La siguiente imagen corresponde a: Programa de auditoría Hoja de ruta Es un documento confidencial Lista de verificación.
La Declaración de Aplicabilidad (SOA): Proporciona dirección y apoyo de la seguridad de la información: Verdadero Falso.
Esta fórmula es: Redacción de observaciones Recomendaciones del auditor Redacción de no conformidades.
La siguiente imagen podría ser: Plan de Auditoría Cronograma Anual de Auditorías Hoja de Ruta Programa de Auditoría.
En cuál de sus cláusulas la ISO 27001:2022 pide: Las partes interesadas que son relevantes para el sistema de gestión de la seguridad de la información Los requisitos de estas partes interesadas que son relevantes para la seguridad de la información Cuáles de estos requisitos se abordarán a través del Sistema de Gestión de Seguridad de la Información.
La norma ISO 27001:2022 establece que cuando la organización determine la necesidad de cambios en el SGSI, los cambios se llevarán a cabo de manera planificada en su cláusula: Cláusula 6.3 Cláusula 10.2 Cláusula 4.2 Todas.
El anexo A de la ISO 27001:2022 define 4 categorías (organizacionales, de personas, físicos y tecnológicos) para agrupar los 93 controles de seguridad de la información. Verdadero Falso.
Una vez realizada la auditoría, el auditor encargado de realizarla debe hacer el Informe de Auditoría. En dicho Informe se establecen:
a. Objetivos de la auditoría
b. Alcance de la auditoría.
c. Auditados y el período de la auditoría.
d. Documentación de la persona de contacto.
e. Documentación del auditor líder y otros auditores.
f. Fechas y ubicaciones donde se desarrollaron las actividades de la auditoría.
g. Criterio de auditoría.
h. Declaraciones de auditoría.
i. Conclusiones de la auditoría. Todas son correctas Todas excepto d y e Sólo i.
Los objetivos de la auditoría definen qué se va a lograr con la auditoría individual Verdadero Falso.
La Declaración de Aplicabilidad (SoA) debe contener:
a. Los controles necesarios para implementar la(s) opción(es) elegida(s) de tratamiento de riesgos de seguridad de la información.
b. La justificación de las inclusiones.
c. Si los controles necesarios están implementados o no
d. La justificación de las exclusiones de cualquiera de los controles del anexo A Todas son correctas Todas excepto b y c Solo A A, B y C son correctas.
Durante la reunión de cierre el auditor líder debe explicar, por ejemplo, cualquier actividad posterior a la auditoría relacionada (por ejemplo, implementación y revisión de acciones correctivas, tratamiento de quejas de auditoría, proceso de apelación). Verdadero Falso.
Con respecto a la información documentada, la norma ISO 27001:2022 indica puede incluir: La información documentada de origen externo, determinada por la organización como necesaria para la planificación y operación del sistema de gestión de seguridad de la información La información documentada requerida por el sistema de gestión de la seguridad de la información y por esta norma internacional La información documentada que la organización ha determinado que es necesaria para la efectividad del sistema de gestión de la seguridad de la información Todas las anteriores.
El plan de auditoría se refiere a: Conjunto de una o más auditorías planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito específico Descripción de las actividades y los arreglos para una auditoría.
La ISO 19011:2018 determina a las no conformidades y a las oportunidades de mejora como incumplimientos a requisitos de la norma auditada Verdadero Falso.
Es el mejor momento para dar a conocer las condiciones bajo las cuales puede darse por terminada la auditoría Al inicio de una auditoría individual En la reunión de apertura Durante la definición del alcance de la auditoría.
La ISO 17011:2018 establece que los auditores deberían tener conocimiento y habilidades como:
a) Comprender los tipos de riesgos y oportunidades asociados con la auditoría.
b) Planificar y organizar el trabajo de manera efectiva.
c) Realizar la auditoría dentro del cronograma acordado.
d) Tomarse demasiado tiempo para redactar correctamente sus notas.
e) Priorizar y enfocarse en asuntos importantes.
f) Empoderarse en la auditoría para tratar de obtener la mayor cantidad de evidencias.
g) Comunicarse de manera efectiva, oralmente y por escrito (ya sea personalmente o mediante el uso de intérpretes).
h) Recopilar información mediante entrevistas efectivas, escuchar, observar y revisar información documentada, incluidos registros y datos Todas las anteriores son habilidades que debe desarrollar un auditor Todas excepto D y F.
