ISACA CRISC (Certified in Risk and Information Systems Control) Prüfungsleitfaden

Die **CRISC** ist die einzige Zertifizierung, die IT-Profis auf die einzigartigen Herausforderungen des IT- und Unternehmensrisikomanagements vorbereitet. Sie positioniert Sie als Experten, der IT-Risiken mit Geschäftszielen verknüpfen kann.

Welche der folgenden Aussagen beschreibt am besten den Zweck eines Risikoregisters im Rahmen des Informationssicherheitsmanagements?

Antwort : Es ist eine dynamische Liste identifizierter Risiken, ihrer potenziellen Auswirkungen, Wahrscheinlichkeiten, bestehenden Kontrollen und Maßnahmen.

Ein Risikoregister ist ein grundlegendes Werkzeug im Risikomanagement. Es dokumentiert identifizierte Risiken, bewertet deren Wahrscheinlichkeit und Auswirkung und verfolgt die Fortschritte bei der Umsetzung von Minderungsmaßnahmen. Es hilft Organisationen, ihre Risikolandschaft zu verstehen und fundierte Entscheidungen zur Risikosteuerung zu treffen.

Ein Unternehmen erwägt die Einführung einer neuen Cloud-basierten Anwendung. Welche Risikobewertungsmethode wäre am besten geeignet, um die spezifischen Risiken zu analysieren, die mit der Datenübertragung, der Speicherung und dem Zugriff in einer Multi-Tenant-Cloud-Umgebung verbunden sind?

Antwort : Eine detaillierte, aufgabenspezifische Risikobewertung (Task-Based Risk Assessment), die Bedrohungen, Schwachstellen und Kontrollen für jeden Schritt des Datenlebenszyklus in der Cloud analysiert.

Bei der Bewertung von Cloud-Risiken ist eine detaillierte, aufgabenspezifische Methode entscheidend. Sie analysiert die Risiken, die mit jedem Schritt des Datenlebenszyklus (Erfassung, Verarbeitung, Speicherung, Übertragung, Vernichtung) verbunden sind, insbesondere in komplexen Umgebungen wie Multi-Tenant-Clouds. Dies ermöglicht eine präzise Identifizierung von Schwachstellen und die Entwicklung gezielter Kontrollstrategien.

Was ist das Hauptziel der Implementierung von Zugriffskontrollen in einem Informationssicherheitssystem?

Antwort : Sicherzustellen, dass nur autorisierte Benutzer auf bestimmte Ressourcen zugreifen und diese nutzen können.

Zugriffskontrollen sind essenziell, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten. Sie stellen sicher, dass nur berechtigte Personen und Systeme auf spezifische Ressourcen zugreifen können, und verhindern so unbefugte Offenlegung, Änderung oder Zerstörung von Daten.

Welche Risikobehandlungsstrategie beinhaltet die Übertragung des finanziellen Risikos auf eine dritte Partei?

Antwort : Risikoteilung (Transfer)

Die Risikobehandlung umfasst verschiedene Strategien, um mit identifizierten Risiken umzugehen. Die Risikoteilung (Transfer) ist eine gängige Methode, bei der das finanzielle Risiko, nicht aber die Verantwortung für das Management des Risikos selbst, auf eine externe Partei, z. B. einen Versicherer, übertragen wird.

Welche der folgenden Optionen ist ein Beispiel für eine 'Governance'-Funktion im Kontext des IT-Risikomanagements?

Antwort : Die Festlegung der übergeordneten Strategie und der Risikobereitschaft (Risk Appetite) des Unternehmens.

IT-Risiko-Governance bezieht sich auf die übergeordneten Prinzipien, Richtlinien und Strukturen, die die Art und Weise bestimmen, wie IT-Risiken im Einklang mit den Unternehmenszielen gesteuert werden. Sie umfasst die Festlegung der Risikobereitschaft, die Definition von Rollen und Verantwortlichkeiten sowie die Sicherstellung der Rechenschaftspflicht auf höchster Ebene.

Related Certifications

Local Testing

Careers

preload
preload
preload
preload
preload
preload