Questionmark Perception
Apr 17 2021 |
Ingelogd als : kandidaat
Lettergrootte aanpassen

Inleiding

Inleiding

Dit is het EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.NL) voorbeeldexamen. Op dit examen is het Reglement voor de Examens van EXIN van toepassing.

Dit examen bestaat uit 30 meerkeuzevragen. Elke vraag heeft een aantal antwoorden, waarvan er één correct is.

Het maximaal aantal te behalen punten is 30. Elke goed beantwoorde vraag levert u 1 punt op. U hebt 20 punten of meer nodig om te slagen.

De beschikbare tijd is 90 minuten.

Veel succes!





Copyright © EXIN Holding B.V. 2020. All rights reserved.
EXIN® is a registered trademark.

Vraag

1  van 30
Wat is een essentieel onderdeel van het ontwikkelen van een beveiligingsstrategie?

Vraag

2  van 30
Eén van de uitdagingen van de IT-security manager van een redelijk conservatief bedrijf is om IT-management te leren dat om een effectief informatiebeveiligingsprogramma te implementeren, het bedrijf anders moet gaan denken over wat IT-beveiliging is en wat het omvat.

Wat probeert de IT-security manager het management te leren?

Vraag

3  van 30
Eén van de managers van een bedrijf is bezorgd dat een IT-beveiligingsprogramma te veel impact zal hebben op het bedrijf, zodat het bedrijf niet meer kan blijven groeien en innoveren.

Welke uitspraak omschrijft het beste wat de manager moet worden verteld?

Vraag

4  van 30
Een security manager is verantwoordelijk voor het vaststellen van de beveiligingsmaatregelen voor een bedrijf. Het bedrijf is bezig met de selectie van een leverancier voor het hosten van het online bestelsysteem.

Wat is het belangrijkste waarop de security manager moet letten?

Vraag

5  van 30
Beveiligingsmaatregelen worden vastgesteld op basis van de beveiligingsclassificatie van een gegevenselement.

Wie is verantwoordelijk voor de beveiligingsclassificatie van een gegevenselement?

Vraag

6  van 30
Welke methode voor risicobeoordeling maakt gebruik van categorieën in plaats van getallen om risico's vast te stellen?

Vraag

7  van 30
Informatiebeveiligingsbeheer wordt momenteel geïntroduceerd binnen het bedrijf “Internet Booksellers”. De projectleider voor het informatiebeveiligingsproces weet dat het, volgens het risicobeheerproces, nodig is om eerst de (fysieke en logische) bedrijfsmiddelen in kaart te brengen en te ordenen op basis van belangrijkheid. Om deze lijst op te stellen werkt hij samen met de financial manager van de organisatie. De belangrijkheid wordt gewogen op basis van de volgende criteria: impact op de omzet 30%, impact op de winstgevendheid 40% en impact op bedrijfsimago 30%.

De financial manager heeft vier belangrijke logische bezittingen vastgesteld:
  • Leverancier-orders (uitgaand)
  • Klantorders via SSL (inkomend)
  • Afroepbevestigingen van de leverancier (inkomend)
  • Hulpverzoeken van de klant via e-mail (inkomend)

Welk bedrijfsmiddel is het meest belangrijk uitgaande van de vastgestelde criteria?

Vraag

8  van 30
Wat moet vastgesteld worden voordat het aanpakken van risico's overwogen wordt?

Vraag

9  van 30
Een grote transportonderneming gaat werken conform de standaard voor informatiebeveiliging (ISO/IEC 27001:2013). Zij moeten onder meer maatregelen invoeren voor de afdeling softwareontwikkeling. Recentelijk is besloten om deze afdeling uit te besteden. Een extern consultant is ingehuurd om ervoor te zorgen dat er controlemaatregelen worden ingevoerd die na de uitbesteding over de gehele klant-leveranciersketen consistent zijn met de code voor informatiebeveiliging.

Welke maatregel moet worden ingevoerd om de beschikbaarheid van de software broncode te waarborgen voor het geval dat een van de partners in de keten failliet gaat?

Vraag

10  van 30
De security manager bij een bedrijf is opgedragen de leiding te nemen bij het allereerste risicobeoordeling van het bedrijf. De security manager is bezig met het implementeren van maatregelen voor het beperken van de geïdentificeerde risico's. Daarbij wordt rekening gehouden met de organisatorische haalbaarheid en de politieke haalbaarheid door de doelstellingen van het bedrijf en de toepasselijke wet- en regelgeving in acht te nemen.

Wat moet ook zijn geregeld om de operationele haalbaarheid in acht te nemen?

Vraag

11  van 30
Risicobeheer beperkt zich niet alleen tot de organisatieprocessen. Het moet ook worden opgenomen in de projectmanagementmethode. Zo moet er altijd een risicobeoordeling worden uitgevoerd in een vroege fase van een project. Wanneer risicobeheer voor projecten wordt ingevoerd, moet er goed worden nagedacht over de scope van het project.

Wat moet in de scope van standaardprojecten voor risicobeheer worden opgenomen?

