Simulador-CertiProf-ISO-27001-Foundation

La propiedad de proteger la precisión y la completitud de los bienes es: (Selecciona la mejor respuesta). a) Corrección. b) No repudio. c) Inter-operatividad. d) Integridad.

Una medida que está modificando riesgo puede ser referido como: (Selecciona la mejor respuesta). a) Sistemas de Gestión de Seguridad (SGSI. b) Remediación de riesgo. c) Control. d) Análisis de impacto de negocio.

Las actividades coordinadas para dirigir y controlar una organización con relación al riesgo son conocidas como: a) Estimación de Riego. b) Evaluación de Riesgo. c) Gestión de Riesgo. d) Tratamiento de Riesgo.

La conformidad es vista como el satisfacer requerimientos desde la perspectiva de un sistema de gestión, mientras que el cumplimiento es visto como el satisfacer requerimientos desde una perspectiva legal; esto es: a) Verdadero. b) Falso.

¿Cuál de los siguientes no es un requerimiento de ISO/IEC 27001? (Selecciona la mejor respuesta). a) Que sean comunicados los objetivos de seguridad de la información. b) Documentar el plan de tratamiento del riesgo. c) Que la alta dirección promueva una mejora continua. d) Tener el rol dedicado como Gerente de Seguridad de la Información.

Un control físico fue implementado en el SGSI de un hospital. Han determinado que su control particular debe ser medido y aseguran que es medido. Como cambian constantemente las cargas de trabajo y agendas, no han determinado una sola persona para hacer la medición. Esto está conforme con ISO/IEC 27001: a) Verdadero. b) Falso.

Una organización de desarrollo de software ha decidido subcontratar su mesa de ayuda, la que también maneja las llamadas de incidentes de seguridad. La organización recibe un reporte de parte de la mesa de ayuda, subcontratada de manera mensual, que contiene métricas de desempeño de llamadas consistente en tiempo de espera promedio, tiempo ocioso del agente y número promedio de llamadas en cola. La organización usa el reporte como un medio para demostrar control sobre la mesa de ayuda desde el punto de vista de requerimientos de seguridad de la información. ¿Esto está conforme con la ISO/IEC 27001?. a) Correcto. b) Falso.

Una organización tiene múltiples locaciones ejecutando respaldos de información y ha determinado que necesitan documentar su proceso para poder mantener consistencia y asegura la efectividad. Este documento debe ser: (Selecciona la mejor respuesta). a) Disponible en formato electrónico e impreso. b) Un listado en la matriz maestro de documentos. c) Aprobado por el comité de dirección de seguridad de la información. d) Disponible y apropiado para uso, cuando y donde sea necesario.

La aprobación del plan de tratamiento de riesgos y la aceptación del riesgo residual es la responsabilidad del: (Selecciona la mejor respuesta). a) Director de Información. b) Alta dirección. c) Dueño del riesgo. d) Director de seguridad.

Según ISO/IEC 27001, una evaluación de riesgo incluirá: (Selecciona la mejor respuesta). a) Opciones para tratamiento de riesgo de seguridad. b) Resultado de medidas de control. c) Posibilidad de ocurrencia de un riesgo. d) Partes interesadas en el SGI.

El alcance del SGSI de una organización que gira en torno a proveer servicios financieros. En la política de seguridad de la información, la alta gerencia ha declarado su intención de operar dentro de los requerimientos estatales y federales. El resto de la política de seguridad de la información se enfoca en como TI entregará los servicios financieros. Esta política: (Selecciona la mejor respuesta). a) Está conforme con ISO 27001. b) Está conforme con ISO 27001 pero podría ser mejorada. c) No está conforme con ISO 27001. d) No aplica a líneas de negocio específicas.

El SGSI de un hospital está sujeto a requerimientos legales. Desde la perspectiva de un sistema de gestión, la evaluación de cumplimiento legal consistirá de: (Selecciona la mejor respuesta). a) Revisar una declaración del Consejo de Dirección del Hospital donde se estipulen que mantendrán los requerimientos legales. b) Confirmar que existe un proceso dentro del hospital para mantener cumplimiento con los requerimientos legales y regulatorios. c) Contactar con el departamento legal para confirmar que no existen situaciones legales sobresalientes. d) Ninguna acción adicional dado que los estándares ISO manejan solo conformidad.

