BANCO DE PREGUNTAS ISO 27001 IMPLEMENTOR

1. ¿Cual es la actividad que resume la fase de ACTUAR del PHVA en un

sistema de gestión de seguridad de la información?
A. Revisar el SGSI completo y emitir hallazgos.
B. Mejoramiento continuo.
C. Auditoria Interna y emitir hallazgos.
D. Monitorear el ISMS.

2. Usted ha sido consultado por un equipo que está trabajando en la

implementación del ISMS.
¿Qué documento se produce después de hacer un análisis de brechas?
A. Lista chequeo de auditoria.
B. Caso de Negocio.
C. Plan de acción.
D. Declaración de aplicabilidad

3. De acuerdo con la Norma ISO 27001 y lo explicado en el material del

programa de certificación de CertiProf, la aprobación del alcance debe ser
una responsabilidad y autoridad asignada por:

A. El Auditor Interno de la compañía.

B. La Alta Dirección
C. El representante de la dirección
D. El director de IT

4. Usted está trabajando como implementador de la Norma ISO 27001 con el

rol de consultor externo. Personal de la compañia para la que está usted
trabajando le consultan sobre cuáles serían los requisitos y condiciones
para definir el alcance del sistema de gestión de seguridad de la
información (ISMS por sus siglas en ingles).

Seleccione las que apliquen:

A. Para el alcance no se deben considerar todos los procesos de negocio,

solamente los de IT.
B. Tenga en cuenta el análisis del contexto de la organización del que se
hablo en el material de CertiProf.
C. Defina el alcance solo cuando tenga seleccionado los controles a
implementar y el SOA.
D. Tenga en cuenta las cuestiones internos y externos.
5. Como implementador líder de la ISO 27001 usted sabe que la seguridad en
los procesos de desarrollo y de soporte es un control que deberían validar
si es necesario llevar a cabo todas las organizaciones que decidan
implantar un Sistema de Gestión de la Información de acuerdo con el
estándar ISO/IEC 27001.

¿Cual es propósito de este control?

A. Evitar el incumplimiento de las obligaciones legales contractuales

relacionadas con seguridad de la información y el desarrollo de software.
B. Cumplir con los deseos del comité ejecutivo.
C. Asegurar que la seguridad de la información este diseñada e implementada
dentro del ciclo de vida de desarrollo de los sistemas de información.
D. Asegurar siempre que el control sea implementado dado su importancia
mundial relacionada a los desarrollos de software.

6. Usted ha sido contratado para realizar una implementación de un sistema

de gestión de seguridad de la información. El responsable de la alta
dirección le consulta sobre que debe incluir la política de seguridad de la
información según ISO 27001.
Seleccione la lista más completa.

A. Introducción, alcance del ISMS, resultado de las auditorias, exclusión de

controles.
B. Versión, resumen ejecutivo, objetivo de la política, presupuesto aprobado,
tiempo
de duración de la política.
C. Versión del documento, lista de controles a implementar, fechas de las
auditorias anuales, listados de chequeos, plan de auditoría y programa de
auditoría.
D. Versión del documento, fecha de publicación, alcance del ISMS, objetivo de
la política, políticas relacionadas.

7. Usted está trabajando como implementador de la Norma ISO 27001. Usted

manifiesta que la organización debe hacer una declaración de aplicabilidad
(SOA por sus siglas en ingles).
La declaración de aplicabilidad debe contener:
A. Todos los controles necesarios determinados en el paso anterior y para
cada
control.
B. La justificación de la inclusión del control.
C. si el control se implementa o no.
D. La justificación de la exclusión de cualquiera de los controles.
E. Todas las anteriores.
8. Para cumplir con el requisito de la norma ISO 27001 deberemos establecer
un plan de auditorías internas que nos permitan revisar el sistema de
Gestión SGSI.
¿Cual es el propósito de la auditoria interna?
A. Obtener evidencia objetiva y evaluarla objetivamente para determinar en
qué grado se cumplen los criterios de auditoría.
B. Revisar la implementación del SGSI y su efectividad. Comprobar que los
requisitos y procesos de la organización han integrado correctamente los
requisitos de la seguridad de la información definidos en el SGSI.
C. Validar los resultados de las revisiones externas.
D. Asegurar que todos los controles se encuentran alineados a la norma y
comprobar que el SGSI que hemos implantado cumple con los deseos de la
alta dirección.

