ISO 27001 II

La política de seguridad de la Información debe ser conocida por: Responsable del SGC. Gerente de TI. Gerente de Seguridad de TI. Todos.

Según la ISO/IEC 27001 es necesario formular un plan de tratamiento de riesgos de seguridad de la información. Es solo una observación para tener en cuenta al hacer la auditoria del sistema de gestión. Es un requisito que cumplir. Es una recomendación, pero no es requisito. Ninguna de las anteriores.

¿Qué se debe tener en cuenta en la determinación del alcance del sistema de gestión de seguridad de la información?. Los resultados del análisis de brechas. Los requisitos legales, regulatorios, contractuales. Los objetivos de la Organización. Todos los anteriores.

En la norma ISO/IEC 27001, ¿A que hace referencia el proceso de apreciación de riesgos de seguridad de la información?. Identificar los dueños de los riesgos. Identificar los riesgos de seguridad. Establecer y mantener criterios sobre riesgos de seguridad de la información. Todos los anteriores.

¿Cuál de las siguientes opciones debe incluirse dentro de la política de SGSI?. Un compromiso de mejora continua del SGSI. La fecha límite para la implantación del SGSI. El certificado de auditorías previas. El resultado de un análisis de brechas.

En el contexto de la cláusula 6.1 acciones para tratar los sesgos y oportunidades, ¿Qué se define como Riesgo residual?. Efecto de la incertidumbre en los objetivos. Decisión informada para tomar un riesgo en particular. Riesgo remanente después del tratamiento del riesgo. Ninguna de las anteriores.

Enfocados en la cláusula 4.3 Determinación del Alcance del Sistema de Gestión de la Seguridad de la Información, ¿Qué se debe considerar cuando se determina este alcance del SGSI de la organización?. Las cuestiones externas e internas referidas en el apartado 4.1. Los requisitos referidos en el apartado 4.2. Las interfaces y dependencias entre las actividades realizadas por la organización y las que se llevan a cabo por otras organizaciones. Todas las anteriores.

¿Cómo la alta dirección debe proporcionar evidencia de su compromiso con el SGSI?. Promoviendo la mejora continua. Dirigiendo y apoyando alas personas, para contribuir a la eficacia del sistema de gestión de la seguridad de la información. Asegurando que el sistema de gestión de la seguridad de la información consigue los resultados previstos. Todos los anteriores.

¿Qué aspectos deben ser considerados para determinar el alcance del SGSI?. Los activos y recursos. Cuestiones externas e internas. Las amenazas y vulnerabilidades. Riesgos y oportunidades.

¿Cuál de las siguientes actividades corresponde a responsabilidades de la alta dirección?. Motivar a los colaboradores para contribuir a la eficacia del SGSI. Aprobar y asegurar los recursos necesarios para el SGSI. Establecer las condiciones adecuadas para el involucramiento de los colaboradores en el logro de los objetivos de seguridad de información de la organización. Ninguna de las anteriores.

¿Qué requiere la norma ISO 27001 para evaluar el desempeño de la seguridad de la información y la eficacia del sistema de gestión de la seguridad de la información?. Un responsable designado por la alta dirección para que bajo su experticia pueda realizar la evaluación el desempeño de la seguridad de la información y la eficacia del sistema de gestión. Una consultoría para que ejecute de forma precisa la evaluación el desempeño de la seguridad de la información y valide la eficacia del sistema de gestión. Herramientas de seguridad de la información para evaluar el desempeño de la seguridad de la información y la eficacia del sistema. Determinar por parte de la organización a qué es necesario hacer seguimiento y Qué es necesario medir, incluyendo procesos y controles de seguridad de la información.

¿Cómo la alta dirección debe proporcionar evidencia de su compromiso con el SGSI?. Aprobando el sistema de gestión de seguridad de la información una vez que se ha establecido. Realizando una auditoría interna anual del sistema de gestión de seguridad de la información. Definiendo un enfoque de evaluación de riesgos. Comunicando la importancia de cumplir con los requisitos del SGSI.

La actividad dentro del SGSI de asegurar la integración de los requisitos del sistema de gestión de la seguridad de la información en los procesos de la organización, es una responsabilidad de: El Gerente de Seguridad de TI. El Gerente de operaciones. El responsable del SGC. La Alta dirección.

¿Qué se debe tener en cuenta en la determinación del alcance del sistema de gestión de seguridad de la información?. El criterio del auditor interno. El número de personas involucradas en la implementación del SGSI. Los requisitos legales, regulatorios, contractuales. El tiempo deseado que tarde la auditoria de tercera parte.