Vraag

12  van 30
Wat is de populaire naam van de ISO/IEC 15408 over modellen voor beveiligingsarchitectuur?

Vraag

13  van 30
Een operations manager wil advies over het openen van een tweede datacenter als actieve stand-by-locatie.

Wat moet de information security officer haar adviseren?

Vraag

14  van 30
Een security team heeft zojuist een risicobeoordeling afgerond voor een organisatie en overweegt nu welke maatregelen nodig zijn om de risico's te beperken. Als onderdeel hiervan worden de programma's en technische maatregelen overwogen.

Wat is de derde categorie van maatregelen voor toegang die moet worden overwogen?

Vraag

15  van 30
Na het uitvoeren van een risicobeoordeling en het opstellen van de toepasselijke maatregelen die voldoen aan de risicobereidheid van een bedrijf, zit de taak van een consultant er bijna op. De consultant weet dat in werkelijkheid geen enkele set maatregelen volledige beveiliging kan bewerkstelligen.

Wat moet er gedaan worden om de beveiliging nog verder aan te scherpen?

Vraag

16  van 30
De information security officer van een bedrijf heeft zojuist te horen gekregen dat het management het beleid voor informatiebeveiliging wil beoordelen.

Wat is een input voor deze managementbeoordeling?

Vraag

17  van 30
De security officer voor een internationaal bedrijf heeft zojuist een managementbeoordeling ontvangen van het informatiebeveiligingsbeleid.

Wat moet er in deze beoordeling staan?

Vraag

18  van 30
Het onderhouden van een informatiebeveiligingsprogramma is een continu proces. Dit proces vereist input van de vele factoren die invloed hebben op het succes van een informatiebeveiligingsprogramma.

Welke wijziging in input vereist een aanpassing van het proces?

Vraag

19  van 30
Een groot deel van de verantwoordelijkheid van het informatiebeveiligingsteam is het monitoren en detecteren van incidenten.

Wat is de sterkste indicatie voor een incident?

Vraag

20  van 30
Wie is er verantwoordelijk voor het coördineren van de beveiligingsbewustzijnscampagne van een bedrijf?

Vraag

21  van 30
Vorig jaar zijn de beveiligingsmaatregelen voor werknemers van een organisatie strikter geworden. Voordat er aanvullende maatregelen worden geïmplementeerd, wil de information security officer weten hoe de werknemers tegenover de maatregelen voor informatiebeveiliging staan.

Hoe krijgt ze daar snel een indruk van?

Vraag

22  van 30
Wat is het voornaamste voordeel van het gebruiken van een open ontwerp van de beveiligingsarchitectuur?

Vraag

23  van 30
Welk beveiligingsitem is bedoeld om grote hoeveelheden netwerkverkeer te analyseren die kunnen wijzen op een denial-of-service-aanval?

Vraag

24  van 30
De CEO van een bedrijf heeft een nieuwe tablet en wil dat een security manager ervoor zorgt dat ze die kan gebruiken voor de zakelijke e-mail en agenda. De security manager begrijpt deze behoefte om te werken op eigen apparatuur (Bring Your Own Device (BYOD)).

Welke maatregelen (naast een bewustzijnscampagne) moet de security manager voorstellen om te voorkomen dat gegevens verloren gaan bij verlies of diefstal van het persoonlijke apparaat?

Vraag

25  van 30
Welke bewering over beveiligingsarchitectuur is het meest correct?

Vraag

26  van 30
Zonering is een beveiligingsmaatregel waarmee fysieke locaties met verschillende beveiligingsniveaus worden gescheiden. Zones met een hoger beveiligingsniveau kunnen door meer maatregelen worden beveiligd. De security manager van een hotel is verantwoordelijk voor de beveiliging en overweegt verschillende opties voor zones in het hotel.

Welke combinatie van bedrijfsfuncties moet in één beveiligingszone worden gecombineerd?

Vraag

27  van 30
In de wetenschap dat fysieke beveiligingsmaatregelen heel belangrijk zijn voor het informatiebeveiligingsprogramma, is het information security team gevraagd een beveiligingscirkel (perimeter) te ontwikkelen en te implementeren voor een afdeling die nieuwe gegevenssystemen implementeert.

Wat is volgens ISO/IEC 27001 de belangrijkste richtlijn die moet worden overwogen tijdens het opstellen van deze cirkel?

Vraag

28  van 30
De HR-manager van een organisatie heeft gevraagd wat zij kan doen als ‘quick win’ bij het aannemen van personeel om de informatiebeveiliging van het bedrijf te versterken conform ISO/IEC 27001.

Wat moet het advies aan haar zijn?

Vraag

29  van 30
De manager business continuity vraagt input voor het calamiteitenplan.

Wat moet hij als eerste doen?

Vraag

30  van 30
Een essentieel onderdeel om te integreren in de informatiebeveiliging van een organisatie is een robuust programma voor business continuity. Een security consultant is gevraagd om de belangrijkste vereisten voor informatiebeveiliging binnen een dergelijk programma op een rijtje te zetten.

Wat is het eerste aandachtspunt voor business continuity management vanuit het oogpunt van informatiebeveiliging?