Una organización que ha identificado requerimientos regulatorios como un factor externo y el mantener cumplimiento regulatorio como un objetivo de seguridad de la información requerirá de qué en su evaluación de riesgo: (Selecciona la mejor respuesta). a) El riesgo asociado con no cumplir obligaciones contractuales. b) La posibilidad de ser descubierto operando fuera de los requerimientos regulatorios. c) Las consecuencias potenciales asociadas con no satisfacer los requerimientos regulatorios. d) Un proceso documentado para mantener cumplimiento con los requerimientos legales y regulatorios.

Una Organización financiera ha seleccionado sus operaciones de intercambio de valores como el alcance de su SGSI, revisando su política de seguridad de la información, no se puede ver donde la organización se compromete a cumplir las regulaciones de seguridad gubernamental. ¿Esto cumple los requerimientos de ISO/IEC 27001?. a) Verdadero. b) Falso.

Una organización ha hecho de las operaciones de su procesamiento de reclamaciones el alcance de su SGSI. ¿Los controles que han seleccionado están determinados en qué proceso? (Selecciona la mejor respuesta). a) Tratamiento de Riesgos. b) Política de Seguridad. c) Evaluación de Riesgo. d) Revisión de Gerencia.

Se puede decir que el SGSI de una organización es efectivo sí: (Selecciona la mejor respuestas. a) La gerencia ha dado al gerente de TI la autoridad absoluta sobre la seguridad y ha dado al departamento de TI un presupuesto limitado. b) La mesa de ayuda ha minimizado su personal y aún siguen cumpliendo sus objetivos. c) Se ha mostrado que todas las áreas del proceso tienen planes, ha establecido objetivos y ha tomado acciones para mejorar. d) Los equipos de auditoría interna y de cumplimiento han indentificado numerosas...

Un proveedor de seguros de salud mantiene bases de datos de información confidencial de clientes. La consecuencia potencial de divulgar información privada de cualquier cliente debe ser abordado en: (Selecciona la mejor respuesta). a) El plan de tratamiento de Riesgo. b) La declaración de misión de la organización. c) La evaluación del Riesgo. d) El plan de conformidad.

Una organización ha definido un proceso de evaluación de riesgo. Este anualmente es empleado en sus instalaciones locales y todas sus locaciones foráneas. ¿Esto produce consistencia y resultados comparables?. a) Falso. b) Verdadero.

Una organización consiste en diez laboratorios médicos a donde los pacientes van por pruebas y están bajo la dirección de una sede central. La alta dirección ha determinado que el alcance de su SGSI será la protección de toda la información personal de los pacientes y cubrirá la sede central. ¿Esto cumple los requerimientos de ISO/IEC 27001?. a) Verdadero. b) Falso.

Los objetivos de seguridad de la información deben ser consistentes con: (Selecciona la mejor respuesta). a) La metodología de evaluación de riesgo. b) La política de seguridad de información. c) La declaración aplicabilidad. d) El plan de tratamiento de riesgo.

Si cambios significativos ocurren o son propuestos, la organización debe: (Selecciona la mejor respuesta). a) Tener una junta de revisión por la gerencia. b) Realizar una evaluación de riesgo de seguridad de la información. c) Revisar y actualizar sus objetivos de seguridad de la información. d) Implementar controles para mitigar el nuevo riesgo.

Si uno de los objetivos de seguridad de la información de una organización fuera prevenir divulgación no autorizada de información confidencial en caso de que un equipo portátil fuera robado, los controles seleccionados para tratar el riesgo y en Declaración de Aplicabilidad deben incluir: (Selecciona la mejor respuesta). c) Cifrado. a) Protección contra malware.

El alcance de una auditoría siempre es el mismo que el alcance del sistema de gestión. a) Verdadero. b) Falso.