9. Usted está trabajando, implementando políticas de seguridad de la

información basado en la norma. Algunas políticas que debería considerar
son:
1. Política de seguridad física
2. Política de escritorio
3. Política de Control de Acceso
4. Política de Teletrabajo
5. Política de uso de Software

A. Solo 1 y 2 están en el alcance la norma.

B. De la 1 a la 5 son políticas de seguridad a ser consideradas según las
cláusulas de la Norma.
C. Solo 2, 3 y 4 deberían ser evaluadas a ser definidas en un sistema de
gestion de seguridad de la información.
D. La ISO 27001 define que solo se debe tener una Política de Seguridad de la
Informacion y no tantas políticas.

10. Usted está aplicando a un rol como implementador de la Norma ISO 27001.
Durante la entrevista le preguntan, ¿Qué es el Análisis de Riesgos de
Seguridad de la Información?
Seleccione la mejor respuesta.
A. Es el proceso para determinar la probabilidad de que un activo de
información sea comprometido.
B. Establece el riesgo que se tiene en una organización en temas de
seguridad ambiental.
C. Es el proceso para determinar los controles requeridos para evitar
comprometer un activo de información.
D. Es el proceso para poder eliminar los riesgos de un activo de información.
11. ¿Entrenamiento y conciencia, implementación de procedimientos y
recolección de registros a que etapa del ciclo PHVA pertenecen?
A. Planear.
B. Verificar.
C. Hacer.
D. Actuar.

12. ¿El monitoreo al sistema de gestión etapa del ciclo PHVA pertenecen?
A. Planear.
B. Verificar.
C. Hacer.
D. Actuar.

13. Como implementador líder de la ISO 27001 usted sabe que el

Cumplimiento de requisitos legales y contractuales es un control que
deberían validar si es necesario llevar a cabo todas las organizaciones que
decidan implantar un Sistema de Gestión de la Información de acuerdo con
el estándar ISO/IEC 27001.
¿Cuál es propósito de este control?
A. Evitar el incumplimiento de las obligaciones legales, estatutarias, de
reglamentación o contractuales relacionadas con seguridad de la información y
de
cualquier requisito de seguridad.
B. Cumplir con los requisitos de la ISO 27002.
C. Asegurar siempre que el control sea implementado dado su importancia
mundial.
D. Cumplir con la política de seguridad de la información.

14. Las medidas de control de accesos de la norma ISO 27001 están

orientadas a controlar y monitorizar los accesos a los medios de
información de acuerdo con las políticas definidas por la organización.
¿Qué es la autorización?
A. La verificación de la identidad de una persona.
B. La determinación de la identidad de una persona.
C. El conjunto de las acciones llevadas a cabo para acceder.
D. Asegurar el acceso de los usuarios autorizados y evitar el acceso no
autorizado a sistemas y servicios.
15. Usted ha sido contratado para realizar una implementación de un sistema
de gestión de seguridad de la información. Uno de los pasos que desea
hacer es ejecutar un análisis GAP.
¿Cuál es el resultado que espera obtener o que produce el análisis GAP?

A. Entrega la relación directa entre el estado anterior y actual de la

organización.
B. La "brecha" entre lo actual y lo deseado. El costo financiero aproximado del
cierre de brechas.
C. Razones por las cuales se debe implementar un SGSI y aproximación de
costo y esfuerzo para implementar un SGSI.
D. Con el análisis GAP se espera tener estado actual de las practicas
seguridad de la información implementadas, es decir se conocerá la
"brecha" entre lo requerido por la Norma ISO 27001 y las practicas
actuales, esto con el objetivo de generar un plan de cierre de brechas.

16. Como implementador líder de la ISO 27001 usted sabe que la Gestión de
incidentes y mejoras en la seguridad de la información es un control que
deberían validar si es necesario llevar a cabo todas las organizaciones que
decidan implantar un Sistema de Gestión de la Información de acuerdo con
el estándar ISO/IEC 27001.
¿Cuál es propósito de este control?

A. Cumplir con los requisitos de la ISO 27002.

B. Asegurar un enfoque coherente y eficaz para la gestión de incidentes de
seguridad de la información, incluida la comunicación sobre eventos de
seguridad
y debilidades.
C. Asegurar siempre que la gestión de incidentes de seguridad de la
información sea implementada dado su importancia mundial.
D. Cumplir con la política de seguridad de la información.

