UT5 Cuestionario ISO 27001 General

01.¿Qué se debe hacer al evaluar los riesgos de seguridad de la información?. La distribución y acceso, el almacenamiento, el control de cambios y la conservación y disposición. Comparar los resultados del análisis de riesgos con los criterios de riesgo establecidos y priorizar el tratamiento de los riesgos analizados. Las posibles consecuencias y la probabilidad de ocurrencia.

02.¿Qué se debe asegurar cuando se crea y actualiza la información del SGSI?. Las posibles consecuencias y la probabilidad de ocurrencia. La identificación y descripción, el formato y la revisión y aprobación. Comparar los resultados del análisis de riesgos con los criterios de riesgo establecidos y priorizar el tratamiento de los riesgos analizados.

03.¿Qué puede demostrar el compromiso y liderazgo la alta dirección?. Comparar los resultados del análisis de riesgos con los criterios de riesgo establecidos y priorizar el tratamiento de los riesgos analizados. El aseguramiento de los recursos necesarios, la promoción de la mejora continua y el establecimiento de una política y unos objetivos de SI. La identificación y descripción, el formato y la revisión y aprobación.

04.¿Qué información se obtiene de las auditorías internas?. La identificación y descripción, el formato y la revisión y aprobación. Si el SGSI cumple con los requisitos propios y los de la ISO 27001 y si está implementado y mantenido de manera eficaz. El aseguramiento de los recursos necesarios, la promoción de la mejora continua y el establecimiento de una política y unos objetivos de SI.

05.¿Qué información documentada debe incluir el SGSI?. El aseguramiento de los recursos necesarios, la promoción de la mejora continua y el establecimiento de una política y unos objetivos de SI. La requerida por la ISO 27001 y la necesaria para la eficacia del SGSI. Si el SGSI cumple con los requisitos propios y los de la ISO 27001 y si está implementado y mantenido de manera eficaz.

06.¿Qué especifica la ISO 27001:2023?. 06.¿Qué especifica la ISO 27001:2023?. La requerida por la ISO 27001 y la necesaria para la eficacia del SGSI. Los requisitos para el establecimiento, implementación, mantenimiento y mejora continua de un SGSI en el contexto de la organización y los requisitos para la apreciación y el tratamiento de los riesgos SI.

07.¿Qué es necesario hacer con la política?. Comunicar la política y ponerla disponible como información documentada para las partes interesadas. Los requisitos para el establecimiento, implementación, mantenimiento y mejora continua de un SGSI en el contexto de la organización y los requisitos para la apreciación y el tratamiento de los riesgos SI. La requerida por la ISO 27001 y la necesaria para la eficacia del SGSI.

08.¿Qué es imprescindible identificar al identificar los riesgos de SI?. A los dueños de los riesgos. Comunicar la política y ponerla disponible como información documentada para las partes interesadas. Los requisitos para el establecimiento, implementación, mantenimiento y mejora continua de un SGSI en el contexto de la organización y los requisitos para la apreciación y el tratamiento de los riesgos SI.

09.¿Qué elementos componen el soporte al SGSI?. Los recursos, la competencia, la concienciación y la comunicación,. Comunicar la política y ponerla disponible como información documentada para las partes interesadas. A los dueños de los riesgos.

10.¿Qué debe tener disponible la organización para demostrar que cumple con su deber de mejora continua?. Los recursos, la competencia, la concienciación y la comunicación,. Información documentada como evidencia de la naturaleza de las no conformidades y sus acciones asociadas, así como los resultados de dichas acciones. A los dueños de los riesgos.

11.¿Qué debe planificar la organización?. Información documentada como evidencia de la naturaleza de las no conformidades y sus acciones asociadas, así como los resultados de dichas acciones. Los recursos, la competencia, la concienciación y la comunicación,. Las acciones para tratar los riesgos y la manera de integrar e implementar las acciones y evaluar la eficacia de las acciones.

12.¿Qué debe incluir la organización al determinar la necesidad de comunicaciones externas e internas?. Las acciones para tratar los riesgos y la manera de integrar e implementar las acciones y evaluar la eficacia de las acciones. Información documentada como evidencia de la naturaleza de las no conformidades y sus acciones asociadas, así como los resultados de dichas acciones. Que contenido, cuando, quien y como comunicarlo.

13.¿Qué debe incluir el SGSI según el apartado 4.4?. Las acciones para tratar los riesgos y la manera de integrar e implementar las acciones y evaluar la eficacia de las acciones. Los procesos requeridos y sus interacciones de acuerdo con los requisitos de la ISO 27001. Que contenido, cuando, quien y como comunicarlo.

14.¿Qué debe hacer una organización cuando ocurra una no conformidad?. Los procesos requeridos y sus interacciones de acuerdo con los requisitos de la ISO 27001. Que contenido, cuando, quien y como comunicarlo. Llevar a cabo acciones correctivas, afrontar las consecuencias, evaluar la necesidad de eliminar las causas de la no conformidad, revisar la eficacia de las acciones y si es necesario, cambiar el SGSI.