Para mantener cumplimiento con requerimientos de licenciamiento de software, ¿Una organización empleará cuál control? (Selecciona la mejor respuesta). c) A.18.1.2 – Derechos de Propiedad Intelectual (DPI). a) A.12.1.4 – Separación de los recursos de desarrollo, prueba y operación.

La evaluación de riesgo de seguridad de la información debe ser desempañada: (Selecciona la mejor respuesta). b) En intervalos planeados. a) Semestral.

El informe de auditoría deberá distribuirse a: c) Los destinatarios definidos en el procedimiento o plan de auditoria. d) Los destinatarios definidos por el representante de la gestión de la organización.

¿Cuál de los siguientes factores se tomaría en consideración para determinar la viabilidad de una auditoría? (Selecciona la mejor respuesta). a) Directrices del encargado de la admisión. b) Disponibilidad de información suficiente para planear la auditoria.

La Declaración de Aplicabilidad debe contener los controles necesarios para implementar la opción de tratamiento de riesgo escogida, sean implementados o no, y... (Selecciona la mejor respuesta). a) Una lista de todos los bienes a los que se aplican los controles y riesgos asociados. b) La justificación para la selección de controles y la exclusión de cualquier control.

Los documentos de trabajo del auditor pueden incluir: (Selecciona la mejor respuesta). a) Lista de verificación, planos y formatos de levantamiento de evidencias. b) Instrucciones para la instalación que se va a auditar.

La información aceptada como evidencia de auditoría deberá ser: (Selecciona la mejor respuesta). a) Documentada. c) Verificable.

Una organización ha hecho de las operaciones de Ventas el alcance de su SGSI. Una evaluación de riesgo para la información de ventas de una organización debe incluir: (Selecciona la mejor respuesta). a) El riesgo asociado con vendedores que transportan la información de ventas en sus laptops. b) El valor financiero asociado con la pérdida de confidencialidad en la información de ventas.

Si una organización que planea hacer un cambio a un proceso dentro del alcance de su SGSI, debe: (Selecciona la mejor respuesta). a) Actualizar la política de SGSI. b) Controlar el cambio.

Los objetivos de auditoría pueden incluir: a) Evaluación de efectividad del sistema de gestión. b) Mantenimiento de los registros de auditoría.

. Una gran cadena de distribución nacional tiene el objetivo de asegurar que los clientes puedan ingresar a la información de su cuenta al menos 98 % de las veces. La evaluación de riesgo deberá: (Selecciona la mejor respuesta). a) Incluir el riesgo asociado con disponibilidad de la información. b) Incluir el riesgo asociado con el SW del cliente sea desarrollado por una compañía de desarrollo subcontratada.

A una persona u organización que solicita una auditoría se le refiere como: (Selecciona la mejor respuesta). d) Cliente de Auditoría. b) Equipo de Auditoria.

El término “hallazgo de auditoría” automáticamente significa No Conformidad. a) Verdadero. b) Falso.

Cuando se establece un programa de auditoría para un sistema de gestión, la organización deberá dar prioridad a los recursos de auditoría para tratar: (Selecciona la mejor respuesta). a) Riesgo. b) Integración a los planes de continuidad de negocio.

¿Cuál control del anexo A sería seleccionado para mitigar el riesgo de que los empleados usen equipo de formación que es propiedad de la organización, para su uso personal? (Selecciona la mejor respuesta). c) A.8.13 – Uso aceptable de los activos. a) A.18.2.2 – Cumplimiento de las políticas y normas de seguridad. b) A.72.3 – Proceso Disciplinario.

¿Cuál control podría ser seleccionado para mitigar el riego asociado con actualizar software en servidores empresariales? (Selecciona la mejor respuesta). a) A.12.1.2- Gestión del cambio. b) A.14.2.2 – Procedimiento de control de cambios en sistemas.

Un informe de auditoría deberá incluir, o referirse a: a) Una lista completa de todos los empleados de la organización auditada. b) Un resumen de los hallazgos de la auditoria.