Oefenvragen CISM
Vraag 1: Wat wil governance van corporate governance scheiden?
A: Interne en externe audits
B: Uitvoerende taken & Controlerende taken
C: Due care & Due diligence
D: Strategische, tactische en operationele rollen.
Vraag 2: Wat was de aanleiding van de SOX-wetgeving?
Vraag 3: wat is het belangrijkste doel van information security governance?
A: Het vergroten van de bedrijfswinst
B: Geen slachtoffer worden van een cyberaanval
C: Het vergroten van awareness
D: Het beheersen van bedrijfsrisico’s
Vraag 4: Cobit 5 is een?
A: Een framework om governance te realiseren
B: Een methodiek voor risicomanagement en risicoanalyses
C: Een model om managementniveaus te scheiden
D: Een onderdeel van ISO 27005
Vraag 5: Wat is het belangrijkste principe van COBIT 5?
Vraag 6: Welk van de onderstaande antwoorden is GEEN uitkomst van goede information
security governance?
A: Strategic alignement
B: informatiebeveiliging als business-enabler
C: Informatiebeveiliging is zo onder controle dat de CEO zich er niet mee bezig hoeft te
houden.
D: De investeringen in informatiebeveiliging passen bij de strategische doelen van het
bedrijf.
Vraag 7: In welke line van het 3 lines of defence model horen de volgende rollen?
- Beveiligingsfunctionaris
- Projectleider
- Lijnmanagement
- IT-auditors
- Information Security Officer
- Directie
Vraag 8: Waar staat de afkorting ISMS voor?
Vraag 9: Waar gaat ISO 27001 normering over? En is deze norm certificeerbaar?
Vraag 10: Waar gaat ISO 27002 normering over? En is deze norm certificeerbaar?
, Vraag 11: Waar horen de volgende stappen in de PDCA cyclus?
A: Het ISMS bewaken en beoordelen
B: Het ISMS implementeren en uitvoeren
C: Het ISMS vaststellen
D: Het ISMS bijhouden en verbeteren
Vraag 12: Op welke 3 criteria worden informatie assets beoordeeld?
Vraag 13: beoordeel of de volgende uitsprakenwaar of niet waar zijn:
A: Met ISO27001 ben je in control wat betreft de information security risico’s.
B: In ISO27001 staat welke risicobeoordelingsmethodiek gebruikt moet worden.
C: De uitkomst van het ISMS is beheerde informatiebeveiliging.
D: De eigenaar van een bedrijfsproces is verantwoordelijk voor de classificatie van de
informatie -assets binnen dat proces.
Vraag 14: Bepaal bij het volgende voorbeeld wat de directe en indirecte schade is:
Door brand bij de luchtverkeersleiding is er schade aan het gebouw en de aanwezige
apparatuur. Ook moet het luchtverkeer tijdelijke stilgelegd worden doordat de
luchtverkeerleiding haar werkzaamheden niet kan uitvoeren. Over deze onderbreking van
het vliegverkeer wordt negatief gepraat in de media, dit leidt tot imagoschade.
Vraag 15: identificeer in het voorbeeld de volgende begrippen: bedreiging, asset &
kwetsbaarheid.
Voorbeeld: Doordat het slachtoffer gebruik maakte van een zwak wachtwoord werd haar
email gehackt. De hackers hadden daardoor toegang tot haar correspondentie en e-
mailadressen van al haar contacten.
Vraag 16: welk van de volgende antwoorden is GEEN soort risicoanalyse?
A: Kwalitatieve risicoanalyse
B: Checklist
C: ISO27005
D: Kwantitatieve risicoanalyse
Vraag 17: Wat is een voordeel en een nadeel van een kwantitatieve risicobeoordeling en een
kwalitatieve risicobeoordeling?
Vraag 18: Wat is een Service Level Agreement?
Vraag 19: Wat is een Penetration test?
Vraag 20: In welke fase van de PDCA cyclus horen de volgende paragraven uit ISO 27001?
4. context van de organisatie
5. Leiderschap
6. Planning
7. Ondersteuning
8. Uitvoering
9. Evaluatie van de prestaties
Vraag 1: Wat wil governance van corporate governance scheiden?