¿Qué enunciado describe la diferencia entre la norma ISO/IEC 27001 e ISO/IEC 27002. ISO/IEC 27002 proporciona orientación sobre la medición y la ISO/IEC 27001 proporciona orientación sobre controles de seguridad de la información. ISO/IEC 27002 contiene requisitos obligatorios, mientras que la norma ISO/IEC 27001 proporciona orientación en los controles de seguridad de información. ISO/IEC 27001 contiene requisitos obligatorios, mientras que la norma ISO/IEC 27002 proporciona orientación en los controles de seguridad de información. ISO/IEC 27002 proporciona requisitos obligatorios para un enfoque de gestión de riesgos, ISO/IEC 27001 contiene requisitos obligatorios para un SGSI.

En el contexto de la cláusula 6.1 acciones para tratar los riesgos y oportunidades, la debilidad de un activo o control que puede ser explotado por una amenaza se le conoce como: Vulnerabilidad. Riesgo. Impacto. Amenaza.

¿Qué factor relevante debe ser considerado en los programas de las auditorías intenas?. Número de proveedores de terceros involucrados en el área a ser auditada. Disponibilidad de los auditores de la entidad de certificación. Asegurar que las auditorías se llevan a cabo por lo menos dos veces durante el primer año de implantación del sistema de gestión de seguridad de la información. Los programas de auditoría deben tener en cuenta la importancia de los procesos involucrados y los resultados de las auditorías previas.

Durante el funcionamiento del SGSI, ¿Cuál es el requisito para los objetivos de seguridad de información?. Mantener información documentada sobre los objetivos. Asegurar que los objetivos son coherentes con la política de seguridad de la información. Elaborar planes de mejora utilizando la ISO 27002 que permitan el cumplimiento de los objetivos de seguridad de la información. Establecer objetivos para las funciones y niveles pertinentes.

¿Cuál de los siguientes beneficios no se maximizan en su totalidad al implementar un SGSI?. Aumento de la confianza de las partes interesadas en la organización. Reducir la probabilidad de incidentes de seguridad de la información. Eliminar todas las vulnerabilidades de seguridad de la información en la organización. Proporcionar una gestión coherente y operación de seguridad de la información en toda la organización.

La cláusula 6.1 acciones para tratar los riesgos y oportunidades tiene algunas estrategias comunes entre las opciones de tratamiento del nesgo, cual(es) de las siguientes son válidas: Transferir. Mitigar. Asumir. Todas las anteriores.

¿Cuál de las siguientes opciones debe incluirse dentro de la política de SGSI?. Los objetivos de seguridad de la información. La historia de la compañía con la motivación que lleva a implementar el SGSI. Los resultados de auditorías previas. El nombre del sistema de detección de intrusos.

¿Cuál es el propósito de la revisión en la noma ISO/IEC 27001?. Velar por que la política de seguridad de la información coincide con todos los riesgos identificados. Determinar la idoneidad, la adecuación y la eficacia del sistema de gestión de seguridad de la información. Asegurar que los empleados reciben información acerca de las actualizaciones de las políticas de seguridad de la información. Asegurar que la política de seguridad de la información cubre todos los controles indicados en la norma 150 / IEC 27001.

¿Cuál de las siguientes actividades corresponde a responsabilidades de la alta dirección?. Velar por el cumplimiento de la política de seguridad de la información. Asignar recursos necesarios para mantener el sistema. Apoyar el impulso de la mejora continua. Todas las anteriores.

Según la ISO/IEC 27001 es necesario asegurar que el sistema de gestión de la seguridad de la información pueda conseguir sus resultados previstos. Es solo una observación para tener en cuenta al hacer la auditoria del sistema de gestión. Es un requisito que cumplir. Es una recomendación, pero no es un requisito. Ninguna de las anteriores.

¿Qué requiere la norma ISO 27001 para establecer la política de seguridad de la información?. Incluir por parte de la alta dirección el compromiso de mejora continua del sistema de gestión de la seguridad de la información. Una consultoría para determinarlo de la mejor manera. Una auditoria inicial para saber el estado actual del sistema de gestión de la calidad. Adquirir un software que contenga políticas que se ajusten al sistema de gestión a implementar.

