Interne Revision - IT (3. SOB)

Description

1) Österreichisches Sicherheitshandbuch https://www.sicherheitshandbuch.gv.at a.) Der Informationssicherheitsmanagementprozess: Seite 40-43 b.) Managementverantwortung und Aufgaben beim ISMS : Seite 67-90 2) Leitfaden zur Basis-Absicherung nach IT-Grundschutz: S. 18- S.38 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Br oschueren/Leitfaden_zur_Basis-Absicherung.html
Claudia Loksik
Flashcards by Claudia Loksik, updated more than 1 year ago
Claudia Loksik
Created by Claudia Loksik over 3 years ago
40
0

Resource summary

Question Answer
Nenne die wesentlichen Schritte zur Erstellung einer Sicherheitskonzeption nach der Basis-Absicherung 3 Schritte: 1) Initiierung des Sicherheitsprozesses 2) Organisation des Sicherheitsprozesses [3) Durchführung des Sicherheitsprozesses => der 3. Schritt ist nicht SOB-Lernstoff]
Wer trägt für die Initiierung des Sicherheitsprozesses die Verantwortung? Die Leitung oder Geschäftsführung. Eine zentrale Rolle hat auch der Informationssicherheitsbeauftragte (ISB), da es zu diesem Zeitpunkt bereits um die Festlegung der Sicherheitsziele in Form einer Leitlinie geht.
Was ist zur Initiierung des Sicherheitsprozesses erforderlich? (=> ersten Schritte zur Umsetzung einer Basis-Absicherung) a) Management-Entscheidung: Verantwortung der Leitungsebene b) Zentrale Rolle: der ISB c) Geltungsbereich für die Sicherheitskonzeption: der Informationsverbund d) Erstellung einer Leitlinie zur Informationssicherheit
Zur Initiierung des Sicherheitsprozesses: - Beschreibe die Aufgaben der Leitungsebene Die GF muss den Sicherheitsprozess: -) initiieren -) steuern -) kontrollieren -) und: einen ISB bzw. Verantwortlichen für die Informationssicherheit bestimmen, der die operative Umsetzung u. Steuerung übernimmt
Zur Initiierung des Sicherheitsprozesses: - Beschreibe die Verantwortung der Leitungsebene 1) Gesamtverantwortung für die Informationssicherheit 2) Initiierung des Informationssicherheitsprozesses 3) sich immer informiert halten über mögliche Risiken u. Konsequenzen 4) unterstützt den ISB vollständig u. stellt Ressourcen zur Verfügung
Zur Initiierung des Sicherheitsprozesses: - Was ist wichtig in der Zusammenarbeit zwischen der Leitung und dem ISB? -) ISB klärt die Leitung stets über mögliche Risiken und Konsequenzen aufgrund fehlender Informationssicherheit auf. -) Die Leitung muss sicherstellen, dass ihr stets alle entscheidungsrelevanten Informationen vorliegen -) nach einem Sicherheitsvorfall muss der ISB die Leitung zeitnah informieren -) die Leitung unterstützt den ISB voll -) die Leitung stellt die erforderlichen Ressourcen für den ISB bereit
Zur Initiierung des Sicherheitsprozesses: Nenne die sicherheitsrelevanten Themen für die Leitungsebene 1) Sicherheitsrisiken d. Institution 2) Auswirkungen u. Kosten im Schadensfall 3) Auswirkungen v. Sicherheitsvorfällen auf kritische Geschäftsprozesse 4) Sicherheitsanforderungen (gesetzl. u. vertragliche Vorgaben) 5) Typische branchenübliche Vorgehensweisen f. Inf.sicherheit 6) Aktueller Stand der Informationssicherheit u. daraus abgeleitete Handlungsempfehlungen
Beschreibe die Rolle des ISB Der ISB ist der Ansprechpartner für alle Aspekte rund um das Thema Informationssicherheit.
Zur Initiierung des Sicherheitsprozesses: - Nenne die Zuständigkeiten und Aufgaben des ISB 1) Informationssicherheitsprozess operativ steuern 2) die Leitungsebene bei der Erstellung der Leitlinie zur Informationssicherheit unterstützen 3) die Erstellung des Sicherheitskonzepts, des Notfallvorsorgekonzepts und Sicherheitsrichtlinien koordinieren, weitere Richtlinien u. Regelungen f. Informationssicherheit erlassen 4) die Realisierung von Sicherheitsmaßnahmen initiieren und überprüfen 5) der Leitungsebene über den Status quo berichten 6) sicherheitsrelevante Projekte koordinieren 7) Sicherheitsvorfälle untersuchen 8) Sensibilisierungs- und Schulungsmaßnahmen initiieren und koordinieren
Kann die Position des Informationssicherheitsbeauftragten gleichzeitig vom Datenschutzbeauftragten wahrgenommen werden? Grundsätzlich ja, es wird aber empfohlen für beide Rollen je einen Verantwortlichen zu bestimmen und die Schnittstellen klar zu definieren u. dokumentieren. Beide Funktionen arbeiten eng zusammen, berichten an die Leitung und haben ausreichend Ressourcen zur Verfügung.