Durante una entrevista lo mejor es hacer preguntas inductivas (preguntas cuya respuesta sea SÍ o NO) las preguntas abiertas podrían generar confusión al auditado. Verdero Falso.
Las preguntas: ¿quién?, ¿cómo?, ¿por qué?, ¿cuándo?, ¿dónde?; son: Preguntas Abiertas Preguntas Cerradas.
Las listas de verificación utilizadas por los auditores:
a) Aseguran que nada importante se pase por alto.
b) Ayudan a proporcionar información sobre cualquier actividad posterior a la auditoría relacionada (por ejemplo, implementación y revisión de acciones correctivas, tratamiento de quejas de auditoría, proceso de apelación).
c) Ayudan a brindar continuidad a la auditoría.
d) Ayudan a proporcionar información sobre posibles consecuencias de no abordar adecuadamente los hallazgos de la auditoría Todas las anteriores Todas excepto B y D Solo B y D.
Tienen la responsabilidad de nombrar a los miembros del equipo de auditoría, incluyendo el líder del equipo y cualquier expertos técnicos necesarios para la auditoría específica. El CISO El(los) individuo(s) que gestiona(n) el programa de auditoría El Auditor Líder El responsable de la dirección.
Es un conjunto de una o más auditorías planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito específico Programa de auditoría Plan de auditoría Las listas de verificación El alcance de la auditoría.
Son tipos de auditoria:
a) Primera parte.
b) Segunda parte.
c) Tercera parte. Todas las anteriores Las auditorías sólo se clasifican en internas o externas.
Auditoría realizada por o en nombre de la organización misma, es decir con sus mismos recursos Primera parte Segunda parte Tercera parte.
La evidencia objetiva:
a) Son los datos que respaldan la existencia o la verdad de algo.
b) Se puede obtener a través de observación, medición, prueba o por otros medios.
c) Es un método de auditoría para llegar a conclusiones fiables Todas las anteriores Solo A y B Solo A y C.
Los resultados de la auditoría:
a) Son los resultados de la evaluación de la evidencia de auditoría recopilada contra los criterios de auditoría.
b) Son considerados hallazgos y pueden ser clasificados en conformidad o no conformidad.
c) Es un método de auditoría para llegar a conclusiones fiables.
d) Si los criterios de auditoría se seleccionan de entre los requisitos legales o los requisitos reglamentarios, el hallazgo de la auditoría se denomina cumplimiento o incumplimiento. Sólo B y C Solo A y C Todas las anteriores.
Establece que la organización debe definir un proceso de evaluación de riesgos: a) Cláusula 6.1.1 b) Cláusula 6.1.2 c) Cláusula 8.1 d) B y C Son válidas.
Establece que la organización debe implementar el proceso de tratamiento de riesgos: a) Cláusula 6.1.2 b) Cláusula 6.1.3 c) Cláusula 8.3 d) B y C Son válidas.
Son estrategias de gestión de riesgos excepto: Mitigar Transferir Asumir Retener Controlar.
Tipo de estrategia donde se define la implementación de un control para reducir el nivel del riesgo: Mitigar Transferir Asumir Retener.
La Declaración de Aplicabilidad debe contener:
a) Los controles necesarios para reducir el nivel del riesgo
b) La justificación de las inclusiones de los controles considerados como necesarios.
c) Si los controles necesarios están implementados o no
d) La justificación de las exclusiones de cualquiera de los controles del anexo A Todas son válidas Solo B y D son válidas.
Según la ISO 17011:2018 la auditoría se define como un proceso sistemático, independiente, documentado, para obtener evidencia y evaluarla objetivamente, con el fin de determinar en qué grado se cumplen los criterios de la auditoría. Verdadero Falso.
La ISO 19011:2018 establece como métodos para evaluar a los auditores:
a) Observación
b) Examen
c) Entrevista
d) Llamada telefónica Todas son válidas Todas excepto D.
Durante la auditoría se desea un comportamiento profesional por el auditor, por ejemplo, se espera que sea de mente abierta es decir dispuesto a considerar ideas o puntos de vista alternativos Verdadero Falso.
