Cartes mémoires IT-Security-Auditor

Cartes-fiches	41
Langue	Deutsch
Catégorie	Informatique
Niveau	Autres
Crée / Actualisé	22.04.2025 / 02.05.2025
Lien de web	https://card2brain.ch/box/20250422_itsecurityauditor
Intégrer	<iframe src="https://card2brain.ch/box/20250422_itsecurityauditor/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>

Ein Auditor soll eine Organisation prüfen.

Welcher Nachweis der Normen Konformität hat für den Auditor die größte Aussagekraft?

schriftliche unterschriebene Selbsterklärung der zu prüfenden Institution

Ein Konformitätsnachweis der zu prüfenden Organisation anhand eines Eigenzertifikates eines beliebigen Auditunternehmens

Das Prüfungsergebnis der Normen Konformität durch die eigene Vor Ort Prüfung ist für den Auditor der beste Konformitätsnachweis.

Ein Zertifikat als Konformitätsnachweis einer akriditierten Stelle

schriftliche unterschriebene Selbsterklärung der zu prüfenden Institution

Ein Konformitätsnachweis der zu prüfenden Organisation anhand eines Eigenzertifikates eines beliebigen Auditunternehmens

Das Prüfungsergebnis der Normen Konformität durch die eigene Vor Ort Prüfung ist für den Auditor der beste Konformitätsnachweis.

Ein Zertifikat als Konformitätsnachweis einer akriditierten Stelle

Welche Kapitel der Norm 27001 2013 müssen zwingend umgesetzt werden um ein funktionierendes ISMS nachzuweisen?

ISO 27001 2013 Clauses 4-10

27001 27003? Clauses 2-5

ISO 27001 2005 Clauses 5-9

Control Objectives Clauses 5-18

ISO 27001 2013 Clauses 4-10

27001 27003? Clauses 2-5

ISO 27001 2005 Clauses 5-9

Control Objectives Clauses 5-18

Welche Dokumente gehören zu den Referenzdokumenten, die sie nach ISO 27001 überprüfen?

Nur der Geltungsbereich des ISMS wird überprüft

Ergebnis der IT Strukturanalyse, Schutzbedarfsfeststellung Modelierung des Informationsverbundes und andere

Das kann man nicht allgemein sagen, da die Liste der Referenzdokumente in der ISMS Leitlinie festgelegt wird und somit variieren kann

Geltungsbereich des ISMS, ISMS Leitlinien, Dokumentation des Prozesses zur Risikoeinschätzung

Nur der Geltungsbereich des ISMS wird überprüft

Ergebnis der IT Strukturanalyse, Schutzbedarfsfeststellung Modelierung des Informationsverbundes und andere

Das kann man nicht allgemein sagen, da die Liste der Referenzdokumente in der ISMS Leitlinie festgelegt wird und somit variieren kann

Geltungsbereich des ISMS, ISMS Leitlinien, Dokumentation des Prozesses zur Risikoeinschätzung

Welche Prüfungen sind idealerweise bei einem Vorort Audit durch den Auditor durchzuführen?

Nur Rundgang zu Prüfung der physikalischen Sicherheit

Eine Prüfung der Dokumentenlage ist ausreichend, da sie dem Auditor einen guten Überblick über den Prüfstand gibt.

Ausschließlich durch Beobachtung der Mitarbeiter

Konformitätsprüfung gegen internationale Standards, Prüfung der Einhaltung von Richtlinien der Organisation, Prüfung der technisch Umsetzung dokumentierter Konfigurationsvorgaben

Nur Rundgang zu Prüfung der physikalischen Sicherheit

Eine Prüfung der Dokumentenlage ist ausreichend, da sie dem Auditor einen guten Überblick über den Prüfstand gibt.

