22/3/25, 20:40 Examen Certificación - Auditor Interno ISO/IEC 27001:2022 Sistemas de Gestión Seguridad de la Información e ISO 27005:2022 Seg…

Comenzado el sábado, 22 de marzo de 2025, 19:35

Estado Finalizado
Finalizado en sábado, 22 de marzo de 2025, 20:38
Tiempo empleado 1 hora 2 minutos
Calificación Sin calificar aún

INFORMACIÓN

Examen de cierre

Con este examen podrás medir tu aprendizaje acerca del tema aprendido y conseguir tu certificado.
De acuerdo a cada sección y sus tipos de preguntas, selecciona o escribe las respuestas que consideres correctas según
corresponda.
¡Éxitos!

INFORMACIÓN

De las preguntas a continuación, selecciona las respuestas que consideres correctas según corresponda

(preguntas disponibles en las siguientes páginas del cuestionario)

INFORMACIÓN

Emparejar

Empareje los ítems que se presentan en cada pregunta, según correspondan:

https://sgsacademy.co/mod/quiz/review .php?attempt=197878&cmid=188194 1/9

22/3/25, 20:40 Examen Certificación - Auditor Interno ISO/IEC 27001:2022 Sistemas de Gestión Seguridad de la Información e ISO 27005:2022 Seg…

PREGUNTA 1

Finalizado

Se puntúa 7,50 sobre 7,50

En las situaciones que se presentan, establezca si el hallazgo corresponde a: conformidad (C), no conformidad (NC) o falta información (FI):

El Inventario de Activos de Información se actualiza cada vez que ingresa, se despide o renuncia alguien C

No se audita al proveedor de la nube por ser un mega proveedor global NC

La esposa del Gerente General no ha sido registrada en el Libro de Visitas FI

Las políticas de seguridad de la información no se han revisado luego de cambios en la estructura organizacional NC

Al revisar el log de eventos del antivirus se observan varios intentos de intrusión no analizados NC

PREGUNTA 2

Finalizado

Se puntúa 7,50 sobre 7,50

Empareja los siguientes términos y definiciones de la norma ISO 27005:2022 según corresponda:

Decisión informada de asumir un riesgo particular Aceptación de riesgo

Importancia de un riesgo, expresada en términos de la combinación de consecuencias y su probabilidad Nivel de riesgo

Proceso de comparar los resultados del análisis de riesgos con los criterios de riesgo para determinar si el riesgo y/o su
Evaluación de riesgo
importancia es aceptable o tolerable.

Proceso para modificar el riesgo Tratamiento de riesgo

Aceptación temporal del beneficio potencial de la ganancia, o la carga de la pérdida, de un riesgo particular Retención de riesgo

Forma de tratamiento de riesgos que implica la distribución acordada del riesgo con otras partes Riesgo compartido

INFORMACIÓN

Preguntas Abiertas

Estas preguntas buscan evaluar su interpretación personal acerca de los temas aprendidos en la formación. Describa la
actividad, situación o requerimiento que se solicita a continuación, tratando de dar los detalles necesarios. Tenga en cuenta
que no puede cargar imágenes o archivos en la respuesta.
Estas preguntas serán calificadas de forma individual por tutoría.

https://sgsacademy.co/mod/quiz/review .php?attempt=197878&cmid=188194 2/9

22/3/25, 20:40 Examen Certificación - Auditor Interno ISO/IEC 27001:2022 Sistemas de Gestión Seguridad de la Información e ISO 27005:2022 Seg…

PREGUNTA 3

Finalizado

Se puntúa como 0 sobre 10,00

La Norma ISO 19011 establece unos principios asociados a la Auditoría y al Auditor. Explique con sus palabras de forma breve estos principios:
Integridad
Presentación imparcial
Debido cuidado Profesional

Integridad: Ser profesional en el ejercicio de la auditoria aplicando los conocimientos necesarios de forma etica, honesta y responsable.

Presentacion Imparcial: Reportar adecuadamente lo que se encuentra sin ocultar nada y siendo objetivo en cada hallazgo que se presente.

