Fundamentos ISO 27001

La aprobación del plan de tratamiento de riesgos y la aceptación del riesgo residual es la responsabilidad de: (Selecciona la mejor respuesta). Alta dirección. Dueño del riesgo. Director de Información. Director de Seguridad.

¿Cuál de los siguientes no es un requerimiento de ISO/IEC 27001? (Selecciona la mejor respuesta). Tener un rol dedicado como Gerente de Seguridad de la Información. Que la alta dirección promueva una mejora continua. Que sean comunicados los objetivos de seguridad de la información. Documentar el plan de tratamiento del riesgo.

Los objetivos de seguridad de la información deben ser consistentes con: (Selecciona la mejor respuesta). El plan de tratamiento de riesgo. La política de seguridad de la información. La declaración de aplicabilidad. La metodología de evaluación de riesgo.

Una organización tiene múltiples locaciones ejecutando respaldos de información y ha determinado que necesitan documentar su proceso para poder mantener consistencia y asegura la efectividad. Este documento debe ser: (Selecciona la mejor respuesta). Aprobado por el comité de dirección de seguridad de la información. Disponible y apropiado para uso, cuando y donde sea necesario. Enlistado en la matriz maestro de documentos. Disponible en formato electrónico e impreso.

Un proveedor de seguros de salud mantiene bases de datos de información confidencial de clientes. La consecuencia potencial de divulgar información privada de cualquier cliente debe ser abordado en: (Selecciona la mejor respuesta). La declaración de misión de la organización. El plan de tratamiento de riesgo. El plan de conformidad. La evaluación de riesgo.

El alcance del SGSI de una organización que gira en torno a proveer servicios financieros. En la política de seguridad de la información, la alta gerencia ha declarado su intención de operar dentro de los requerimientos estatales y federales. El resto de la política de seguridad de la información se enfoca en como TI entregará los servicios financieros. Esta política: (Selecciona la mejor respuesta). No está conforme con ISO/IEC 27001. Está conforme con ISO/IEC 27001. Está conforme con ISO/IEC 27001 pero podría ser mejorada. No aplica a líneas de negocio especificas.

Una organización de desarrollo de software ha decidido subcontratar su mesa de ayuda, la que también maneja las llamadas de incidentes de seguridad. La organización recibe un reporte de parte de la mesa de ayuda, subcontratada de manera mensual, que contiene métricas de desempeño de llamadas consistente en tiempo de espera promedio, tiempo ocioso del agente y número promedio de llamadas en cola. La organización usa el reporte como un medio para demostrar control sobre la mesa de ayuda desde el punto de vista de requerimientos de seguridad de la información. ¿Esto está conforme con la ISO/IEC 27001?. Verdadero. Falso.

Las actividades coordinadas para dirigir y controlar una organización con relación al riesgo son conocidas como: (Selecciona la mejor respuesta). Evaluación de riesgo. Tratamiento de riesgo. Gestión de riesgo. Estimación de riesgo.

La propiedad de proteger la precisión y la completitud de los bienes es: (Selecciona la mejor respuesta). Integridad. Corrección. Inter-operatividad. No repudio.

Una medida que está modificando riesgo puede ser referido como: (Selecciona la mejor respuesta). Remediación de riesgo. Sistema de Gestión de Seguridad de la Información (SGSI). Control. Análisis de impacto de negocio.

Se puede decir que el SGSI de una organización es efectivo sí: (Selecciona la mejor respuesta). La mesa de ayuda ha minimizado su personal y aún siguen cumpliendo sus objetivos. Se ha mostrado que todas las áreas del proceso tienen planes y han establecido objetivos, han tomado acciones para mejorar. Los equipos de auditoría interna y de cumplimiento han identificado numerosas. La gerencia ha dado al gerente de TI la autoridad absoluta sobre la seguridad y ha dado al departamento de IT un presupuesto limitado.

Un control físico fue implementado en el SGSI de un hospital. Han determinado que su control particular debe ser medido y aseguran que es medido. Como cambian constantemente las cargas de trabajo y agendas, no han determinado una sola persona para hacer la medición. Esto está conforme con ISO/IEC 27001: Verdadero. Falso.