Was ist der Informationsverbund? Das ist jener Geltungsbereich der Institution, für den die Basis-Absicherung gelten soll. Umfasst die Gesamtheit von infrastrukturellen, organisatorischen, personellen und technischen Komponenten, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen.
Was ist wichtig bei der Abgrenzung des Informationsverbundes? 1) Festlegung von kritischen Geschäftsprozessen, Fachaufgaben oder Teilen der Institution, die der Geltungsbereich beinhalten soll. 2) Technische und organisatorische Aspekte sind zu berücksichtigen 3) Bei der Basis-Absicherung umfasst der Geltungsbereich üblicherweise die gesamte Institution. 4) Eindeutige Abgrenzung und Schnittstellen zu externen Partnern
Welche Regeln sollten hinsichtlich Geltungsbereich für die Sicherheitskonzeption beim Outsourcing berücksichtigt werden? 1) Prüfen, ob etwas gegen die Auslagerung spricht 2) Festlegen wesentlicher Sicherheitsanforderungen 3) Vertragsgestaltung: Sicherheitsanforderungen u. Kriterien zur Servicequalität 4) Sicherheitskonzept inkl. Notfallvorsorgekonzept 5) Festlegung von Verantwortlichkeiten u. Ansprechpartnern 6) Durchführung von Kontrollen zur Aufrechterhaltung der Informationssicherheit beim DL 7) Eigentumsrechte u. Rückgabe vertraglich festlegen
Welche Rolle spielen die übrigen Mitarbeiter*innen bei der Initiierung des Sicherheitsprozesses? Die übrigen Mitarbeiter*innen müssen ihren Teil dazu beitragen, die Sicherheitsziele zu erreichen. Die Leitung muss gewährleisten, dass Informationssicherheit in alle relevanten Geschäftsprozesse/Projekt integriert werden.
Was muss die Leitung tun, damit Informationssicherheit in alle relevanten Geschäftsprozesse/Projekte integriert wird? Die Leitung muss den ISB dabei unterstützen, dass die Fachverantwortlichen den ISB in alle sicherheitsrelevanten Aspekte einbinden. Das betrifft auch die Beteiligung an allen Projekten, die eine Auswirkung auf Informationsverarbeitung haben.
Über welche Kenntnisse sollte ein ISB verfügen? -) Wissen und Erfahrung in den Gebieten Informationssicherheit und IT -) Kenntnisse über die Geschäftsprozesse der Institution.
Was muss bei der Auswahl eines Outsourcing-Dienstleisters noch beachtet werden? -) Gibt es einen Nachweis über die Informationssicherheit, zB. ISO-Zertifizierung ISO/IEC 27001 -) Welche Qualifikation hinsichtlich Sicherheit haben die Mitarbeiter*innen des Dienstleisters? zB. Weiterbildung zu IT-Grundschutz
Wie ist der Ablauf bei der Erstellung der Sicherheitsleitlinie? 1) zu beteiligende Organisationseinheiten identifizieren 2) gemeinsam Geltungsbereich und Inhalte festlegen 3) Inkraftsetzung der Sicherheitsleitlinie durch die Leitungsebene veranlassen 4) Sicherheitsleitlinie bekannt geben 5) Sicherheitsleitlinie regelmäßig überprüfen und gegebenenfalls aktualisieren
Wie lautet die Empfehlung zur Kommunikation der Leitlinie zur Informationssicherheit? Die finale Version der Leitlinie sollte an einer zentralen Stelle, zum Beispiel im Intranet, veröffentlicht werden. An der Aufgabe „Informationssicherheit“ muss schließlich jeder Mitarbeiter aktiv mitwirken. Die Sicherheitsleitlinie liefert hier einen wichtigen Beitrag zur Steigerung der Awareness zur Informationssicherheit in einer Institution
Nenne die grundlegenden Inhalte einer Sicherheitsleitlinie gem. Basis-Absicherung (1/2) 1) Stellenwert der Informationssicherheit und Bedeutung der wesentlichen Informationen, Geschäftsprozesse und der IT für die Aufgabenerfüllung 2) Herstellung eines Bezugs der Informationssicherheitsziele zu den Geschäftszielen oder Aufgaben der Institution 3) Sicherheitsziele und die Kernelemente der Sicherheitsstrategie für die Geschäftsprozesse und die eingesetzte IT
Nenne die grundlegenden Inhalte einer Sicherheitsleitlinie gem. Basis-Absicherung (2/2) 4) Sicherheitsleitlinie wird von der obersten Leitung durchgesetzt 5) Leitaussagen zur Erfolgskontrolle 6) Beschreibung der geplanten Organisationsstruktur 7) Aufgaben u. Zuständigkeiten 8) Programme zur Förderung der Informationssicherheit durch Schulungs- und Sensibilisierungsmaßnahmen 9) wichtige Gefährdungen, relevante gesetzliche Regelungen
Welche formalen Empfehlungen gibt es zur Sicherheitsleitlinie gem. Basis-Absicherung? -) Kurz und bündig formulieren -) max. 10 Seiten
