Frage_index|Lektion|Frage|Ground_truth
1|2|Welches Modell liegt dem in BSI-Standard 200-1 beschriebenen Sicherheitsprozess zugrunde?|ein Zyklus aus den Schritten Plan, Do, Check und Act,ein auf stetige Verbesserung angelegtes Modell
2|2|Was sollte eine Leitlinie zur Informationssicherheit enthalten?|Aussagen zur Bedeutung der Informationssicherheit für die betroffene Institution,grundlegende Regelungen zur Organisation der Informationssicherheit
3|2|Welche Aufgaben haben üblicherweise Informationssicherheitsbeauftragte?|die Entwicklung von Sicherheitskonzepten zu koordinieren,der Leitungsebene über den Stand der Informationssicherheit zu berichten
4|2|Wie setzt sich ein IS-Management-Team geeignet zusammen?|Die Geschäftsleitung setzt das Team aus Verantwortlichen für bestimmte IT-Systeme, Anwendungen, Datenschutz und IT-Service und (sofern vorhanden) dem ICS-ISB zusammen.
5|2|Wer ist für die Freigabe der Leitlinie zur Informationssicherheit verantwortlich?|die Unternehmens- oder Behördenleitung
6|2|Warum kann es sinnvoll sein, sich für eine Sicherheitskonzeption gemäß der Basis-Absicherung zu entscheiden?|Weil schnell Informationssicherheit umgesetzt werden muss und die Basis-Absicherung hierfür einen geeigneten Einstieg bietet.,Weil Informationssicherheit Schritt für Schritt umgesetzt werden soll. Mittelfristig kann das Sicherheitskonzept nach Standard-Absicherung ausgebaut werden.
1|3|Welche Ziele verfolgt die Strukturanalyse im Rahmen der IT-Grundschutz-Methodik?|die Ermittlung der Objekte, die in einem Sicherheitskonzept zu berücksichtigen sind; die angemessene Zusammenfassung von Objekten, für die gleiche Sicherheitsmaßnahmen angewendet werden können
2|3|Welche Informationen sollten Netzpläne enthalten, die für die Strukturanalyse benötigt werden?|die Art der Vernetzung der IT-Systeme eines Informationsverbundes; die Außenverbindungen des Netzes eines Informationsverbundes; die Art der IT-Systeme eines Informationsverbundes
3|3|Wann bietet es sich an, IT-Systeme bei der Strukturanalyse zu gruppieren?|wenn diese den gleichen Schutzbedarf und ähnliche Eigenschaften (Betriebssystem, Netzanbindung, unterstützte Anwendungen) haben
4|3|Welche der folgenden Aufgaben gehören gemäß BSI-Standard 200-2 zur Strukturanalyse?|die angemessene Gruppierung der Komponenten eines Informationsverbundes; die Erhebung der Informationen, Geschäftsprozesse, Anwendungen, IT-Systeme, Kommunikationsverbindungen und räumlichen Gegebenheiten eines Informationsverbundes
5|3|Welche Angaben sind für IT-Systeme bei der Strukturanalyse zu erfassen?|Typ und Einsatzzweck; Benutzer und Administrator; Standort (Gebäude und Raum)
6|3|Welche Anwendungen sind in der Strukturanalyse zu erfassen?|alle Anwendungen, die für mindestens einen der bereits erfassten Geschäftsprozesse erforderlich sind
1|4|Welche klassischen Schutzziele werden bei der Schutzbedarfsfeststellung gemäß IT-Grundschutz empfohlen?|Verfügbarkeit, Vertraulichkeit, Integrität
2|4|In welchen Fällen können Sie gemäß IT-Grundschutz-Methodik auf die Schutzbedarfsfeststellung für ein IT-System verzichten?|wenn das IT-System nicht eingesetzt wird
3|4|Welche Kriterien berücksichtigen Sie bei der Bestimmung des Bedarfs an Verfügbarkeit eines IT-Systems?|die maximal tolerierbare Ausfallzeit des IT-Systems
4|4|Was berücksichtigen Sie, wenn Sie den Schutzbedarf einer Anwendung bestimmen?|die Informationen, die im Zusammenhang mit der Anwendung verwendet werden, die Bedeutung der Anwendung für die Geschäftsprozesse oder Fachaufgaben
5|4|Unter welchen Bedingungen kann der Schutzbedarf eines IT-Systems bezüglich Verfügbarkeit geringer sein als derjenige der Anwendungen, für die es eingesetzt wird?|wenn das IT-System nur solche Teile der Anwendungen bedient, die einen geringeren Schutzbedarf haben, wenn mindestens ein weiteres redundantes IT-System in Betrieb ist, das die betreffenden Anwendungen bereitstellen kann
6|4|Wenn bei der Schutzbedarfsfeststellung für ein IT-System Kumulationseffekte berücksichtigt werden, bedeutet dies, dass?|Das bedeutet, dass sich der Schutzbedarf des IT-Systems erhöht, weil sich Einzelschäden zu einem höheren Gesamtschaden addieren.
