Informationssäkerthet1

Alla Inga Spara

• (Vad kan man analysera med en riskanalys? A: Informationssäkerhetsrisker gällande IT-system, B: Informationssäkerhetsrisker gällande Människor, C: Informationssäkerhetsrisker gällande Molntjänster, D: Samtliga ovanstående) D
• (Resultatet av GAP-analysen är en beskrivning av verksamhetens faktiska informationssäkerhetsnivå genom främst en inventering av … ? A: Existerande säkerhetshot, B: Konkurrentens säkerhetshot, C: Existerande säkerhetsåtgärder, D: Samtliga relevanta risker) C
• (En informationssäkerhetspolicy är ett exempel på … ? A: Ett styrande dokument, B: Ett förande dokument, C: Ett ledande dokument, D: Ett legalt dokument) A
• (Vilket av följande begrepp ingår inte i de tre grundläggande målen för informationssäkerhet? A: Sekretess, B: Riktighet, C: Spårbarhet, D: Tillgänglighet) C
• (Föreläsaren Fredrik Blix kallade under kursen IT-system och informationen i dem för "guldet vi vill skydda". Flera gånger under kursen betonade dock föreläsaren ytterligare en aspekt som ingående i detta skyddsvärda "guld". Vad var det? A: Molntjänster, B: Samtycket från individer, C: Den funktion IT-system tillhandahåller (ex. vattendistribution, betalning), D: Personuppgifter) C
• (Vad är den högsta administrativa sanktionsavgiften som ett företag kan tvingas betala om de inte efterlever bestämmelserna i GDPR (räknad i % av den totala globala årsomsättningen)? A: 1%, B: 2%, C: 3%, D: 4%) D
• (Vilken myndighet i Sverige är tillsynsmyndighet för GDPR, det vill säga ska tillse att den efterlevs? A: Inspektionen för uppgiftsskydd, B: Integritetsskyddsmyndigheten, C: Försvarets integritetsnämnd, D: Post- och Telestyrelsen) A
• (Vilken myndighet i Sverige är huvudsaklig tillsynsmyndighet för operatörer av allmänt tillgängliga kommunikationstjänster (som mobiloperatörer)? A: FRA, B: PTS, C: MSB, D: SÄPO) B
• (Gäller bestämmelserna i GDPR för en fysisk persons behandling av personuppgifter i verksamhet av rent privat natur? A: Ja, B: Nej, C: Ja men bara ifall det är relaterat till personens hushåll, D: Nej men bara ifall det är relaterat till personens hushåll) D
• (En av upphovsmännen till "A Theory of Speech Acts" är A: Earl, B: Searle, C: Curl, D: Curle) B
• (Vilket av följande är en korrekt definition av riktighet inom informationssäkerhet? A: Att information inte avslöjas för obehöriga, B: Att information inte förändras av misstag eller obehöriga, C: Att information alltid är tillgänglig, D: Att information inte får spåras) B
• (Vad syftar informationssäkerhetens tillgänglighet till? A: Att informationen är tillgänglig för obehöriga i rätt tid, B: Att informationen inte kan nås av någon, C: Att information och IT-system är tillgängliga för behöriga användare när det behövs, D: Att information delas med alla användare i organisationen) C
• (Vilken av följande säkerhetsåtgärder kan inte sägas utgöra så kallat logiskt skydd? A: Brandväggar, B: Behörighetskontrollsystem, C: Antivirusprogram, D: Låst dörr på IT-hallen) D
• (Vilken av följande aktiviteter är normalt inte en del av en riskanalys? A: Identifiera hot mot informationstillgångarna, B: Bedöm sannolikhet för att risken ska inträffa, C: Bedöm konsekvens ifall risken inträffar, D: Klassificera informationstillgången) D
• (Syftet med en GAP-analys är att ge vad? A: Bekräftelse på att skyddet är infört i tillräcklig utsträckning, B: En uppfattning om kvalitén på säkerhetsarbetet, C: Information om styrkor och svagheter i skyddet, D: Alla ovanstående) D
• (Vad kallas den analysmetod som används för att bedöma organisationens säkerhetsnivå genom att identifiera skillnader mellan en standard och den faktiska säkerhetsnivån? A: Riskanalys, B: Verksamhetsanalys, C: GAP-analys, D: SWOT-analys) C
• (Om du klassificerar ett system med avseende på sekretess, riktighet och tillgänglighet, så att resultatet blir "Sekretess HÖG, Riktighet MEDEL, Tillgänglighet LÅG". Vad är den huvudsakliga betydelsen av detta resultat? A: Det visar hur stora risker som finns för de tre aspekterna av informationssäkerhet, B: Det visar ungefär vad det kommer att kosta för att få säkerheten i balans, C: Det är ett uttryck för behovet av informationssäkerhet för det aktuella systemet, D: Att systemet inte behöver krypteras) C
• (I "Introduction to the systems approach" beskriver författarna något de kallar den "konkretistiska fallgropen" ("the concretistic pitfall"). Vad menar de med det? A: Att man kan förledas att tro att modeller av verkligheten är verkligheten, B: Att man kan förledas att tro att verkligheten är modeller av verkligheten, C: Att man kan riskera att bli för konkret i sitt informationssäkerhetsarbete, D: Att man ska akta sig för fallgropar i projektet oavsett ifall de är konkreta eller ej) A