Nenne Beispiele für Sicherheitsziele gem. Basis-Absicherung 1) Hohe Verlässlichkeit des Handelns im Umgang mit Informationen 2) Gute Reputation der Institution 3) Erhaltung der investierten Werte (in Technik, Wissen, Informationen, Prozesse) 4) Sicherung der hohen, unwiederbringlichen Werte 5) Gewährleistung gesetzl. Anforderungen 6) Schutz von natürlichen Personen
Was versteht man unter "Organisation des Sicherheitsprozesses" gem. Basis-Absicherung und wofür braucht man das? -) Ein geplantes Vorgehen -) Eine adäquate Organisationsstruktur -) Formulierung v. Sicherheitszielen -) Strategie zur Zielerreichung Ziel: Aufrechterhaltung des einmal erreichten Sicherheitsniveaus
Wie ist der Ablauf zur Einrichtung der Organisation des Sicherheitsprozesses gem. Basis-Absicherung? 1) Aufbau einer Organisation zur Informationssicherheit 2) Konzeption u. Planung des Sicherheitsprozesses (=> nicht Lernstoff der 3. SOB)
Welche Aspekte sind für den Aufbau der Organisation zur Informationssicherheit (IS) gem. Basis-Absicherung zu beachten? 1) Festlegung von Rollen 2) Zusammensetzung der Aufbauorganisation 3) ISB als zentrale Ansprechperson für den IS-Prozess 4) Rollen haben direkten Zugang zur GF
Zum Aufbau einer IS-Organisation gem. Basis-Absicherung: - Welche Grundregeln zur Definition der Rollen sind zu beachten? 1) Gesamtverantwortung obliegt der obersten Leitung 2) Ernennung ISB f. Koordination u. Steuerung 3) Alle Mitarbeiter sind für die Aufrechterhaltung der IS verantwortlich 4) IS muss in Prozesse integriert werden und in den Prozessen müssen Ansprechpartner festgelegt werden.
Zum Aufbau einer IS-Organisation gem. Basis-Absicherung: - Was ist im Hinblick mit dem Risikomanagement zu beachten? Die Abstimmung der Methoden des IS-Managements mit den bereits vorhandenen Methoden zum Umgang mit Risiken. IT-Risiken/Sicherheitsrisiken gehören zu den größten Bedrohungen des operationellen Tagesgeschäfts.
Zum Aufbau einer IS-Organisation gem. Basis-Absicherung: - Wie kann eine IS-Organisation in einer kleinen Institution aufgebaut sein? (Grafik)
Zum Aufbau einer IS-Organisation gem. Basis-Absicherung: - Wie kann eine IS-Organisation in einer kleinen Institution aufgebaut sein? (Beschreibung) -) Der ISB ist der Leitung direkt unterstellt und steht in engem Austausch mit den Fachverantwortlichen -) Der bDSB (betriebl. Datenschutzbeauftragte*r) ist der Leitung direkt unterstellt und auf gleicher Ebene mit dem ISB (um direkte Zusammenarbeit zu gewährleisten)
Zum Aufbau einer IS-Organisation gem. Basis-Absicherung: - Was ist im Zusammenspiel mit anderen Organisationseinheiten und Managementdisziplinen zu beachten? Da auch andere Stellen oder Organisationseinheiten Informationssicherheit wahrnehmen (zB. Datenschutz, Personenschutz, Notfallmanagement, Risikomanagement) ist die Koordination der Schnittstellen durch den ISB erforderlich.
Zum Aufbau einer IS-Organisation gem. Basis-Absicherung: - Was ist in der Zusammenarbeit mit dem IT-Betrieb zu beachten? 1) Der ISB erstellt Vorgaben für den sicheren Betrieb von IT-Systemen und Netzen 2) Der IT-Betrieb setzt diese Vorgaben um. => Der ISB benötigt einen Ansprechpartner vom IT-Betrieb, um sich über Vorgehensweisen, aktuelle Gefährdungen und neue Sicherheitsanforderungen auszutauschen.
Nenne die wesentlichen Punkte zur Organisation des Sicherheitsprozesses gem. Basis-Absicherung 1) Rollen festlegen 2) Den Rollen Aufgaben und Verantwortungsbereiche zuordnen 3) Personelle Ausstattung der Rollen 4) IS-Organisation dokumentieren 5) IS-Management in Abläufe u. Prozesse integrieren
Wofür steht die Abkürzung ISMS? Informations- sicherheits- management- system
Welche Anforderungen werden an ein Informationssicherheitsmanagements (ISM) gestellt? Das ISM soll -) die Vertraulichkeit -) die Integrität -) die Verfügbarkeit (u. ggf. Authenzität, Zurechenbarkeit u. Zuverlässigkeit) der Informationen und ihrer verarbeitenden Systeme gewährleisten
Definiere ISM (Informationssicherheitsmanagement) ISM ist ein kontinuierlicher Prozess, dessen Strategien und Konzepte ständig auf ihre Leistungsfähigkeit und Wirksamkeit zu überprüfen und bei Bedarf fortzuschreiben sind.
