¿Qué auditor es encargado de liderar el equipo de auditoría? El Co-auditor. El representante de la dirección. El auditor líder. El auditor interno.
¿Cómo se puede definir una lista de chequeo? Listado exhaustivo de los requisitos de la norma. Guía usada por el auditor para evaluar algunos requisitos de la norma. Listado de actividades a realizar durante la reunión de apertura. Insumo requerido para el programa de auditoría.
Se define como “Situación que potencialmente puede afectar el sistema de gestión de calidad.” No conformidad menor. Hallazgo. Observación. Registro de Mejora.
¿Planificar, establecer, implementar y mantener un único programa de auditoría es requerido por la norma ISO 27001? VERDADERO. FALSO.
¿Forma parte del equipo auditor, pero no audita? Auditor Junior. Auditor Interno. Observador. Auditor Líder.
La organización debe determinar la necesidad de comunicaciones internas y externas que incluyan: Quién comunica. A quién se comunica. Qué se comunica. Todos los anteriores.
¿Dentro de los métodos de auditoría existen? Auditoria remota. Auditoria en sitio. Solo A. Solo B. A y B son correctas.
Para auditores líderes de más de 3 años ejerciendo como auditor, es posible que por su experiencia no se hagan un plan de auditoría. Falso. Verdadero.
¿Basados en la ISO 19011, actividades dentro de la preparación de la auditoría incluyen? Revisar la documentación. Preparar el plan de auditoría. Asignar el trabajo al equipo auditor. Preparar los documentos de trabajo. Ninguna de las anteriores, esto tópicos son de la etapa de conducir la auditoría. Todas las anteriores.
¿Cuáles son controles del anexo A según la norma ISO 27001? Derechos de Propiedad Intelectual (DPI). Externalización del desarrollo de software. Acuerdos de confidencialidad o no revelación. Solo A y B. Solo B y C. A, B y C son correctas.
¿El requisito de la norma frente a que la alta dirección que se refiere a que se debe revisar el sistema de gestión de la seguridad de la información de la organización, está establecido para hacerse? Al menos cada seis meses. Al menos en cada auditoría interna. A intervalo planificados definidos en el sistema. No se hace revisión del sistema de la seguridad de la información.
¿Es posible tener que crear una Política de control de acceso en el momento de aplicar controles de la Norma? VERDADERO FALSO.
¿Cuál de las siguientes son parte de establecer el programa de auditoría? Establecer competencia de la persona que gestiona el programa de auditoría. Establecer la extensión del programa de auditoría. Identificar y evaluar los riesgos del programa de auditoría. Solo A y B. Solo A y C. A, B y C son correctas.
¿Son parte del implementar el programa de auditoría? Definir los objetivos, alcance y criterios para una auditoría individual. Seleccionar los métodos de auditoría. Seleccionar los miembros del equipo auditor. Asignar responsabilidades para una auditoría individual al líder del equipo auditor. Todos los anteriores.
¿Qué es una no conformidad en una auditoría? El incumplimiento al plan de la auditoría planeada. El no cumplimiento de un requisito de la norma. Hacer una lista de chequeo y no usarla durante la auditoría. Un requisito que el auditor cree que no se cumple y por eso no indaga sobre el. .
¿Son resultados exigidos por los controles de la norma que podrían ser sujetos de auditoría? Resultados de monitoreo y medición. Resultados de las auditorías internas. Resultados de la revisión de la gestión. Resultados de las acciones correctivas. Todas son correctas excepto A. Todas son correctas excepto C. A, B, C y D son correctos.
¿Cuál de los siguientes no es un requisito explícito de la norma ISO 27001? La información documentada incluye la información documentada requerida por esta norma internacional. La organización debe establecer los objetivos de seguridad de la información en las funciones y niveles pertinentes. Elaborar una “Declaración de Aplicabilidad” excluyendo los controles que no serán implementados. La organización debe conservar información documentada sobre el proceso de tratamiento de riesgos de seguridad de la información.
¿La norma ISO 27001 y/o su anexo donde aplique exige como requisito? Programa de tratamiento de riesgos internos. Plan de tratamiento de riesgos. Cronograma de tratamiento de riesgos. Política específica de tratamiento de riesgos.
De acuerdo a la norma ISO 27001, Los requisitos de las partes interesadas que son relevantes para la seguridad de la información deben ser: Requisitos internos. Requisitos externos. Requisitos contractuales. Solo A y C. Solo B y C. A, B y C son correctas.