17. El responsable de la seguridad de la información desea establecer una lista

de controles de seguridad como parte de su trabajo en acciones para tratar
riesgos y oportunidades. El está usando el modelo de gestión de riesgos
mostrado en el programa de certificación de CertiProf.
¿Qué tiene que hacer en primer lugar, antes de que se puedan seleccionar
el tratamiento de los riesgos de seguridad?
A. Formular una política de seguridad de la información.
B. Establecer vigilancia.
C. Llevar a cabo un análisis de riesgo.
D. Llevar a cabo una evaluación.
18. Basado en la guía de entrenamiento del programa de Implementador Lider
de ISO 27001 de CertiProf. Parte del sistema de gestión de seguridad de la
información incluye estructura organizacional, políticas, planes,
responsabilidades, procedimientos, procesos y recursos.
¿Cómo podría definirse la estructura de la información documentada?
A. Pueden ser manuales.
B. Son instrucciones, planes y formatos.
C. Son procedimientos documentados en el sistema de gestión.
D. Todas las anteriores.

19. El análisis del riesgo puede estar influenciado por cualquier divergencia de
opiniones, sesgos, percepciones del riesgo y juicios. Las influencias
adicionales son la calidad de la información utilizada, los supuestos y las
exclusiones establecidos, cualquier limitación de las técnicas y cómo se
ejecutan éstas. Estas influencias se deberian considerar, documentar y
comunicar a las personas que toman decisiones. ¿Qué afirmación sobre el
análisis de riesgos es correcta?
1. Las técnicas para análisis de riesgo basadas en las consecuencias y en la
probabilidad pueden ser cualitativas y cuantitativas.
2. En un análisis de riesgos tiene que considerarse toda la informadón
detallada.
3. Un análisis de riesgos se limita a la disponibilidad de la información.
4. Un análisis de riesgos es sencillo de realizar completando un breve
cuestionario estándar con preguntas estándar.

A. 1.
B. 2.
C. 3.
D. 4.

20. La norma ISO 27001 establece como requisito, la necesidad de definir una
Política de Seguridad de la Información adecuada a las necesidades de la
organización. La política del ISMS puede ser utilizada como una
herramienta de Liderazgo de la Dirección y de Concienciación para los
empleados.
Seleccione la mejor repuesta complementa esta definición sobre lo que es
una política de seguridad de la información.

A. Es un documento que establece por escrito el "cuando" y el "cómo" una

organización planea proteger sus activos de información e información. La
Política de Seguridad de la Información es un documento vivo, por lo que
se debe revisar de cada seis meses para que sea adecuada a las
necesidades.
 B. Establece la guía de implementación y monitoreo del SGSI. La Política de
Seguridad de la Información debe ser protegida para evitar que todos los
empleados de la empresa la conozcan.
C. Es un documento que establece por escrito el "porqué" y el "cuando" una
organización planea proteger sus activos de información e información.
D. Describe la importancia estratégica del sistema de gestión de seguridad
de la información para la organización y debe estar disponible como
información documentada.

21. De acuerdo con el programa de certificación de CertiProf, La política de

seguridad de la información describe la importancia estratégica del SGSI
para la organización y está disponible como información documentada.
¿Cómo se describe mejor el propósito de la política de seguridad de la
información?

A. La política proporciona dirección y apoyo a la gestión en materia de

seguridad de la información.
B. La política documenta el análisis de riesgos y la búsqueda de
contramedidas.
C. La politica hace que el plan de seguridad sea concreto aportándole la
información detallada necesaria.
D. La política proporciona una mejor comprensión sobre las amenazas y las
posibles consecuencias.

22. La relación entre los riegos y controles es directamente proporcional, es

decir, a mayor riesgo, mayor necesidad de controles. La evaluación de
riesgos bajo la ISO 27001 garantiza que no se implementen controles
donde no existen riesgos, lo que permite ahorrar tiempo y dinero. ¿Cuál
sería el mejor enfoque que como ISO 27001 Implementador usted seguiría
para tratar los riegos?

A. Listar los riesgos, priorizarlos en base al valor del activo, tratar los de
mayor valor primero.
B. Evitar el riesgo, asumir el riesgo, modificar el riesgo, compartir el riesgo,
retener el riesgo.
C. Listar los riesgos, priorizarlos en base al valor del riesgo, tratar todos los
riesgos.
D. Eliminar el riesgo, asumir el riesgo, modificar el riesgo, compartir el
riesgo, transferir el riesgo.
23. ¿Usted está trabajando como Implementador del ISMS por sus siglas en
inglés, bajo su experiencia cuál podría ser un orden a tener en cuenta en la
implementación?
1. Definir política, definir alcance, valorar riesgos, seleccionar controles,
preparar una declaración de aplicabilidad (SOA Statement of Application)
2. Preparar un SOA (Statement of Application), definir alcance, definir política,
valorar riesgos, seleccionar controles.
3. Definir alcance, valorar riesgos, definir política, seleccionar controles,
preparar un SOA (Statement of Application)
4. Definir alcance, Definir política, Eliminar riesgos, preparar un SOA
(Statement of Application), seleccionar controles.
¿Bajo un enfoque PDCA (PHVA) cual sería los mejores pasosya seguir?