Nenne die zentralen Aktivitäten im ISMS 1) Entwicklung einer organisationsweiten Organisationssicherheitspolitik 2) Durchführung Risikoanalyse 3) Erstellung Sicherheitskonzept 4) Umsetzung Sicherheitsmaßnahmen 5) Gewährleistung IS im lfd. Betrieb 6) kontinuierliche Überwachung u. Verbesserung ISMS
Beschreibe die zentralen Aktivitäten des ISM in Form einer Grafik
Worauf basiert der Prozess (ISP) für die zentralen Aktivitäten im ISM? Der ISP basiert auf Standards und Leitlinien zum ISM, insbesondere der ISO/IEC 27001 und den "Guidelines on the Management of IT Security (GMITS)", ISO/IEC 13335.
Beschreibe den ersten Schritt der Aktivitäten im Rahmen des ISM (1/2) Schritt 1: Entwicklung einer organisationsweiten Informationspolitik = Leitlinien u. Vorgaben innerhalb einer Organisation, die unter Berücksichtigung gegebener Randbedingungen grundlegende Ziele, Strategien, Verantwortlichkeiten und Methoden für die Gewährleistung der IS festlegt.
Beschreibe den ersten Schritt der Aktivitäten im Rahmen des IMS (2/2) a) stellt ein langfristig orientiertes Grundlagendokument dar b) ist die Basis für IS der Organisation c) eingebettet in Hierarchie von Regelungen und Leitlinien d) ggf.: Erstellung einer Hierarchie von IS-Politiken zu versch. Organisationseinheiten
Beschreibe den zweiten Schritt der Aktivitäten im Rahmen des IMS (1/2) 2. Schritt: Risikoanalyse = das Erkennen und Einschätzen von Sicherheitsrisiken und deren Reduktion auf ein tragbares Maß => dieses "Informationsrisikomanagement" sollte Teil des organisationsweiten Risikomanagementsystems sein
Beschreibe den zweiten Schritt der Aktivitäten im Rahmen des IMS (2/2) Drei Risikoanalysestrategien: a) Detaillierte Risikoanalyse: detaillierte Analyse aller IT-Risiken => hoher Zeit- und Kostenaufwand b) Grundschutzansatz: basierend auf pauschalierter Gefährdungslage => könnte nicht angemessen sein c) Kombinierter Ansatz: kombiniert die Vorteile von a) u. b)
Beschreibe den dritten Schritt der Aktivitäten im Rahmen des IMS (1/2) 3. Schritt: Erstellung Sicherheitskonzept = Auswahl der Maßnahmen, welche die Risiken der vorausgegangenen Risikoanalyse auf ein beherrschbares Ausmaß sollen. Für wichtige IT-Systeme wird die Erstellung eigener Sicherheitsrichtlinien empfohlen.
Beschreibe den dritten Schritt der Aktivitäten im Rahmen des IMS (2/2) a) Beschreibung Ausgangszustand (= Ergebnisse der Risikoanalyse) b) Begründung der Maßnahmen unter Kosten-Nutzen-Aspekten c) Abschätzung Restrisiko u. Aussage, ob dieses getragen wird oder nicht d) Festlegung der Verantwortlichkeiten e) Prioritäten-, Termin- u. Ressourcenplan
Beschreibe den vierten Schritt der Aktivitäten im Rahmen des IMS (1/2) 4. Schritt: Umsetzung des ISP (Informationssicherheitsplan) Voraussetzungen f. erfolgreiche Umsetzung: Schulung u. Sensibilisierungsmaßnahmen, Entwicklung eigener Kennzahlen zur Kontrolle der Effektivität u. Effizienz der Maßnahmen
Beschreibe den vierten Schritt der Aktivitäten im Rahmen des IMS (2/2) a) Verantwortlichkeiten rechtzeitig u. eindeutig festlegen b) Finanzielle u. personelle Ressourcen festlegen c) Maßnahmen korrekt umsetzen d) Kosten- u. Zeitplan einhalten u. kontrollieren e) Abschluss: Akkreditierung, um die Maßnahmen auf Wirksamkeit zu testen
Beschreibe den fünften Schritt der Aktivitäten im Rahmen des IMS (1/2) 5. Schritt: Informationssicherheit im laufenden Betrieb = die Sicherheit im Betrieb aufrechterhalten und bei geänderten Bedingungen anpassen
Beschreibe den fünften Schritt der Aktivitäten im Rahmen des IMS (2/2) a) Wartung u. administrativer Support der Sicherheitseinrichtungen b) Messung der Effektivität anhand von Kennzahlen (Information Security Measurement) c) Überprüfung Maßnahmen auf Übereinstimmung mit Informationssicherheitspolitik d) fortlaufendes Monitoring der Informationssicherheitssysteme e) Change Management f) angemessene Reaktion auf unvorhersehbare Ereignisse (Incident Handling)
Warum ist die Management- verantwortung beim ISMS so wichtig? Wegen der immer stärker werdenden Abhängigkeit von Informationen und deren Systemen. Der angemessene Umgang mit Risiken, ua. mit Risiken aus fehlender oder mangelnder Informationssicherheit, ist daher ein wichtiger Verantwortungsbereich im Management.