Debido cuidado profesional: Los auditores deberan ejercer su funcion con diligencia y criterio, cuidando la confianza depositada por el cliente.

PREGUNTA 4

Finalizado

Se puntúa como 0 sobre 10,00

Explique el proceso iterativo para el tratamiento del riesgo según la norma ISO 27005

Entrada: Una lista de riesgos priorizados con escenarios de eventos o riesgos que conducen a esos riesgos, estos deben ser acordes al contexto de la

organizacion y ser evaluado su posible impacto.

Acción: Se deberian elegir las opciones de tratamiento de los riesgos, que mitiguen o disminuyan el impacto previamente calculado.

Activación: La selección de las opciones de tratamiento de los riesgos de seguridad de la información es necesaria si no existe un plan de tratamiento de

los riesgos o si el plan está incompleto,

Resultado. Se genera una nueva lista de riesgos priorizados con las opciones de tratamiento definidas y seleccionadas para que se maneje de forma eficaz

y se minimicen las posibles amenazas.

PREGUNTA 5

Finalizado

Se puntúa como 0 sobre 10,00

Usted ha sido escogido para realizar una auditoría al proceso de gestión de incidentes de una Organización. Prepare por lo menos 5 preguntas que haría
en este ejercicio. Soporte sus respuestas con el numeral de la Norma/ Anexo A, correspondiente.

1. La organizacion tiene un procedimiento formal para la gestión de incidentes de seguridad en la informacion? Control A.5.25 ISO 27001:2022
2. Se cuenta con criterios claros para determinar la clasificación de un incidente de seguridad de la información? Control A 5.26 ISO 27001:2022
3. ¿Los empleados han recibido capacitacion en la organizacion durante el ultimo año para reportar incidentes de seguridad ? Control A.6.3 ISO
27001:2022
4. Se ha implementado un procedimiento para la recopilación de evidencias de un evento de seguridad? Control A.5.28 ISO 27001:2022
5. Existen registros que demuestren la efectividad de las capacitaciones en seguridad de la información? Clausula 7.3 ISO 27001:2022

https://sgsacademy.co/mod/quiz/review .php?attempt=197878&cmid=188194 3/9

22/3/25, 20:40 Examen Certificación - Auditor Interno ISO/IEC 27001:2022 Sistemas de Gestión Seguridad de la Información e ISO 27005:2022 Seg…
INFORMACIÓN

Selección Múltiple

Lea con atención las preguntas de esta sección y entre las opciones que se presentan, elija la que a su criterio, sea correcta.

PREGUNTA 6

Finalizado

Se puntúa 4,00 sobre 4,00

Un Control “Las redes y los dispositivos de red deben estar protegidos, gestionados y controlados para proteger la información de los sistemas y las
aplicaciones" corresponde al numeral:

a. Aplica todo el numeral 8 de la norma

b. 8.21 - Seguridad de los servicios de red

c. 8.23 - Filtrado WEB

d. 8.20 - Seguridad de las redes

e. 8.16 - Actividades de seguimiento

PREGUNTA 7

Finalizado

Se puntúa 4,00 sobre 4,00

¿Qué tipo de enfoque promueve ISO 27005:2022 para la gestión de riesgos?

a. Un enfoque basado exclusivamente en tecnología

b. Un enfoque reactivo para la gestión de incidentes

c. Un enfoque sistemático, estructurado y oportuno

d. Un enfoque preventivo antes que correctivo

https://sgsacademy.co/mod/quiz/review .php?attempt=197878&cmid=188194 4/9

22/3/25, 20:40 Examen Certificación - Auditor Interno ISO/IEC 27001:2022 Sistemas de Gestión Seguridad de la Información e ISO 27005:2022 Seg…