Definir objetivos, alcance y criterios para cada auditoría individual, Seleccionar métodos de auditoría y Definir e implementar los controles operativos necesarios para la supervisión del programa de auditoría, forman parte de las actividades para: Definir el alcance del SGSI. Crear correctamente la política del SGSI. Definir el programa de auditoría.
Es responsable de asignar responsabilidades al equipo auditor: El auditor Líder. El responsable del sistema de gestión. La alta dirección La(s) persona(s) que gestiona(n) el programa de auditoría.
Deben garantizar que se realicen las siguientes actividades como parte de la gestión de los resultados del programa de auditoría:
1. Evaluación del logro de los objetivos para cada auditoría dentro del programa de auditoría
2. Revisión y aprobación de informes de auditoría sobre el cumplimiento del alcance y los objetivos de la auditoría
3. Revisión de la efectividad de las acciones tomadas para abordar los hallazgos de auditoría
4. Distribución de informes de auditoría a las partes interesadas pertinentes
5. Determinación de la necesidad de cualquier auditoría de seguimiento Los miembros del equipo auditor Todos en la organización La(s) persona(s) que gestiona(n) el programa de auditoría.
El plan de auditoría describe: Las actividades y arreglos para cada auditoría planificada Una planificación en un periodo de tiempo determinado de una o más auditorías Ambas son válidas ya que existe una relación entre el programa y el plan de auditorías.
El programa de auditoría describe: Las actividades y arreglos para cada auditoría planificada Una planificación en un periodo de tiempo determinado de una o más auditorías Ambas son válidas ya que existe una relación entre el programa y el plan de auditorías.
Durante una auditoría se recomienda hacer preguntas cerradas, preguntas cuya respuesta sea SÍ o NO esto permite que la auditoría sea más precisa Verdadero Falso.
Durante una auditoría el auditado suministra poca información y constantemente reformula las preguntas del auditor, estas son: Consideradas situaciones difíciles que el auditor debe ser capaz de manejar Temas que el auditor líder debe resolver Condiciones para dar por terminada la auditoría.
Un hallazgo indica:
a) Conformidad o No Conformidad
b) Cumplimiento o Incumplilmiento Ambas son válidas Ninguna.
Una oportunidad de mejora no es considerada una no conformidad, pero pueden ser revisadas por la organización, cuando lo estime conveniente para mejorar la eficacia del proceso. Verdadero Falso.
Seleccionan y Determinan los métodos para llevar a cabo las auditoría dependiendo de los objetivos de auditoría definidos, el alcance y criterios definidos. El equipo auditor. El auditor líder La alta dirección La(s) persona(s) que gestiona(n) el programa de auditoría.
Son métodos para ejecutar las auditorías:
a) En sitio.
b) Remotas.
c) Con interacción humana
d) Sin interacción humana Solo a) y b) Todas excepto d) Solo c) y d) Todas.
El líder del equipo auditor, consultando con el equipo auditor, asigna a cada miembro del equipo responsabilidad para:
a) Auditar procesos.
b) Actividades.
c) Funciones.
d) Desarrollar el programa de auditoría. Solo a) y b) Todas excepto d) Solo c) y d) Todas.
Las políticas de seguridad de la información deben ser conocidas y accesibles por: el Responsable del SGSI el Gerente de TI Todos el Gerente de Seguridad de TI.
La propiedad de proteger la precisión y la completitud de los activos es: Integridad Corrección Interoperatividad No repudio.
Una medida que está modificando el riesgo puede ser referida como: Remediación de riesgo SGSI Control Análisis de impacto.
Según la ISO/IEC 27001, una evaluación de riesgo incluirá: Posibilidad de ocurrencia Partes interesadas del SGSI Tratamiento del riesgo Medidas de control.
En el caso de que una laptop de la organización fuera robada ¿Qué control sería el más adecuado? Cifrado Antimalware Bloqueo remoto Responsabilizar al usuario.
La evaluación de riesgo de seguridad de la información debe ser desempeñada: Anualmente Semestralmente De acuerdo al plan de riesgos Solo como indica el auditor.
Según los términos y definiciones asociados a la ISO 27001, se se define a la Autenticidad como: Resiliencia ante ataques Una entidad es lo que dice ser No repudio Ninguna de las anteriores.