15.¿Qué debe hacer la organización para cada auditoría a la hora de crear un programa de auditoría interna?. Los procesos requeridos y sus interacciones de acuerdo con los requisitos de la ISO 27001. Definir sus criterios y su alcance, seleccionar los auditores objetivos e imparciales, asegurarse de que se informa a la dirección de los resultados. Llevar a cabo acciones correctivas, afrontar las consecuencias, evaluar la necesidad de eliminar las causas de la no conformidad, revisar la eficacia de las acciones y si es necesario, cambiar el SGSI.

16.¿Qué debe determinar la organización sobre su contexto?. Definir sus criterios y su alcance, seleccionar los auditores objetivos e imparciales, asegurarse de que se informa a la dirección de los resultados. Las cuestiones externas e internas que son pertinentes para su propósito. Llevar a cabo acciones correctivas, afrontar las consecuencias, evaluar la necesidad de eliminar las causas de la no conformidad, revisar la eficacia de las acciones y si es necesario, cambiar el SGSI.

17.¿Qué debe determinar la organización respecto al seguimiento, medición, análisis y evaluación del desempeño?. Qué es necesario monitorizar, los métodos, cuándo y quién debe seguir y medir, cuando y quién analizar y evaluar los resultados. Las cuestiones externas e internas que son pertinentes para su propósito. Definir sus criterios y su alcance, seleccionar los auditores objetivos e imparciales, asegurarse de que se informa a la dirección de los resultados.

18.¿Qué debe determinar la organización para comprender las necesidades de las partes interesadas?. Las cuestiones externas e internas que son pertinentes para su propósito. Qué es necesario monitorizar, los métodos, cuándo y quién debe seguir y medir, cuando y quién analizar y evaluar los resultados. Las partes interesadas, los requisitos relevantes para ellas y cuáles de esos requisitos se abordarán a través del SGSI.

19.¿Qué debe determinar la organización al planificar la consecución de objetivos SI?. Qué es necesario monitorizar, los métodos, cuándo y quién debe seguir y medir, cuando y quién analizar y evaluar los resultados. Las partes interesadas, los requisitos relevantes para ellas y cuáles de esos requisitos se abordarán a través del SGSI. Qué se va a hacer, qué recursos se van a usar, quién será responsable, cuándo se finalizará y cómo se evaluará.

20.¿Qué debe cumplir el proceso de evaluación definido y aplicado por la organización?. Establecer y mantener criterios sobre los riesgos, asegurar que las futuras evaluaciones son consistentes, identificar los riesgos, analizar los riesgos, evaluar los riesgos y estar documentados. Qué se va a hacer, qué recursos se van a usar, quién será responsable, cuándo se finalizará y cómo se evaluará. Las partes interesadas, los requisitos relevantes para ellas y cuáles de esos requisitos se abordarán a través del SGSI.

21.¿Qué debe considerar la organización cuando determina el alcance del SGSI?. Las cuestiones externas e internas, los requisitos y las interfaces y dependencias entre las actividades de la organización y las de otras organizaciones. Establecer y mantener criterios sobre los riesgos, asegurar que las futuras evaluaciones son consistentes, identificar los riesgos, analizar los riesgos, evaluar los riesgos y estar documentados. Qué se va a hacer, qué recursos se van a usar, quién será responsable, cuándo se finalizará y cómo se evaluará.

22.¿Qué consideraciones debe incluir la revisión por la dirección?. Las cuestiones externas e internas, los requisitos y las interfaces y dependencias entre las actividades de la organización y las de otras organizaciones. El estado de las acciones anteriores, los cambios en las cuestiones externas e internas, cambios en necesidades y expectativas de las partes interesadas, información sobre el comportamiento de la SI, resultados de las evaluaciones de riesgos SI y oportunidades de mejora continua. Establecer y mantener criterios sobre los riesgos, asegurar que las futuras evaluaciones son consistentes, identificar los riesgos, analizar los riesgos, evaluar los riesgos y estar documentados.

23.¿Qué características son propias de la política de SI?. El estado de las acciones anteriores, los cambios en las cuestiones externas e internas, cambios en necesidades y expectativas de las partes interesadas, información sobre el comportamiento de la SI, resultados de las evaluaciones de riesgos SI y oportunidades de mejora continua. Las cuestiones externas e internas, los requisitos y las interfaces y dependencias entre las actividades de la organización y las de otras organizaciones. El incluir los objetivos de SI, el compromiso de cumplir los requisitos y el compromiso de mejora continua.

