehen. Entsprechend liegt eine Nichtkonformität vor.

d) Der Umgang mit Passwörtern und anderen vertraulichen Authentifizierungsinformationen wird durch ISO/IEC 27001 nicht adressiert.

Welcher Grad und Umfang an Verschlüsselung ist erforderlich, damit eine Organisation die Anforderungen aus ISO/IEC 27001, Anhang A, erfüllt?

a) Alle Informationen und Daten müssen verschlüsselt werden. Die Organisation kann das technische Verfahren zur Verschlüsselung selbst auswählen und festlegen und sollte sich dabei an Branchenstandards und Empfehlungen einschlägiger Expertengruppen orientieren.

b) Informationen und Daten, die gemäß der Klassifizierungsrichtlinie der Organisation als "vertraulich" eingestuft werden, müssen verschlüsselt werden. Die Organisation kann das technische Verfahren zur Verschlüsselung selbst auswählen und festlegen.

c) Informationen und Daten, die gemäß der Klassifizierungsrichtlinie der Organisation als "vertraulich" eingestuft werden, müssen nach dem AES-Verfahren (Advanced Encryption Standard) verschlüsselt werden, wobei die Schlüssellänge (128, 192 oder 256 Bit) von der Organisation selbst festgelegt werden kann.

d) ISO/IEC 27001 legt gar keine Anforderungen an den Grad und Umfang der Verschlüsselung fest.

Was sollte im Zusammenhang mit der Vergabe und Verwaltung von Zugangs- und Zugriffsrechten unter anderem sichergestellt werden?

1. Dass Grad und Umfang der erteilten Zugriffsrechte im Einklang mit den Richtlinien zur Zugangs- und Zugriffskontrolle sind.

2. Das Zugriffsrechte nicht aktiviert werden, bevor die jeweiligen Autorisierungsverfahren vollständig durchlaufen wurden.

3. Das Zugriffsrechte von Nutzern, die in eine andere Rolle oder Funktion wechseln oder die Organisation verlassen, umgehend angepasst bzw. entzogen werden.

4. Das Zugriffsrechte regelmäßig zusammen mit den Verantwortlichen für die entsprechenden Systeme und Dienste überprüft werden (Review).

Sie sollen eine Richtlinie zur Zugangs- und Zugriffskontrolle (Access Control Policy) erstellen. Das Top-Management legt aufgrund von Ereignissen aus der Vergangenheit besonderen Wert darauf, dass durch die neue Richtlinie Missbrauchsmöglichkeiten im Zusammenhang mit Zugriffsrechten und deren Vergabe und Verwaltung unterbunden bzw. eingeschränkt werden. Welches der folgenden Themen sollten Sie in jedem Fall in die Richtlinie aufnehmen, um hierzu einen Beitrag zu leisten?

a) Vorgaben zur akzeptablen Dauer von der Beantragung bis zur Erteilung von Zugriffsrechten.

b) Standardisierte Verfahren und Formulare für die Beantragung neuer oder geänderter Zugriffsrechte.

c) Personelle bzw. funktionale Trennung der Rollen und Verantwortlichkeiten im Vergabe- und Verwaltungsprozess (z.B. Beantragung, Autorisierung, Vergabe/Administration).

d) Regelmäßige Überprüfung, ob die erteilten Zugriffsrechte von den jeweiligen Nutzern auch tatsächlich verwendet werden, um auf Informationen oder informationsverarbeitende Einrichtungen zuzugreifen.

Ein großes Unternehmen hat historisch bedingt an verschiedenen Standorten seiner Hauptniederlassungen unterschiedliche Zutrittskontrollsysteme im Einsatz. An den größten Standorten gibt es automatische Vereinzelungsanlagen, am kleinsten Standort hingegen nur eine Pforte, die während der Geschäftszeiten permanent mit einem Pförtner besetzt ist. Der Geltungsbereich des ISMS deckt alle Unternehmensstandorte ab. Wie bewerten Sie diese Situation vor dem Hintergrund der Anforderungen aus ISOIIEC 27001?

a) Da alle Standorte in den Geltungsbereich des ISMS fallen, müssen auch an allen Standorten die gleichen, einheitlichen Zutrittskontrollsysteme installiert sein. Somit handelt es sich hierbei um eine Nichtkonformität.

b) Sofern der Nachweis darüber erbracht werden kann, dass die verschiedenen Zutrittskontrollsysteme insgesamt angemessen und wirksam sind und keine Richtlinien verletzt werden, liegt keine Abweichung vor.

c) Zwar sind unterschiedliche Zutrittskontrollmechanismen an verschiedenen Standorten grundsätzlich zulässig, allerdings kann ein durch einen Pförtner besetzter Empfangsbereich keinen zuverlässigen physischen Schutz bieten und stellt damit automatisch eine Nichtkonformität dar.

d) Der Standard ISO/IEC 27001 adressiert lediglich die Definition von Sicherheitsbereichen, nicht jedoch die konkreten Zutrittskontrollen. Daher ist die spezifische Umsetzung an dieser Stelle für die Konformität des ISMS nicht weiter relevant.