El SGSI de un hospital está sujeto a requerimientos legales. Desde la perspectiva de un sistema de gestión, la evaluación de cumplimiento legal consistirá de: (Selecciona la mejor respuesta). Confirmar que existe un proceso dentro del hospital para mantener cumplimiento con los requerimientos legales y regulatorios. Ninguna acción adicional dado que los estándares ISO manejan solo conformidad. Contactar con el departamento legal para confirmar que no existen situaciones legales sobresalientes. Revisar una declaración del Consejo de Dirección del hospital donde se estipulen que mantendrán los requerimientos legales.

La conformidad es vista como el satisfacer requerimientos desde la perspectiva de un sistema de gestión, mientras que el cumplimiento es visto como el satisfacer requerimientos desde una perspectiva legal; esto es: Verdadero. Falso.

Una operación financiera ha seleccionado sus operaciones de intercambio devalores como el alcance de su SGSI, revisando su política de seguridad de la información, no se puede ver donde la organización se compromete a cumplir las regulaciones de seguridad gubernamental. ¿Esto cumple los requerimientos de ISO/IEC 27001?. Verdadero. Falso.

Una organización ha hecho de las operaciones de su procesamiento de reclamaciones el alcance de su SGSI. ¿Los controles que han seleccionado están determinados en qué proceso? (Selecciona la mejor respuesta). Política de seguridad. Revisión de gerencia. Evaluación de riesgo. Tratamiento de riesgo.

Una organización consiste en diez laboratorios médicos a donde los pacientes van por pruebas y están bajo la dirección de una sede central. La alta dirección ha determinado que el alcance de su SGSI será la protección de toda la información personal de los pacientes y cubrirá la sede central. ¿Esto cumple los requerimientos de ISO/IEC 27001?. Verdadero. Falso.

Según ISO/IEC 27001, una evaluación de riesgo incluirá: (Selecciona la mejor respuesta). Posibilidad de ocurrencia de un riesgo. Partes interesadas del SGSI. Opciones para tratamiento de riesgo de seguridad. Resultados de medidas de control.

Una organización ha definido un proceso de evaluación de riesgo. Este anualmente es empleado en sus instalaciones locales y todas sus locaciones foráneas. ¿Esto produce consistencia y resultados comparables?. Verdadero. Falso.

Una organización que ha identificado requerimientos regulatorios como un factor externo y el mantener cumplimiento regulatorio como un objetivo de seguridad de la información requerirá de qué en su evaluación de riesgo: (Selecciona la mejor respuesta). El riesgo asociado con no cumplir obligaciones contractuales. La posibilidad de ser descubierto operando fuera de los requerimientos regulatorios. Las consecuencias potenciales asociadas con no satisfacer los requerimientos regulatorios. Un proceso documentado para mantener cumplimiento con los requerimientos legales y regulatorios.

Una organización ha hecho de las operaciones de Ventas el alcance de su SGSI. Una evaluación de riesgo para la información de ventas de una organización debe incluir: (Selecciona la mejor respuesta). El valor financiero asociado con la perdida de confidencialidad en la información de ventas. El riesgo asociado con vendedores que transportan la información de ventas en sus laptops. Una política de uso aceptable de bienes de la compañía. Cifrado de los nombres y direcciones de los clientes.

Una gran cadena de distribución nacional tiene el objetivo de asegurar que los clientes puedan ingresar a la información de su cuenta al menos 98 % de las veces. La evaluación de riesgo deberá: (Selecciona la mejor respuesta). Incluir el riesgo asociado con disponibilidad de la información. Asegurar que permitir acceso a los clientes satisface los requerimientos regulatorios. Incluir el riesgo asociado con que el software del cliente sea desarrollado por una compañía de desarrollo subcontratada. Ser completado por el departamento de TI dado que son los custodios de los archivos de cuenta de los clientes.

La Declaración de Aplicabilidad debe contener los controles necesarios para implementar la opción de tratamiento de riesgo escogida, sean implementados o no, y... (Selecciona la mejor respuesta). Una lista de todos los bienes a los que se aplican los controles y riegos asociados. La justificación para la selección de controles y la exclusión de cualquier control. Una lista de todas las políticas y procedimientos asociados y los controles con los que se relacionan. Los valores totales de riesgo calculado, ordenado de mayor a menor.

Si uno de los objetivos de seguridad de la información de una organización fuera prevenir divulgación no autorizada de información confidencial en caso de que un equipo portátil fuera robado, los controles seleccionados para tratar el riesgo y en Declaración de Aplicabilidad deben incluir: (Selecciona la mejor respuesta). Responsabilidades de usuario. Cifrado. Protección contra malware. Seguridad de RH – Previa a contratación.

