Lernkartei IT-Security-Auditor (Seite 1 von 2)

Karten	41
Sprache	Deutsch
Kategorie	Informatik
Stufe	Andere
Erstellt / Aktualisiert	22.04.2025 / 02.05.2025
Weblink	https://card2brain.ch/box/20250422_itsecurityauditor
Einbinden	<iframe src="https://card2brain.ch/box/20250422_itsecurityauditor/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>

Wie können die BSI Maßnahmenkataloge nach ISO 27001 genutzt werden?

Die BSI Maßnahmen können als Inspirationsquelle genutzt werden .... usw.

Gar nicht, das sich BSI und 27011 in Punkten widersprechen

Der Auditor muss sich vor dem Audit entscheiden, ob er die BSI Maßnahmen als Referenz nutzt

Da die GS Kataloge kompatibel zur 27001 sind müssen alle Maßnahmen umgesetzt sein.

Auf welche Punkte müssen Sie bei einer Prüfung von Referenzdokumenten achten?

nur Formalia, wird in Stage 2 geprüft

es werden entweder Inhalte oder Fomalia geprüft, nächstes Audit umgekehrt

nur Inhalt, Formalia nicht Bestandteil des Audits

Auf den Inhalt sowie einige Formalia (Historie etc.)

Welche Methode zur Stichprobenentnahme ISO 19011

ISO 19011 Entscheidungsbasierte und statistische Stichprobenentnahme

XXXXX

Welche Methoden können Sie zum Sammeln von Infos während Stage 2 Audits nutzen?

1. Schritt Fragebögen werden verschickt Auditor entscheidet über Vorgehen

.... Penetrationstest....

Informationen sammeln, Interviews, Begehungen, Analysen, usw.

Methoden werden zufällig bestimmt, mit Würfel z.B.

Quali Auditor wo definiert?

xxxxx

PCI ?

ISO 19011

ISO 17021

Welches Normenwerk ist zwingend anzuwenden für Nachweis funktionierende Informationssichrheit

BSI 100-2 immer in Deutschland

Das normenwerk ist brachenspezifisch auszuwählen und es ist zu refernzieren

wichtig ist nicht das Normanwerk sondern das Prüf....

Normenwerke müssen grundsätzlich in Englisch vorliegen

Wie entwerfen Sie interne Auditziele und wonach orientieren

Auditziele ISO 19011 Kapitel 2

Auditziele von Wirtschaftsprüfer

Auditziele für die internen Audit aus GS Katalog

Auditziele entsprechen eine speziellen Ausprägung von .....

Während einer Begehung iternes Audit Mängel Gefahr Leib und Leben

sofortige Kommunikation und Einstellungsforderung, Eintrag trotzdem

freundlicher Tipp an Mitarbeiter

sie zeigen das Finding umd müssen es nicht weiter verfolgen

Welchen Einfluss hat das Ergebnis der Dokumentenprüfung Stage 1 auf

keinen Einfluss, beide Auditphasen müssen durchlaufen werden

nur wenn Stage 1 vor Ort, dann Einfluss usw.

Ergebnis entscheidet, ob Audit fortgeführt werden kan

Es hat keinen Einfluss, da usw. Zertifizierungsgesellschaft usw.

Fehlende Vorbereitung bei vor Ort Prüfung, was ist zu tun?

Ich führe die Prüfungsvorbereitung durch und hoffe, dass nichts auffällt

Ich verschiebe den Termin der Begehung und führe sie später durch

Gemäß IS 19011 werden Abweichungen

AS AS schwerwiegend, AG, Empfehlung

kurzfristige festzusetzende Abweichungen etc.

katastrophale Abweichungen

kritische, unkritische Abweichungen

Welche Bedeutung hat die Durchführung eines MM Reviews 27001

keine, Auditergebnisse werden ausschließlich dem Fachbereich etc. mitgeteilt

mit dem MM Review über die GF usw.

aus dem MM Review leiten sich neue Maßnahmen für die Folgeperiode ab.

Das MM Review hat keine Ergebnisse usw.

Welche beiden Phasen schreibt die 19011 für int und ext Audit vor

Es wird ... Phasenplan für MM Systeme beschrieben

Wird die Umgebung beschrieben, auf die es ankommt

Es werden 3 Auditphasen beschrieben Stage 1-3

Es handelt sich im die beiden Auditphasen Stage 1 und STage 2

Ih GF hat sie beauftragt ein internes Audit durchzuführen

Prozesse mit 27001 auditieren.

Nebenbei auch BDSG auch erfüllt?

beides ist laut GF das gleiche

Der GF will immer alles auf einmal usw. umfassende Prüfung usw.

Der GF fordert ein Design Audit ein usw.

Der GF fordert mehrere Audit Typen ein

Sie erläutern dem GF, dass unterschiedliche Ziele bei den Audits verfolgt werden. Separate Audits.