Eine der in ISOIIEC 27001 geforderten Maßnahmen (Control) ist die Kontrolle technischer Schwachstellen. Wie ist diese Maßnahme in das ISMS einzuordnen, und welche Zielsetzung wird mit dieser Maßnahme hauptsächlich verfolgt?

a) Durch diese Maßnahme soll das Risiko reduziert werden, das in Verbindung mit der Ausnutzung veröffentlichter technischer Schwachstellen steht.

b) Die Maßnahme verfolgt das Ziel, alle sicherheitsrelevanten Schwachstellen, die in der Entwicklungsphase eines neuen oder geänderten Systems identifiziert werden, durch geeignete Behandlungsroutinen vor dem produktiven Einsatz zu beseitigen.

c) Die Maßnahme verfolgt das Ziel, alle gemeldeten und aufgezeichneten Informationssicherheitsvorfälle auf ihre Ursache hin zu untersuchen.

d) Die Maßnahme verfolgt das Ziel, das Verzeichnis aller Sicherheitsschwachstellen in der Leitlinie zur Informationssicherheit regelmäßig zu prüfen und zu aktualisieren.

Im Zusammenhang mit der standardmäßigen Überwachung der Nutzeraktivitäten auf einem zentralen und unternehmenskritischen Informationssystem sind folgende Punkte aufgefallen:

1. Die Protokolle enthalten vertrauliche personenbezogene Daten

2.Anscheinend verwenden mehrere Administratoren beim Zugriff auf das System das gleiche Nutzerkonto

3. Erfolgreiche oder zurückgewiesene Systemzugriffsversuche werden nicht protokolliert.

Welche Punkte stehen auf jeden Fall in Konflikt mit den Maßnahmen und Empfehlungen aus ISO/IEC 27001 und ISO/IEC 27002 zum Thema Aufzeichnung und Überwachung?

Eine Organisation möchte im Rahmen ihres ISMS einen Prozess zur Kontrolle technischer Schwachstellen einführen. Welche der folgenden Aktivitäten ist nicht Teil eines solchen Prozesses?

a) Identifikation der Informationsquellen, die zur Ermittlung relevanter Schwachstellen herangezogen werden.

b) Festlegung einer Frist, um auf Benachrichtigungen bezüglich potenziell relevanter technischer Schwachstellen zu reagieren.

c) Bewertung der mit der Installation von Patches verbundenen Risiken, sowie Testen von Patches, die zur Beseitigung von Schwachstellen verfügbar sind, hinsichtlich Wirksamkeit und Nebenwirkungsfreiheit.

d) Koordination der Aktionen zur Wiederherstellung nach Informationssicherheitsvorfällen, die aufgrund bekannter Schwachstellen aufgetreten sind.

Das in der Organisation genutzte E-Mail-System enthält Informationen, welche als sensitiv oder kritisch klassifiziert wurden. Als verantwortlicher Systemadministrator werden Sie aufgefordert, Verfahren für die Aufzeichnung und die Protokollierung sicherheitsrelevanter Ereignisse zu definieren. Was sollte in diesem Zusammenhang ebenfalls festgelegt werden?

a) Verfahren, welche die sichere Verarbeitung, Speicherung, Übertragung und Vernichtung der Informationen im E-Mail-System adressieren.

b) Verfahren zur Aktualisierung der Arbeitsplatzbeschreibung des ITPersonals.

c) Verfahren zur regelmäßigen Überprüfung der Nutzungszeiten des EMail- Systems.

d) Verfahren, welche das regelmäßige Update der Speichersysteme beschreibt.