PREGUNTA 8

Finalizado

Se puntúa 4,00 sobre 4,00

Según el PHVA de la norma ISO 27001:2022, corresponde con el Hacer:

a. Establecer planes para lograr los objetivos de seguridad de la información

b. Definir las competencias necesarias para el personal

c. Planificar y realizar auditorías internas

d. Asegurar que los procesos contratados externamente sean controlados

e. Establecer criterios de aceptación de riesgo

PREGUNTA 9

Finalizado

Se puntúa 0,00 sobre 4,00

Una fuente de riesgo puede ser:

1. Humano
2. Ambiental
3. Técnico
4. Del entorno

¿Cuál de las anteriores no es correcta?

a. 1 y 2 son correctas pero 3 no

b. 3 y 4 son correctas pero 1 no

c. 2 y 3 son correctas pero 4 no

d. 1 y 4 son correctas, pero 3 no

e. Todas son correctas

https://sgsacademy.co/mod/quiz/review .php?attempt=197878&cmid=188194 5/9

22/3/25, 20:40 Examen Certificación - Auditor Interno ISO/IEC 27001:2022 Sistemas de Gestión Seguridad de la Información e ISO 27005:2022 Seg…

PREGUNTA 10

Finalizado

Se puntúa 4,00 sobre 4,00

¿Cuál de los siguientes es un incidente de seguridad de la información?

a. Intento de acceso no autorizado a una base de datos

b. Puerta del Centro de Datos abierta

c. Ingreso de una persona con la tarjeta de identificación de otra

d. Antivirus no instalado

e. Mala definición de un lineamiento de acceso físico

INFORMACIÓN

Casos de Auditoría

El caso de auditoría está diseñado para calificar su capacidad para evaluar pruebas objetivas y aplicar correctamente el
conocimiento de los criterios de auditoría. Lea con atención y complete el requerimiento que se hace. Tenga en cuenta que
no es posible cargar archivos o imágenes para su respuesta.
Este caso será retroalimentado de forma individual por tutoría.

https://sgsacademy.co/mod/quiz/review .php?attempt=197878&cmid=188194 6/9

22/3/25, 20:40 Examen Certificación - Auditor Interno ISO/IEC 27001:2022 Sistemas de Gestión Seguridad de la Información e ISO 27005:2022 Seg…

PREGUNTA 11

Finalizado

Se puntúa como 0 sobre 10,00

En la auditoría realizada al Sistema de Gestión de la Seguridad de la Información de la Compañía NYSO electrónica, se hace una revisión de las acciones
correctivas y de mejora, identificadas en los procesos.
Se pudo evidenciar que existen 10 acciones correctivas y de mejora generadas de No conformidades, las cuales tienen análisis de causas y toma de
acciones que aseguran la gestión de estas.
Se pudo observar que en la auditoría realizada el año inmediatamente anterior, se generaron 4 observaciones y 3 oportunidades de mejora, asociadas a
gestión de incidentes y la gestión de riesgos, sin embargo, En auditoría se pudo observar que para las 3 oportunidades no se encontraron registros de
acciones pertinentes.

Según el caso presentado, usted deberá tomar una de las siguientes opciones:

Existencia de No conformidad: En este caso se debe redactar la No conformidad, teniendo en cuenta los ítems vistos durante el curso.

Observación: En este caso deberá redactar la observación.

Posibilidad de que no exista información suficiente para declarar un hallazgo: En este caso, usted deberá soportar por qué no existe suficiente

evidencia para determinar un hallazgo.

En el análisis del Sistema de Gestión de Seguridad de la Información (SGSI) de la Compañía, se detectó que las tres sugerencias de mejora planteadas en
la auditoría anterior (enfocadas en el manejo de incidentes y la gestión de riesgos) no cuentan con registros que demuestren la ejecución de acciones o un
monitoreo posterior. Si bien estas propuestas no son de cumplimiento obligatorio (a diferencia de las no conformidades), tampoco se evidenció un
proceso formal para evaluar su pertinencia o decidir su aplicación. Registrar las medidas adoptadas o, en caso de no ejecutarse, las razones técnicas que lo
justifiquen, impulsaría la mejora progresiva y la consolidación del SGSI, en línea con lo estipulado en la cláusula 10.1 "Mejora Continua" de la norma ISO
27001:2002.