Ausschließlich durch Beobachtung der Mitarbeiter

Konformitätsprüfung gegen internationale Standards, Prüfung der Einhaltung von Richtlinien der Organisation, Prüfung der technisch Umsetzung dokumentierter Konfigurationsvorgaben

Welche Funktion hat die ISO 27002 bei einem Audit nach 27001?

Alle Maßnahmen der ISO 27001 und ISO 27002 werden bei einem Audit geprüft

Die Prüfung erfolgt auf Konformität auf die ISO 27001, die ISO 27002 enthält lediglich Empfehlungen zur Umsetzung der ISO 27001.

Da die ISO 27002 mehr Details enthält, sollte diese als Grundlage für ein Audit dienen

Der Auditor entscheidet aufgrund seiner Erfahrung ob er auf 27001 oder auf 27002 auditiert.

Alle Maßnahmen der ISO 27001 und ISO 27002 werden bei einem Audit geprüft

Die Prüfung erfolgt auf Konformität auf die ISO 27001, die ISO 27002 enthält lediglich Empfehlungen zur Umsetzung der ISO 27001.

Da die ISO 27002 mehr Details enthält, sollte diese als Grundlage für ein Audit dienen

Der Auditor entscheidet aufgrund seiner Erfahrung ob er auf 27001 oder auf 27002 auditiert.

Wie überprüfen Sie, ob die Einschätzung der Risiken bei einem ISMS nach der ISO 27001 korrekt vorgenommen worden ist?

Die ISO 27001 legt keinen Standard zur Risikoanalyse fest, so dass sie die Konformität mit der jeweils genutzten Methode geprüft wird.

Es wird die Konformität mit der im Anhang der ISO 27001 angegeben Methode zur Risikoanalyse geprüft.

Die Einschätzung der Risiken wird bei einem ISMS Audit nicht geprüft

Die ISO 27001 legt keinen Standard zur Risikoanalyse fest, so dass sie die Konformität mit der jeweils genutzten Methode geprüft wird.

Es wird die Konformität mit der im Anhang der ISO 27001 angegeben Methode zur Risikoanalyse geprüft.

Die Einschätzung der Risiken wird bei einem ISMS Audit nicht geprüft

Was gehört nicht zu einem Audit?

Entwicklen der Auditziele

Planung der Prüfungshandlung

Gliederung des Abschlussberichts

Definition der Security Policy

Entwicklen der Auditziele

Planung der Prüfungshandlung

Gliederung des Abschlussberichts

Definition der Security Policy

Was heißt auditieren und wie soll die Redezeit zwischen Auditor und Auditee ca. verteilt sein?

60:40 Der Auditee sollte mehr Redezeit haben als der Auditor

Die Redezeit sollte gleich sein, sonst kann der Auditor seine Kompetenz nicht vermitteln

70:30 von Auditor zur Geschäftsführung

Die Redezeit soll von Auditor zu Auditee 70:30 betragen , in Extremfällen sogar 100:0.

60:40 Der Auditee sollte mehr Redezeit haben als der Auditor

Die Redezeit sollte gleich sein, sonst kann der Auditor seine Kompetenz nicht vermitteln

70:30 von Auditor zur Geschäftsführung

Die Redezeit soll von Auditor zu Auditee 70:30 betragen , in Extremfällen sogar 100:0.

Was könnte ein Problem bei einer vorbereiteten Checkliste zur Auditierung der ISO 27001 sein?

Eine Gruppe Befragter kann sich bei einer konkreten Frage nicht auf eine eindeutige Antwort einigen? das wird durch den Auditor als Feststellung dokumentiert.

Die Fragen, die über diese Checkliste hinaus gehen dürfen nicht gestellt werden.

Die Fragen in der Checkliste sind zu unkonkret, lassen somit einen erheblichen Interpretationsspielraum offen und sind somit nicht abschließend zu beantworten.

Eine Gruppe Befragter kann sich bei einer konkreten Frage nicht auf eine eindeutige Antwort einigen? das wird durch den Auditor als Feststellung dokumentiert.