A una persona u organización que solicita una auditoría se le refiere como: Auditor Auditado Cliente de Auditoría Equipo de Auditoría.
La política de seguridad de la información debe ser conocida por: Responsable del SGSI Gerente de TI Gerente de Seguridad de Ti Todos.
Cuál no es uno de los pilares de la seguridad de la información? No repudio Confidencialidad Integridad Disponibilidad.
¿Qué se debe tener en cuenta en la determinación del alcance del SGSI? Análisis de brechas Los requisitos legales Objetivos de la organización Todos los anteriores.
¿Qué es un procedimiento? Son instrucciones paso a paso del como llevar a cabo una política Es el detalle de una instrucción de trabajo Son manuales a seguir para el cumplimiento de un proceso Es el equivalente a un proyecto.
¿Cuál de los siguientes es una amenaza humana? Pendrive pasa virus a toda la red Demasiado polvo en la sala del servidor Fuga de agua en el Data Center Ninguna de las anteriores.
Un miembro niega haber enviado un determinado mensaje. ¿Qué aspectos de la fiabilidad de la información está en peligro? Disponibilidad Confidencialidad Integridad Precisión.
¿Cuál es el propósito de la gestión de riesgos? Determinar la probabilidad que ocurra un cierto riesgo Utilizar medidas para reducir los riesgos a un nivel aceptable Establecer las amenazas a las que están expuestos los recursos informáticos Determinar el daño causado por posibles incidentes de seguridad.
¿Cómo se describe mejor el propósito de la política de seguridad de la información? La política proporciona comprensión sobre las amenazas y consecuencias La política es concreta y aporta la información detallada necesaria La política describe la posición de la dirección en materia de seguridad La política documenta el análisis de riesgos y la búsqueda de contramedidas.
La disponibilidad es la propiedad que hace referencia a: Que la información no sea robada por un ciberataque Que la información sea accesible cuando sea necesaria Que la información mantenga los mismos datos que en su último acceso Todas las anteriores.
¿Qué acción se debe realizar primero para implementar Seguridad de la Información como un proceso de negocio? Reunirse con todas las funciones clave del negocio Realizar un assessment, consultoría, implementación y mejora de un ISMS Obtener el presupuesto necesario Ninguna de las anteriores.
¿Qué es la autorización? La determinación de la identidad de una persona El conjunto de las acciones llevadas a cabo para acceder Garantizar derechos específicos, tales como acceso selectivo de una persona Medición de control.
¿En base a que legislación puede alguien pedir la inspección de datos que han sido registrados sobre su empresa? La ley de acceso público a información del gobierno La ley de delitos informáticos La ley de protección de datos La ley de registro público.
¿Por qué la implementación del SGSI es un proceso continuo? Porque la norma marca un ciclo de mejora Porque los riesgos no se eliminan Porque se actualiza después de cada evento Porque los riesgos se evalúan y actualizan constantemente.
Son principios del auditor: Discreción como parte de su comportamiento ético Exactitud en los informes de auditoría Debido cuidado personal Todas las anteriores.
¿Cuál de los siguientes no es un control del Anexo A? Políticas de seguridad de la información La protección y la privacidad de los datos Políticas de continuidad del servicio Procedimientos y controles para continuidad de negocios.
Basados en la ISO 19011, actividades dentro de la preparación de la auditoría incluyen: Preparar el plan de auditoría Asignar el trabajo al equipo Recopilar documentación Todas las anteriores.
Forma parte del equipo auditor, pero no audita: Auditor Junior Auditor Interno Observador Auditor Lider.
Conjunto de una o más auditorías planificadas en un período: Plan de auditoría Programa de auditoría Lista de chequeo general Sistema de gestión.
¿Qué es una no conformidad de auditoría? El incumplimiento al plan de la auditoría planeada El no cumplimiento de un requisito de la norma Hacer una lista de chequeo y no usarla durante la auditoría Un requisito que el auditor cree que no se cumple y por eso no indaga sobre él.
Durante una reunión de cierre de una auditoría externa NO se debe: Hacer un resumen del proceso Explicar bajo una óptica personal por qué se incumplió el requisito Acordar fechas para cierre de acciones correctivas Confirmar el alcance de la auditoría.
