Proporciona orientación en los controles de seguridad de información La norma ISO 9001 La norma ISO/IEC 27002 Todas las anteriores La norma ISO/IEC 27001.
El responsable de todas las etapas de la auditoría es: Todos los miembros del equipo de implementación del SGSI Todos los miembros del equipo de implementación del SGSI incluyendo al auditor interno La alta dirección El auditor interno.
Quién puede asignar responsabilidades y autoridades para informar sobre el comportamiento del sistema de gestión de seguridad de la información dentro de la organización La junta de miembros del equipo de implementación del SGSI La alta dirección La auditoría interna de la empresa La organización de certificación encabezada por el Auditor Líder.
La alta dirección debe asegurarse que las responsabilidades y autoridades para los roles pertinentes a la seguridad de la información se asignen y comuniquen dentro de la organización, La alta dirección debe asignar la responsabilidad y autoridad para: (Escoja 2) Asegurarse que el sistema de gestión de la seguridad de la información es conforme con los requisitos de la norma internacional ISO 27001 Garantizar dentro de la política investigación científica Informar a la alta dirección sobre el comportamiento del sistema de gestión de la seguridad de la información garantizar que sea firmada por entidades gubernamentales.
El auditor interno de la compañía ABC audita al responsable del departamento de tecnología. Se había definido con anterioridad que la periodicidad de verificación de los sistemas de información se realizan con una frecuencia semestral. Al realizar la auditoría se identifica que la última verificación fue hace 11 meses, el responsable manifiesta que decidieron cambiarla a un año por la nueva infraestructura tecnológica adquirida que provee altos estándares de seguridad. Ninguna de las anteriores No cumple Cumple La infraestructura tecnológica reemplaza la verificación.
La mejor definición de auditoría interna es: Ninguna de las anteriores Es una actividad que debe ser realizada por Auditores que no sean empleados de la organización. Es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización Es una actividad que debe ser realizada exclusivamente por organismos de certificación.
Determinar el nivel de riesgo y valorar la probabilidad de ocurrencia deben estar incluidos en: El análisis de los riesgos de seguridad de la información Los controles necesarios para implementar el SGSI La norma ISO 27001 La política del SGSI.
La Declaración de Aplicabilidad debe ser creada en: La política del SGSI El tratamiento de riesgos La norma ISO 27001 Los controles necesarios para implementar el SGSI.
Asesorar e indicar como llenar los vacíos encontrados durante la evaluación de la preparación de la auditoría a una empresa acreditada puede ser una actividad de: Los miembros del equipo de implementación del SGSI La alta dirección El auditor interno El organismo de certificación.
Los eventos de seguridad de la información se deben notificar a través de: A través del ente certificador Únicamente por e-mail para que quede registro Los canales de gestión adecuados No es necesario notificarlos.
El conjunto de una o más auditorías planificadas para un período determinado y dirigidas hacia un propósito específico es: El programa de auditoría Cómo recopilar evidencias y realizar entrevistas Cómo escribir las no conformidades y los informes de auditoría interna La implementación del sistema de Gestión de Seguridad de la Información.
Cuales de los siguientes aspectos debe asegurar la alta dirección para demostrar liderazgo y compromiso con respecto al sistema de gestión de la seguridad de la información. Elija dos: Asegurando que se desarrollen productos software con frecuencia Asegurando la integración de los requisitos del sistema de gestión de la seguridad de la información en los procesos de la organización Asegurando que se establecen la política y los objetivos de seguridad de la información y que estos sean compatibles con la dirección estratégica de la organización Asegurando recursos humanos y monetarios para la investigación y desarrollo de programas de detección de fraudes.
La descripción de las actividades y de los detalles acordados de una auditoría es el objetivo de: Todos los miembros del equipo de implementación del SGSI incluyendo al auditor interno La alta dirección El auditor interno Un plan de auditoría.
La adopción de un sistema de gestión de la seguridad de la información es una decisión estratégica para una organización. No, existen otros sistemas más estratégicos Si, siempre y cuando se implemente No, la norma internacional ISO 27001 se puede adoptar como solo consulta Si, siempre y cuando la organización pertenezca a la industria.
De acuerdo con los requisitos de la norma internacional ISO 27001, la organización debe establecer, implementar, mantener y mejorar de manera continua un sistema de gestión de la seguridad de la información: No aplica Nunca Siempre Algunas veces.
Leer los procedimientos que tiene la empresa con anticipación es una preparación individual que debe tener Los miembros del equipo de implementación del SGSI El auditor interno de la empresa La alta dirección El auditor líder de un organismo de certificación.
Es importante que el sistema de gestión de la seguridad de la información forme parte y esté integrado con los procesos de la organización y con la estructura de gestión global y que la seguridad de la información se considere durante el diseño de procesos, de los sistemas de información y de los controles Ninguna de las anteriores No, porque al implementar el sistema de gestión de la seguridad de la información no se espera que se ajuste a las necesidades de la organización No, porque al implementar el sistema de gestión de la seguridad de la información no se espera en que se ajusten las necesidades de la organización Si, porque al implementar el sistema de gestión de seguridad de la información lo que se espera es que se ajuste a las necesidades de la organización.
