Musterexmen Fountion in ISMS oring to ISO/IEC 27001 Exmensnummer: Musterprüfung_ISO27kFND_DE_200_v2.0 Inhlt 2 Einführung 3 Exmen Sämtlihe Unterlgen sin nh Ashluss es Exmens zurükzugeen. Die ei em Exmen verweneten Texte zw. Shriftstüke ürfen niht mit nh Huse genommen weren. Nme, Vornme: Teilnehmer TÜV SÜD Akemie GmH - Zertifizierungsstelle für Personl 1 / 16
Einführung Dieses Exmen erfolgt im Multiple-Choie-Verfhren un umfsst 40 Frgen. Von en pro Frge gegeenen Antworten ist jeweils nur eine rihtig. Die mximl erreihre Punktzhl eträgt 40 Punkte. Jee rihtige Antwort zählt einen Punkt. Ds Exmen gilt ls estnen, wenn ein Knit 26 oer mehr Punkte erreiht ht. Die Duer es Exmens ist 60 Minuten. Aus iesen Angen können Sie keine Rehte leiten. Viel Erfolg! Copyright 2013 TÜV SÜD Akemie GmH The qulifition progrm in Informtion Seurity Mngement se on ISO/IEC 27001 / ISO/IEC 27000 series is owne, evelope n mintine y TÜV SÜD Akemie GmH, Certifition Boy for Persons, Germny. All rights reserve. No prt of this pulition my e pulishe, reproue, opie or store in t proessing system or irulte in ny form y print, photo print, mirofilm or ny other mens without written permission y TÜV SÜD Akemie GmH. The Interntionl Orgniztion for Stnriztion (ISO) is non-governmentl orgniztion whih is network of the ntionl stnrs institutes of 163 ountries. ISO is the owner of the ISO/IEC 27000 series. ITIL is Registere Tre Mrk of AXELOS Limite. IT Infrstruture Lirry is Registere Tre Mrk of AXELOS Limite. All other ompny, prout or servie nmes my e tre mrks or servie mrks of others n re the property of their respetive owners. TÜV SÜD Akemie GmH - Zertifizierungsstelle für Personl 2 / 16
1. Welhe er folgenen Aussgen zum Begriff Informtionssiherheit entspriht niht em Verstännis von ISO/ IEC 27001? Informtionssiherheit umfsst ie Aufrehterhltung er Vertrulihkeit, Integrität un Verfügrkeit von Informtionen. Informtionssiherheit knn Aspekte wie Authentizität, Zurehenrkeit, Niht-Astreitrkeit un Verlässlihkeit umfssen. Informtionssiherheit wir urh ein ISMS gestützt. Informtionssiherheit eeutet Gewährleistung eines mximlen Zugriffsshutzes uf lle Appliktionen un Informtionswerte. 2. Welher Zusmmenhng esteht im Kontext von Risiken zwishen Shwhstellen un Berohungen? Berohungen nutzen in er Regel Shwhstellen us, wourh s Risiko eines Shens entstehen knn. Berohungen sin immer unternehmensextern, währen Shwhstellen unternehmensintern entstehen. Berohungen eziehen sih immer uf Werte (ssets), Shwhstellen gegen uf Informtionen oer Appliktionen. Jee Berohung stellt eine Shwhstelle es ISMS r. 3. Welhe Aussge üer ie ISO/IEC 27000-Reihe ist flsh? ISO/IEC 27001 legt elstre un uitierre Minestnforerungen fest. ISO/IEC 27002 ient ls Leitfen für ie Umsetzung von Siherheitsmßnhmen (seurity ontrols). ISO/IEC 27011 ist ein Beispiel für einen rnhenspezifishen Stnr, er ie Anforerungen un Leitlinien us ISO/IEC 27001 un ISO/IEC 27002 ergänzt. Alle Stnrs er ISO/IEC 27000-Reihe, mit Ausnhme er rnhenspezifishen Stnrs, sin normtiv. TÜV SÜD Akemie GmH - Zertifizierungsstelle für Personl 3 / 16