• (Vad avses med personlig integritet och dataskydd i informationssäkerhetssammanhang? A: Att skydda företagens affärshemligheter, B: Rätten till en privat sfär och skydd av personlig information mot obehörig användning, C: Säkerställande av datatillgänglighet för alla användare, D: Kontroll över företagsinformation för att maximera vinsten) B
• (Vilken av följande är tydligast en säkerhetsåtgärd relaterad till konfidentialitet inom informationssäkerhet? A: Backup, B: Strömavbrott, C: Dieselgenerator för el, D: Kryptering) D
• (Bouldings fem postulat inom generell systemteori tar alla upp ... : A: Kaos, B: Ordning, C: Miljön, D: Tillit) B
• (Ett öppet system ... A: Har i regel färre hierarkier än ett slutet system, B: Är ändå oftast stängt med avseende på informationsresurserna, C: Importerar resurser från miljön och exporterar slutprodukten till miljön, D: Har ingen egentlig miljö eftersom allt principiellt sett hela universum ingår i miljön) C
• (Vad är sant rörande ett stängt system (closed system)? A: Ingen transformationsprocess kan ske inom systemet eftersom det är helt isolerat, B: Inget kan föras in eller ut ur systemet, C: Om ett fel sker blir det alltid mer omfattande och får större konsekvenser än i ett öppet system, D: Stängda system har per definition inga informationstillgångar att skydda) B
• ("Interna kontrollmekanismer kräver löpande och automatisk jämförelse av kontrollobjektet mot en given standard, samt löpande och automatisk återkoppling för att korrigera avvikelser från standarden." Vilken princip är det som beskrivs? A: Beers första kontrollprincip, B: Beers andra kontrollprincip, C: Beers första OCH andra kontrollprincip, D: Ingen av ovanstående) C
• (Kontrollsystemet måste kunna uppvisa minst lika många olika lägen som det kontrollerade systemet har, om man skall kunna vara säker på att man verkligen har kontroll, enligt ...? A: Ashbys lag om tillräcklig variation (requisite variety), B: Beers lag om tillräcklig variation (requisite variety), C: Bouldings lag om tillräcklig variation (requisite variety), D: Den så kallade kontrollprincipen inom generell systemteori) A
• (Institutionell teori kan endast tillämpas när det man vill analysera uppvisar någon form av: A: säkerhetsbrist, B: socialt beteende, C: juridisk avvikelse, D: avvikande beteende) B
• (Föreläsaren Blix argumenterade på kursen att graden av säkerhet i alla informationssystem bestäms i slutändan av ...? A: administratörens kunskap, B: människors handlande, C: den tekniska utvecklingen, D: användaren) B
• (Scott beskriver i sin three pillars-modell (tre pelare) tre olika typer av institutioner, nämligen ...? A: Regulativa Normativa och Kognitiva, B: Regulativa Normativa och Legala, C: Regulativa Normativa och Kulturella-kognitiva, D: Informella Formella och Tekniska) C
• (Vilket av följande alternativ beskriver en institution vilken är av regulativ typ? A: Styrs av moral, B: Styrs av lag, C: Styrs av kultur (värderingar), D: Styrs av både lag och kultur) B
• (Vad är menas med ett teckens denotation inom Semiotiken? A: Det tecknet direkt refererar till, B: Tecknets kontext (dess sammanhang), C: Det tecknet indirekt refererar till, D: Tecknets form) A
• (Vilken av följande är inte en del av den semiotiska "stegen"? A: Syntax (Syntactics), B: Teknik (Technology), C: Semantik (Semantics), D: Pragmatik (Pragmatics)) B
• (Den semiotiska stegen kan sägas ha olika fokus på olika nivåer. Antag att du ska analysera en elektronisk kommunikation mellan två personer. Vilket av följande är korrekt? A: På lägre nivåer i stegen är det mer handling än på högre nivåer, B: På högre nivåer i stegen är det mer teknikfokus än på lägre nivåer, C: Lägre nivåer handlar mer om den elektroniska kommunikationen medans den övre handlar om människorna som kommunicerar, D: Man kan inte analysera en elektronisk kommunikation med den semiotiska stegen eftersom den enbart handlar om kommunikation mellan människor) C
• (Standarden ISO/IEC 27001 används främst för att ...? A: Hantera alla typer av incidenter, B: Styra informationssäkerhet i organisationer, C: Styra informationssäkerheten för en individs behov, D: Leda ett företags generella kvalitetsarbete) B
• (En lag om informationssäkerhet är ett exempel på ....? A: Ett externt krav, B: Ett internt krav, C: Ett extrovert krav, D: Ett introvert krav) A