1|5|Welche Aufgaben stellen sich Ihnen bei der Modellierung gemäß IT-Grundschutz?|Sie bilden den in der Strukturanalyse dokumentierten Informationsverbund mithilfe der IT-Grundschutz-Bausteine ab.,Sie merken Zielobjekte, die nicht geeignet modelliert werden können, für eine Risikoanalyse vor.,Sie prüfen, welche IT-Grundschutz-Bausteine für den betrachteten Informationsverbund relevant sind.
2|5|Welche Informationen sind Bestandteil eines IT-Grundschutz-Bausteins?|Angaben zur spezifischen Gefährdungslage,Verweise auf weiterführende Informationen,Sicherheitsanforderungen zu einem gegebenen Sachverhalt
3|5|Welche Aufgaben stellen sich Ihnen, nachdem Sie bei der Modellierung festgelegt haben, welche Bausteine für den Informationsverbund und seine einzelnen Zielobjekte anzuwenden sind?|die Festlegung von Maßnahmen, mit denen die Anforderungen erfüllt werden können,die Prüfung, ob für einzelne Anforderungen, deren Umsetzung im gegebenen Anwendungskontext mit vertretbarem Aufwand nicht möglich ist, Alternativen erforderlich sind,die Dokumentation der Ergebnisse der Modellierung
4|5|Worauf sollten Sie bei der Auswahl und Anpassung der Sicherheitsmaßnahmen auf Basis der Anforderungen achten?|auf die Wirtschaftlichkeit der Maßnahmen,auf die Wirksamkeit der Maßnahmen,auf die Benutzerfreundlichkeit der Maßnahmen
5|5|Welche Aussagen zur Anwendung von Bausteinen auf Server sind korrekt?|Neben dem Baustein SYS.1.1 Allgemeiner Server ist immer auch der zutreffende betriebssystemspezifische Baustein anzuwenden.,Für Virtualisierungsserver müssen neben dem Baustein sowohl der Baustein SYS.1.1 Allgemeiner Server als auch der zutreffende betriebssystemspezifische Baustein angewendet werden.
6|5|Auf welche Zielobjekte ist bei der Modellierung der Baustein ISMS.1 Sicherheitsmanagement anzuwenden?|Er MUSS einmal angewendet werden, und zwar auf den gesamten Informationsverbund.
1|6|Welche Aussagen zum IT-Grundschutz-Check sind zutreffend?|Ein IT-Grundschutz-Check ermöglicht, Defizite bei der Erfüllung von Sicherheitsanforderungen zu ermitteln.,Ein IT-Grundschutz-Check ist ein Soll-Ist-Vergleich zwischen Sicherheitsanforderungen und tatsächlich umgesetzten Sicherheitsmaßnahmen.
2|6|Welche Vorarbeiten erfordert der IT-Grundschutz-Check?|die Festlegung eines Zeitplans,die Auswahl von geeigneten Gesprächspartnern,die Zusammenstellung und Lektüre der vorhandenen Dokumente zur Informationssicherheit in dem betrachteten Informationsverbund
3|6|Welche Verfahren verwenden Sie, um in einem IT-Grundschutz-Check zu prüfen, wie gut eine Gruppe von Clients geschützt ist?|Sie führen Interviews mit den zuständigen Systembetreuern.,Sie untersuchen stichprobenartig vor Ort, wie die Clients konfiguriert sind.,Sie lesen die vorhandene Dokumentation zur Konfiguration der Clients.
4|6|Wann bewerten Sie beim IT-Grundschutz-Check eine Anforderung eines IT-Grundschutz-Bausteins als erfüllt?|wenn zu der Anforderung geeignete Maßnahmen vollständig, wirksam und angemessen umgesetzt sind,wenn sowohl im Interview mit einem für das IT-System Zuständigen als auch bei einer stichprobenartigen Überprüfung keine Sicherheitsmängel festgestellt wurden
5|6|Wie verfahren Sie beim ersten IT-Grundschutz-Check, also vor der Durchführung von Risikoanalysen, mit Anforderungen für den erhöhten Schutzbedarf?|Sie betrachten Anforderungen für den hohen und sehr hohen Schutzbedarf erst nach Abschluss der Risikoanalyse.
6|6|Sie stellen fest, dass eine Standard-Anforderung für ein IT-System nicht umgesetzt ist, das nur noch kurze Zeit in Betrieb ist. Wie behandeln Sie diese Anforderung beim IT-Grundschutz-Check?|Sie dokumentieren diese als nicht erfüllt, und merken gegebenenfalls an, dass geprüft werden muss, ob Maßnahmen zur Behebung dieses Defizits angesichts der kurzen Einsatzzeit des IT-Systems noch angemessen sind.,Sie dokumentieren diese als nicht erfüllt und merken an, dass geprüft werden muss, ob die daraus resultierenden Risiken in der Restlaufzeit des IT-Systems noch tragbar sind.