4. Ws spielt gemäß ISO/IEC 27001 ei er Definition es Anwenungsereihs (sope) eines ISMS keine Rolle? Der Stnort er Orgnistion. Die Werte (ssets) er Orgnistion. Die in er Orgnistion eingesetzte Tehnologie. Ds Buget er Orgnistion. 5. Welher er folgenen Shritte ist niht erforerlih, um ein ISMS zu plnen? Üerwhen un Üerprüfen es ISMS mittels Messungen un Auits. Ermitteln er relevnten interessierten Prteien (intereste prties) un Verstehen von eren Informtionssiherheitsnforerungen. Festlegung es Anwenungsereihs / Geltungsereihs (sope) es ISMS. Definition un Anwenung eines Prozesses zur Risikoeinshätzung. 6. ISO/IEC 27001 enthält Anforerungen n Vertrulihkeits- oer Geheimhltungsvereinrungen (A.13.2.4.). Welhe er folgenen Optionen stellt keinen Aspekt r, er gemäß ISO/IEC 27002 (oe of prtie) innerhl einer Vertrulihkeits- oer Geheimhltungsvereinrung etrhtet weren sollte? Geeignete Kontkte zu speziellen Interessensgruppen oer neren Experten-Siherheitsforen un Berufsveränen. Definition er zu shützenen Informtionen (z.b. vertrulihe Informtionen). Verntwortlihkeiten un Aktionen er Unterzeihnenen, um ie unerehtigte Offenlegung von Informtionen zu vermeien. Beingungen für ie Rükge oer Vernihtung von Informtionen, wenn ie Vereinrung enet. TÜV SÜD Akemie GmH - Zertifizierungsstelle für Personl 4 / 16
7. Ds Mßnhmenziel (ontrol ojetive) A.16.1 etrifft en Umgng mit Informtionssiherheitsvorfällen (informtion seurity inients) un Veresserungen. Welhes Ziel wir verfolgt? Ein konsistentes un effektives Vorgehen im Umgng mit Informtionssiherheitsvorfällen gewährleisten, einshließlih er Kommuniktion von Siherheitsshwähen un -vorfällen. Informtionssiherheitsereignisse wirkungsvoll vermeien, nhhltig Shwhstellen eheen un in koorinierter Weise erforerlihe Änerungen umsetzen. Siherstellung es Geshäftsetries un Shutz kritisher Geshäftsprozesse vor Ktstrophen. Vermeiung von Verstößen gegen Gesetze, mtlihe oer vertrglihe Verpflihtungen un gegen jeglihe Siherheitsnforerungen. 8. Welhe er folgenen Optionen stellt keine Anforerung r, ie gemäß ISO/IEC 27001 für interne ISMS-Auits erfüllt sein muss? Die Plnung es Auitprogrmms muss en Sttus un ie Beeutung er zu uitierenen Prozesse erüksihtigen. Bei er Plnung es Auitprogrmms müssen Ergenisse früherer Auits erüksihtigt weren. Bei er Auswhl er Auitoren muss ie Ojektivität un Unprteilihkeit es Auitprozesses sihergestellt weren. Die Auitergenisse müssen urh eine kkreitierte Zertifizierungsstelle genommen weren. 9. An wen müssen Rihtlinien zur Informtionssiherheit (IS poliy) kommuniziert weren? Nur n tehnishes Personl sowie en Dtenshutzeuftrgten. Nur n ie Verntwortlihen für en Betrie un en Support siherheitskritisher Dienste. Die Rihtlinien zur Informtionssiherheit sollten nh Möglihkeit gr niht veröffentliht weren, sie vertrulihe Detils zur Umsetzung von Siherheitsmehnismen enthlten. An lle Mitreiter un n interessierte Prteien, soweit zwekmäßig (zum Beispiel uh Kunen un Liefernten). TÜV SÜD Akemie GmH - Zertifizierungsstelle für Personl 5 / 16
