SÄK1 - tentor
Vad kan man analysera med en riskanalys?
Samtliga ovanstående
Resultatet av GAP-analysen är en beskrivning av verksamhetens faktiska informationssäkerhetsnivå genom främst en inventering av … ?
Existerande säkerhetsåtgärder
En informationssäkerhetspolicy är ett exempel på … ?
Ett styrande dokument
Vilket av följande begrepp ingår inte i de tre grundläggande målen för informationssäkerhet?
Spårbarhet
Föreläsaren Fredrik Blix kallade under kursen IT-system och informationen i dem för ”guldet vi vill skydda”. Flera gånger under kursen betonade dock föreläsaren ytterligare en aspekt som ingående i detta skyddsvärda ”guld”. Vad var det?
Den funktion IT-system tillhandahåller (ex. vattendistribution, betalning)
Vad är den högsta administrativa sanktionsavgiften som ett företag kan tvingas betala om de inte efterlever bestämmelserna i GDPR (räknad i % av den totala globala årsomsättningen)?
4%
Vilken myndighet i Sverige är tillsynsmyndighet för GDPR, det vill säga ska tillse att den efterlevs?
Integritetsskyddsmyndigheten
Vilken myndighet i Sverige är huvudsaklig tillsynsmyndighet för operatörer av allmänt tillgängliga kommunikationstjänster (som mobiloperatörer)?
PTS
Gäller bestämmelserna i GDPR för en fysisk persons behandling av personuppgifter i verksamhet av rent privat natur?
Nej
En av upphovsmännen till ”A Theory of Speech Acts” är
Searle
Vilket av följande är en korrekt definition av riktighet inom informationssäkerhet?
Att information inte förändras av misstag eller obehöriga.
Vad syftar informationssäkerhetens tillgänglighet till?
Att information och IT-system är tillgängliga för behöriga användare när det behövs.
Vilken av följande säkerhetsåtgärder kan inte sägas utgöra så kallat logiskt skydd?
Låst dörr på IT-hallen
Vilken av följande aktiviteter är normalt inte en del av en riskanalys?
Klassificera informationstillgången
Syftet med en GAP-analys är att ge vad?
Alla ovanstående.
Vad kallas den analysmetod som används för att bedöma organisationens säkerhetsnivå genom att identifiera skillnader mellan en standard och den faktiska säkerhetsnivån?
GAP-analys
Om du klassificerar ett system med avseende på sekretess, riktighet och tillgänglighet, så att resultatet blir ”Sekretess HÖG, Riktighet MEDEL, Tillgänglighet LÅG”. Vad är den huvudsakliga betydelsen av detta resultat?
Det är ett uttryck för behovet av informationssäkerhet för det aktuella systemet
I ”Introduction to the systems approach” beskriver författarna något de kallar den ”konkretistiska fallgropen” (”the concretistic pitfall”). Vad menar de med det?
Att man kan förledas att tro att modeller av verkligheten är verkligheten.
Vad avses med personlig integritet och dataskydd i informationssäkerhetssammanhang?
Rätten till en privat sfär och skydd av personlig information mot obehörig användning.
Vilken av följande är tydligast en säkerhetsåtgärd relaterad till konfidentialitet inom informationssäkerhet?
Kryptering
Vilket av följande är ett exempel på uppgiftsminimering enligt GDPR?
Att endast samla in de personuppgifter som behövs för ett specifikt ändamål.
Vilket beskrivs som en risk inom individens IT-miljö?
Oväntad delning av data med tredje part genom olika molntjänster.
Vad är sant rörande ett stängt system (closed system)?
Inget kan föras in eller ut ur systemet.
”Interna kontrollmekanismer kräver löpande och automatisk jämförelse av kontrollobjektet mot en given standard, samt löpande och automatisk återkoppling för att korrigera avvikelser från standarden.” Vilken princip är det som beskrivs?
Beers första kontrollprincip
Vad är syftet med GDPR enligt artikel 1?
Att skydda fysiska personers personuppgifter och säkerställa det fria flödet av sådana uppgifter inom EU.
Vilken av följande kategorier är inte en särskild kategori av personuppgifter enligt artikel 9?
Inkomstuppgifter
Enligt artikel 6 när är behandling av personuppgifter laglig utan samtycke?
När behandlingen är nödvändig för att fullgöra ett avtal med den registrerade
Vad innebär 'rätten att bli glömd' enligt artikel 17?
Att personuppgifter måste raderas på begäran av den registrerade under vissa förutsättningar
Vilket av följande alternativ beskriver en institution vilken är av regulativ typ?
Styrs av lag
Vad är menas med ett teckens denotation inom Semiotiken?
Det tecknet direkt refererar till
Vilken av följande är inte en del av den semiotiska ”stegen”?
Teknik (Technology)
Den semiotiska stegen kan sägas ha olika fokus på olika nivåer. Antag att du ska analysera en elektronisk kommunikation mellan två personer. Vilket av följande är korrekt?
Lägre nivåer handlar mer om den elektroniska kommunikationen medans den övre handlar om människorna som kommunicerar
Vad innebär en 'signifier' (det som betecknar) enligt semiotikens terminologi?
Det är det fysiska tecknet eller symbolen
Vilken roll spelar kontext i ett teckens tolkning?
Kontexten är avgörande för hur ett tecken förstås
På kursen togs olika typer av skydd eller säkerhetsåtgärder upp, som en organisation kan använda för sin informationssäkerhet. Vilka var det?