¿Qué requiere la norma ISO 27001 para el tratamiento de los riesgos de seguridad de la Información?. Una consultoría para que ejecute de forma precisa el tratamiento de los riesgos de seguridad de la Información. Adquirir un conjunto de herramientas de seguridad de la información para automatizar el tratamiento de los riesgos. Un responsable designado por la alta dirección para que bajo su experticia pueda realizar el tratamiento de los riesgos de seguridad de la Información. Efectuar un proceso de tratamiento de los riesgos de seguridad de la información para seleccionar las opciones adecuadas de tratamiento de riesgos de seguridad de la información teniendo en cuenta los resultados de la apreciación de riesgos.

La norma ISO/IEC 27001 exige que se debe cumplir con respecto a la Gestión de Riesgos: Establecer y mantenga criterios sobre riesgos de seguridad de la información. Identificar los riesgos asociados a la pérdida de confidencialidad, integridad y disponibilidad de la información. Seleccionar las opciones adecuadas de tratamiento de riesgos de seguridad de la información teniendo en cuenta los resultados de la apreciación de riesgos. Todas las anteriores.

¿Qué detalles deben incluirse en una Declaración de aplicabilidad?. La evidencia de autorización de la gerencia superior de los controles. La política de seguridad de la información. Una lista de los riesgos aplicables a la organización. Los controles necesarios con sus justificaciones de inclusión y exclusión.

La actividad dentro del SGSI de asegurar que se establece la política y los objetivos de seguridad de la información y que estos sean compatibles con la dirección estratégica de la organización, es una responsabilidad de: El consultor de la implementación del SGSI. El Gerente de TI. El responsable del SGSI. La Alta dirección.

Según el los términos y definiciones asociados a la ISO 27001, se define a la Autenticidad como: Propiedad relativa a la consistencia en el comportamiento y en los resultados deseados. Propiedad consistente en que una entidad es lo que dice ser. Capacidad para corroborar que es cierta la reivindicación de que ocurrió un cierto suceso 0 se realizó una cierta acción por parte de las entidades que lo originaron. Ninguna de las anteriores.

La revisión por la dirección debe incluir consideraciones sobre: Los cambios en las cuestiones externas e intenas que sean pertinentes al SGSI. El estado de las acciones desde anteriores revisiones por la dirección. Las oportunidades de mejora continua. Todas las anteriores.

La actividad dentro del SGSI de aprobar y asegurar los recursos necesarios para el SGSI, es una responsabilidad de: El Gerente de Seguridad de TI. La Alta dirección. El Gerente de TI. El responsable del SGC.

¿Qué requiere la norma ISO 27001 para la determinación del alcance del sistema de gestión de la seguridad de la Información?. Una consultoría para determinarlo de la mejor manera. Tener en cuenta los requisitos legales, regulatorios y contractuales. Un responsable designado por la alta dirección. Adquirir un conjunto de herramientas de seguridad.

¿Qué requiere la norma ISO 27001 para la determinación del alcance del sistema de gestión de la seguridad de la Información?. Adquirir un conjunto de herramientas de seguridad. Tener en cuenta Los límites organizacionales, los límites de los sistemas de información y los límites físicos. Procesos, Tecnología, Personas. Todas las anteriores.

¿Qué detalles deben contener en una Declaración de aplicabilidad?. Justificación de exclusión de controles. Justificación de inclusión de controles. Los controles necesarios. Todos los anteriores.

Identificar las palabras que faltan en la siguiente frase. La organización debe establecer, [ _______] y mejorar continuamente un sistema de gestión de seguridad de la información. Administrar, chequear. Monitorear, medir. Implementar, mantener. Explotar, revisar.

Según la ISONEC 27001 es necesario que se asegure que las sucesivas apreciaciones de los riesgos de seguridad de la información generan resultados consistentes, válidos y comparables. Es solo una observación para tener en cuenta al hacer la auditoria del sistema de gestión. Es un requisito que cumplir. Es una recomendación, pero no es requisito. Ninguna de las anteriores.

¿Quién está obligado a realizar la revisión del SGSI para asegurarse de su conveniencia, adecuación y eficacia?. El equipo de auditoría interna. La alta dirección. Los propietarios de procesos. La compañía externa que hace la auditoría de certificación.

¿Qué control es requerido para la información documentada?. Los documentos están protegidos de la pérdida de la integridad. Cada documento se clasifica como un activo. Los registros deberán conservarse durante tres años. Sólo el propietario del documento puede actualizar el documento.

El Anexo A de la ISO/IEC 27001:2022 consta de: Elementos necesarios para un buen diseño e implementación del SGSI. Una amplia lista de controles agrupados en dominios. Las directrices para la gestión de riesgos. Ninguna de las anteriores.