10. Zwishen zwei Stnorten eines IT-Proviers weren montlih größere Mengen n Dtenträgern (huptsählih CD-ROMs mit Aufzeihnungen üer s Nutzungsverhlten er Anwener) per Post vershikt. Muss ieser Vorgng im Rhmen es ISMS gemäß ISO/IEC 27001 erüksihtigt weren? Nein, ISO/IEC 27001 im Zusmmenhng mit em Trnsport von Informtionen nur elektronishe Kommuniktionsknäle (netzwerksierter Dtentrnsfer) ekt. Nein, s ISMS gemäß ISO/IEC 27001 nur ie Aspekte er Informtionssiherheit etrhtet, ie innerhl er physishen Grenzen er Orgnistion oer eines Stnorts eine Rolle spielen. Wenn ie Dtenträger isher immer in versiherten Express-Pketen vershikt wuren, esteht keine Notwenigkeit, en Vorgng im Rhmen es ISMS zu etrhten un zu steuern. J. ISO/IEC 27001 eshreit hierzu Ziele un Mßnhmen im Anhng A. 11. Welhes sin gemäß ISO/IEC 27001 ie zwei Themenereihe von Mßnhmen (ontrols), ie für ie Orgnistion er Informtionssiherheit relevnt sin? Interne Orgnistion & Moile Geräte un Telereit. Personelle Siherheit & Umgeungsezogene Siherheit. Netzsiherheit & E-Commere-Anwenungen. Zugngskontrolle & Psswort-Mngement. 12. Welhe er folgenen Festlegungen zu Kompetenz, Bewusstsein un Kommuniktion entspriht em Stnr ISO/IEC 27001? Es sin geeignete Aufzeihnungen zum Nhweis er Kompetenz von ISMS relevntem Personl ufzuewhren. Jeglihe Kommuniktion muss in shriftliher Weise erfolgen. Nur Personl, essen Tätigkeiten s ISMS irekt eeinflusst, muss sih er Relevnz un er Wihtigkeit er Informtionssiherheit ewusst sein. Der Stnr ISO/IEC 27001 enthält zwr Anforerungen zu Kompetenz un Shulung, jeoh niht zu Siherheits-Bewusstsein un für s ISMS relevnter Kommuniktion. TÜV SÜD Akemie GmH - Zertifizierungsstelle für Personl 6 / 16
13. Der Netzetrie, er s interne Unternehmensnetz etreit, wure von er Unternehmensleitung euftrgt, eine Servie-Level-Vereinrung mit em Internet-Provier uszuhneln, welhe Siherheitseigenshften, Servie Levels un Aministrtionsnforerungen umfsst. Wie ewerten Sie ieses Vorgehen im Hinlik uf ISO/IEC 27001? Wenn ies ie einzige Vereinrung für Netzienste ist, ist s noh niht usreihen. Entsprehene Vereinrungen müssen für lle,.h. uh für ie intern errhten Netzienste, geshlossen weren. Eine solhe Vereinrung ist niht erforerlih, wenn er Internetüergng urh geeignete tehnishe Mßnhmen (Firewlls, IDS, IPS) geshützt wir. Dieses Vorgehen mht keinen Sinn. Vereinrungen üer Netzienste sin nur für intern errhte Dienste sinnvoll, Internet-Provier ufgrun ihrer Verpflihtung zur Einhltung gesetzliher Vorgen ohnehin ls siher gelten. Gemäß ISO/IEC 27001 ürfen Verträge nur urh ie Unternehmensleitung usgehnelt weren. 