Nenne die Elemente der Managementverantwortung beim ISMS gem. dem Informations-Sicherheitshandbuch des Bundeskanzleramts 1) Generelle Managementaufgaben beim ISMS 2) Ressourcenmanagement 3) Interne ISMS Audits 4) Management-Review des ISMS 5) Verbesserungsprozess beim ISMS
Für die Umsetzung welcher Aufgaben ist die Managementebene verantwortlich? (1/3) a) Erarbeitung einer Sicherheitspolitik b) Erarbeitung der Zielsetzung und Detailaufgaben des ISMS c) Benennung von Rollen und Verantwortlichkeiten d) Darstellung, Einschätzung, Bewertung der Risiken e) Festlegung von Kriterien für akzeptables Restrisiko
Für die Umsetzung welcher Aufgaben ist die Managementebene verantwortlich? (2/3) f) Schaffung von Bewusstsein für die Bedeutung und Nutzen des ISMS g) Schaffung von Bewusstsein und Motivation für die Notwendigkeit und Einhaltung der Sicherheitsregeln h) Schaffung von Bewusstsein und Motivation über Schwachstellen und Sicherheitsvorfälle zu informieren und Verbesserungen vorzuschlagen
Für die Umsetzung welcher Aufgaben ist die Managementebene verantwortlich? (3/3) i) Bereitstellung finanzieller und personeller Ressourcen j) Durchführung von Audits und Management-Review k) Herbeiführung von Entscheidungen über Verbesserungsvorschläge
Nenne die Informationen, die essentiell sind, damit das Management die Verantwortung wahrnehmen kann 1) Sicherheitsanforderungen aus gesetzlichen u. vertraglichen Pflichten 2) Aktuelle Sicherheitsrisiken 3) Schwachstellen u. Sicherheitsvorfälle 4) Auswirkungen von Sicherheitsvorfällen auf kritische Geschäftsprozesse 5) Gefährdungen aus veränderten Rahmenbedingungen u. zukünftigen Entwicklungen 6) Vorgehensweisen zur IS aus allgem. u. branchenüblichen Standards, Organisationen, Arbeitsgruppen
Warum ist es wichtig, dass das Management die Mitarbeiter zur Mitwirkung am Sicherheitsprozess motiviert? Wenn die Anwenderinnen in die Planung und Umsetzung von Maßnahmen einbezogen werden, werden sie von sich aus Ideen einbringen und die Sicherheitsmaßnahmen aus Sicht der täglichen Praxis beurteilen.
Mit welcher Maßnahme kann das Management die Mitarbeiter hinsichtlich Sicherheitsmanagement motivieren und welchen Sinn hat das? => Mit Ausbildungs- und Awarenessmaßnahmen. Nur wenn die Mitarbeiter den Sinn der Sicherheitsmaßnahmen- und Vorgaben verstehen, werden sie diese auch leben und Verbesserungsvorschläge machen.
Welche Grenzen muss man hinsichtlich ISMS akzeptieren? 1) Zu hohe Kosten: die Sicherheitsmaßnahme sollte nicht mehr kosten als der mögliche Schaden 2) Es bleibt ein Restrisiko 3) Es können unvorhersehbare Verkettungen von Vorfällen auftreten, die ein höheres Schadenspotenzial haben, als ursprünglich angenommen
In welche zwei Aspekte wird das Ressourcenmanagement differenziert und warum? 1) Bereitstellung von Ressourcen: Einsetzen eines IT-Sicherheitsbauftragten und ggf. eines gut ausgebildeten Teams 2) Schulung und Awareness: Mitarbeiter überzeugen und gut aus-u. weiterbilden => Überlastete IT-MitarbeiterInnen, mangelhaft gewartete IT-Einrichtungen, fehlende Ausbildung etc. sind Quellen für plötzlich auftretende Fehler
Welche Aspekte unterscheidet man bei der Bereitstellung von Ressourcen? 1) Ressourcen für die Organisation: ein IT-Sicherheitsbeauftragter muss über genügend zeitl. Ressourcen verfügen 2) Ressourcen für die Einrichtung des ISMS, IS-Management-Team: Bündelung von Kompetenzen durch Teamzusammenstellung aus versch. Bereichen; regelm. Treffen 3) Ressourcen für Betrieb und Überprüfung: zB. Ressourcen f. Wartungen v. IT-Einrichtungen, Schulungen, ext.u.int. Audits
Was ist das Ziel von Maßnahmen zur Schulung und Awareness? Ein ausgeprägtes Sicherheitsbewußtsein der Mitarbeiter*innen und deren ausreichende und weiterentwickelte Qualifikation. Denn nur dann ist das implementierte ISMS wirksam.