Seleccione la mejor respuesta, las auditorías internas son realizadas al interior de una organización para: Determinar la conformidad del sistema de gestión y determinar oportunidades de mejora. Determinar la posibilidad de certificarse ante un proveedor de servicios. Buscar incumplimientos bajo el criterio del auditor. Dar cumplimiento al requisito de la norma.
La Declaración de aplicabilidad es MEJOR resumida como: Un requisito de la norma. La forma de establecer que no se va a incluir en el alcance. El principal documento a evaluar en una auditoría. La justificación de las exclusiones de cualquiera de los controles del anexo A.
¿Son registros exigidos por la norma ISO 27001 o por la aplicación de un control del anexo? Registros de entrenamiento, habilidades, experiencia y calificaciones. Registros de eventos de seguridad. Solo A. Solo B. A y B son registros requeridos.
De acuerdo a la ISO 27000, la siguiente definición corresponde a: Aplicaciones, servicios, activos de tecnologías de la información y otros compuestos para manejar información. Sistema de seguridad de la información. Sistema de información. Sistema de gestión de seguridad de la información. Ninguna de las anteriores.
¿Cuál de los siguientes no es un control del Anexo A? Políticas de seguridad de la información. La protección y la privacidad de los datos. Políticas de continuidad del servicio. Procedimientos y controles para asegurar el nivel requerido de continuidad de la seguridad de la información.
Los procesos contratados externamente estén fuera del alcance de control siempre y cuando se documente esto dentro de las exclusiones del sistema de gestión. VERDADERO. FALSO.
La definición “Magnitud de un riesgo o combinación de riesgos, expresados en términos de la combinación de las consecuencias y de su probabilidad”. Se refiere a: Declaración de aplicabilidad. Análisis de riesgos. Nivel de riesgos. Gestión de riesgos.
¿Cuál(es) son requisitos de documentación en la norma ISO 27001 y/o su anexo? Declaración de aplicabilidad. Plan de tratamiento de riesgos. Informe de evaluación de riesgos. Solo A y B. Solo A y C. A, B y C son correctas.
La siguiente es la definición de que concepto. “Evento singular o serie de eventos de la seguridad de la información, inesperados o no deseados”. Problema de seguridad de la información. Incidencia de seguridad de la información. Alerta de seguridad de la información. Ninguna de las anteriores.
¿Solo se documentan las no conformidades de un sistema de gestión si estas son mayores a dos? Verdadero, porque dos no conformidades determinan que el sistema está fuera de control. Verdadero, porque dos no conformidades son requeridas para no certificar un sistema. Falso, todas las no conformidades se deben documentar. Falso, solo a partir de 3 no cumplimientos de un requisito se documenta una no conformidad.
¿Durante una reunión de cierre de una auditoría externa NO se debe? Hacer un resumen del proceso. Explicar bajo la óptica del auditor líder por qué se incumplió el requisito. Acordar fechas para cierre de acciones correctivas. Confirmar el alcance de la auditoría.
¿Todos los controles del anexo A se deben implementar en un sistema de gestión de seguridad de la información? VERDADERO. FALSO.
¿Son principios del auditor? Discreción como parte de su comportamiento ético. Exactitud en los informes de auditoría. Debido cuidado profesional. Todos los anteriores.
¿El tamaño de la organización y su tipo de actividades, procesos, productos y servicios pueden determinar el alcance de la información documentada en la ISO 27001? VERDADERO. FALSO.
¿Cuál es la definición de disponibilidad según la familia de normas ISO 27000? Propiedad de ser accesible y estar listo para su uso o demanda de una entidad autorizada. Propiedad consistente en que una entidad es lo que dice ser. Propiedad de la información por la que se mantiene inaccesible. Ninguna de la anteriores.
La norma ISO 27001, es la única forma como una compañía puede evaluar la capacidad de la organización para cumplir con sus propios requisitos de seguridad. Falso. Verdadero.
De acuerdo a la ISO 27001, basado en las tendencias actuales y manteniendo siempre en un enfoque proactivo no se debe excluir el control de Teletrabajo. VERDADERO. FALSO.
¿Durante una reunión de apertura de auditoría de tercera parte se debe? No existe auditoria de tercera parte. Revisar el alcance. Determinar que el único punto de contacto con el acreditador es el auditor líder. No responder preguntas del proceso hasta no iniciar la auditoría.
¿No son importantes en la redacción de no conformidades? Las opiniones del auditor. La evidencia. La referencia a los requisitos de la norma. La redactar sobre un requisito a la vez.
¿Conjunto de una o más auditorias planificadas en un periodo? Plan de auditoría. Programa de auditoría. Lista de chequeo general. Sistema de gestión.
|