14. Welhe Ergenisse muss ie Mngementewertung es ISMS nh ISO/IEC 27001 enthlten? Entsheiungen üer ie Fortführung er Zusmmenreit mit Outsouring-Prtnern. Entsheiungen zur Änerung von Geshäfts- oer von Siherheitsnforerungen. Bugetfestlegungen mit Bezug zur ktuellen Gewinnprognose. Entsheiungen zu Möglihkeiten er kontinuierlihen Veresserung es ISMS. 15. Welhe Mßnhme (ontrol) muss gemäß ISO/IEC 27001 eim Mngement er Dienstleistungs-Erringung von Dritten umgesetzt weren? Die Orgnistion muss ie Dienstleistungen, ie von Dritten errht weren, regelmäßig üerwhen un üerprüfen. Die eigenen Rihtlinien zur Informtionssiherheit müssen n ie entsprehenen Rihtlinien er externen Orgnistionen, ie Dienstleistungen erringen, ngepsst weren. Der externe Dienstleister muss ie gesmte Verntwortung für lle verreiteten Informtionen üernehmen. Nhträglihe Änerungen n getroffenen Siherheitsvereinrungen müssen vertrglih usgeshlossen weren. TÜV SÜD Akemie GmH - Zertifizierungsstelle für Personl 7 / 16
16. Welhe er nhfolgen gennnten Themen spielen sowohl in ISO/IEC 27001 ls uh in ISO 9001 eine wihtige Rolle? Interne Auits, kontinuierlihe Veresserung un Verntwortlihkeiten es Mngements. Siherheitsziele, Siherheitsmßnhmen un er Risikoehnlungspln. Regulierung un Deregulierung von Brnhen sowie Einflussnhme uf gesetzgeerishe Verfhren. Kpzitäts- un Verfügrkeitsmngement, Konfigurtionsmngement un Plnung/Einführung neuer oer geänerter Dienste. 17. Welhe er folgenen Aussgen zur Informtionssiherheits-Leitlinie (IS poliy) sin gemäß ISO/IEC 27001 korrekt? Sie enthält lle tehnishen Einzelheiten zu en Mßnhmen (ontrols), welhe zur Umsetzung es ISMS notwenig sin. Sie enthält lle Informtionen, ie zur Ientifiktion un Bewertung von Siherheitsrisiken enötigt weren. Sie wir urh en Risikomnger er Orgnistion freigegeen un in Krft gesetzt. Sie enthält ein Bekenntnis zur Erfüllung von nwenren Siherheitsnforerungen un zur kontinuierlihen Veresserung es ISMS. 18. Welhe Personen sin gemäß ISO/IEC 27001 für en siheren Betrie eines ISMS zu sensiilisieren un regelmäßig zu shulen? Nur tehnishe Mitreiter einer Orgnistion müssen geshult weren. Die Themen Shulung un Siherheitsewusstsein er Mitreiter einer Orgnistion weren in er Norm niht explizit erwähnt. Alle Angestellten einer Orgnistion un - soweit relevnt - uh Auftrgnehmer un Drittenutzer müssen hinsihtlih er Informtionssiherheit sensiilisiert un regelmäßig geshult weren. Alle Mitreiter einer Orgnistion, ie nh er Einführung es ISMS eingestellt weren un mit em ISMS in Berührung kommen können, müssen eine Grunlgenshulung mit nshließener Fountion- Zertifizierung erhlten. TÜV SÜD Akemie GmH - Zertifizierungsstelle für Personl 8 / 16