Nenne gewünschte Effekte von Maßnahmen zur Schulung u. Awareness a) Überzeugung aller MA, dass IS ein Erfolgsfaktor ist b) Überzeugung, dass und warum bestimmte Sicherheitsmaßnahmen erforderlich sind c) Wissen bei MA über Erwartungen bzgl. IS d) Wissen bei MA, was in kritischen Situationen zu tun oder unterlassen ist e) Ausreichende Kenntnisse u. Fertigkeiten zur Durchführung ihrer Aufgaben f) Kenntnisse der betriebl. Abläufe g) Kenntnisse der Ansprechpartner f. Sicherheitsfragen oder -probleme
Welche Gefährdungen entstehen durch unzureichende Informationen und Kenntnisse bei den MA? 1) Vertraulichkeits- u. Integritätsverlust durch Fehlverhalten (durch fehlerhafte Nutzung und mangelnde Kenntnis der Regelungen) 2) Nichtbeachtung von Sicherheitsmaßnahmen 3) Sorglosigkeit im Umgang mit Informationen 4) Mangelhafte Akzeptanz von IS
Welche Gefährdungen entstehen durch stetige Überbelastung und Frustration bei den MA? 1) Unberechtigte IT-Nutzung 2) Missbrauch von Benutzer- oder Administratorrechten 3) Manipulation an Informationen oder Software 4) Social Engineering 5) Ausspähen von Informationen
Nenne die erforderlichen Schritte zum Aufbau eines Schulung- und Awarenessprogrammes 1) Planung und Konzeption 2) Durchführung und Kontrolle 3) Dokumentation von Schulungs- und Awarenessmaßnahmen 4) Flankierende Schulungs- und Awarenessmaßnahmen
Nenne die erforderlichen Schritte zur Planung und Konzeption 1) Lernziele definieren 2) Erfolgskriterien definieren 3) Zielgruppen definieren 4) Lernbedarf identifizieren 5) Lerninhalte festlegen 6) Lernmethoden und -medien auswählen
Nenne die erforderlichen Schritte zur Durchführung und Kontrolle 1) Gestaltung der Inhalte und der Zeit, so dass die Teilnehmer diese auch aufnehmen und daran teilnehmen können 2) Überprüfung von Erfolg und Effizienz der Schulung 3) Methoden zur Überprüfung
Welche Möglichkeiten gibt es zur Überprüfung der Schulungsinhalte? - ) Fragebögen und Bewertung der Teilnehmer -) Fragebögen zum vermittelten Stoff für die Teilnehmer -) Diskussionen mit MA
Wie erfolgt die Dokumentation von Schulungs- u. Awarenessmaßnahmen? -) Für den MA: Ausstellung/Verteilung einer Teilnahmebestätigung -) Für die Organisation: Erfassung im Personalakt u. in der Qualifikationsmatrix (=> zur Erinnerung: QM 1. Semester)
Was versteht man unter flankierenden Schulungs- und Awarenessmaßnahmen? Zusätzliche kontinuierliche Schulungs- und Awarenessmaßnahmen, Auffrischungsschulungen.
Nenne Beispiele für flankierende Schulungs- u. Awarenessmaßnahmen Informationsforum zur Informationssicherheit im Intranet Anmeldebildschirm mit Sicherheitsinformationen resp. 1-2 Quizfragen, Rundschreiben, E-Mails, Zeitschriften mit sicherheitsrelevanten Themen, Mitarbeiterzeitung, Poster und Broschüren, interne Informationsveranstaltungen externe Seminare, Messen und Konferenzen, E-Learning-Programme Planspiele zur Informationssicherheit Diskussionsmeetings (Round-Tables)
Wozu dienen interne ISMS-Audits? Zur Überprüfung, ob Ziele, Vorgaben, Maßnahmen und Verfahren: a) die gesetzl. u. normativen Vorgaben erfüllen, b) immer noch geeignet sind, um die Informationssicherheitsziele zu erreichen c) korrekt umgesetzt sind und von allen Beteiligten eingehalten werden d) einwandfrei funktionieren und wirksam sind.