Wodurch wird die Rückkopplung in einem MM System in Bezug ISO 27001 etc. auf dessen wirksamkeit erreicht

Gar nicht, da Ergebniss Policy, die in Uternehmen verbreitet wird.

Feedback ausschließlich über GF

regelmäßig durchzuführenden externen und internen Reviews und GF erzeilt

regelmäßge 3 Jahre Audits

Währen eine unfamgreichen Auditierung mit mehreren Auditoren usw. verschiedene Auffassungen im Team.

Wie beheben?

Sie beraten sich umfassend mit den Kollegen und versuchen eine gemeinsame Auffassung zu finden

Alle zusammen und füren Gespräch alleine durch

eskalieren Uneinigkeit an Teamleiter und erwarten Lösung

Finding, welches durch Nachweis geklärt werden sollte.

Welche Typen von Feststellungen gibt es im Sinne von 19011 an der sich Zertifizierungstellen und BSI halten

Die Art und Weise sowie Typ wird von Auditor festgelegt

schwerwiegende Abweichungen, geringfüge Abweichungen und Empfehlungen

katastrophale Abweichungen etc.

nur Empfehlungen

Welche beiden Aditphasen existieren gemäß ISO 19011

Dokumentenprüfung Stage 1 und Verifizeirung Stage 2 positive Dokumentenprüfung ist Voraussetzung

Dokumentenprüfung und Technikprüfung

nur Praxisprüfung

nach der Überarbeitung der 19011 nur noch Stage 2

Was wird unter einem Audit gemäß ISO 19011 verstanden?

Ein Audit ist eine analytische Wissenschaftliche Überprüfung des Sachverhalts

Unterschung nach Konformität gegenüber anforderungen durch GF erlassen

dienen dem Nachweis der Konformität

dienen zum Nachweis in Sachen Steuer keine Schuld

Was ist kein verwertbarer Evidence?

Archivierte abgestimmte Meetingprotokolle

Eigendokumentierte Antworten auf die gestellten Fragen

Textreferenzen

Fotos

Für die Erstellung eines SOLL-Status zu einem Audit werden Sie von Beratern auf einen notwendigen Standard verwiesen, der in Ihrer Branche aber nicht unbedingt anwendbar ist. Was tun Sie?

Der Berater hat immer Recht und sie befolgen den Hinweis

Sie verlassen sich auf ihre Branche und machen das was alle anderen auch tun

Sie erstellen sich Ihren SOLL-Status aus sich für sie akzeptablen und anwendbaren Quellen mit Berücksichtigung der aktuellen Gesetzeslage.

Sie sind verunsichert und holen sich eine qualifizierte unabhängige zweite Meinung eines großen anerkannten Beratungshauses.

Welche beiden Auditphasen auditieren gemäß ISO 19011?

Die Auditphasen werden als Dokumentenpüfung (Stage-1) und Verifizerung vor Ort (Stage-2) bezeichnet. Dabei ist die positive.....

Es gibt die beiden Auditphasen Dokumentenprüfung und Techniknutzung. Dabei wird zunächst eine Technikprüfung vorgenommen um anschließend die Dokumente zu sichten.

Es gibt nur die Prax......

?

Gibt es einen Unterschied zwischen Audtor und Auditee?

Nein, es gibt keinen Unterschied. Die Begriffe werden synonym verwendet, je nachdem welcher Blickwinkel gemeint ist

Nein, es gibt keinen Unterschied, es sind die gleichen Begriffe nur für verschiedene Kontexte. Auditor wird im Bereich IT Sicherheit verwendet und Auditee im Bereich Informationssicherheit

Bei IT/int.-Sicherheitsaudits wird der Begriff Auditor verwendet und bei allen anderen Audit wie z.B. 9001 wird der Begriff Auditee verwendet

Ja, der Auditor ist der, der befragt, beobachtet und zuhört, der Auditee ist der Befragte bzw. das Audit Team des Unternehmens

Warum kann es eine schwierige Situation für das Audit sein, wenn der Leiter Revision auch gleichzeitig der Security Manager ist?

Das ist keine Schwierigkeit. Die beiden Disziplinen können sich in Methode und organisatorischer Einbindung wunderbar ergänzen

Die Schwierigkeit liegt in den inneren Risiken der Aufgabe selbst. Ein Revisionsleiter muss aus seiner Aufgabe die Risiken im Griff behalten und sich nicht noch weitere Risiken aufladen

Die Schwierigkeit liegt darin, dass der Security Manager ein direkter Erfüllungsgehilfe der Geschäftsführung zur Absicherung des Geschäfts ist und die revision ein Kontrollorgan der GF darstellt, wenn z.B. ein ISMS als internes Überwachungssystem eing....