Son parte del implementar el programa de auditoría Definir los objetivos, alcance y criterios para una auditoría individual Seleccionar los métodos de auditoría Seleccionar los miembros del equipo auditor Todas las anteriores.
La siguiente es la definición de qué concepto: "Evento singular o serie de eventos de la Seguridad de la Información, inesperados o no deseados" Problema de seguridad de la información Incidencia de seguridad de la información Alerta de seguridad de la información Ninguna de las anteriores.
¿Cuál o cuales son los requisitos de documentación en la norma ISO 27001 y/o su anexo? Declaración de aplicabilidad Plan de tratamiento de riesgos Informe de evaluación de riesgos Todas son correctas.
Un proveedor de seguros de salud mantiene bases de datos de información confidencial de clientes. La consecuencia potencial de divulgar información privada de cualquier cliente debe ser abordado en: Misión de la organización Tratamiento del riesgo Plan de conformidad La evaluación de riesgo.
La propiedad de proteger la precisión y la completitud de los activos es: Integridad Correción Inter operatividad No repudio.
Una medida aplicada que modifica el riesgo puede ser referido como: Remediación del riesgo SGSI Control Impacto de negocio.
Se puede decir que un SGSI de una organización es efectivo si: Se cumplen los objetivos de TI Participan todas las áreas de negocio Se ejecutan auditorías ISO 27001 Se asigna un presupuesto a seguridad.
El SGSI de un hospital está sujeto a requerimientos legales ¿Cómo la norma propone abordar esta problemática? Políticas de cumplimiento Esta fuera de alcance Derivar al departamento legal Ninguna.
Una organización ha hecho de las operaciones de su procesamiento de reclamaciones el alcance de su SGSI. ¿Los controles que han seleccionado están determinadas en qué proceso? Política de seguridad Revisión de gerencia Evaluación de riesgo Tratamiento de riesgo.
Según la ISO/IEC 27001, una evaluación de riesgo incluirá: Posibilidad de ocurrencia Partes interesadas del SGSI Tratamiento de riesgo Medición de control.
Si cambios significativos en los niveles de riesgo ocurren o son identificados, la organización debe: Implementar nuevos controles Revisar con la gerencia Revisar los objetivos del SGSI Evaluación de riesgo.
El alcance de una auditoría siempre es el mismo que el alcance del sistema de gestión Verdadero Falso.
La información aceptada como evidencia de auditoría deberá ser: Documentada Identificada por lo menos dos veces Verificable Confirmada por el guía.
El informe de auditoría deberá distribuirse a: Los destinatarios definidos por el líder del equipo de auditoría. Los destinatarios definidos por la directiva de la organización auditada. Los destinatarios definidos en el procedimiento o plan de auditoría. Los destinatarios definidos por el representante de la gestión de la organización auditada.
Se puede decir que el SGSI de una organización es efectivo sí: Se ha mostrado que todas las áreas del proceso tienen planes y han establecido objetivos, han tomado acciones para mejorar. Los equipos de auditoría interna y de cumplimiento han identificado numerosas. La mesa de ayuda ha minimizado su personal y aún siguen cumpliendo sus objetivos. La gerencia ha dado al gerente de TI la autoridad absoluta sobre la seguridad y ha dado al departamento de IT un presupuesto limitado.
Si una organización que planea hacer un cambio a un proceso dentro del alcance de su SGSI debe: Actualizar la política de SGSI Calcular los costos del cambio. Controlar el cambio Actualizar los objetivos de SGSI.
El alcance del SGSI de una organización que gira en torno a proveer servicios financieros. En la política de seguridad de la información, la alta gerencia ha declarado su intención de operar dentro de los requerimientos estatales y federales. El resto de la política de seguridad de la información se enfoca en comoTI entregará los servicios financieros. Esta política: Está conforme con ISO 27001 pero podría ser mejorada. No aplica a líneas de negocio específicas Está conforme con ISO 27001 No está conforme con ISO 27001.
Una medida que está modificando riesgo puede ser referido como: Sistema de Gestión de Seguridad de la Información (SGSI) Remediación de riesgo Análisis de impacto de negocio Control.
La aprobación del plan de tratamiento de riesgos y la aceptación del riesgo residual es la responsabilidad de: Director de Seguridad Dueño del riesgo Director de Información Alta dirección.
