Scribd
Cargar
31 vistas4 páginas

PracticaFDISO27001 Parte2

El documento aborda diversas preguntas sobre la gestión de riesgos y la implementación de la norma ISO/IEC 27001, incluyendo opciones de tratamiento de riesgos, objetivos de comunicación y capacitación en seguridad de la información. Se discuten aspectos como la selección de controles de seguridad, auditorías internas y la necesidad de revisiones periódicas por la dirección. También se enfatiza la importancia de la mejora continua y la actualización de políticas relacionadas con la seguridad de la información.

Cargado por

Karla Jaqueline Iglesias
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
31 vistas4 páginas

PracticaFDISO27001 Parte2

El documento aborda diversas preguntas sobre la gestión de riesgos y la implementación de la norma ISO/IEC 27001, incluyendo opciones de tratamiento de riesgos, objetivos de comunicación y capacitación en seguridad de la información. Se discuten aspectos como la selección de controles de seguridad, auditorías internas y la necesidad de revisiones periódicas por la dirección. También se enfatiza la importancia de la mejora continua y la actualización de políticas relacionadas con la seguridad de la información.

Cargado por

Karla Jaqueline Iglesias
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

1.

Tras un análisis de riesgos, una organización descubrió que alrededor del


0.4% de sus transacciones electrónicas son fraudulentas. La organización
ha decidido subcontratar el proceso de pago con una organización externa
para reducir el riesgo. ¿Qué opción de tratamiento de riesgos es esta?

A. Retención de riesgos

B. Compartir los riesgos

C. Modificación de riesgos

2. ¿Cuál es el objetivo de la comunicación de riesgos?


A. Promover la toma de conciencia y la comprensión de riesgos
B. Revisar y aprobar planes de tratamiento de riesgos
C. Determinar si un riesgo residual cae por encima o por debajo del umbral

3. Una organización ha decidido trasladar sus instalaciones de


procesamiento de información a un lugar donde el riesgo de inundaciones
es bajo. ¿Qué opción de tratamiento de riesgos ha elegido la organización?
A. Evitar los riesgos
B. Evaluación de riesgos
C. Compartir los riesgos

4. ¿Cómo selecciona una organización los controles de seguridad de ISO/IEC


27001, Anexo A?
A. Con base en los resultados de la apreciación de los riesgos
B. Con base en la decisión de la alta dirección
C. Con base en el informe de auditoría interna

5. ISO/IEC 27001 requiere que la organización seleccione sus controles de


seguridad solo del Anexo A.
A. Verdadero
B. Falso

6. ¿Qué debería hacer una organización para cumplir con la norma ISO/IEC
27001?
A. Desarrollar un procedimiento de control de la información documentada
B. Desarrollar un formulario para el control de la información documentada
que solo sea visible para la alta dirección
C. Desarrollar una directriz para el control de la información documentada
solo cuando sea solicitada por un ejecutivo

7. ¿Proporciona ISO/IEC 27001 un método de documentación específico para


el diseño y descripción de controles?
A. Verdadero
B. Falso
8. ¿Qué reflejan los objetivos de comunicación?
A. Los objetivos de la seguridad de la información
B. Los objetivos de la estructura organizativa
C. Los objetivos del alcance del SGSI

9. ¿Por qué debería una organización proporcionar un programa de


comunicación?
A. Para integrar el SGSI en los procesos existentes
B. Para obtener apoyo de dirección para el SGSI
C. Para informar a las partes interesadas sobre el SGSI y los cambios que
los puedan afectar

10. ¿Cuál es el objetivo principal de un programa de capacitación del SGSI?


A. Informar a las partes interesadas sobre la seguridad de la información
B. Promover la importancia de la seguridad de la información dentro de
una organización
C. Permitir a los individuos adquirir habilidades generales y específicas
relacionadas con la implementación de un SGSI.

11. El seguimiento, medición, análisis y evaluación deberían definir las


‘necesidades de información’, que por lo general se expresan como una
pregunta o afirmación de seguridad de la información de alto nivel que
ayuda a la organización a evaluar el desempeño de la seguridad de la
información y la eficacia de SGSI.
A. Verdadero
B. Falso

12. ¿Cuál es el objetivo del seguimiento, la medición, el análisis y la evaluación


en un SGSI?
A. Iniciar la implementación del SGSI
B. Mejorar la implementación del SGSI
C. Prohibir la implementación del SGSI

13. ¿Qué es una auditoría?


A. Un proceso sistemático, independiente y documentado
B. Documentos simétricos y objetivos
C. Una opinión subjetiva sobre el estado

14. ¿Cuál de las siguientes NO es una característica de las auditorías internas?


A. Proporcionan recomendaciones generales y no una función de
asesoramiento dentro de la organización
B. Consideran la eficacia y la eficiencia del SGSI
C. Son independientes de las actividades auditadas (no de la
organización)
15. Una organización que desee cumplir con ISO/IEC 27001 debería al menos
realizar revisiones periódicas por la dirección a intervalos programados y
mantener registros.
A. Verdadero
B. Falso

16. Dado que no existe un requisito específico con respecto a la frecuencia de


las reuniones de revisión por la dirección, las reuniones anuales son
suficientes para prevenir o resolver problemas.
A. Verdadero
B. Falso

17. Todas las no conformidades deberían ser incluidas en un plan de acción


único inclusivo.
A. Verdadero
B. Falso

18. Una organización ha integrado la identificación de interrupciones para la


continuidad de negocio en su apreciación de riesgos anual del SGSI.
¿Cómo apreciaría esta situación?
A. Conformidad
B. No conformidad mayor
C. No conformidad menor

19. ¿Cuál de las siguientes opciones es una actividad adoptada para la mejora
continua?
A. Determinar los objetivos de la medición
B. Establecer indicadores de desempeño del SGSI
C. Establecer los factores de cambio a ser objeto de seguimiento

20. ¿Qué se debería revisar y actualizar continuamente?


A. Los incidentes de seguridad de la información
B. La política de la seguridad de la información
C. Los fallos en la seguridad de la información

También podría gustarte