Sie sind Abteilungsleiter der PC-Gruppe eines regional tätigen mittelständischen Unternehmens. Das Unternehmen senkt seine ITKosten dadurch, dass es alte, nicht mehr genutzte Arbeitsplatz- PCs auf einem regelmäßig stattfindenden Flohmarkt verkauft. Der lokale Systemadministrator hat von Ihrem Vorgänger die Anweisung erhalten, vor dem Verkauf der PCs jede eingebaute Festplatte zu formatieren. Nach dem Verkauf des alten PCs der Sekretärin erpresste der anonyme Käufer das Unternehmen mit der Drohung, Geschäftsdaten im Internet zu veröffentlichen, die er anscheinend noch auf dem PC gefunden hat. Welche der folgenden Maßnahmen würden Sie umsetzen, damit sich zukünftig keine vergleichbaren Sicherheitsvorfälle mehr ereignen?

a) Sie erweitern den beschriebenen Entsorgungsprozess um die Erstellung eines Protokolls, in dem die Durchführung der beschriebenen Maßnahme dokumentiert werden muss. Das Protokoll soll bei den regelmäßigen internen ISMS-Audits berücksichtigt werden, und die PCs dürfen erst nach erfolgtem Audit verkauft werden.

b) Sie Stufen den Verkauf alter PCs in der bislang praktizierten Form als zu hohes Risiko ein und vereinbaren mit dem Systemadministrator, dass er die Festplatten vor dem Verkauf ausbaut und separat über ein auf Datenträgervernichtung spezialisiertes Unternehmen entsorgt.

c) Sie sorgen für die Einführung einer Verfahrensanweisung zur sicheren Entsorgung von Datenträgern, die ein wirksames technisches Verfahren zur Bereinigung von Festplatten vorsieht, und machen diese Verfahrensanweisung allen am Ablauf beteiligten Personen bekannt.

d) Sie führen das Vier-Augen-Prinzip ein, bei dem eine zweite Person vor der Auslieferung des verkauften PCs überprüft, ob die Plattenformatierung durchgeführt wurde. Darüber hinaus verpflichten Sie die Käufer vertraglich dazu, eventuell noch vorgefundene Unternehmensdaten nachweislich zu vernichten.

Was versteht man vor allem im Zusammenhang mit der Entsorgung von Medien unter dem Aggregationseffekt?

a) Während einzelne Informationen unkritisch sein können, kann eine große Menge solcher Informationen wiederum sensibel und kritisch sein.

b) Während große Informationsmengen häufig unkritisch sind, können einzeln enthaltene Details sensibel sein.

c) Ein Asset gewinnt an Kritikalität, je mehr Personen Zugriff darauf haben.

d) Zentral gespeicherte Informationen sind kritischer als Informationen mit einem hohen Verteilungsgrad.

Ein Unternehmen hat einen internen Anforderungsmanagementprozess etabliert, der sowohl der internen als auch der ausgelagerten Entwicklung neuer Informationssysteme vorgelagert ist. Das Anforderungsmanagement berücksichtigt funktionale und nicht-funktionale Anforderungen, jedoch keine spezifischen Sicherheitsanforderungen. Allerdings wird die erforderliche Sicherheitsfunktionalität (zum Beispiel verschlüsselte Übertragung über gesicherte Verbindungen) beim Design der jeweiligen Anwendungen und Systeme durch die Entwicklungsteams definiert, geplant und umgesetzt. Ist dieses Vorgehen im Hinblick auf die Anforderungen aus ISO/lEC 27001, Anhang A, ausreichend?

a) Ja. Entscheidend ist nicht, an welcher Stelle des Entwicklungsprozesses Sicherheitsanforderungen berücksichtigt werden, sondern dass dies überhaupt passiert.

b) Nein. Das Vorgehen wäre für ausschließlich interne Entwicklungen ausreichend; sobald die Entwicklung eines neuen Informationssystems jedoch ausgelagert wird, müssen Anforderungen in Verbindung mit der Informationssicherheit gesondert im Rahmen der Anforderungsanalyse adressiert werden.

c) Nein. Die Anforderungen an ein neues oder geändertes Informationssystem müssen grundsätzlich auch sicherheitsrelevante Anforderungen umfassen.

d) Ja. ISO/IEC 27001 formuliert zwar Maßnahmen im Zusammenhang mit physischer Sicherheit, Betriebs- und Kommunikationssicherheit; Anforderungen im Zusammenhang mit Entwicklungen neuer oder geänderter Informationssysteme fallen jedoch nicht in den Anwendungsbereich des Standards.