19. Welhe Anforerungen müssen gemäß ISO/IEC 27001 n neue Informtionssysteme oer Erweiterungen estehener Informtionssysteme gestellt weren, wenn iese ufgrun von Kunen-/Geshäftsvorgen geplnt weren? Anforerungen ezüglih Siherheitsmßnhmen. Anforerungen n ie Nutzerfreunlihkeit un Beienrkeit. Anforerungen n ie Qulifiktion er Aministrtoren es neuen Systems. Es müssen keine speziellen Anforerungen spezifiziert weren. 20. Ein wihtiger Aspekt er Informtionssiherheit ist ie Integrität. Welhe er folgenen Möglihkeiten eshreit iesen Begriff in zutreffener Weise? Shutz von Informtionen vor unerehtigter Offenlegung. Shutz von Informtionen vor unutorisierten Moifiktionen, Einfügungen, Löshungen, Umornung, Duplizierung oer Wieereinspielung. Niemn knn s Senen oer Empfngen von Dten leugnen. Alle Entitäten können zweifelsfrei ientifiziert weren. 21. Ein wihtiges Mittel zur Leistungsewertung es ISMS sin Mngement Reviews. Ws ist keine Einge (Input) für ie Mngementewertung es ISMS gemäß ISO/IEC 27001? Ergenisse von ISMS-Auits un -Üerprüfungen. Ergenisse von Risikoewertungen un er Sttus er Umsetzung es Risikoehnlungsplns. Sttus von Folgektivitäten nh früheren Mngementewertungen. Iniviuelle Mitreiterleistungen. TÜV SÜD Akemie GmH - Zertifizierungsstelle für Personl 9 / 16
22. Welhe er folgenen Aussgen ist im Zusmmenhng mit en Stnrs ISO 9000, ISO/IEC 20000 un ISO/ IEC 27000 flsh? Alle rei Normenreihen ehneln Mngementsysteme in untershielihen, teilweise üerlppenen Sihtweisen. ISO 9000 eshäftigt sih llgemein mit Leitlinien (poliies) un Anforerungen für Qulitätsmngementsysteme. ISO/IEC 27000 ist er einzige ieser rei ISO-Stnrs, er s Them Mngement er Informtionssiherheit ehnelt. ISO/IEC 20000 rihtet sih n IT-Servie-Provier, ie einen qulitätsorientierten Prozessnstz ei er Steuerung ihrer Servies verfolgen möhten. 23. Welhe er folgenen Aussgen eshreit m esten en Zusmmenhng zwishen em Stnr ISO/IEC 27001 un unternehmensspezifishen Rihtlinien un Vorgen in einer Orgnistion, ie nh ISO/IEC 27001 zertifiziert ist? Unternehmensspezifishe Rihtlinien müssen mit en Normvorgen us ISO/IEC 27001 hrmonieren un iese unter Berüksihtigung orgnistionsspezifisher Gegeenheiten ergänzen. Unternehmensspezifishe Rihtlinien efinieren ie Teile us ISO/IEC 27001, ie im Rhmen es ISMS umgesetzt weren. Unternehmensspezifishe Rihtlinien sin nur nn verinlih, wenn ie enthltenen Vorgen uh in ISO/IEC 27001 zu finen sin. Es esteht kein Zusmmenhng zwishen unternehmensspezifishen Rihtlinien un en Anforerungen us ISO/IEC 27001. 24. Ws enthält eine Anwenrkeitserklärung (sttement of ppliility) hinsihtlih es Stnrs ISO/IEC 27001? Ws ei estehenen Mngementsystemen nh ISO 9001 oer ISO 14001 urh ie Anwenung er ISO/IEC 27001 ersetzt wir. O im Rhmen einer Zertifizierung ie Norm ISO/IEC 27001 oer ie lterntive Norm ISO/IEC 27002 nzuwenen ist. Wie ie Mßnhmen (ontrols) im Anhng A im Detil nzuwenen/umzusetzen sin. Welhe Mßnhmen (ontrols) im Anhng A im Rhmen es ISMS genutzt zw. usgeshlossen weren (mit Begrünung). TÜV SÜD Akemie GmH - Zertifizierungsstelle für Personl 10 / 16