A. Opción 1.
B. Opción 2.
C. Opción 3.
D. Opción 4.

24. Acuerdo de proyecto e inventario de activos a que etapa del ciclo PHVA
pertenecen?

A. Verificar.
B. Actuar.
C. Planear.
D. Hacer.

25. Basado en la guía de entrenamiento del programa de Implementador Lider

de ISO 27001 de CertiProf ¿Qué es un análisis GAP's (De brechas)?
A. Es el proceso para evaluar la efectividad del SGSI.
B. La identificación de la diferencia entre el nivel actual de seguridad de la
información de una organización y el nivel de seguridad de la información
que desea tener. Gap se refiere al espacio entre "donde estamos" (el
presente) y "donde queremos estar" (el objetivo a alcanzar).
C. La identificación de la diferencia entre el nivel pasado de seguridad de la
información en la organización y el nivel de seguridad de la información
actual.
D. Identifica los riesgos de seguridad de la formación y establece los
controles que cubren dichos riesgos.

26. Usted está trabajando como implementador de la Norma ISO 27001. Usted
recomienda que se evalúe la actualización de la actual Declaración de
Aplicabilidad (SoA por sus siglas en inglés, Statement of Applicability).
¿Por qué se hace esta recomendación de actualización?
A. Porque los riesgos no se eliminan.
B. Porque los riesgos se evalúan y actualizan constantemente.
C. Porque la norma exige una actualización cada 3 meses.
 D. Porque se actualiza después de cada evento.

27. Los objetivos de un SGSI son asociados a confidencialidad, integridad y

disponibilidad de la información. La disponibilidad es la propiedad que hace
referencia a:
A. Que la información mantenga los mismos datos que en su último acceso.
B. Que la información sea accesible cuando sea necesaria.
C. Que la información no sea robada por un ciberdelincuente.
D. Todas las anteriores.

28. Usted está trabajando como implementador y va a entregar un documento

que resume a la Alta Dirección los principales aspectos para tener en
cuenta para implantar un Sistema de gestión de la Seguridad de la
Información (SGSI).
¿Qué documento está preparando?
A. Caso de Negocio.
B. Cotización de Servicios de implementación.
C. GAP Análisis.
D. Informe de Auditoria.

29. El proceso de la gestión del riesgo implica la aplicación sistemática de

políticas, procedimientos y prácticas a las actividades de comunicación y
consulta, establecimiento del contexto y evaluación, tratamiento,
seguimiento, revisión, registro e informe del riesgo.
¿Cuál es el propósito de la gestión de riesgos?
A. Establecer las amenazas a las que están expuestos los recursos
informáticos.
B. Utilizar medidas para reducir riesgos a un nivel aceptable.
C. Determinar la probabilidad de que ocurra un cierto riesgo.
D. Determinar el daño causado por posibles incidentes relacionados con la
seguridad.

30. Usted está trabajando en la implementación de controles de seguridad de la

información basado en la ISO 27001.
Hay un control que se ocupa de la asignación y el uso de privilegios de
acceso dado que debe estar restringida y controlada.
¿El control sobre el que está trabajando es conocido como?
A. Protección de la información de registro.
B. Gestión de privilegios de acceso.
C. Respaldo de la información.
D. Seguridad de los servicios de red.

31. Como implementador de ISO 27001 usted aprendió que el tratamiento de

riesgos de seguridad de la información es el proceso global de selección de
opciones de tratamiento de riesgos, determinación de controles apropiados
para implementar estas opciones, formulación de un plan de tratamiento de
 riesgos y la obtención de aprobación del plan de tratamiento de riesgos por
parte del(los) dueño(s) del(los) riesgos.
Basado en lo anterior, se puede determinar que después que se hace la
evaluación del riesgo (Risk assesment) las opciones o estrategias de tratamiento
de riesgos son:
A. Eliminar el riesgo, asumir el riesgo, modificar el riesgo, compartir el
riesgo, retener el riesgo.
B. Eliminar el riesgo, asumir el riesgo, modificar el riesgo, delegar el riesgo,
retener el riesgo.
C. Evitar el riesgo, asumir el riesgo, modificar el riesgo, compartir el riesgo,
retener el riesgo.
D. Evitar el riesgo, asumir el riesgo, modificar el riesgo, compartir el riesgo,
transferir el riesgo.