24.¿Qué actividades debe tratar la organización para el control de la información documentada?. La distribución y acceso, el almacenamiento, el control de cambios y la conservación y disposición. El incluir los objetivos de SI, el compromiso de cumplir los requisitos y el compromiso de mejora continua. El estado de las acciones anteriores, los cambios en las cuestiones externas e internas, cambios en necesidades y expectativas de las partes interesadas, información sobre el comportamiento de la SI, resultados de las evaluaciones de riesgos SI y oportunidades de mejora continua.

25.¿Para que se debe controlar la información documentada?. La distribución y acceso, el almacenamiento, el control de cambios y la conservación y disposición. Para asegurar que el SGSI alcanza sus resultados, prevenir efectos indeseados y lograr la mejora continua. Para asegurar que está disponible y protegida.

26.¿Para qué dimensiones de seguridad de la información se deben evaluar los riesgos?. Para evaluar la confidencialidad, la integridad y la disponibilidad de la información. Para asegurar que está disponible y protegida. Para el aseguramiento de que el SGSI cumple con los requisitos ISO 27001 e información a alta dirección sobre el comportamiento del SGSI.

27.¿Para qué debe definir y efectuar un proceso de tratamiento de riesgos SI una organización?. Para seleccionar las opciones adecuadas de tratamiento, determinar los controles necesarios, comparar los controles determinados con el Anexo A de la ISO 27001, elaborar la Declaración de Aplicabilidad, formular el plan de tratamiento de riesgos SI y obtener la aprobación del plan por parte de los dueños de los riesgos. Para asegurar que está disponible y protegida. Para evaluar la confidencialidad, la integridad y la disponibilidad de la información.

28.¿Para qué debe considerar la organización al planificar el SGSI?. Para asegurar que el SGSI alcanza sus resultados, prevenir efectos indeseados y lograr la mejora continua. Para seleccionar las opciones adecuadas de tratamiento, determinar los controles necesarios, comparar los controles determinados con el Anexo A de la ISO 27001, elaborar la Declaración de Aplicabilidad, formular el plan de tratamiento de riesgos SI y obtener la aprobación del plan por parte de los dueños de los riesgos. Para evaluar la confidencialidad, la integridad y la disponibilidad de la información.

29.¿Para qué debe asignar la alta dirección la responsabilidad y la autoridad?. Para asegurar que el SGSI alcanza sus resultados, prevenir efectos indeseados y lograr la mejora continua. Para el aseguramiento de que el SGSI cumple con los requisitos ISO 27001 e información a alta dirección sobre el comportamiento del SGSI. Para seleccionar las opciones adecuadas de tratamiento, determinar los controles necesarios, comparar los controles determinados con el Anexo A de la ISO 27001, elaborar la Declaración de Aplicabilidad, formular el plan de tratamiento de riesgos SI y obtener la aprobación del plan por parte de los dueños de los riesgos.

30.¿De qué deben ser conscientes las personas que trabajan bajo el control de la organización?. Los procesos requeridos y sus interacciones de acuerdo con los requisitos de la ISO 27001. La política de SI, su contribución a la eficacia del sistema de gestión y las implicaciones de no cumplir con los requisitos del SGSI. Para el aseguramiento de que el SGSI cumple con los requisitos ISO 27001 e información a alta dirección sobre el comportamiento del SGSI.

31.¿Con qué frecuencia debe la dirección revisar el SGSI?. Estableciendo criterios para los procesos e implementado controles en los procesos de acuerdo con los criterios. A intervalos planificados. Como información documentada.

32.¿Cómo deben ser los objetivos de SI?. A intervalos planificados. Coherentes con la política, medibles, contemplar los requisitos, monitorizados, comunicados, actualizados y estar disponibles. Como información documentada.

33.¿Cómo deben ser los cambios en el SGSI?. Coherentes con la política, medibles, contemplar los requisitos, monitorizados, comunicados, actualizados y estar disponibles. Estableciendo criterios para los procesos e implementado controles en los procesos de acuerdo con los criterios. Planificados.

34.¿Cómo debe la organización planificar, implementar y controlar los procesos necesarios para cumplir los requisitos e implementar las acciones?. Estableciendo criterios para los procesos e implementado controles en los procesos de acuerdo con los criterios. Coherentes con la política, medibles, contemplar los requisitos, monitorizados, comunicados, actualizados y estar disponibles. Planificados.

35.¿Cómo debe la organización llevar a cabo auditorías internas del SGSI?. Como información documentada. A intervalos planificados. Estableciendo criterios para los procesos e implementado controles en los procesos de acuerdo con los criterios.

36.¿Cómo debe la organización efectuar evaluaciones de riesgos de SI?. A intervalos planificados y cuando se propongan o produzcan modificaciones importantes. A intervalos planificados. Estableciendo criterios para los procesos e implementado controles en los procesos de acuerdo con los criterios.

37.¿Cómo debe la organización conservar la información de los resultados del tratamiento de los riesgos de la información?. A intervalos planificados. A intervalos planificados y cuando se propongan o produzcan modificaciones importantes. Como información documentada.