25. Welhe er folgenen Aussgen im Hinlik uf ISO/IEC 27001 un ISO/IEC 27002 ist korrekt? ISO/IEC 27001 spezifiziert Minestnforerungen un Mßnhmenziele (ontrol ojetives), ISO/IEC 27002 enthält gegen ie Mßnhmen (ontrols) zur Erfüllung er Mßnhmenziele (ontrol ojetives) us ISO/IEC 27001. ISO/IEC 27001 enthält generelle Anforerungen n ein ISMS, ISO/IEC 27002 rnhenspezifishe Anforerungen für s Gesunheitswesen. ISO/IEC 27001 enthält Leitlinien (poliies) für Auitoren, ISO/IEC 27002 Leitlinien für Zertifizierungsstellen. ISO/IEC 27001 spezifiziert Minestnforerungen sowie Mßnhmenziele (ontrol ojetives) un Mßnhmen (ontrols), ISO/IEC 27002 enthält zusätzlihe Informtionen un Anleitungen zur Umsetzung er Mßnhmen (ontrols) us ISO/IEC 27001. 26. Ws ist ei er Ientifiktion von Risiken für ie Informtionssiherheit typisherweise kein wihtiger Fktor? Ientifiktion relevnter orgnistionseigener Werte (ssets) innerhl es Anwenungsereihs es ISMS. Ientifiktion von Berohungen sowie von Shwhstellen, ie von iesen usgenutzt weren könnten. Ientifiktion ller Werte (ssets) von llen Huptliefernten. Verstännis er Auswirkung, ie er Verlust von Vertrulihkeit, Integrität oer Verfügrkeit ei en ientifizierten Werten zur Folge ht. 27. Welher er folgenen Shritte wir ei er Konzeption es ISMS gemäß ISO/IEC 27001 ls erstes urhgeführt? Definition er Rihtlinien zur Informtionssiherheit (IS poliy). Definition es Prozesses zur Risikoeinshätzung. Definition es Anwenungsereihs un er Grenzen es ISMS. Auswhl von Mßnhmen zur Behnlung eknnter Informtionssiherheitsrisiken. TÜV SÜD Akemie GmH - Zertifizierungsstelle für Personl 11 / 16
28. Ws verlngt ISO/IEC 27001 zgl. es für Dokumente un Aufzeihnungen zu verwenenen Meiums? Alle Dokumente un Aufzeihnungen müssen in gerukter Form vorliegen. Der Stnr efiniert für untershielihe Dokumente un Aufzeihnungen jeweils s ngemessenste un somit s zu verwenene Meium. Dokumente un Aufzeihnungen ürfen in elieigen Formen un Dtenträgertypen vorliegen. Dokumenttionsnforerungen sin niht Gegenstn von ISO/IEC 27001. 29. Welhe er folgenen Vorussetzungen muss zwingen erfüllt sein, wenn ein Risiko ohne ie Einleitung von Gegenmßnhmen ewusst kzeptiert wir? Ds Risiko muss en Kriterien zur Risikokzeptnz genügen. Ds Risiko muss vom Top-Mngement im Mngement-Review iskutiert weren. Ds Risiko muss eine vershwinene Eintrittswhrsheinlihkeit hen. Der potenzielle Shen, er mit em Risiko verunen ist, rf niht geshäftskritish sein. 30. Welhe er folgenen Optionen stellt keine Anforerung n interne ISMS-Auits gemäß ISO/IEC 27001 r? Es muss ein internes Auitprogrmm geplnt weren, s en Sttus un ie Beeutung er uitierten Prozesse un Bereihe sowie Ergenisse früherer Auits erüksihtigt. Kriterien, Umfng, Häufigkeit un Methoen er Einzeluits müssen festgelegt weren. Alle ISMS-Prozessverntwortlihen müssen regelmäßig ihre eigenen sowie ie Tätigkeiten ihrer Tems uitieren. Die Auswhl er Auitoren un ie Durhführung von Auits müssen Ojektivität un Unprteilihkeit es Auitprozesses siherstellen. TÜV SÜD Akemie GmH - Zertifizierungsstelle für Personl 12 / 16
