Test zu Lektion 7
Wenn Sie möchten, können Sie mit den nachfolgenden Fragen Ihre Kenntnisse zur Risikoanalyse gemäß BSI-Standard 200-3 überprüfen. Die Auflösungen zu den Fragen finden Sie auf der nächsten Seite. Es können mehrere Antwortmöglichkeiten zutreffend sein.
Frage 1:
Wer trägt die Verantwortung für die bei einer Risikoanalyse getroffenen Entscheidungen zu einem IT-System?
- der Administrator des IT-Systems
- die Leitung der Institution
- der Informationssicherheitsbeauftragte
- das IS-Management-Team
Frage 2:
Welche Gefährdungen werden bei der Erstellung der Gefährdungsübersicht im ersten Schritt betrachtet?
- die im Anhang von BSI-Standard 200-3 enthaltenen Risikokataloge
- die relevanten elementaren Gefährdungen aus dem IT-Grundschutz-Kompendium
- die im Anhang der Norm ISO 27005 angeführten Gefährdungen
- die in den Abschnitten zur Gefährdungslage eines Bausteins angeführten spezifischen Gefährdungen
Frage 3:
Was bewerten Sie bei der Risikoeinschätzung?
- die Häufigkeit des Eintretens einer Gefährdung
- das mit einer Gefährdung verbundene Schadensausmaß
- welche Schutzziele von einer Gefährdung betroffen sind
- die Wirksamkeit der geplanten und umgesetzten Maßnahmen gegen eine Gefährdung
Frage 4:
Wodurch verlagern Sie ein Risiko?
- durch den Abschluss einer Versicherung
- durch Outsourcing des risikobehafteten Geschäftsprozesses an einen externen Dienstleister
- durch Umstrukturierung des risikobehafteten Geschäftsprozesses
- durch die Entscheidung, risikomindernde Maßnahmen erst dann umzusetzen, wenn die hierzu erforderlichen Finanzmittel bereitstehen
Frage 5:
Aus welchen Gründen kann es gerechtfertigt sein, auch ein hohes Risiko zu akzeptieren?
- Der Aufwand für mögliche Schutzmaßnahmen ist unangemessen hoch.
- Vergleichbare Institutionen akzeptieren das Risiko ebenfalls.
- Es gibt keine wirksamen Schutzmaßnahmen gegen das Risiko.
- Es ist bislang noch zu keinem nennenswerten Sicherheitsvorfall aufgrund der dem Risiko zugrunde liegenden Gefährdung gekommen.
Frage 6:
Wann ist die Risikoakzeptanz grundsätzlich unzulässig?
- bei der Nichterfüllung von Basis-Anforderungen
- beim Vorhandensein von elementaren Gefährdungen
- bei sehr hohem Schutzbedarf
- bei Nichterfüllung von Standard-Anforderungen
- Kurz-URL:
- https://www.bsi.bund.de/dok/10990728