32. De acuerdo con la Norma ISO 27001 y lo explicado en el material del

programa de certificación de CertiProf, La delegación de la autoridad en la
organización y proporcionar recursos para ejecutar las actividades
relacionadas con seguridad de la información y el SGSI es una
responsabilidad y autoridad asignada por:
A. La Alta Dirección.
B. El auditor externo.
C. El Auditor Interno de la compania.
D. El representante de la dirección.

33. Una herramienta que se podría usar para ayudar en la implementación del
ISMS es el análisis PESTEL. ¿Para qué se usa el análisis PESTEL en el
contexto de la ISO 27001?

A. Se evalúan los mismos aspectos que en una FODA solo que con un
enfoque externo unicamente.
B. Ayuda a definir los controles de seguridad físicos, lógicos, y preventivos.
C. El análisis PESTEL se utiliza para determinar el aspecto interno de la
compañía y ayudar a definir el alcance del sistema de gestión.
D. El análisis PESTEL es un marco para analizar los factores clave
(políticos,
económicos, sociológicos, tecnológicos, legales y ambientales) que tienen
una influencia externa en una organización.

34. ¿El análisis de riegos, Análisis de brechas y las políticas de seguridad a

que etapa del ciclo PHVA pertenecen?

A. Actuar.
B. Planear.
C. Hacer.
D. Verificar.
35. El Anexo A es un documento normativo que sirve como guía para
implementar los controles de seguridad específicos de ISO 27001. Todos
estos controles están dirigidos a mejorar la Seguridad de la información de
la organización. ¿Cual de estos es un ejemplo de Gestión de Activos?

A. Inventario de activos.
B. Propiedad de los activos.
C. Clasificación de la información.
D. Todas las opciones son relacionadas al control.

36. Los objetivos de un SGSI son asociados a confidencialidad, integridad y

disponibilidad de la información. La confidencialidad es la propiedad que
hace referencia a

A. Propiedad de la información por la que se mantiene inaccesible y no se

revela a individuos, entidades o procesos no autorizados.
B. Que la información pueda ser accesible por los empleados de la empresa.
C. Que la información pueda estar accesible en todo momento.
D. Que la información no sea revelada a individuos, procesos o entidades no
autorizados.

37. Como implementador lider de la ISO 27001 usted sabe que un control que
deberian validar si es necesario llevar a cabo todas las organizaciones que
decidan implantar un Sistema de Gestión de la Información de acuerdo con
el estándar ISO/C 27001 es relacionado a la seguridad de las
comunicaciones y especificamente el de transferencia de información.
¿Cual es propósito de este control?

A. Cumplir con los requisitos de la ISO 27002.

B. El único propósito valido para implementar este control es evitar el
incumplimiento de las obligaciones legales como lo es la ley de protección
de datos personales.
C. Mantener la seguridad de la información transferida dentro de una
organización y con cualquier Organización externa.
D. Asegurar siempre que el control sea implementado dado su importancia
mundial en la transferencia de la información que se da naturalmente en
la actualidad.

38. Usted esta trabajando como implementador y desea explicar los pasos más
visibles en la ruta a seguir, estos serian:

A. Caso de Negocio, Diagnóstico, Adoptar un enfoque PHVA.

 B. Auditar el sistema actual, Hacer un Caso de Negocio, Contratar la
implementación.
C. Diagnóstico, Caso de Negocio, Adoptar un enfoque PHVA.
D. Planear, Hacer el Caso de Negocio, Ejecutar los diagnósticos y Auditar.

39. ¿Qué es una Declaración de Aplicabilidad (SoA) y para qué sirve?

A. Este documento es un requisito del estândar ISO/IEC 27001 que

determina los riesgos que le aplican a la organización en relación con los
activos de información evaluados.
B. Este documento es un requisito del estándar ISO/IEC 27001, es el listado
de los controles de ISO 27001 en el cual se indican los controles que se
utilizan, los que no y las razones del porque, además de la evidencia de
su uso.
C. Es el listado de los 14 dominios de control relacionados a los riesgos.
D. Este documento es un requisito del estándar ISO/IEC 31000, relaciona los
riesgos, impactos, controles, escenarios y objetivos de control.

40. Usted esta trabajando como implementador y apoyando en la definición de

la política de seguridad de la información (ISMS).
Algunos aspectos para tener en cuenta son:

A. Misión, visión y principios de la organización.

B. El estándar NIST del gobierno americano.
C. Únicamente las necesidades internas.
E. Ninguna de las anteriores.