A: Interne en externe audits
B: Uitvoerende taken & Controlerende taken
C: Due care & Due diligence
D: Strategische, tactische en operationele rollen.
Vraag 2: Wat was de aanleiding van de SOX-wetgeving?
Vraag 3: wat is het belangrijkste doel van information security governance?
A: Het vergroten van de bedrijfswinst
B: Geen slachtoffer worden van een cyberaanval
C: Het vergroten van awareness
D: Het beheersen van bedrijfsrisico’s
Vraag 4: Cobit 5 is een?
A: Een framework om governance te realiseren
B: Een methodiek voor risicomanagement en risicoanalyses
C: Een model om managementniveaus te scheiden
D: Een onderdeel van ISO 27005
Vraag 5: Wat is het belangrijkste principe van COBIT 5?
Vraag 6: Welk van de onderstaande antwoorden is GEEN uitkomst van goede information
security governance?
A: Strategic alignement
B: informatiebeveiliging als business-enabler
C: Informatiebeveiliging is zo onder controle dat de CEO zich er niet mee bezig hoeft te
houden.
D: De investeringen in informatiebeveiliging passen bij de strategische doelen van het
bedrijf.
Vraag 7: In welke line van het 3 lines of defence model horen de volgende rollen?
- Beveiligingsfunctionaris
- Projectleider
- Lijnmanagement
- IT-auditors
- Information Security Officer
- Directie
Vraag 8: Waar staat de afkorting ISMS voor?
Vraag 9: Waar gaat ISO 27001 normering over? En is deze norm certificeerbaar?
Vraag 10: Waar gaat ISO 27002 normering over? En is deze norm certificeerbaar?
, Vraag 11: Waar horen de volgende stappen in de PDCA cyclus?
A: Het ISMS bewaken en beoordelen
B: Het ISMS implementeren en uitvoeren
C: Het ISMS vaststellen
D: Het ISMS bijhouden en verbeteren
Vraag 12: Op welke 3 criteria worden informatie assets beoordeeld?
Vraag 13: beoordeel of de volgende uitsprakenwaar of niet waar zijn:
A: Met ISO27001 ben je in control wat betreft de information security risico’s.
B: In ISO27001 staat welke risicobeoordelingsmethodiek gebruikt moet worden.
C: De uitkomst van het ISMS is beheerde informatiebeveiliging.
D: De eigenaar van een bedrijfsproces is verantwoordelijk voor de classificatie van de
informatie -assets binnen dat proces.
Vraag 14: Bepaal bij het volgende voorbeeld wat de directe en indirecte schade is:
Door brand bij de luchtverkeersleiding is er schade aan het gebouw en de aanwezige
apparatuur. Ook moet het luchtverkeer tijdelijke stilgelegd worden doordat de
luchtverkeerleiding haar werkzaamheden niet kan uitvoeren. Over deze onderbreking van
het vliegverkeer wordt negatief gepraat in de media, dit leidt tot imagoschade.
Vraag 15: identificeer in het voorbeeld de volgende begrippen: bedreiging, asset &
kwetsbaarheid.
Voorbeeld: Doordat het slachtoffer gebruik maakte van een zwak wachtwoord werd haar
email gehackt. De hackers hadden daardoor toegang tot haar correspondentie en e-
mailadressen van al haar contacten.
Vraag 16: welk van de volgende antwoorden is GEEN soort risicoanalyse?
A: Kwalitatieve risicoanalyse
B: Checklist
C: ISO27005
D: Kwantitatieve risicoanalyse
Vraag 17: Wat is een voordeel en een nadeel van een kwantitatieve risicobeoordeling en een
kwalitatieve risicobeoordeling?
Vraag 18: Wat is een Service Level Agreement?
Vraag 19: Wat is een Penetration test?
Vraag 20: In welke fase van de PDCA cyclus horen de volgende paragraven uit ISO 27001?
4. context van de organisatie
5. Leiderschap
6. Planning
7. Ondersteuning
8. Uitvoering
9. Evaluatie van de prestaties