Es gibt hier keine direkten Schwierigkeiten, indirekt gesehen könnte aufgrund der Fülle ein Zeitproblem entstehen.

Welche Typen von internen Audits sind für ein MM System von Bedeutung?

interne Audits haben für ein MM System keine Bedeutung, nur das externe Audit ist von Bedeutung

nur die Kombination von internen und externen Audits sind relevant für ein MM System

von Bedeutung sind die beiden Audittypen Dokumentenprüfung Stage 1 und Stage 2 Verifizierung vor Ort

Compliance Audit

Sie werden als Projektleiter in einem Audit Security Projekt eingesetzt, da Ihr Unternehmen klein und eine Trennung von Security Audit und Security Operationnicht so einfach möglich ist.

Der GF schickt sie nach Vollendung des Projekts in dieses Projekt zur Prüfung usw. Wie verhalten Sie sich nun?

Da das Unternehmen klein ist und die Anforderungen fest definiert sind kann eine checklistenartige Prüfung der Anforderungen durch sie als Auditor vorgenommen werden.

Da die Umsetzung der Anforderung beim Projektleiter liegt und deren Angemessenheit nachher durch den Auditor bestimmt werden soll, dürfen Sie diese Anforderung nicht prüfen, das sie sonst ihre eigene Arbeit prüfen

Seperation of Dutys ´verbietet zwar die Kombination von Umsetzung und Prüfung, jedoch können in Ausnahmefällen eine Abweichung hiervon getroffen werden usw.

Seperation of Duty ist keine wichtige Vorgabe in der Rollentrennung und darf umgangen werden

Ein Auditor soll eine Organisation prüfen.

Welcher Nachweis der Normen Konformität hat für den Auditor die größte Aussagekraft?

schriftliche unterschriebene Selbsterklärung der zu prüfenden Institution

Ein Konformitätsnachweis der zu prüfenden Organisation anhand eines Eigenzertifikates eines beliebigen Auditunternehmens

Das Prüfungsergebnis der Normen Konformität durch die eigene Vor Ort Prüfung ist für den Auditor der beste Konformitätsnachweis.

Ein Zertifikat als Konformitätsnachweis einer akriditierten Stelle

Welche Kapitel der Norm 27001 2013 müssen zwingend umgesetzt werden um ein funktionierendes ISMS nachzuweisen?

ISO 27001 2013 Clauses 4-10

27001 27003? Clauses 2-5

ISO 27001 2005 Clauses 5-9

Control Objectives Clauses 5-18

Welche Dokumente gehören zu den Referenzdokumenten, die sie nach ISO 27001 überprüfen?

Nur der Geltungsbereich des ISMS wird überprüft

Ergebnis der IT Strukturanalyse, Schutzbedarfsfeststellung Modelierung des Informationsverbundes und andere

Das kann man nicht allgemein sagen, da die Liste der Referenzdokumente in der ISMS Leitlinie festgelegt wird und somit variieren kann

Geltungsbereich des ISMS, ISMS Leitlinien, Dokumentation des Prozesses zur Risikoeinschätzung

Welche Prüfungen sind idealerweise bei einem Vorort Audit durch den Auditor durchzuführen?

Nur Rundgang zu Prüfung der physikalischen Sicherheit

Eine Prüfung der Dokumentenlage ist ausreichend, da sie dem Auditor einen guten Überblick über den Prüfstand gibt.

Ausschließlich durch Beobachtung der Mitarbeiter

Konformitätsprüfung gegen internationale Standards, Prüfung der Einhaltung von Richtlinien der Organisation, Prüfung der technisch Umsetzung dokumentierter Konfigurationsvorgaben

Welche Funktion hat die ISO 27002 bei einem Audit nach 27001?

Alle Maßnahmen der ISO 27001 und ISO 27002 werden bei einem Audit geprüft

Die Prüfung erfolgt auf Konformität auf die ISO 27001, die ISO 27002 enthält lediglich Empfehlungen zur Umsetzung der ISO 27001.

Da die ISO 27002 mehr Details enthält, sollte diese als Grundlage für ein Audit dienen

Der Auditor entscheidet aufgrund seiner Erfahrung ob er auf 27001 oder auf 27002 auditiert.

Wie überprüfen Sie, ob die Einschätzung der Risiken bei einem ISMS nach der ISO 27001 korrekt vorgenommen worden ist?

Die ISO 27001 legt keinen Standard zur Risikoanalyse fest, so dass sie die Konformität mit der jeweils genutzten Methode geprüft wird.

Es wird die Konformität mit der im Anhang der ISO 27001 angegeben Methode zur Risikoanalyse geprüft.

Die Einschätzung der Risiken wird bei einem ISMS Audit nicht geprüft

Was gehört nicht zu einem Audit?