31. Welhe er folgenen Aussgen zu en Mßnhmen (ontrols) un Mßnhmenzielen (ontrol ojetives), ie im Anhng A von ISO/IEC 27001 eshrieen weren, ist korrekt? Zu jeer Mßnhme (ontrol) weren mehrere Mßnhmenziele (ontrol ojetives) eshrieen. Alle in iesem Anhng eshrieenen Mßnhmen (ontrols) eziehen sih uf ie physishe oer umgeungsezogene Siherheit. Alle in iesem Anhng eshrieenen Mßnhmen (ontrols) eziehen sih uf Zugngskontrolle un Benutzerverntwortung. Die in iesem Anhng ufgeführten Mßnhmen (ontrols) sin niht uneingt ershöpfen. Eine Orgnistion rf zusätzlihe Mßnhmenziele (ontrol ojetives) un Mßnhmen (ontrols) ls notwenig erhten. 32. ISO/IEC 27001 forert für ie Bewertung von Informtionssiherheits-Risiken folgene Aktivitäten: 1. Risiken ientifizieren 2.... 3. Risiken evluieren / ewerten Wie lutet er zweite Shritt? Informtionssiherheits-Leitlinie (IS poliy) efinieren. Internes ISMS-Auit urhführen. Risiken ehneln: Geeignete Mßnhmen (ontrols) uswählen. Risiken nlysieren: Ashätzung von Eintrittswhrsheinlihkeit un Auswirkung. 33. Im Rhmen er Üerwhung un Üerprüfung es ISMS forert ISO/IEC 27001 sowohl ie Durhführung interner Auits ls uh regelmäßiger Mngementewertungen. Wourh untersheien sih interne Auits von Mngementewertungen, un wie hängen sie zusmmen? 1. Interne Auits weren von für usgewählten Auitoren urhgeführt, um gezielt Bestnteile es ISMS uf Konformität un Wirksmkeit zu üerprüfen. 2. Mngementewertungen weren vom leitenen Mngement urhgeführt, sin in er Regel weniger strk uf einzelne Bereihe fokussiert un können uf en Ergenissen interner Auits ufuen. Nur Aussge 1 ist korrekt. Nur Aussge 2 ist korrekt. Beie Aussgen sin korrekt. Keine ieser eien Aussgen ist korrekt. TÜV SÜD Akemie GmH - Zertifizierungsstelle für Personl 13 / 16
34. Ein Mitglie es Mngements lässt sih hljährlih einen Beriht üer Fortshritte in er Entwiklung es ISMS, en Sttus von Mßnhmen (ontrols) un ie ktuelle Risiko- un Berohungslge zustellen. Der Beriht umfsst uh eine Reihe von Kennzhlen sowie ie Ergenisse interner ISMS-Auits. Zu welhem Zwek knn er Mngementeuftrgte solhe Informtionen verwenen? Zur Durhführung eines externen Auits. Zur Erstellung er "Erklärung er Anwenrkeit" (sttement of ppliility). Zur Durhführung einer Mngementewertung. Zur Aufnhme es Kontkts zu speziellen Interessensgruppen. 35. Welhe er folgenen Mßnhmen (ontrols) trägt zu ei, ss sih jeer Mitreiter er Relevnz un Wihtigkeit seiner Tätigkeiten im Zusmmenhng mit er Informtionssiherheit ewusst ist un weiß, wie er zum Erreihen er Ziele es ISMS eitrgen knn? Chronologishe Aufzeihnungen üer Ausilung, Shulung, Fertigkeiten, Erfhrung un Qulifiktion jees Mitreiters. Geeignete Shulungs-/Bewusstseinsmßnhmen. Regelmäßige Mitreiterewertungen. Anpssung es ISMS n ie estehene Qulifiktion es Personls. 36. Um einen ngemessenen Shutz von orgnistionseigenen Werten (ssets) zu erreihen, forert ISO/IEC 27001 ie Zuweisung von Werten (ssets) zu Eigentümern. Ws ist mit gemeint? Der Eigentümer ist ie Person oer Instnz, welhe ie juristishen Eigentumsrehte n einem Wert (sset) hält. Der Eigentümer ist er Kune, in essen Auftrg ein Wert (sset) eshfft wure. Der Eigentümer ist er Liefernt, er en Wert (sset) ereitstellt. Der Eigentümer ist ie Person oer Instnz, welhe ie zugewiesene Mngement-Verntwortung für einen Wert (sset) ht. TÜV SÜD Akemie GmH - Zertifizierungsstelle für Personl 14 / 16
