CLI- 27001-2022

Propiedad de la información por la cual mantiene a la información accesible cuando sea necesaria. (A) Confidencialidad. (B) Disponibilidad. (C) Integridad. (D) Utilidad.

Propiedad de la información por la que se mantiene inaccesible y no se revela a individuos, entidades o procesos no autorizados. (A) Confidencialidad. (B) Disponibilidad. (C) Integridad. (D) Utilidad.

¿La definición del alcance y las políticas de seguridad a que etapa del ciclo PHVA pertenecen?. (A): Verificar. (B): Planear. (C): Hacer. (D): Actuar.

Dentro de la fase Hacer del ciclo PHVA se encuentran las actividades: (A): Caso de Negocio, Análisis GAP y evaluar las consecuencias sobre los cambios planeados y no planeados como resultado del análisis GAP. (B): Análisis GAP y recolección de registros. (C): Ejecutar procesos, recolección de registros y evaluar las consecuencias sobre los cambios planeados y no planeados como resultado de la fase de planificación. (D): Caso de Negocio, análisis GAP y recolección de registros y evaluar las consecuencias sobre los cambios planeados y no planeados como resultado del análisis de los registros.

No pertenece a la categorización del anexo A de la ISO IEC 27001:2022. (A): Personas. (B): Físicos. (C): Tecnológicos. (D): Financieros.

Norma que proporciona una Guia de implementacion para los controles de seguridad de la información: (A): 27002. (B): 27003. (C): 27001. (D): 27032.

Un SGSI, mediante el proceso de gestión de riesgos contribuye a la organización en determinar los controles adecuados para alcanzar niveles aceptables de riesgo y de igual manera contribuye en tomar en cuenta la necesidad y requisitos de las partes interesadas. (A): Cierto. (B): Falso.

¿Qué es un modelo de madurez?. (A). Son técnicas para análisis de riesgo basadas en las consecuencias y en la probabilidad pueden ser cualitativas , cuantitativas o semicuantitativas. (B). En un análisis de riesgos tiene que considerarse los 93 controles del anexo A. (C). Un análisis de riesgos se limita a la disponibilidad de la información. (D) Es un conjunto y estructura de elementos que describen el nivel de madurez de un ente en un aspecto determinado, cada modelo propone una escala de 4, 5 o 6 niveles.

La política de seguridad de la información describe la importancia estratégica del SGSI para la organización y debe estar disponible como información documentada. ¿Qué opción describe mejor el propósito de la política de seguridad de la información?. (A): La política documenta el análisis de riesgos y la búsqueda de contramedidas. (B): La política proporciona dirección y apoyo a la gestión en materia de seguridad de la información. (C): La política hace que el plan de seguridad sea concreto aportándole la información detallada necesaria. (D): La política proporciona una mejor comprensión sobre las amenazas y las posibles consecuencias.

El análisis PESTEL es un marco para analizar los factores clave (políticos, económicos, sociológicos, tecnológicos, legales y ambientales) que tienen una influencia externa en una organización. (A): Cierto. (B): Falso.

Un ejemplo de una política específica podría ser: (A): Trabajo remoto, escritorio y pantalla limpias. (B): Clasificación de la información, plan de auditoría . (C): Solo A cumple con los criterios de una política específica según la ISO IEC 27001:2022. (D): A y B son ejemplos para políticas específicas.

El control 5.12 Asegura que la información se clasificará de acuerdo con las necesidades de seguridad de la información de la organización en función de la confidencialidad, integridad, disponibilidad y los requisitos relevantes de las partes interesadas.?. (A): Cierto. (B): Falso.

El control 5.26 asegura que los incidentes de seguridad de la información se responderán de acuerdo con los procedimientos documentados. (A): Cierto. (B): Falso.

La norma ISO 31000:2018: (A): Establece una guía de implementación de un SGSI. (B): Establece una guía de implementación de los controles de seguridad de la información. (C): Establece las directrices para ejecutar auditorías a cualquier sistema de gestión. (D): Establece entre otros puntos el proceso para la gestión y tratamiento de riesgos.

La norma ISO 27003:2017: (A): Establece una guía de implementación de un SGSI. (B): Establece una guía de implementación de los controles de seguridad de la información. (C): Establece las directrices para ejecutar auditorías a cualquier sistema de gestión. (D): Establece entre otros puntos el proceso para la gestión y tratamiento de riesgos.

Como implementador líder de un SGSI usted sabe que debe implementarse el control 5. 17 ya que deberán existir reglas, procedimientos o acuerdos de transferencia de información para todo tipo de instalaciones de transferencia dentro de la organización y entre la organización y otras partes. (A): Cierto. (B): Falso.