Die Fragen, die über diese Checkliste hinaus gehen dürfen nicht gestellt werden.

Die Fragen in der Checkliste sind zu unkonkret, lassen somit einen erheblichen Interpretationsspielraum offen und sind somit nicht abschließend zu beantworten.

Sie führen ein Interview per Telko durch, hierbei ist es schwierig sich die Ergebnisse per Unterschrift direkt bestätigen zu lassen.

Sie lassen heimlich ein Tonband mitlaufen und zeichnen das Gespräch auf. So ist es den Befragten nicht möglich zu leugnen

Sie dokumentieren die Telefonkonferenz und fügen diese dann dem Ergebnisbericht zu

Sie vereinbaren eine Videokonferenz und zeichnen diese auf.

Sie protokollieren die Konferenz und stimmen das Protokoll im Nachgang mit den Befragten ab.

Sie lassen heimlich ein Tonband mitlaufen und zeichnen das Gespräch auf. So ist es den Befragten nicht möglich zu leugnen

Sie dokumentieren die Telefonkonferenz und fügen diese dann dem Ergebnisbericht zu

Sie vereinbaren eine Videokonferenz und zeichnen diese auf.

Sie protokollieren die Konferenz und stimmen das Protokoll im Nachgang mit den Befragten ab.

Gibt es Unterschiede zwischen einem Finding, einem Nachweis und einem Evidence?

Nein, es gibt keine Unterschiede, alles das Gleiche

Ja, ein Nachweis ist etwas, dass der Prüfbereich erbringen muss um zu verifizieren....

Ja, es gibt Unterschiede, ein Finding und ein Nachweis haben beide als Ergebnis ein Dokument, während der Evidence das Dokument selber ist.

Ein Nachweis ist ein nachhaltlich ordentlicher Beleg für eine Aussage des Prüfbereichs, Ein Finding ist ein Widerspruch Soll zu ist, Evidence ist der englische Begriff für Nachweis

Nein, es gibt keine Unterschiede, alles das Gleiche

Ja, ein Nachweis ist etwas, dass der Prüfbereich erbringen muss um zu verifizieren....

Ja, es gibt Unterschiede, ein Finding und ein Nachweis haben beide als Ergebnis ein Dokument, während der Evidence das Dokument selber ist.

Ein Nachweis ist ein nachhaltlich ordentlicher Beleg für eine Aussage des Prüfbereichs, Ein Finding ist ein Widerspruch Soll zu ist, Evidence ist der englische Begriff für Nachweis

In einem Audit nehmen sie in Interviews Antworten auf und arbeiten sie im Büro aus.

Der Tag der Ergebnispräsentation aus dem Audit kommt und sie präsentieren Zahlen und Zusammenhänge.

Der IT Leiter sagt, er hätte die Antworten so nicht gegeben, wie hätten Sie dieses Verhalten verhindern können?

IT-Leiter vorher zur Seite nehmen, und im Stillen Abrede treffen

Ergebnisse vorher IT-Leiter präsentieren

Antworten durch IT-Leiter unterschrieben lassen sollen und dann nochmals mit ihm die Zwischenergebnisse abgestimmt.

Das Verhalten des IT-Leiters zeigt, dass er etwas zu verstecken hat, daher sind die Ergebnisse richtig und sie fahren fort.

IT-Leiter vorher zur Seite nehmen, und im Stillen Abrede treffen

Ergebnisse vorher IT-Leiter präsentieren

Antworten durch IT-Leiter unterschrieben lassen sollen und dann nochmals mit ihm die Zwischenergebnisse abgestimmt.

Das Verhalten des IT-Leiters zeigt, dass er etwas zu verstecken hat, daher sind die Ergebnisse richtig und sie fahren fort.

Bei einer von Ihnen entwickelten Checkliste mit den Antwortmöglichkeiten JA/NEIN/Teilweise/Weiß Nicht, vermittelt Ihnen eine von Ihnen interviewte Prfüfgruppe (4 Personen), dass sie sich uneins ist über die gemeinsame Antwort.