Die interne Revision eines großen Konzerns schätzt, dass durch die Weiterentwicklung des ISMS und die Umsetzung der darin definierten Maßnahmen zur Informationssicherheit in diesem Jahr mindestens 4 potenzielle Sicherheitsvorfälle vermieden wurden, die unter Vorjahresbedingungen höchstwahrscheinlich noch aufgetreten wären, Dadurch ist dem Unternehmen ein geschätzter monetärer Schaden von 2 Millionen Euro nicht entstanden. Welche Aussage lässt sich mit diesen Daten am ehesten treffen?

a) Die umgesetzten Sicherheitsmaßnahmen sind konform mit den Anforderungen aus ISO/IEC 27001, Anhang A.

b) Das ISMS ist in diesem Jahr effektiver als im letzten Jahr.

c) Das ISMS ist in diesem Jahr effizienter als im letzten Jahr.

d) Der Wertbeitrag des ISMS für das Unternehmen ist in diesem Jahr um 2 Millionen Euro gestiegen.

Aufgrund einer Schwachstelle in einem informationsverarbeitenden System, das in den nächsten drei Jahren außer Betrieb genommen werden soll, kommt es durchschnittlich alle drei Monate zu einem Sicherheitsvorfall, wobei pro Behebung durchschnittlich Kosten in Hohe von 1.000 Euro verursacht werden. Die Beseitigung der Schwachstelle wurde einmalige Kosten von etwa 10.000 Euro mit sich bringen. Das Sicherheitsteam berät, wie vorgegangen werden sollte.

a) Bei der Entscheidung müssen nicht nur die genannten Kosten zur Behebung berücksichtigt werden, sondern auch die weiteren Auswirkungen des Schadens (wie etwa Imageschaden und Arbeitszeitverlust), die jeder Sicherheitsvorfall verursacht.

b) Die Schwachstelle muss in jedem Fall behoben werden, da vorbeugende Maßnahmen gemäß ISO/IEC 27001 ergriffen werden müssen, um eine maximale Informationssicherheit zu gewährleisten.

c) Die Schwachstelle sollte nur behoben werden, wenn absehbar ist, dass das System noch länger als 30 Monate in Betrieb sein wird.

d) Schwachstellen in technischen Systemen werden im Rahmen der korrigierenden und vorbeugenden ISMS-Maßnahmen nicht betrachtet.

Welche Überlegungen sind bei der Planung der Kontinuität des Geschäftsbetriebs und der Informationssicherheit relevant?

1. Die maximal tolerierbare Zeit der Nichtverfügbarkeit von Informationen

2. Die maximal akzeptable Wiederherstellungszeit informationsverarbeitender Systeme nach einem größeren Ausfall

3. Die durchschnittliche Bearbeitungszeit von Störungen und Anfragen durch den IT-Helpdesk

Bei welchem der folgenden Ereignisse handelt es sich am ehesten um einen Informationssicherheitsvorfall?

a) Budgetüberschreitung bei der Implementierung einer

Sicherheitsmaßnahme.

b) Verlust von geschäftsrelevanten Informationen nach dem Ausfall

eines Speichersystems bei gleichzeitigem Versagen von

Redundanz- und Sicherungsmechanismen.

c) Durch eine Firewall abgewehrter Angriffsversuch eines Hackers am

Übergang zwischen öffentlichem und Unternehmensnetz.

d) Festgestellter unzulässiger Umgang mit vertraulichen

Authentifizierungsinformationen durch einen Mitarbeiter.

Bei welcher der folgenden Optionen handelt es sich nicht um ein sicherheitsrelevantes Ereignis?

a) Budgetüberschreitung bei der Implementierung einer Sicherheitsmaßnahme.

b) Verlust von geschäftsrelevanten Informationen nach dem Ausfall eines Speichersystems bei gleichzeitigem Versagen von Redundanz- und Sicherungsmechanismen.

c) Abgewehrter Angriffsversuch eines Hackers am Übergang zwischen öffentlichem und Unternehmensnetz.

d) Festgestellter unzulässiger Umgang mit vertraulichen Authentifizierungsinformationen durch einen Mitarbeiter.

Ein Mitarbeiter nutzt die Magnetkarte eines Kollegen, um Zugang zu einem Raum mit informationsverarbeitenden Einrichtungen zu erhalten, da er seine eigene Karte mit gleichen Berechtigungen Zuhause vergessen hat. Bei der Klassifizierung

dieses Sicherheitsereignisses sollen Sie nun angeben, welche Sicherheitseigenschaften primär verletzt wurden:

1. Vertraulichkeit

2. Integrität

3. Verfügbarkeit

4. Authentizität

5. Zurechenbarkeit