Una organización tiene múltiples locaciones ejecutando respaldos de información y ha determinado que necesitan documentar su proceso para poder mantener consistencia y asegura la efectividad. Este documento debe ser: Disponible y apropiado para uso, cuando y donde sea necesario. Aprobado por el comité de dirección de seguridad de la información. Disponible en formato electrónico e impreso. Enlistado en la matriz maestro de documentos.
Una organización de desarrollo de software ha decidido subcontratar su mesa de ayuda, la que también maneja las llamadas de incidentes de seguridad. La organización recibe un reporte de parte de la mesa de ayuda, subcontratada de manera mensual, que contiene métricas de desempeño de llamadas consistente en tiempo de espera promedio, tiempo ocioso del agente y número
promedio de llamadas en cola. La organización usa el reporte como un medio para demostrar control sobre la mesa de ayuda desde el punto de vista de requerimientos de seguridad de la información. ¿Esto está conforme con la ISO 27001? Verdadero Falso.
Una organización consiste en diez laboratorios médicos a donde los pacientes van por pruebas y están bajo la dirección de una sede central. La alta dirección ha determinado que el alcance de su SGSI será la protección de toda la información personal de los pacientes y cubrirá la sede central. ¿Esto cumple los requerimientos de ISO 27001? Verdadero Falso.
Una gran cadena de distribución nacional tiene el objetivo de asegurar que los clientes puedan ingresar a la información de su cuenta al menos 98% de las veces. La evaluación de riesgo deberá: Incluir el riesgo asociado con que el software del cliente sea desarrollado por una compañía de desarrollo subcontratada. Asegurar que permitir acceso a los clientes satisface los requerimientos regulatorios. Ser completado por el departamento de TI dado que son los custodios de los archivos de cuenta de los clientes. Incluir el riesgo asociado con disponibilidad de la información.
Una organización que ha identificado requerimientos regulatorios como un factor externo y el mantener cumplimiento regulatorio como un objetivo de seguridad de la información requerirá de qué en su evaluación de riesgo: La posibilidad de ser descubierto operando fuera de los requerimientos regulatorios. El riesgo asociado con no cumplir obligaciones contractuales. Un proceso documentado para mantener cumplimiento con los requerimientos legales y regulatorios Las consecuencias potenciales asociadas con no satisfacer los requerimientos regulatorios.
Un informe de auditoría deberá incluir, o referirse a: Una lista completa de todos los empleados de la organización auditada Un resumen de los hallazgos de la auditoría. Una lista completa de todos los documentos utilizados durante la auditoría Una descripción completa y detallada del proceso de auditoría.
La propiedad de proteger la precisión y la completitud de los bienes es: No repudio. Corrección. Inter-operatividad. Integridad.
Cuál de los siguientes factores se tomaría en consideración para determinar la viabilidad de una auditoría? Directrices del encargado de la admisión. Cooperación adecuada del equipo de auditoría. Temas relacionados con el informe de auditoría. Disponibilidad de información suficiente para planear la auditoría.
Para mantener cumplimiento con requerimientos de licenciamiento de software, ¿Una organización empleará cuál control? A.5.1.1- Políticas para la seguridad de la información A.12.1.4 - Separación de los recursos de desarrollo, prueba y operación. A.9.2.3 - Gestión de privilegios de acceso A.18.1.2 - Derechos de Propiedad Intelectual (DPI).
Los objetivos de auditoría pueden incluir: Mantenimiento de los registros de auditoría Selección de un líder de equipo Ofrecimiento de certificación para una norma. Evaluación de efectividad del sistema de gestión.
La Declaración de Aplicabilidad debe contener los controles necesarios para implementar la opción de tratamiento de riesgo escogida, sean implementados o no, y... Los valores totales de riesgo calculado, ordenado de mayor a menor. La justificación para la selección de controles y la exclusión de cualquier control Una lista de todos los bienes a los que se aplican los controles y riegos asociados Una lista de todas las políticas y procedimientos asociados y los controles con los que se relacionan.
Un control físico fue implementado en el SGSI de un hospital. Han determinado que su control particular debe ser medido y aseguran que es medido. Como cambian constantemente las cargas de trabajo y agendas, no han determinado una sola persona para hacer la medición. Esto está conforme con ISO 27001: Falso Verdadero.