PREGUNTA 12

Finalizado

Se puntúa como 0 sobre 10,00

La política de gestión y accesos de la organización GOTI Telecomunicaciones, indica que sólo pueden acceder al Datacenter las personas que están
autorizadas, teniendo en cuenta la lista de control de acceso CA-001, además en el caso que una persona diferente a las registradas en la lista deberá tener
sin excepción el Vo.bo del Director de Tecnología y con envío de correo al Proceso de Seguridad Física, para que permitan el acceso de la persona
autorizada.
En auditoría, dentro de su plan de trabajo definió el ingreso al Datacenter principal, por lo cual el analista de informática le permitió el ingreso para que
continuara con su auditoría.
Según el caso presentado, usted deberá tomar una de las siguientes opciones:

Existencia de No conformidad: En este caso se debe redactar la No conformidad, teniendo en cuenta los ítems vistos durante el curso.

Observación: En este caso deberá redactar la observación.

Posibilidad de que no exista información suficiente para declarar un hallazgo: En este caso, usted deberá soportar por qué no existe suficiente

evidencia para determinar un hallazgo.

No se dispone de evidencia suficiente para establecer un hallazgo formal: No existen registros que demuestren el envío del correo de autorización
requerido para gestionar el acceso al datacenter por parte del equipo auditor, ni del Visto Bueno emitido por el Director de Tecnología. En consecuencia,
no es posible confirmar de manera concluyente un incumplimiento al procedimiento Lista de Control de Acceso CA-001 , aplicable al acceso físico del área
en cuestión.

https://sgsacademy.co/mod/quiz/review .php?attempt=197878&cmid=188194 7/9

22/3/25, 20:40 Examen Certificación - Auditor Interno ISO/IEC 27001:2022 Sistemas de Gestión Seguridad de la Información e ISO 27005:2022 Seg…
INFORMACIÓN

Falso o Verdadero

Lea con atención los enunciados de esta sección e indique si son verdaderos o falsos según corresponda:

PREGUNTA 13

Finalizado

Se puntúa 3,00 sobre 3,00

En una Auditoría un control de seguridad de la información que está conforme también puede tener una observación para la mejora del control.

Seleccione una:

Verdadero

Falso

PREGUNTA 14

Finalizado

Se puntúa 3,00 sobre 3,00

Los riesgos de seguridad de la información pueden estar asociados con la posibilidad de que las amenazas exploten las vulnerabilidades de un activo de
información o grupo de activos de información y, por lo tanto, causen daño a una organización.

Seleccione una:

Verdadero

Falso

PREGUNTA 15

Finalizado

Se puntúa 3,00 sobre 3,00

En un SGSI se puede determinar que la confidencialidad es la prevención a la divulgación no autorizada de la información de una organización.

Seleccione una:

Verdadero

Falso

https://sgsacademy.co/mod/quiz/review .php?attempt=197878&cmid=188194 8/9

22/3/25, 20:40 Examen Certificación - Auditor Interno ISO/IEC 27001:2022 Sistemas de Gestión Seguridad de la Información e ISO 27005:2022 Seg…

PREGUNTA 16

Finalizado

Se puntúa 3,00 sobre 3,00

La incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con, comprensión o conocimiento de, un evento, su
consecuencia o probabilidad.

Seleccione una:

Verdadero

Falso

PREGUNTA 17

Finalizado

Se puntúa 3,00 sobre 3,00

Un incidente de Seguridad de la Información es un evento daña los activos de la organización o compromete sus operaciones.

Seleccione una:

Verdadero

Falso

◄ Encuesta de satisfacción Formación Auditor Interno ISO/IEC 27001:2022 Sistemas de Gestión Seguridad de la Información e ISO 27005:2022 Seguridad de
la información, Ciberseguridad y Protección de la Privacidad

Ir a...

https://sgsacademy.co/mod/quiz/review .php?attempt=197878&cmid=188194 9/9