37. Welhe eien Mßnhmen (ontrols) weren in ISO/IEC 27001 im Zusmmenhng mit Mßnhmenziel (ontrol ojetive) 12.1 "Opertive Verfhren un Verntwortlihkeiten" eshrieen? Kpzitäts- un Chnge-Mngement. Bugetplnung un Aounting. Anwenershulung un Systemisoltion. Personlplnung un Systemüerwhung. 38. Ws ist gemäß ISO/IEC 27001 im Sinne er Zugngskontrolle eine sinnvolle un her vorgeshrieene Mßnhme (ontrol) zur Benutzerverntwortung? Von en Nutzern wir verlngt, ss sie sih n ie von er Orgnistion vorgegeenen Verfhren zur Verwenung geheimer Authentifzierungsinformtionen hlten. Die Nutzer weren geeten ihre Authentifzierungsinformtionen geheim zu hlten. Die Nutzer hen siher zu stellen, ss ihre geheimen Authentifzierungsinformtionen uf keinem elektronishen Meium gespeihert weren. Von en Nutzern wir verlngt, ss sie sih n ie von er Orgnistion vorgegeenen geheimen Autorisierungsverfhren hlten. 39. Welhe Aspekte er Informtionssiherheit sollen urh en Einstz kryptogrphisher Mßnhmen (ontrols) unterstützt weren? Vertrulihkeit, Verfügrkeit un Verntwortlihkeit. Vertrulihkeit, Integrität un Authentizität. Verfügrkeit, Integrität un Niht-Astreitrkeit. Alle Aspekte er Informtionssiherheit erforern kryptogrphishe Mßnhmen. TÜV SÜD Akemie GmH - Zertifizierungsstelle für Personl 15 / 16
40. Welhe er folgenen Forerungen ist niht Teil er Siherheitsmßnhmen im Bereih physishe un umgeungsezogene Siherheit gemäß ISO/IEC 27001? Siherheitszonen müssen ie Bereihe shützen, ie informtionsverreitene Einrihtungen eherergen. Zutrittsereihe wie Anlieferungs- un Lezonen müssen innerhl er Siherheitszonen von informtionsverreitenen Einrihtungen liegen. Betriesmittel müssen vor Stromusfällen un Ausfällen nerer Versorgungseinrihtungen geshützt weren. Physisher Shutz vor Ktstrophen muss vorgesehen un umgesetzt weren. TÜV SÜD Akemie GmH - Zertifizierungsstelle für Personl 16 / 16
Antwortogen Punkte: e f g 1 2 3 4 5 6 7 8 9 10 Punkte: e f g 11 12 13 14 15 16 17 18 19 20 Punkte: e f g 21 22 23 24 25 26 27 28 29 30 Punkte: e f g 31 32 33 34 35 36 37 38 39 40 Dtum: Ort: Teilnehmerten: (itte in Blokshrift usfüllen) ID: Anree: Nme: Vornme: P Geurtstum: Geurtsort: Untershrift: Gruppe: 1 Ergenis: von 40 rihtigen Antwortmöglihkeiten entspriht % Fru Herr Prüfung estnen Prüfung niht estnen Prüfungseuftrgter Seite 1 TÜV SÜD Akemie GmH Zertifizierungsstelle für Personl 9148658191
Lösungsshlone e f g 1 Î 2 Î 3 Î 4 Î 5 Î 6 Î 7 Î 8 Î 9 Î 10 Î e f g 11 Î 12 Î 13 Î 14 Î 15 Î 16 Î 17 Î 18 Î 19 Î 20 Î e f g 21 Î 22 Î 23 Î 24 Î 25 Î 26 Î 27 Î 28 Î 29 Î 30 Î e f g 31 Î 32 Î 33 Î 34 Î 35 Î 36 Î 37 Î 38 Î 39 Î 40 Î Dtum: Ort: Gruppe: 1 Seite 1 TÜV SÜD Akemie GmH Zertifizierungsstelle für Personl 9148658191