Entwicklen der Auditziele

Planung der Prüfungshandlung

Gliederung des Abschlussberichts

Definition der Security Policy

Was heißt auditieren und wie soll die Redezeit zwischen Auditor und Auditee ca. verteilt sein?

60:40 Der Auditee sollte mehr Redezeit haben als der Auditor

Die Redezeit sollte gleich sein, sonst kann der Auditor seine Kompetenz nicht vermitteln

70:30 von Auditor zur Geschäftsführung

Die Redezeit soll von Auditor zu Auditee 70:30 betragen , in Extremfällen sogar 100:0.

Was könnte ein Problem bei einer vorbereiteten Checkliste zur Auditierung der ISO 27001 sein?

Eine Gruppe Befragter kann sich bei einer konkreten Frage nicht auf eine eindeutige Antwort einigen? das wird durch den Auditor als Feststellung dokumentiert.

Die Fragen, die über diese Checkliste hinaus gehen dürfen nicht gestellt werden.

Die Fragen in der Checkliste sind zu unkonkret, lassen somit einen erheblichen Interpretationsspielraum offen und sind somit nicht abschließend zu beantworten.

Sie führen ein Interview per Telko durch, hierbei ist es schwierig sich die Ergebnisse per Unterschrift direkt bestätigen zu lassen.

Sie lassen heimlich ein Tonband mitlaufen und zeichnen das Gespräch auf. So ist es den Befragten nicht möglich zu leugnen

Sie dokumentieren die Telefonkonferenz und fügen diese dann dem Ergebnisbericht zu

Sie vereinbaren eine Videokonferenz und zeichnen diese auf.

Sie protokollieren die Konferenz und stimmen das Protokoll im Nachgang mit den Befragten ab.

Gibt es Unterschiede zwischen einem Finding, einem Nachweis und einem Evidence?

Nein, es gibt keine Unterschiede, alles das Gleiche

Ja, ein Nachweis ist etwas, dass der Prüfbereich erbringen muss um zu verifizieren....

Ja, es gibt Unterschiede, ein Finding und ein Nachweis haben beide als Ergebnis ein Dokument, während der Evidence das Dokument selber ist.

Ein Nachweis ist ein nachhaltlich ordentlicher Beleg für eine Aussage des Prüfbereichs, Ein Finding ist ein Widerspruch Soll zu ist, Evidence ist der englische Begriff für Nachweis

In einem Audit nehmen sie in Interviews Antworten auf und arbeiten sie im Büro aus.

Der Tag der Ergebnispräsentation aus dem Audit kommt und sie präsentieren Zahlen und Zusammenhänge.

Der IT Leiter sagt, er hätte die Antworten so nicht gegeben, wie hätten Sie dieses Verhalten verhindern können?

IT-Leiter vorher zur Seite nehmen, und im Stillen Abrede treffen

Ergebnisse vorher IT-Leiter präsentieren

Antworten durch IT-Leiter unterschrieben lassen sollen und dann nochmals mit ihm die Zwischenergebnisse abgestimmt.

Das Verhalten des IT-Leiters zeigt, dass er etwas zu verstecken hat, daher sind die Ergebnisse richtig und sie fahren fort.

Bei einer von Ihnen entwickelten Checkliste mit den Antwortmöglichkeiten JA/NEIN/Teilweise/Weiß Nicht, vermittelt Ihnen eine von Ihnen interviewte Prfüfgruppe (4 Personen), dass sie sich uneins ist über die gemeinsame Antwort.

Nach nochmaligen Befragen wird usw......

Bestes Vorgehen Auditor?

Bereits die Uneinigkeit ist ein übergeordnetes Finding und sollte durch das direkte Einfordern eines Belegs der Besprechung in eine Richtung getrieben werden um so eine Antwort zu finden.

Der Prüfer erweitert einfach den Prüfkatalog um die Antwort "uneins"

Der Prüfer versucht mit guten Argumenten usw. eine Einigung herbeizuführen

Der Prüfer belässt es bei dieser Aussage und macht weiter in den nachfolgenden Prüfeinheiten.

Das MM Review in einem MM System z.B. 9001 oder 27001 hat für das interne Audit folgende Bedeutung:

Es hat keine Bedeutung für den externen Auditor weil nur externe Audits sind von Belang

Das MM Review ist der adäquate Berichtsweg für ein Managementsystem z.B. ISMS

Weder das interne noch das externe Audit haben für das MM Review eine Bedeutung, nur die Vorstand bzw. Geschäftsführungsvorlage hat eine Bedeutung.

interne Audits und das MM Review eines MM Systems sind unabhängig voneinander zu sehen

IT-Security-Auditor

Lernkarteien erstellen oder kopieren

Lernkarteien erstellen oder kopieren

Melde dich an, um alle Karten zu sehen.

SWITCHaai

Office 365

Edulog

Apple ID

Google