Welcher Nutzen entsteht außerdem noch durch die Durchführung von internen ISMS-Audits? Erkennen von: a) Schulungs- u. Informationsbedarf bei FK u. MA b) Verbesserungspotenzialen bei Prozessen und Sicherheitsmaßnahmen c) Möglichkeiten zur Optimierung der Organisation d) Mitarbeitermotivation, da sie ihre Gedanken einfließen lassen können
Wann und wie oft sollten interne ISMS-Audits durchgeführt werden? -) Einmal jährlich -) nicht in Zeiten hoher Arbeitsbelastung (zB. nicht während Systemumstellungen, Jahresabschlusserstellung, Urlaubszeit)
Was sind die Voraussetzungen für ein erfolgreiches ISMS-Audit? 1) Initiierung durch Management 2) Ausreichende Ressourcen für Audit-Durchführende und Mitarbeitende (Zeit- u. Sachressourcen) 3) Durchführung gemäß Auditplan, welcher vorher allen Betroffenen kommuniziert wird 4) Verwendung einer Auditcheckliste
Welche Punkte beinhaltet die Checkliste für den ISMS-Auditplan? Die folgenden Punkte sollten für jedes Audit-Thema abgearbeitet werden: -) Datum -) Zeit -) Thema -) Teilnehmer -) Erledigungsvermerk
Wer darf das interne ISMS-Audit durchführen? Das Management benennt eine*n Auditor*in oder mehrere Auditoren, die Anforderungen in folgenden Bereichen erfüllen: -) Objektivität u. Unparteilichkeit -) fachliche Qualifikationen -) persönliche Fähigkeiten
Wie lauten die Anforderungen an Auditor*innen hinsichtlich Objektivität u. Unparteilichkeit? Es dürfen nur Bereiche auditiert werden, in welchen die Auditor*innen selbst nicht tätig sind oder für die sie verantwortlich sind.
Über welche fachlichen Qualifikationen müssen Auditor*innen verfügen? 1) Ausreichende Ausbildung, um die Geschäftsprozesse u. Sicherheitsmaßnahmen zu verstehen 2) Kenntnis der relevanten Gesetze und Normen inkl. der für das Audit relevante Normen (zB. 19011) 3) Kenntnis der Unternehmens- u. Sicherheitsziele, u. der wesentlichen Abläufe u. Prozesse 4) Kenntnisse der wesentlichen IS-Themen 5) Schulung um Audits durchführen zu können
Über welche persönlichen Qualifikationen müssen Auditor*innen verfügen? 1) Klare, verständliche mündl. u. schriftl. Ausdrucksweise 2) Aktives Zuhören 3) Ausdauer, Belastbarkeit u. Festigkeit auch in Stresssituationen 4) Einfühlungsvermögen & Beharrlichkeit 5) Erkennen von größeren Zusammenhängen u. Konsequenzen aus Einzelinformationen
Was ist die inhaltliche Grundlage der ISMS-Audits und wie werden diese im ersten Schritt hinterfragt? Inhaltliche Grundlage: Gesetze, Normen, Sicherheitspolitik, Sicherheitskonzept, Geschäftsziele Zu hinterfragen: sind klar formulierte Vorgaben vorhanden und sind diese geeignet, um die oben genannte Grundlage zu erfüllen?
Im Rahmen des ISMS-Audits: nach der Beurteilung der Vorgaben, was ist dann der nächste Schritt? Überprüfung, ob die Vorgaben eingehalten werden: => Wie exakt werden die Vorgaben eingehalten? => Gibt es Nachweise zur Protokollierung der Einhaltung? => Welche Vorgaben werden nicht eingehalten? => Gibt es im Gegenzug dazu Kontrollen, die ohne Vorgaben umgesetzt werden? => Gibt es Hinweise zur Wirksamkeit der Vorgaben? => Welche Meinung haben die MA zu den Vorgaben, gibt es Verbesserungsvorschläge?
Was wird am Ende des ISMS-Audits gemacht? Ein Gespräch zwischen Auditor*in und MA: => Vorläufige Erkenntnisse u. Empfehlungen => Möglichkeiten zur Stellungnahme => Terminbesprechung für Schlussbericht-, u. präsentation
Welche Empfehlung gibt es für die Struktur der Erkenntnisse im Audit-Bericht? 1) Erkenntnisse, die Maßnahmen zur Folge haben (= Feststellung) 2) Erkenntnisse zur Erhöhung der Qualität 3) Schlussfolgerungen für das Gesamtsystem 4) Gesamtheitliche Auswertung
Nenne Beispiele für Erkenntnisse, die eine Maßnahme zur Folge haben könnten => Wesentliche Vorgaben für Arbeitsabläufe fehlen => Vorgaben werden nicht oder nur tlw. eingehalten => keine klaren Verantwortlichkeiten => Improvisation bei Sicherheitsvorfällen => keine Erstellung v. Protokollen oder Dokumentationen => keine Auswertung von Protokollen
Nenne Beispiele für Erkenntnisse zur Qualitätsverbesserung => Vorgaben sind nicht bekannt oder unklar formuliert => es gibt nicht benötigte Vorgaben => Bedarf f. Schulung/Awareness => Optimierung v. Abläufen/Prozessen => unnötige Abläufe/Prozesse => bessere Arbeitsmittel erforderlich
Nenne Beispiele für eine Schlussfolgerung für das Gesamtsystem => Systematische Nichteinhaltung => Single Point of Failure (SPOF): Bestandteil eines technischen Systems, dessen Ausfall den Ausfall des gesamten Systems nach sich ziehen könnte => Lückenhaftes System mit Schwachstellen
Was ist in der gesamtheitlichen Auswertung anzuführen? => Zusammenfassende Beurteilung d. Vorgaben: Vorhandensein u. Qualität => Grad der Einhaltung d. Vorgaben => Wirkungsgrad d. Maßnahmen => Tatsächliche u. zukünftige Auswirkung auf das Erreichen der Sicherheitsziele => Empfehlungen zur Optimierung d. Vorgaben, Prozesse u. Maßnahmen
Im Audit-Bericht sollen nicht die Vorgaben und Systeme beschrieben werden - warum nicht? Da diese ohnehin schon bekannt sind und in Richtlinien, Prozessbeschr. etc. beschrieben wurden. Der Audit-Bericht dient zur Dokumentation erkannter Schwachstellen und als Checkliste für Verbesserungen.