Los controles del anexo A han sido reagrupados en 4 dominios ¿Cuál de estos es un ejemplo del dominio “Controles Organizacionales ”. (A): Copia de seguridad. (B): Codificación Segura. (C): Políticas de seguridad de la información. (D): Guardar el equipo de red y las cajas de conexiones eléctricas en una habitación cerrada.

El control 5.9 Inventario de información y otros activos asociados ha sido rediseñado, ahora el control considera: 1.- Inventario y propiedad de los activos. 2.- Inventario y Desarrollo seguro. 3.- Propiedad de los activos , desarrollo seguro e inventario. (A): Sólo 1. (B): Sólo 3 es correcta . (C): Sólo 1 y 3 son correctas . (D): Todas las opciones están relacionadas al control.

¿Cuál de los siguientes factores pueden afectar en la determinación del alcance según la cláusula 4.3 de la norma ISO IEC 27001:2022?: (A): Todas las funciones de apoyo, es decir, funciones necesarias para respaldar estas actividades comerciales como Recursos humanos; Servicios de TI; Aplicaciones de software; Instalaciones de edificios, zonas físicas:. (B )Servicios críticos que pueden causar un gran impacto en la organización o en sus clientes y partes interesadas como resultado de pérdidas de confidencialidad, integridad o disponibilidad y sus dependencias;. (C): A y B son algunos factores que se deben considerar al determinar el alcance del SGSI. (D): Sólo el resultado del análisis GAP afecta en la determinación del alcance de un SGSI.

En la definición de la política de seguridad de la información, algunos aspectos para tener en cuenta son: (A): Comprensión de las necesidades y expectativas de las partes interesadas. (B): El resultado del análisis GAP. (C): A y B son correctas. (D): Ninguna de las anteriores.

Usted está trabajando como implementador líder de la norma ISO / IEC 27001:2022 y apoyando en la definición de la política de seguridad de la información . Algunos aspectos para tener en cuenta son: (A): Comprensión de las necesidades y expectativas de las partes Interesadas. (B): Necesidades internas. (C): Necesidades externas. (Ejemplo: clientes y usuarios). (D): Todas las anteriores.

La norma ISO 27001:2022 para la definición de las políticas de seguridad de la información recomienda establecer una jerarquía de políticas, ¿cuáles son los niveles que usted recomendaría seguir?. (A):Alto nivel, política de SI, políticas específicas. (B): Políticas que definan el órgano de gobierno y políticas que rigen la operación del SGSI. (C) una combinación de A y B. (D): Ninguna de las anteriores.

Usted está trabajando como implementador líder de la norma ISO IEC 27001:2022 y apoyando en la definición de la política de seguridad de la información. Algunos aspectos pueden ser considerados entradas para la política de seguridad son: (A): Los propósitos y objetivos de la organización. (B): El nivel de madurez de la organización basado en CMMI. (C): El criterio de definición de la compañía que hará la auditoría de certificación. (D): Ninguna de las anteriores.

Usted está trabajando como implementador líder de la Norma ISO / IEC 27001:2022, Usted recomendaría que se evalúe la actualización de la actual declaración de aplicabilidad (SoA por sus siglas en inglés, Statement of Applicability) porque los riesgos se evalúan y actualizan constantemente. (A): Cierto. (B): Falso.

El Análisis de Riesgos de Seguridad de la Información es el proceso que comprende las posibles consecuencias que pueden traer consigo determinadas situaciones y la probabilidad de que estas se produzcan con el objetivo de medir el nivel del riesgo. (A): Cierto. (B): Falso.

El documento “SoA” es un requisito del estándar ISO / IEC 27001:2022 que determina los riesgos que le aplican a la organización en relación con los activos de información evaluados. (A): Cierto. (B): Falso.

¿Cuál de las siguientes afirmaciones NO corresponde a los objetivos de seguridad de la información. (A): Los objetivos de un SGSI son los objetivos de seguridad de la información para confidencialidad, integridad y disponibilidad de la información. (B): Los objetivos de seguridad de la información ayudan a implementar las metas estratégicas de una organización y la política de seguridad de la información. (C): Los objetivos de seguridad de la información también ayudan a especificar y medir el desempeño de los controles y procesos de seguridad de la información de acuerdo con la política de seguridad de la información. (D): Para los objetivos de seguridad de la información no se deben considerar los resultados de las evaluaciones de riesgos y los tratamientos de riesgos como insumos para la revisión continua de los objetivos ya que estos no aseguran que sigan siendo apropiados a las circunstancias de una organización.

Para cumplir con el requisito de la norma ISO / IEC 27001:2022 deberemos establecer un programa de auditorías internas que nos permitan revisar el sistema de Gestión SGSI. ¿Cómo se define una auditoría?. (A): Proceso para asegurar que todos los controles se encuentran alineados a la norma y comprobar que el SGSI que hemos implantado cumple con los deseos de la alta dirección. (B): Proceso para validar los resultados de las revisiones externas. (C): Proceso sistemático, independiente y documentado para obtener evidencia objetiva y evaluarla objetivamente para determinar en qué medida se cumplen los criterios de auditoría. (D): Proceso para obtener evidencia objetiva y evaluarla objetivamente para determinar en qué grado se cumplen los criterios de auditoría.