Nach nochmaligen Befragen wird usw......

Bestes Vorgehen Auditor?

Bereits die Uneinigkeit ist ein übergeordnetes Finding und sollte durch das direkte Einfordern eines Belegs der Besprechung in eine Richtung getrieben werden um so eine Antwort zu finden.

Der Prüfer erweitert einfach den Prüfkatalog um die Antwort "uneins"

Der Prüfer versucht mit guten Argumenten usw. eine Einigung herbeizuführen

Der Prüfer belässt es bei dieser Aussage und macht weiter in den nachfolgenden Prüfeinheiten.

Bereits die Uneinigkeit ist ein übergeordnetes Finding und sollte durch das direkte Einfordern eines Belegs der Besprechung in eine Richtung getrieben werden um so eine Antwort zu finden.

Der Prüfer erweitert einfach den Prüfkatalog um die Antwort "uneins"

Der Prüfer versucht mit guten Argumenten usw. eine Einigung herbeizuführen

Der Prüfer belässt es bei dieser Aussage und macht weiter in den nachfolgenden Prüfeinheiten.

Das MM Review in einem MM System z.B. 9001 oder 27001 hat für das interne Audit folgende Bedeutung:

Es hat keine Bedeutung für den externen Auditor weil nur externe Audits sind von Belang

Das MM Review ist der adäquate Berichtsweg für ein Managementsystem z.B. ISMS

Weder das interne noch das externe Audit haben für das MM Review eine Bedeutung, nur die Vorstand bzw. Geschäftsführungsvorlage hat eine Bedeutung.

interne Audits und das MM Review eines MM Systems sind unabhängig voneinander zu sehen

Es hat keine Bedeutung für den externen Auditor weil nur externe Audits sind von Belang

Das MM Review ist der adäquate Berichtsweg für ein Managementsystem z.B. ISMS

Weder das interne noch das externe Audit haben für das MM Review eine Bedeutung, nur die Vorstand bzw. Geschäftsführungsvorlage hat eine Bedeutung.

interne Audits und das MM Review eines MM Systems sind unabhängig voneinander zu sehen

In welchem Teil des PDCA Zyklus ist das Audit verankert?

Plan

Act

Check

Do

Plan

Act

Check

Do

Wie können die BSI Maßnahmenkataloge nach ISO 27001 genutzt werden?

Die BSI Maßnahmen können als Inspirationsquelle genutzt werden .... usw.

Gar nicht, das sich BSI und 27011 in Punkten widersprechen

Der Auditor muss sich vor dem Audit entscheiden, ob er die BSI Maßnahmen als Referenz nutzt

Da die GS Kataloge kompatibel zur 27001 sind müssen alle Maßnahmen umgesetzt sein.

Commandes clavier:

= tourner,

= avant/arrière,

= faire défiler

Die BSI Maßnahmen können als Inspirationsquelle genutzt werden .... usw.

Gar nicht, das sich BSI und 27011 in Punkten widersprechen

Der Auditor muss sich vor dem Audit entscheiden, ob er die BSI Maßnahmen als Referenz nutzt

Da die GS Kataloge kompatibel zur 27001 sind müssen alle Maßnahmen umgesetzt sein.

Auf welche Punkte müssen Sie bei einer Prüfung von Referenzdokumenten achten?

nur Formalia, wird in Stage 2 geprüft

es werden entweder Inhalte oder Fomalia geprüft, nächstes Audit umgekehrt

nur Inhalt, Formalia nicht Bestandteil des Audits

Auf den Inhalt sowie einige Formalia (Historie etc.)

Commandes clavier:

= tourner,

= avant/arrière,

= faire défiler

nur Formalia, wird in Stage 2 geprüft

es werden entweder Inhalte oder Fomalia geprüft, nächstes Audit umgekehrt

nur Inhalt, Formalia nicht Bestandteil des Audits

Auf den Inhalt sowie einige Formalia (Historie etc.)