Una operación financiera ha seleccionado sus operaciones de intercambio de valores como el alcance de su SGSI, revisando su política de seguridad de la información, no se puede ver donde la organización se compromete a cumplir las regulaciones de seguridad gubernamental. ¿Esto cumple los requerimientos de ISO 27001? Falso Verdadero.
Los documentos de trabajo del auditor pueden incluir: Identificación, incluyendo fotografía El código de conducta del auditor Instrucciones para la instalación que se va a auditar. Listas de verificación, planos y formatos de levantamiento de evidencia.
La conformidad es vista como el satisfacer requerimientos desde la perspectiva de un sistema de gestión, mientras que el cumplimiento es visto como el satisfacer requerimientos desde una perspectiva legal; esto es: Verdadero Falso.
El SGSI de un hospital está sujeto a requerimientos legales. Desde la perspectiva de un sistema de gestión, la evaluación de cumplimiento legal consistirá en: Contactar con el departamento legal para confirmar que no existen situaciones legales sobresalientes Ninguna acción adicional dado que los estándares ISO manejan solo
conformidad Confirmar que existe un proceso dentro del hospital para mantener cumplimiento con los requerimientos legales y regulatorios Revisar una declaración del Consejo de Dirección del hospital donde se estipulen que mantendrán los requerimientos legales.
Una organización ha hecho de las operaciones de Ventas el alcance de su SGSI. Una evaluación de riesgo para la información de ventas de una organización debe incluir: El valor financiero asociado con la perdida de confidencialidad en la información de ventas. Cifrado de los nombres y direcciones de los clientes El riesgo asociado con vendedores que transportan la información de ventas en sus laptops. Una política de uso aceptable de bienes de la compañía.
¿Cuál control del anexo A sería seleccionado para mitigar el riesgo de que los empleados usen equipo de formación que es propiedad de la organización, para su uso personal? A.7.2.3 – Proceso Disciplinario. A.18.2.2 – Cumplimiento de las políticas y normas de seguridad. A.8.1.3 – Uso aceptable de los activos. A.7.1.2 – Términos y condiciones del empleo.
Una organización ha definido un proceso de evaluación de riesgo. Este anualmente es empleado en sus instalaciones locales y todas sus locaciones foráneas. ¿Esto produce consistencia y resultados comparables? Verdadero Falso.
¿Cuál control podría ser seleccionado para mitigar el riego asociado con actualizar software en servidores empresariales? A.12.1.2 – Gestión de Cambios. A.12.7.1 – Controles de auditoría de sistemas de información A.14.2.2 – Procedimiento de control de cambios en sistemas A.9.4.5 – Control de acceso al código fuente de los programas.
Las actividades coordinadas para dirigir y controlar una organización con relación al riesgo son conocidas como: Tratamiento de riesgo Estimación de riesgo. Evaluación de riesgo Gestión de riesgo.
El término “hallazgo de auditoría” automáticamente significa No Conformidad. Falso Verdadero.
Los objetivos de seguridad de la información deben ser consistentes con: La declaración de aplicabilidad. La política de seguridad de la información. El plan de tratamiento de riesgo. La metodología de evaluación de riesgo.
Un proveedor de seguros de salud mantiene bases de datos de información confidencial de clientes. La consecuencia potencial de divulgar información privada de cualquier cliente debe ser abordado en: La evaluación de riesgo El plan de conformidad. El plan de tratamiento de riesgo La declaración de misión de la organización.
Cuando se establece un programa de auditoría para un sistema de gestión, la organización deberá dar prioridad a los recursos de auditoría para tratar: Oportunidades de mercado. Necesidades del Negocio. Riesgos Integración a los planes de continuidad de negocio.
El alcance del SGSI de una organización que gira en torno a proveer servicios financieros. En la política de seguridad de la información, la alta gerencia ha declarado su intención de operar dentro de los requerimientos estatales y federales. El resto de la política de seguridad de la información se enfoca en como TI entregará los servicios financieros. Esta política: Está conforme con ISO/IEC 27001. No está conforme con ISO/IEC 27001. No aplica a líneas de negocio especificas Está conforme con ISO/IEC 27001 pero podría ser mejorada.
|