Usted ha sido contratado para realizar una implementación de un sistema de gestión de seguridad de la información. Uno de los pasos que desea hacer es ejecutar un análisis GAP. ¿Cuál es el resultado que espera obtener o que produce el análisis GAP?. (A): Obtener el costo financiero aproximado del cierre de brechas. (B): Entrega la relación directa entre el estado anterior y actual de la organización. (C): Razones por las cuales se debe implementar un SGSI y aproximación de costo y esfuerzo para implementar un SGSI. (D): Con el análisis GAP se espera tener estado actual de las prácticas de seguridad de la información implementadas, es decir se conocerá la “brecha” entre lo requerido por la Norma ISO / IEC 27001:2022 y las prácticas actuales, esto con el objetivo de generar un plan de cierre de brechas.

Según la IEC 27001:2022 en su cláusula 9.3, La alta dirección debe: (A): Establecer un programa de auditorías. (B): Ejecutar análisis GAP. (C): Exigir y revisar periódicamente los informes sobre el desempeño del SGSI. (D): Ejecutar un análisis PESTLE a intervalos planificados.

La información documentada puede estar conformada por: (A): Pueden ser manuales. (B): Son instrucciones, planes y formatos. (C): Son procedimientos documentados en el sistema de gestión. (D): Todas las anteriores.

Son opciones de tratamiento de riesgos: (A): Enfoque de detección y Enfoque de mitigación de riesgos. (B): Enfoque basado en eventos y enfoque basado en la identificación de activos, amenazas y vulnerabilidades. (C): Evitar el riesgo, asumir el riesgo. modificar el riesgo, retener el riesgo. (D): Todas las opciones son correctas.

El nivel de riesgo se establece: (A): En base a un cuestionario definido por la organización. (B): Al considerar la probabilidad y el impacto. (C): Al identificar las vulnerabilidades de un activo. (D):Todas las anteriores.

Listar los riesgos, priorizarlos en base al valor del activo ¡y tratar los de mayor valor primero son opciones de tratamiento de riesgos. (A): Cierto. (B): Falso.

¿La mejora continua a qué fase del ciclo PDCA pertenece?. (A): PLANEAR. (B):HACER. (C): VERIFICAR. (D): ACTUAR.

¿Usted está trabajando como Implementador líder de un SGSI , bajo su experiencia cuál podría ser un orden a tener en cuenta en la implementación? 1. Definir política. 2. Definir alcance. 3. Valorar riesgos. 4. Seleccionar controles. 5. Preparar una declaración de aplicabilidad (SOA Statement of Application). ¿Bajo un enfoque PDCA (PHVA) cuál sería los mejores pasos a seguir?. (A): 1, 2, 3 ,4, 5. (B): 2, 1, 3, 4, 5. (C): 4, 1 ,2 ,3 ,5. (D): 3, 4, 5, 2, 1.

¿Usted está trabajando como Implementador líder de un SGSI , bajo su experiencia cuál podría ser un orden a tener en cuenta en la implementación? 1. Elaborar un caso de negocio. 2. Ejecutar un diagnóstico inicial mediante un análisis GAP. 3. implementar los requisitos de la norma ISO IEC 27001:2022 4 a 10 siguiendo el enfoque PDCA. (A): 1, 2, 3. (B): 2, 1, 3. (C): 3 ,2 ,1. (D): 1, 3, 2.

GAP Análisis resume a la Alta Dirección los principales aspectos a tener en cuenta para implantar un Sistema de gestión de la Seguridad de la Información (SGSI). (A): Cierto. (B): Falso.

Documento que se obtiene como resultado de un análisis GAP?. (A): Declaración de aplicabilidad. (B): Caso de Negocio. (C): Plan de acción. (D): Lista chequeo de auditoria.

Usted está trabajando como implementador líder de la Norma ISO / IEC 27001:2022 con el rol de consultor externo para definir el alcance del sistema de gestión de seguridad de la información (SGSI) ¿Qué opciones no debería recomendar? 1. Tener en cuenta los requisitos y expectativas de las partes interesadas. 2. Defina el alcance solo cuando tenga seleccionado los controles a implementar y el SOA. 3. Tenga en cuenta el análisis del contexto de la organización (cuestiones externas e internas). 4. Para el alcance no se deben considerar todos los procesos de negocio, solamente los de IT. (A): 2 y 4. (B): 1 y 2. (C): 1 y 4. (D): 3 y 4.