Welche Methode zur Stichprobenentnahme ISO 19011

ISO 19011 Entscheidungsbasierte und statistische Stichprobenentnahme

XXXXX

Commandes clavier:

= tourner,

= avant/arrière,

= faire défiler

ISO 19011 Entscheidungsbasierte und statistische Stichprobenentnahme

XXXXX

Welche Methoden können Sie zum Sammeln von Infos während Stage 2 Audits nutzen?

1. Schritt Fragebögen werden verschickt Auditor entscheidet über Vorgehen

.... Penetrationstest....

Informationen sammeln, Interviews, Begehungen, Analysen, usw.

Methoden werden zufällig bestimmt, mit Würfel z.B.

Commandes clavier:

= tourner,

= avant/arrière,

= faire défiler

1. Schritt Fragebögen werden verschickt Auditor entscheidet über Vorgehen

.... Penetrationstest....

Informationen sammeln, Interviews, Begehungen, Analysen, usw.

Methoden werden zufällig bestimmt, mit Würfel z.B.

Quali Auditor wo definiert?

xxxxx

PCI ?

ISO 19011

ISO 17021

Commandes clavier:

= tourner,

= avant/arrière,

= faire défiler

xxxxx

PCI ?

ISO 19011

ISO 17021

Welches Normenwerk ist zwingend anzuwenden für Nachweis funktionierende Informationssichrheit

BSI 100-2 immer in Deutschland

Das normenwerk ist brachenspezifisch auszuwählen und es ist zu refernzieren

wichtig ist nicht das Normanwerk sondern das Prüf....

Normenwerke müssen grundsätzlich in Englisch vorliegen

Commandes clavier:

= tourner,

= avant/arrière,

= faire défiler

BSI 100-2 immer in Deutschland

Das normenwerk ist brachenspezifisch auszuwählen und es ist zu refernzieren

wichtig ist nicht das Normanwerk sondern das Prüf....

Normenwerke müssen grundsätzlich in Englisch vorliegen

Wie entwerfen Sie interne Auditziele und wonach orientieren

Auditziele ISO 19011 Kapitel 2

Auditziele von Wirtschaftsprüfer

Auditziele für die internen Audit aus GS Katalog

Auditziele entsprechen eine speziellen Ausprägung von .....

Commandes clavier:

= tourner,

= avant/arrière,

= faire défiler

Auditziele ISO 19011 Kapitel 2

Auditziele von Wirtschaftsprüfer

Auditziele für die internen Audit aus GS Katalog

Auditziele entsprechen eine speziellen Ausprägung von .....

Während einer Begehung iternes Audit Mängel Gefahr Leib und Leben

sofortige Kommunikation und Einstellungsforderung, Eintrag trotzdem

freundlicher Tipp an Mitarbeiter

sie zeigen das Finding umd müssen es nicht weiter verfolgen

Commandes clavier:

= tourner,

= avant/arrière,

= faire défiler

sofortige Kommunikation und Einstellungsforderung, Eintrag trotzdem

freundlicher Tipp an Mitarbeiter

sie zeigen das Finding umd müssen es nicht weiter verfolgen

Welchen Einfluss hat das Ergebnis der Dokumentenprüfung Stage 1 auf

keinen Einfluss, beide Auditphasen müssen durchlaufen werden

nur wenn Stage 1 vor Ort, dann Einfluss usw.

Ergebnis entscheidet, ob Audit fortgeführt werden kan

Es hat keinen Einfluss, da usw. Zertifizierungsgesellschaft usw.

Commandes clavier:

= tourner,

= avant/arrière,

= faire défiler

keinen Einfluss, beide Auditphasen müssen durchlaufen werden

nur wenn Stage 1 vor Ort, dann Einfluss usw.