1|7|Wer trägt die Verantwortung für die bei einer Risikoanalyse getroffenen Entscheidungen zu einem IT-System?|die Leitung der Institution 
2|7|Welche Gefährdungen werden bei der Erstellung der Gefährdungsübersicht im ersten Schritt betrachtet?|die relevanten elementaren Gefährdungen aus dem IT-Grundschutz-Kompendium
3|7|Was bewerten Sie bei der Risikoeinschätzung?|die Häufigkeit des Eintretens einer Gefährdung, das mit einer Gefährdung verbundene Schadensausmaß
4|7|Wodurch verlagern Sie ein Risiko?|durch den Abschluss einer Versicherung oder durch Outsourcing des risikobehafteten Geschäftsprozesses an einen externen Dienstleister
5|7|Aus welchen Gründen kann es gerechtfertigt sein, auch ein hohes Risiko zu akzeptieren?|Der Aufwand für mögliche Schutzmaßnahmen ist unangemessen hoch oder es gibt keine wirksamen Schutzmaßnahmen gegen das Risiko.
6|7|Wann ist die Risikoakzeptanz grundsätzlich unzulässig?|bei der Nichterfüllung von Basis-Anforderungen
1|8|Was müssen Sie prüfen, wenn Sie die Umsetzung von Sicherheitsmaßnahmen planen?|welche begleitenden Maßnahmen für eine erfolgreiche Umsetzung erforderlich sind, ob die Maßnahme mit anderen Maßnahmen vereinbar ist, in welcher Reihenfolge die verschiedenen Maßnahmen umgesetzt werden sollen
2|8|Welche Informationen aus dem IT-Grundschutz-Kompendium unterstützen Sie bei der Festlegung einer sinnvollen Umsetzungsreihenfolge der geplanten Maßnahmen?|die Aufteilung der Anforderungen in Basis- und Standard-Anforderungen sowie solchen für den höheren Schutzbedarf, der Vorschlag zur Kennzeichnung einer sinnvollen Bearbeitungsreihenfolge der Bausteine mithilfe der Kürzel R1, R2 und R3
3|8|Was unternehmen Sie als Informationssicherheitsbeauftragter, wenn die Leitung Ihrer Institution nicht bereit ist, den Aufwand für eine bestimmte Sicherheitsmaßnahme zu tragen?|Sie verdeutlichen ihr, welche Risiken mit dem Fehlen der Maßnahme verbunden sind. Sie bitten die Leitung, durch Unterschrift zu bestätigen, dass sie die damit verbundenen Gefahren kennt und trägt.
4|8|Wer sollte in der Regel technische Maßnahmen zur Absicherung eines bestimmten IT-Systems umsetzen?|der zuständige Systemadministrator
5|8|Wer sollte üblicherweise prüfen, ob eine Sicherheitsmaßnahme wie geplant umgesetzt ist?|der Informationssicherheitsbeauftragte
6|8|Welches Hilfsmittel im IT-Grundschutz-Kompendium können Sie verwenden, um Ihrer Leitung zu verdeutlichen, welche Risiken die Nichterfüllung von Anforderungen mit sich bringt?|die Kreuzreferenztabellen am Ende eines Bausteins 
1|9|Warum sollten Sie Ihr Sicherheitskonzept regelmäßig überprüfen?|weil sich die Gefährdungslage ändert, weil sich die Prozesse und Strukturen einer Institution ändern und weil sich die Zielsetzungen und Prioritäten einer Institution ändern
2|9|Welche Kriterien sollten Sie bei der Überprüfung Ihres Sicherheitskonzepts berücksichtigen?|die Aktualität des Sicherheitskonzepts und die Vollständigkeit des Sicherheitskonzepts 
3|9|Welche Vorteile bieten Reifegradmodelle für die Bewertung eines ISMS?|Mit einem Reifegradmodell können der Grad der Strukturiertheit und das Maß der systematischen Steuerung eines Prozesses bewertet werden. Ein Reifegradmodell kann auf Teilaspekte des ISMS angewendet werden und Defizite bei einzelnen Prozessen abbilden.
4|9|Welche Voraussetzungen müssen für den Erwerb eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz erfüllt sein?|die durch Sichtung von Dokumenten und Vor-Ort-Prüfungen begründete Feststellung der erfolgreichen Erfüllung der IT-Grundschutz-Anforderungen durch einen zertifizierten Auditor und ein positives Resultat bei der Überprüfung des Audit-Berichts durch das BSI.
5|9|Welche der folgenden Untersuchungen haben die systematische Überprüfung der Informationssicherheit in einer Institution zum Ziel?|die IT-Sicherheitsrevision oder ein Audit im Rahmen einer ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz
6|9|Was sollte vor der Einführung einer Kennzahl zur Informationssicherheit unbedingt festgelegt werden?|welches Ziel mit der Kennzahl verfolgt werden soll und mit welchem Verfahren die Werte einer Kennzahl erhoben werden.