Welche Struktur soll der Audit-Bericht immer aufweisen? 1) Anlass, Auditierte OE u. Auditor*in, Berichtsdatum u. Auditzeitraum, nicht auditierte Bereiche 2) Management Summary Wichtig: einheitliche Gliederung, kompakt, klar u. verständlich formuliert
Wozu dient ein Management-Review des ISMS? Die Managementebene muss mind. 1/Jahr feststellen, ob das ISMS zur Erreichung der Sicherheits- u. Organisationsziele geeignet u. wirksam ist.
Nenne die Ziele des Management-Reviews des ISMS 1) Erkennen, abschätzen, eliminieren von Fehlern u. Schwachstellen 2) Optimieren des ISP hinsichtlich Effizienz 3) Verbesserung Strategie, Sicherheitspolitik, -konzept, -maßnahmen, -vorgaben, u. Abläufen hinsichtl. Praxistauglichkeit u. Wirtschaftlichkeit 4) Optimierung Kompetenz u. Awareness d. MA 5) Aufwertung Unternehmenskultur
Welche Review-Methoden gibt es? 1) Review der Strategie und des Sicherheitskonzepts: zur kontinuierlichen Anpassung der Rahmenbindungen 2) Review der Sicherheitsmaßnahmen: zur Sicherstellung der Einhaltung von Maßnahmen bei sich laufend ändernden Rahmenbedingungen
Nenne relevante Aspekte beim Review der Strategie und des Sicherheitskonzepts a) Schnelllebigkeit in IT u. Technologien b) Änderungen von Gesetzen, Vorschriften, Normen c) Änderungen innerhalb der Organisation (zB. neue IT-Systeme) d) Wirtschaftlichkeit der Sicherheitsstrategie u. -maßnahmen e) Evaluierung von Rückmeldungen über Fehler u. Schwachstellen im ISMS
Nenne relevante Aspekte beim Review der Sicherheitsmaßnahmen a) Sinnhaftigkeit von Maßnahmen b) Ausreichend personelle, finanzielle u. zeitl. Ressourcen zur Umsetzung u. Einhaltung der Maßnahmen c) Akzeptanz seitens MA d) Analyse bei Nicht-Einhaltung der Maßnahmen
Welche Maßnahmen kann es aufgrund eines erfolgten ISMS-Management-Reviews geben? => Grundlegende Änderungen an der IT-Umgebung oder an Abläufen => Schulungs- u. Awarenessmaßnahmen, Motivationsförderung
Welche Aspekte des ISMS unterliegen dem KVP? => Sicherheitspolitik- u. Strategie => Sicherheitskonzept => Sicherheitsmaßnahmen => Abläufe u. Verfahren => Dokumentation => Wissensstand u. Awareness bei allen Beteiligten
Auf Basis welcher Grundlagen kann der KVP beim ISMS erfolgen? 1) Ergebnisse interner u. externer Audits, der Ergebnisse d. Management-Reviews 2) Output Beschwerde-Management 3) Vorschläge von Sicherheitsbeauftragten 4) Vorschläge von MA 5) Erfahrungen vergleichbarer Organisationen 6) Sicherheitswarnungen 7) Fachpublikationen, Tagungen, Gremien
Show full summary Hide full summary

Similar

Geometry Formulas
Selam H
Maths Quiz
Andrea Leyden
Databases
Dean Whittle
Lord of the Flies Quotes
sstead98
Data Structures & Algorithms
Reuben Caruana
Maths GCSE - What to revise!
sallen
An Inspector Calls: Sheila Birling
Rattan Bhorjee
GCSE AQA Biology 1 Nerves & Hormones
Lilac Potato
Geometry Vocabulary
patticlj
3.1 Keywords - Marketing
Mr_Lambert_Hungerhil
Genes, The Genetic Code, DNA and Chromosomes
Bee Brittain