Quién realiza las auditorías de recertificación ISO 27001 en una empresa: Los miembros del equipo de implementación del SGSI La alta dirección El auditor líder de un organismo de certificación El auditor interno de la empresa.
El sistema de gestión de seguridad de la información no preserva la confidencialidad, ni la integridad ni la disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos Verdadero Falso.
Deben tener en cuenta:
Las auditorías previas y la importancia de los procesos a auditar deben estar incluidos en: La política del SGSI La norma ISO 27001 Los programas de auditoría El rol de auditor interno.
Las siglas SGSI describe el termino de: Sistema de Gestión de Seguridad de la Información Socialización de Gestión de Seguridad de la Información Sistema de Gestión de Seguridad Internacional Sistema Gestionable en Seguridad Informática.
La vulnerabilidad es una debilidad en el activo que puede ser: Leída Auditada Mantenida Explotada.
Las necesidades, objetivos, requisitos de seguridad y los procesos organizativos utilizados son necesarios para el establecimiento e implementación de un: Rol del auditor interno Sistema de Gestión de Seguridad de la Información La norma ISO 27001 Un programa de auditoría La política del SGSI.
La norma internacional ISO 27001 especifica los requisitos para el establecimiento, implementación, mantenimiento y mejora continua de un sistema de gestión de la seguridad de la información en el contexto de la organización: Verdadero Falso.
Para el desarrollo de la auditoría el auditor se apoya en: La lista de verificación Normas y estándares internacionales Todas las anteriores Guías de como realizar las auditorías.
El responsable de asesorar e indicar como llenar los vacíos encontrados durante la evaluación de la preparación de la auditoría a una empresa auditada es: El auditor interno La alta dirección Los miembros del equipo de implementación del SGSI LE organismo de certificación.
Los registros, declaraciones de hechos o cualquier otra información que son pertinentes para los criterios de auditoría y que son verificables es: Las habilidades, competencias y cualificaciones para auditores internos La evidencia de la auditoría Los requerimientos relativos a auditorías internas Los estándares ISO.
Qué es la auditoría de tercera parte: Es la que se realiza directamente con el organismo certificador Es la que se realiza internamente por los miembros del equipo de implementación del SGSI Es la que se realiza directamente con la alta gerencia Es la que se realiza internamente por el auditor.
La organización debe determinar las cuestiones externas e internas que son pertinentes para su propósito y que afectan a su capacidad para lograr los resultados previstos de su sistema de gestión de la seguridad de la información Algunas veces es necesaria la comprensión de la organización dependiendo el entorno No es necesaria la comprensión de la organización La organización no debe determinar nada Si, es necesaria la comprensión de la organización.
Para asegurar su confidencialidad, que está protegida su integridad y su disponibilidad cuando se necesite la información documentada debe ser: Mantenida Auditada Controlada Leída.
El compromiso de cumplir con los requisitos aplicables a la seguridad de la información y el compromiso de mejora continua del sistema de gestión de seguridad de la información son parte de: La norma ISO 27001 Un programa de auditoría La política del SGSI El rol del auditor interno.
Elija dos aspectos que debe garantizar la política de seguridad de la información: Estar disponible como información documentada Comunicarse dentro de la organización Garantizar dentro de la política investigacióncientífica Garantizar que sea firmada por entidades gubernamentales.
La presentación de auditores al personal, revisar el alcance y la confirmación del plan de auditoría es el propósito de: Un programa de auditoría La norma ISO 27001 El rol del auditor interno La política del SGSI.
Quienes son los responsables de la revisión del SGSI para los aspectos de su conveniencia: Los organismos de certificación El equipo de auditoría La dirección El equipo implementador.
El rol del auditor interno permite también auditar su propio proceso: No, no puede auditar su propio proceso Si, porque encuentra oportunidades de mejora No, lo debe hacer la alta dirección Si, porque es el auditor.
La alta dirección debe revisar el sistema de gestión de seguridad de la información de la organización a intervalos planificados A fin de asegurar escribir las no conformidades y los informes de auditoría interna A fin de asegurar cómo recopilar evidencias y realizar entrevistas A fin de asegurar cómo desarrollar la lista de verificación de la auditoría interna A fin de asegurar que se mantenga su idoneidad, adecuación y eficacia.
Determinar el nivel del riesgo, valorar la probabilidad de ocurrencia y valorar las consecuencias de la materialización deben estar incluidos en: La política del SGSI El análisis de los riesgos de seguridad de la información La norma ISO 27001 El rol del auditor interno.
la auditoría interna puede ser llevada a cabo por: Exclusivamente por terceros ajenos a la organización Exclusivamente por organismos de certificación La propia organización para la revisión por dirección y otros propósitos internos Ninguna de las anteriores.
Cuando se determina el alcance del sistema de gestión de la seguridad de la información la organización debe considerar: La organización no debe determinar nada Las referencias del departamento de sistemas y los requisitos para la implementación de un nuevo proyecto software Las cuestiones externas e internas, los requisitos y las interfaces y las dependencias entre las actividades realizadas por la organización y las que se llevan a cabo por otras organizaciones Algunas veces es necesario la comprensión de la organización dependiendo del entorno.
|