La evaluación de riesgo de seguridad de la información debe ser desempañada: (Selecciona la mejor respuesta). Anualmente. Semestralmente. En intervalos planeados. Solo como sea especificado por el auditor.

Si una organización que planea hacer un cambio a un proceso dentro del alcance de su SGSI, debe: (Selecciona la mejor respuesta). Calcular los costos del cambio. Actualizar la política de SGSI. Controlar el cambio. Actualizar los objetivos de SGSI.

Si cambios significativos ocurren o son propuestos, la organización debe: (Selecciona la mejor respuesta). Implementar controles para mitigar el nuevo riesgo. Tener una junta de revisión por la gerencia. Revisar y actualizar sus objetivos de seguridad de la información. Realiza una evaluación de riesgo de seguridad de la información.

Para mantener cumplimiento con requerimientos de licenciamiento de software, ¿Una organización empleará cuál control? (Selecciona la mejor respuesta). A.5.1.1- Políticas para la seguridad de la información. A.18.1.2 - Derechos de Propiedad Intelectual (DPI). A.9.2.3 - Gestión de privilegios de acceso. A.12.1.4 - Separación de los recursos de desarrollo, prueba y operación.

¿Cuál control del anexo A sería seleccionado para mitigar el riesgo de que los empleados usen equipo de formación que es propiedad de la organización, para su uso personal? (Selecciona la mejor respuesta). A.8.1.3 – Uso aceptable de los activos. A.7.1.2 – Términos y condiciones del empleo. A.7.2.3 – Proceso Disciplinario. A.18.2.2 – Cumplimiento de las políticas y normas de seguridad.

¿Cuál control podría ser seleccionado para mitigar el riego asociado con actualizar software en servidores empresariales? (Selecciona la mejor respuesta). A.14.2.2 – Procedimiento de control de cambios en sistemas. A.12.7.1 – Controles de auditoría de sistemas de información. A.12.1.2 – Gestión de Cambios. A.9.4.5 – Control de acceso al código fuente de los programas.

El término “hallazgo de auditoría” automáticamente significa No Conformidad. Verdadero. Falso.

A una persona u organización que solicita una auditoría se le refiere como: (Selecciona la mejor respuesta). Auditor. Auditado. Cliente de Auditoría. Equipo de Auditoría.

Cuando se establece un programa de auditoría para un sistema de gestión, la organización deberá dar prioridad a los recursos de auditoría para tratar: (Selecciona la mejor respuesta). Necesidades del Negocio. Riesgos. Oportunidades de mercado. Integración a los planes de continuidad de negocio.

Los objetivos de auditoría pueden incluir: Evaluación de efectividad del sistema de gestión. Mantenimiento de los registros de auditoría. Selección de un líder de equipo. Ofrecimiento de certificación para una norma.

El alcance de una auditoría siempre es el mismo que el alcance del sistema de gestión. Verdadero. Falso.

¿Cuál de los siguientes factores se tomaría en consideración para determinar la viabilidad de una auditoría? (Selecciona la mejor respuesta). Temas relacionados con el informe de auditoría. Disponibilidad de información suficiente para planear la auditoría. Cooperación adecuada del equipo de auditoría. Directrices del encargado de la admisión.

Los documentos de trabajo del auditor pueden incluir: (Selecciona la mejor respuesta). El código de conducta del auditor. Identificación, incluyendo fotografía. Listas de verificación, planos y formatos de levantamiento de evidencia. Instrucciones para la instalación que se va a auditar.

La información aceptada como evidencia de auditoría deberá ser: (Selecciona la mejor respuesta). Verificable. Documentada. Identificada por los menos dos veces. Confirmada por el guía.

Un informe de auditoría deberá incluir, o referirse a: Una lista completa de todos los empleados de la organización auditada. Una lista completa de todos los documentos utilizados durante la auditoría. Una descripción completa y detallada del proceso de auditoría. Un resumen de los hallazgos de la auditoría.

El informe de auditoría deberá distribuirse a: Los destinatarios definidos en el procedimiento o plan de auditoría. Los destinatarios definidos por el líder del equipo de auditoría. Los destinatarios definidos por la directiva de la organización auditada. Los destinatarios definidos por el representante de la gestión de la organización auditada.