Block 3 - IT Security Management I - Teil 2-Karteikarten | Quizlet

Wozu dient die Risikoanalyse?

Bei der Risikoanalyse geht es darum, die Wahrscheinlichkeit des Eintretens einer bestimmten Gefahr und die Folgen der Ereignisse zu ermitteln.

Was ist das Ziel der Risikoanalyse?

Analyse der Risiken nach ihrer Wahrscheinlichkeit und ihren Folgen.

Wofür steht "FMEA"?

Failure Modes and Effects Analysis

Was ist das Ziel der Risikobewertung?

Ordnung und Priorisierung der identifizierten und analysierten Risiken nach ihrer Risikostufe.

Auf welche 4 Wege kann man mit Risiken umgehen?

- Vermeiden

- Mildern

- Überwälzen

- Akzeptieren

Wie wird die Risikobelastung berechnet?

Risk Exposure = Likelihood x Impact

Risikoappetit Definition

Die Höhe des Risikos, das eine Organisation bereit ist zu akzeptieren, wenn sie versucht, ihre Ziele zu erreichen. Jede Organisation legt ihre eigene Risikobereitschaft fest

Was ist das Ziel von Risikobehandlung?

Die Auswirkungen oder die Wahrscheinlichkeit des Risikos zu verringern, um das Gesamtrisiko eines bestimmten Risikos auf ein akzeptables Risikoniveau zu senken.

Was ist ein Risikobehandlungsplan?

Ein Aktionsplan für die Kontrollen, die zur Verringerung oder Aufrechterhaltung der Risiken durchgeführt werden sollen.

Welche Informationen sollte ein Risikobehandlungsplan beinhalten?

- Zusammenfassungen der einzelnen Risiken

- Welche Kontrollen oder anderen Aktivitäten implemetiert werden

- Wer ist für die Umsetzung verantwortlich?

- Wann sind die Fristen für die Risikobehandlungsaktivitäten?

- Welche personellen und finanziellen Ressourcen sind für die Umsetzung erforderlich?

- Wie wird beurteilt, ob die Umsetzung erfolgreich war?

Was ist der Annex A von ISO27001?

Es handelt sich um einen Katalog von Kontrollzielen und Kontrollen für die Informationssicherheit, die bei der Implementierung von ISO 27001 berücksichtigt werden müssen.

Nenne die 4 Kontrollkategorien der Risikobehandlung

- Organisatorische Kontrollen

- Personenkontrollen

- Physische Kontrollen

- Technologische Kontrollen

Was passiert bei der Kategorie "Organisatorische Kontrollen" der Risikobehandlung?

Organisatorische Kontrollen konzentrieren sich auf die Einrichtung und Aufrechterhaltung eines wirksamen ISMS. Sie umfassen Aspekte wie Risikobewertung, Entwicklung von Richtlinien und Governance.

Was passiert bei der Kategorie "Personenkontrollen" der Risikobehandlung?

Personenkontrollen befassen sich mit den menschlichen Faktoren der Informationssicherheit. Sie umfassen Bereiche wie Schulung, Sensibilisierung und Personalsicherheit. Es muss sichergestellt werden, dass die Mitarbeiter die Sicherheitsrichtlinien und -praktiken verstehen.

Was passiert bei der Kategorie "Physische Kontrollen" der Risikobehandlung?

Physische Kontrollen beziehen sich auf den Schutz von physischen Vermögenswerten, Einrichtungen und Infrastruktur. Zu den Maßnahmen gehören Zugangskontrollen, Überwachung und Schutz vor Umweltbedrohungen.

Was passiert bei der Kategorie "Technologische Kontrollen" der Risikobehandlung?

Technologische Kontrollen befassen sich mit der Sicherung von IT-Systemen, Netzwerken und Anwendungen. Beispiele hierfür sind Verschlüsselung, Zugangskontrollen und Verfahren zur Reaktion auf Vorfälle.

Welche 2 Komponenten hat das Ergebnis der Risikobehandlungsphase?

- Risikobehandlungsplan

- Erklärung zur Anwendbarkeit

Wofür steht "SoA"?

Statement of Applicability

Wofür ist SoA?

Das SoA gibt an, welche Kontrollen und Richtlinien von der

Organisation angewendet werden. Es wird mit den in Anhang A der ISO-Norm 27001 festgelegten Kontrollen verglichen. Es ist eine Grundvoraussetzung für die ISO-Zertifizierung des ISMS.

Was zeigt SoA im Zusammenhand vom Annex A (ISO/IEC27000)?

- Anwendbar und umgesetzt

- Anwendbar, aber nicht implementiert

- nicht anwendbar

Was umfasst die Risikoüberwachung?

Die kontinuierliche Überwachung, Bewertung und Überprüfung von Risiken, um wirksame Strategien zur Risikominderung zu gewährleisten.

Welche Schlüsselziele gibt es bei der Risikoüberwachung?

- Erkennen von Veränderungen: Erkennen von Veränderungen in der Risikolandschaft, einschließlich neuer Bedrohungen oder Schwachstellen.

- Auswirkungen bewerten: Bewerten Sie die potenziellen Auswirkungen von Risiken auf die Ziele und Vermögenswerte der Organisation.

- Kontrollen verfolgen: Überwachen Sie die Wirksamkeit der implementierten Kontrollen bei der Reduzierung oder Abschwächung von Risiken.

- Strategien anpassen: Anpassung der Risikomanagement-Strategien auf der Grundlage der sich entwickelnden Bedrohungen, Schwachstellen und Geschäftsanforderungen.

Welche Komponenten umfasst Risikoüberwachung?

- Regelmäßige Beurteilungen: Führen Sie regelmäßige Risikobewertungen durch, um Risiken auf der Grundlage der Wahrscheinlichkeit und der Auswirkungen zu identifizieren und zu priorisieren.

- Verfolgung von Vorfällen: Verfolgen Sie Sicherheitsvorfälle und Sicherheitsverletzungen, um neue Risiken und Schwachstellen zu erkennen.

- Leistungsmetriken: Definieren und verfolgen Sie wichtige Leistungsindikatoren (KPIs), um die Effektivität der Risikomanagementmaßnahmen zu messen.

- Überwachung der Einhaltung: Überwachen Sie die Einhaltung von Sicherheitsrichtlinien, Verfahren und gesetzlichen Vorschriften, um rechtliche und Compliance-Risiken zu minimieren.