AUDITOR INTERNO ISO 27001:2013

LA SIGLA SGSI DESCRIBE EL TERMINO: Sistema de gestión de seguridad informática. Sistema de gestión de seguridad de riesgos. Gestión de seguridad de la información. Sistema de gestión de seguridad de la información.

La versión 2013 del estándar ISO 27001:2013 contiene: 112 controles y 13 dominios. 114 controles y 14 dominios. 113 controles y 14 dominios. Ninguna de la anteriores.

Los tipos de auditoria para verificar el cumplimiento de requisitos del estándar ISO 27001:2013 son: Interna, externa y compuesta. Primera parte, segunda parte y compuesta. De nivel superior y nivel inferior. Primera parte, segunda parte y tercera parte.

La mejor definición de auditoria es: Proceso sistemático, independiente y documentado para obtener evidencias de la auditoria y evaluarlas de manera objetiva con el fin de determinar costos y beneficios en la organización. Proceso sistemático, independiente y documentado para obtener de la auditoria que cargos deben ser eliminados y evaluarlos de manera objetiva con el fin de determinar la extensión en que se cumplen los criterios de auditoria. Proceso sistemático, independiente con el cual se obtienen evidencias de la auditoria y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los criterios de auditoria. Proceso sistemático, independiente y documentado para obtener evidencias de la auditoria y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los criterios de auditoria.

Defina alcance: Extensión y limites de una auditoria. El alcance de la auditoria incluye generalmente una descripción de las ubicaciones físicas, las unidades organizacionales, actividades y procesos, así como el período de tiempo cubierto. Extensión y limites de una auditoria. El alcance de la auditoria incluye generalmente una descripción de las ubicaciones físicas, proveedores, costos, las unidades organizacionales, actividades y procesos, así como el período de tiempo cubierto. Extensión y limites de una auditoria. El alcance de la auditoria incluye generalmente una descripción de las ubicaciones físicas, pero no de las unidades organizacionales, actividades y procesos. Ninguna de las anteriores.

Programa de auditoria es: Conjunto de una o mas auditorias planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito especifico. Un programa de auditoria incluye todas las actividades necesarias para planificar, organizar y llevar a cabo las auditorias. Descripción a detalle de una auditoria planificada para un periodo de tiempo determinado y dirigidas hacia un propósito especifico. Un programa de auditoria incluye todas las actividades necesarias para planificar, organizar y llevar a cabo las auditorias. Conjunto de una o mas auditorias planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito especifico. Un programa de auditoria puede no incluir todas las actividades necesarias.

La mejor definición de plan de auditoria es: Descripción de las actividades y de los detalles acordados de una auditoria realizados por el auditado. Describir de forma general solo una actividad de la auditoria. Descripción de las actividades y de los detalles acordados de una auditoria. Ninguna de las anteriores.

El termino que define un hallazgo de auditoria es: Conclusiones finales de la auditoría. Resultados de la evaluación de la evidencia recopilada durante la auditoria, frente a los criterios de auditoria. Mejoras identificadas. Incumplimientos de politicas.

Tres principios de auditoria son: Integridad, presentación ecuánime y debido cuidado profesional. Eficaz, eficiente y productivo. Imparcial, veraz y elocuente. Ninguna de las anteriores.

Las fases de la auditoria son: Programacion, disposición, ejecución, entrega, Seguimiento. Preparación, programación, ejecución, entrega, conclusiuones. Programación, preparación, ejecución, entrega, Seguimiento. Preparación, preparación, ejecución, entrega.

El ciclo PHVA hace parte del modelo de implementación del sistema de gestión de seguridad de la información. Verdadero. Falso.

Que debe contener el formato de programa de auditoria: Objetivo, alcance, clase de auditoria. Objetivo, alcance, clase de auditoria, criterio principal de auditoria, equipo auditor, recursos, cronograma. Objetivo, alcance, clase de auditoria, criterio principal de auditoria,. Ninguna de las anteriores.

Que incluiría en el plan de auditoria: Fecha, hora, auditor, contacto clave. Fecha, hora, auditor,área/departamento/proceso/, contacto clave. Fecha, hora, auditor,área/departamento/proceso/,. Ninguna de las anteriores.

Para el desarrollo de la auditoria el auditor se apoya de: Guía de como realizar auditorías. Teléfonos celulares, portátil. Lista de verificación. Todas las anteriores.

Un hallazgo de la auditoria puede ser clasificado en: Conformidad;No conformidad o no concordancia o incumplimiento;sanción. Conformidad;No conformidad o no concordancia o incumplimiento;Observación, oportunidad de mejora. Conformidad;No conformidad o no concordancia o incumplimiento;sanción y multa. Ninguna de las anteriores.

Que debe emitir al finalizar la auditoria: Informe. Hallazgo. Concepto. Ninguna de las anteriores.

Que metodología puede utilizar para el desarrollo de la auditoria: Espina de pescado. ISO 31000:2008. ISO 31000:2009. ISO 9001:2015.

CASO No 1: La organización establece intercambio de información con el organismo supervisor, esta información es enviada por medio electrónico, la organización definió una excelente política de intercambio de información y por lo tanto no fue necesario definir el procedimiento de intercambio de información. Cumple. No cumple.

Caso 2. La organización incluyó en el programa de auditorias la realización de auditorias de segunda parte al sistema de gestión de la seguridad de la información (proveedores potenciales de servicios críticos), incluyó en su presupuesto para el siguiente año la asignación de recursos para ejecutar las auditorias anteriores en un período de seis meses. La organización esta decidiendo a quien designa como responsable de esta actividad. No cumple. Cumple.

CASO No 4: La organización Telecomunica TE S.A., ha establecido contratos y acuerdos de niveles de servicio al SGSI con terceros, por ejemplo para servicios de mantenimiento de UPS de centro de datos, administración de Firewall, gestión de ingreso y salida de personal. El responsable indica que se han definido muy bien los contratos y los ANS, por lo tanto no ha sido necesario realizar auditorias a intervalos regulares. Cumple. No cumple.

Usted audita al responsable de tecnología de información, ¿Cuál es la periodicidad de verificación de los sistemas de información?, entrega un programa que define una frecuencia de cada seis (6) meses. La última verificación fue hace trece (13) meses, el responsable menciona que se cambio intervalo a un año y además por el cambio de la infraestructura tecnológica. No cumple. Cumple.