Logiska, fysiska samt administrativa
Vad innebär det att en viss informationstillgång klassats på ett visst sätt i samband med så kallad informationsklassning?
Att informationssäkerhetskraven är fastställda
Vad menas med en ”personuppgift” enligt GDPR?
Uppgifter (information) som avser en identifierad eller identifierbar fysisk person
Uppgifter (information) som avser en fysisk person oavsett om den är identifierad eller kan identifieras
Vilken informationssäkerhetsaspekt är den viktigaste?
Det kan variera
Loggning av händelser i ett IT-system är främst ett sätt att skapa förutsättningar för:
Spårbarhet (traceability)
Vad menas med logiskt skydd?
Åtgärder som brandväggar, behörighetskontrollsystem och antivirusprogram.
Vad kan systemteori användas för inom informationssäkerhet?
Analys av alla typer av system som kan förekomma inom informationssäkerhet
Vilket alternativ beskriver närmast ett dataskyddsombud?
En människa som på ett oberoende sätt granskar dataskyddsarbetet i en verksamhet
Vilket av följande var ett av de huvudsakliga målen med Generell Systemteori (GST)?
Att överföra resultat från en disciplin (kunskapsområde) till ett annat.
Vad menas med miljö inom systemteorin?
Samtliga nedanstående alternativ (b, c och d)
Churchman beskriver fem grundläggande karaktärsdrag vilka system har. Ett av dem är att de är målsökande. Ett annat ord för målsökande är:
Teleologisk
DUBBELKOLLA: En ”samling i förväg uttänkta, länkade och dokumenterade aktiviteter som svarar mot ett fastställt behov inom informationssäkerhetsarbetet” kallas i kurslitteraturen för vad? (alla svar ger rätt – detta fanns inte med i litteraturen!)
Aktivitetspaket
Informationssäkerhetsprojekt
Processer (det rätta svaret)
Ingen av de ovanstående (a, b eller c).
Vad kan nackdelen vara med för mycket informationssäkerhet i en organisation?
Alla ovanstående
Stafford Beer, om han levat, skulle betecknat en organisation bestående av människor som
Ett probabilistiskt (baserat på sannolikhet) och ytterligt komplext system.
Inom GDPR (dataskyddsförordningen artikel 30) ställs krav på ett ”Register över behandling”, vilket av följande är inte information som måste finnas i registret?
Inträffade personuppgiftsincidenter
Vilken typ av säkerhetsåtgärd kan du införa själv för att få god sekretess (konfidentialitet)?
Kryptering (t.ex. av hårddisken i datorn)
Vilken av följande räknas inte upp som en vanligen förekommande ”Riktlinje” för informationssäkerhet i litteraturen?
Riktlinjer för hotanalys
Vad är det främsta resultatet av en GAP-analys?
En beskrivning av verksamhetens informationssäkerhetsnivå.
Åtgärder relaterade till Redundans inom informationssäkerhet kan innefatta vad (i huvudsak)?
Avsaknad av backup
Strömavbrott
Dieselgenerator för el
Kryptering
Institutionell teori kan endast tillämpas när det man vill analysera uppvisar någon form av:
socialt beteende
Inom systemteorin beskrivs olika typer av relationer mellan delsystem eller objekt. Vad menas främst med en synergistisk relation?
Att komponenterna blir starkare tillsammans (genom relationen)
Vilken av följande är tydligast en säkerhetsåtgärd relaterad till konfidentialitet inom informationssäkerhet?
Kryptering
Riskanalys kan ha en hel del positiva ”biverkningar”. Vilka av följande har inte nämnts i litteraturen som sådana:
Vi blir medvetna om våra egna misstag
I GDPR kan man i begreppslistan finna ett begrepp vars definition inleds med ”varje slag av frivillig, specifik, informerad och otvetydig viljeyttring ….”. Vilket begrepp avses?
Samtycke
Vilken myndighet i Sverige är tillsynsmyndighet för GDPR och personuppgiftslagen, det vill säga ska tillse att de efterlevs?
Integritetsskyddsmyndigheten
Vad är det främsta resultatet av en GAP-analys?
En beskrivning av verksamhetens informationssäkerhetsnivå.
Vem ledde projektet MEASUR?
Stamper
Konfidentialitet betyder inom informationssäkerhet?
Ungefär ”hemligt”
Vad är en CISO?
Informationssäkerhetschef
Vilken typ av säkerhetsåtgärd kan du införa själv för att få god tillgänglighet?
Säkerhetskopiering
Ett system definieras som:
En uppsättning objekt inklusive relationer mellan dessa och mellan dessas attribut, relaterade till varandra och till deras miljö för bildandet av en helhet.
Taylorismen (scientific management) var ett sätt att styra företag på som kan betecknas som:
Man såg främst till produktionsprocessen och tekniken.
Med ett sociotekniskt synsätt betonas:
Att verksamheter består av både sociala och tekniska delar.
Vilket av följande är normalt inte att se som en del av det tekniska systemet vid ett sociotekniskt synsätt:
Riktlinjer och policyer
Vad är målet med informationssäkerheten i en affärsdrivande verksamhet?
Att säkerheten skall bidra till verksamhetens överlevnad och vinst.
Vad är det främsta syftet med en verksamhetsanalys i samband med informationssäkerhetsarbetet:
Syftet är främst att identifiera informationstillgångar och krav på informationssäkerheten.
En part som behandlar personuppgifter för en personuppgiftsansvarigs räkning kallas enligt dataskyddsförordningen GDPR?
Personuppgiftsbiträde