Ergebnis entscheidet, ob Audit fortgeführt werden kan

Es hat keinen Einfluss, da usw. Zertifizierungsgesellschaft usw.

Fehlende Vorbereitung bei vor Ort Prüfung, was ist zu tun?

Ich führe die Prüfungsvorbereitung durch und hoffe, dass nichts auffällt

Ich verschiebe den Termin der Begehung und führe sie später durch

Commandes clavier:

= tourner,

= avant/arrière,

= faire défiler

Ich führe die Prüfungsvorbereitung durch und hoffe, dass nichts auffällt

Ich verschiebe den Termin der Begehung und führe sie später durch

Gemäß IS 19011 werden Abweichungen

AS AS schwerwiegend, AG, Empfehlung

kurzfristige festzusetzende Abweichungen etc.

katastrophale Abweichungen

kritische, unkritische Abweichungen

AS AS schwerwiegend, AG, Empfehlung

kurzfristige festzusetzende Abweichungen etc.

katastrophale Abweichungen

kritische, unkritische Abweichungen

Welche Bedeutung hat die Durchführung eines MM Reviews 27001

keine, Auditergebnisse werden ausschließlich dem Fachbereich etc. mitgeteilt

mit dem MM Review über die GF usw.

aus dem MM Review leiten sich neue Maßnahmen für die Folgeperiode ab.

Das MM Review hat keine Ergebnisse usw.

keine, Auditergebnisse werden ausschließlich dem Fachbereich etc. mitgeteilt

mit dem MM Review über die GF usw.

aus dem MM Review leiten sich neue Maßnahmen für die Folgeperiode ab.

Das MM Review hat keine Ergebnisse usw.

Welche beiden Phasen schreibt die 19011 für int und ext Audit vor

Es wird ... Phasenplan für MM Systeme beschrieben

Wird die Umgebung beschrieben, auf die es ankommt

Es werden 3 Auditphasen beschrieben Stage 1-3

Es handelt sich im die beiden Auditphasen Stage 1 und STage 2

Es wird ... Phasenplan für MM Systeme beschrieben

Wird die Umgebung beschrieben, auf die es ankommt

Es werden 3 Auditphasen beschrieben Stage 1-3

Es handelt sich im die beiden Auditphasen Stage 1 und STage 2

Ih GF hat sie beauftragt ein internes Audit durchzuführen

Prozesse mit 27001 auditieren.

Nebenbei auch BDSG auch erfüllt?

beides ist laut GF das gleiche

Der GF will immer alles auf einmal usw. umfassende Prüfung usw.

Der GF fordert ein Design Audit ein usw.

Der GF fordert mehrere Audit Typen ein

Sie erläutern dem GF, dass unterschiedliche Ziele bei den Audits verfolgt werden. Separate Audits.

Der GF will immer alles auf einmal usw. umfassende Prüfung usw.

Der GF fordert ein Design Audit ein usw.

Der GF fordert mehrere Audit Typen ein

Sie erläutern dem GF, dass unterschiedliche Ziele bei den Audits verfolgt werden. Separate Audits.

Wodurch wird die Rückkopplung in einem MM System in Bezug ISO 27001 etc. auf dessen wirksamkeit erreicht

Gar nicht, da Ergebniss Policy, die in Uternehmen verbreitet wird.

Feedback ausschließlich über GF

regelmäßig durchzuführenden externen und internen Reviews und GF erzeilt

regelmäßge 3 Jahre Audits

Gar nicht, da Ergebniss Policy, die in Uternehmen verbreitet wird.

Feedback ausschließlich über GF

regelmäßig durchzuführenden externen und internen Reviews und GF erzeilt

regelmäßge 3 Jahre Audits

IT-Security-Auditor

Créer ou copier des fichiers d'apprentissage

Créer ou copier des fichiers d'apprentissage

Connecte-toi pour voir toutes les cartes.

SWITCHaai

Office 365

Edulog

Apple ID

Google