• (På kursen togs olika typer av skydd eller säkerhetsåtgärder upp, som en organisation kan använda för sin informationssäkerhet. Vilka var det? A: Logiska pragmatiska och empiriska säkerhetsåtgärder, B: Logiska pragmatiska och administrativa säkerhetsåtgärder, C: Sociala respektive tekniska säkerhetsåtgärder, D: Logiska fysiska samt administrativa) D
• (Vad innebär det att en viss informationstillgång klassats på ett visst sätt i samband med så kallad informationsklassning? A: Att informationssäkerhetsrisken är fastställd, B: Att informationssäkerhetskraven är fastställda, C: Att informationstillgången är tydligt definierad, D: Att informationstillgången anses vara antingen intern eller extern) B
• (Vad menas med en "personuppgift" enligt GDPR? A: Uppgifter som innehåller exempelvis ett ID-nummer, B: Uppgifter (information) som avser en identifierad eller identifierbar fysisk person, C: Uppgifter (information) som avser en fysisk person oavsett om den är identifierad eller kan identifieras, D: All information som avser personer oavsett om de är juridiska eller fysiska personer) B
• (Vilken informationssäkerhetsaspekt är den viktigaste? A: Tillgänglighet, B: Riktighet, C: Sekretess (konfidentialitet), D: Det kan variera) D
• (Loggning av händelser i ett IT-system är främst ett sätt att skapa förutsättningar för: A: Tillgänglighet (availability), B: Sekretess (confidentiality), C: Spårbarhet (traceability), D: Autenticitet (authenticity)) C
• (Vad menas med logiskt skydd? A: Åtgärder för att främja informationssäkerheten och som är rationella, B: Åtgärder som främst ska påverka beteende, C: Åtgärder som brandväggar behörighetskontrollsystem och antivirusprogram, D: Åtgärder som inte kräver någon närmare analys innan man inför dem) C
• (Vad kan systemteori användas för inom informationssäkerhet? A: Analys av endast tekniska system, B: Analys av endast sociala system (bestående av människor), C: Analys av alla typer av system som kan förekomma inom informationssäkerhet, D: Analys av endast administrativa logiska och fysiska system) C
• (Vilket alternativ beskriver närmast ett dataskyddsombud? A: En människa som på ett oberoende sätt granskar dataskyddsarbetet i en verksamhet, B: Ett företag som på ett oberoende sätt granskar dataskyddsarbetet i en verksamhet, C: En människa som styr och leder dataskyddsarbetet i en verksamhet, D: Ett företag som på uppdrag av ett annat företag styr och leder dataskyddsarbetet i en verksamhet) A
• (Vilket av följande var ett av de huvudsakliga målen med Generell Systemteori (GST)? A: Att främja vetenskapen genom tillväxt av kunskap, B: Att överföra resultat från en disciplin (kunskapsområde) till ett annat, C: Att framföra att människor egentligen uppvisar stora likheter med djuren (och andra sociala varelser), D: Att främja kunskapen inom analytiska och systemiska angreppssätt) B
• (Vad menas med miljö inom systemteorin? A: Samtliga nedanstående alternativ (b c och d), B: Något som ligger utanför systemet, C: Något utanför systemets direkta kontroll, D: Något som påverkar systemet) A
• (Churchman beskriver fem grundläggande karaktärsdrag vilka system har. Ett av dem är att de är målsökande. Ett annat ord för målsökande är: A: Objektifierande, B: Målbiologisk, C: Objektologisk, D: Teleologisk) D
• (En "samling i förväg uttänkta, länkade och dokumenterade aktiviteter som svarar mot ett fastställt behov inom informationssäkerhetsarbetet" kallas i kurslitteraturen för vad? A: Aktivitetspaket, B: Informationssäkerhetsprojekt, C: Processer, D: Ingen av de ovanstående (a b eller c)) D
• (Vad kan nackdelen vara med för mycket informationssäkerhet i en organisation? A: Det blir kostsamt, B: De anställda blir mindre produktiva på grund av säkerhetsåtgärder som hindrar, C: Verksamheten blir lidande, D: Alla ovanstående) D
• (Stafford Beer, om han levat, skulle betecknat en organisation bestående av människor som A: Ett probabilistiskt (baserat på sannolikhet) och ytterligt komplext system, B: Ett levande och deterministiskt system för samarbete, C: Ett probabilistiskt men ändock relativt enkelt system, D: Ett deterministiskt men komplext system) A
• (Inom GDPR (dataskyddsförordningen artikel 30) ställs krav på ett "Register över behandling", vilket av följande är inte information som måste finnas i registret? A: Beskrivning av kategorier av registrerade (de personer uppgifterna handlar om), B: Ändamålet med behandlingen (varför de behandlas syftet), C: Mottagare av registrerade personuppgifter (vem/vilka som ska ta emot uppgifter), D: Inträffade personuppgiftsincidenter) D
• (Vilken typ av säkerhetsåtgärd kan du införa själv för att få god sekretess (konfidentialitet)? A: Säkerhetskopiering, B: Loggning, C: Kryptering (t.ex. av hårddisken i datorn), D: Ingen av de ovanstående) C

Alla Inga Spara