En una auditoría interna de una organización de servicios financieros, el auditor observa que los controles de acceso para un sistema crítico no han sido completamente actualizados. Algunos antiguos empleados todavía tienen acceso al sistema, aunque no se ha reportado ningún incidente de seguridad. La empresa tiene un proceso de revisión de accesos, pero este no se ejecuta de manera constante.

Observación, ya que no ha habido incidentes, pero el proceso de revisión de accesos debería ser más riguroso

No conformidad, porque la falta de actualización de accesos representa un incumplimiento de los controles de seguridad

Oportunidad de mejora, porque implementar revisiones más frecuentes fortalecería la seguridad

En una empresa de tecnología, el auditor verifica que los procesos de respaldo de datos se realizan de manera regular, pero de forma manual. Esto requiere una supervisión constante del personal y puede llevar a errores humanos. Aunque hasta el momento no ha habido problemas, el equipo considera automatizar este proceso en el futuro.

Oportunidad de mejora, ya que la automatización del proceso reduciría la dependencia del personal y los errores humanos

No conformidad, porque el respaldo de datos debe automatizarse según la norma

Observación, ya que el proceso actual de respaldo es efectivo pero tiene margen de mejora

En una organización del sector salud, el auditor observa que, aunque el SGSI está implementado, no se han programado revisiones regulares del mismo. El equipo de gestión explica que, debido a la carga de trabajo, la revisión ha sido pospuesta indefinidamente. Sin embargo, el SGSI ha estado funcionando correctamente hasta la fecha.

No conformidad, porque la norma requiere revisiones periódicas del SGSI para asegurar su eficacia

Observación, ya que el SGSI está funcionando, pero la falta de revisiones regulares puede ser problemática a largo plazo

Oportunidad de mejora, para implementar un cronograma de revisiones más consistente en el futuro

En una organización, el auditor detecta que varios empleados nuevos no han recibido la capacitación sobre políticas de seguridad de la información, aunque existe un programa de capacitación documentado. El personal encargado indica que se les dará la capacitación en los próximos meses, aunque no hay fechas específicas.

No conformidad, porque la norma exige que todo el personal esté capacitado en las políticas de seguridad

Observación, ya que el retraso en la capacitación podría afectar la seguridad de la información

Oportunidad de mejora, porque agilizar el proceso de capacitación aseguraría que todos los empleados estén alineados con las políticas

Durante la auditoría interna de una empresa de telecomunicaciones, el auditor descubre que no se están realizando actividades de seguimiento, medición, análisis y evaluación del Sistema de Gestión de la Seguridad de la Información (SGSI). La empresa implementó el SGSI hace más de un año, pero no ha establecido indicadores para medir su desempeño ni ha realizado evaluaciones formales de la efectividad del sistema. Pregunta: ¿Qué numeral de la ISO/IEC 27001:2022 está relacionado con esta no conformidad?

9.1 Seguimiento, medición, análisis y evaluación

5.2 Política de Seguridad de la Información

6.1.3 Tratamiento de riesgos de seguridad de la información

10.2 No conformidades y acciones correctivas

En una empresa de servicios financieros, el auditor interno observa que no se ha implementado un control de acceso adecuado para los sistemas críticos que contienen información sensible de clientes. Muchos empleados tienen permisos de acceso a información que no es relevante para sus funciones. No existen políticas o controles específicos que limiten el acceso basado en roles o en la necesidad de conocer. Pregunta: ¿Qué numeral de la ISO/IEC 27001:2022 está relacionado con esta no conformidad?

A.9.1 Control de acceso basado en políticas

A.13.1 Seguridad en las comunicaciones

8.1 Operación y planificación

Una organización del sector retail ha implementado un proceso de evaluación de riesgos de seguridad de la información. Sin embargo, durante la auditoría interna, se descubre que los riesgos no han sido revisados ni actualizados en más de dos años, a pesar de que la organización ha sufrido cambios significativos, como la adopción de nuevas tecnologías y procesos. Pregunta: ¿Qué numeral de la ISO/IEC 27001:2022 está relacionado con esta no conformidad?

6.1.2 Evaluación de los riesgos de seguridad de la información

A.12.2 Gestión de riesgos en los cambios

5.3 Roles, responsabilidades y autoridades en la organización

En una empresa de desarrollo de software, se detecta que no todos los procedimientos operacionales críticos relacionados con la seguridad de la información están documentados. Algunas actividades claves, como la gestión de parches de seguridad, se realizan de forma ad-hoc sin procedimientos formales establecidos o control documental. Pregunta: ¿Qué numeral de la ISO/IEC 27001:2022 está relacionado con esta no conformidad?

A.12.1.1 Procedimientos operacionales documentados

7.5.1 Control de la información documentada

8.2 Revisión por la dirección

A.14.1 Seguridad en el desarrollo de softwaren

Examen Auditor SGSI - ISO/IEC 27001:2022

Authored by RED Prieto

Professional Development

Used 2+ times

Examen Auditor SGSI - ISO/IEC 27001:2022

AI Actions

Add similar questions

Adjust reading levels

Convert to real-world scenario

Translate activity

More...

Content View

Student View

15 questions

Show all answers

MULTIPLE CHOICE QUESTION

1 min • 2 pts

¿Cuál es el objetivo principal de la ISO/IEC 27001:2022?

Proteger la información confidencial de los empleados

Implementar un Sistema de Gestión de la Seguridad de la Información (SGSI)

Cumplir con las normativas de privacidad a nivel mundial

Auditar sistemas de información de terceros

MULTIPLE CHOICE QUESTION

1 min • 2 pts

¿Cuál es el papel de la "Declaración de Aplicabilidad" en ISO/IEC 27001:2022?

Definir qué controles del anexo A son aplicables y justificar los no aplicables

Verificar la implementación correcta de los controles

Establecer los niveles de seguridad mínimos permitidos

Describir los resultados de las auditorías internas

MULTIPLE CHOICE QUESTION

1 min • 2 pts

¿Cuál de los siguientes es un control nuevo añadido en la ISO/IEC 27001:2022?

Protección de la información durante su transmisión

Control de acceso basado en roles

Requisitos de ciberseguridad para servicios en la nube

Monitorización y registro de accesos físicos a instalaciones

MULTIPLE CHOICE QUESTION

1 min • 2 pts

En el proceso de auditoría interna según ISO/IEC 27001:2022, ¿cuál es la principal responsabilidad del auditor?

Detectar todas las no conformidades

Realizar recomendaciones para mejorar los sistemas

Verificar la conformidad del SGSI con los requisitos establecidos

Supervisar la implementación de las mejoras propuestas

MULTIPLE CHOICE QUESTION

1 min • 2 pts

¿Qué documento es obligatorio para el cumplimiento de ISO/IEC 27001:2022?

Registro de activos

Declaración de Aplicabilidad

Política de acceso a sistemas

Procedimiento de auditoría interna

MULTIPLE CHOICE QUESTION

1 min • 2 pts

¿Qué significa el término "Contexto de la organización" en ISO/IEC 27001:2022?

La definición de las partes interesadas y su influencia en el SGSI

El entorno económico en el que opera la organización

Los activos tecnológicos que utiliza la organización

Los competidores directos y su impacto en el negocio

MULTIPLE CHOICE QUESTION

1 min • 2 pts

Durante la auditoría interna de una empresa de software, el auditor descubre que la organización ha identificado varios riesgos relacionados con la seguridad de la información, pero no han documentado un plan de tratamiento de riesgos formal. El equipo de seguridad argumenta que están gestionando los riesgos "de manera informal", aunque sin registros o evidencia concreta de cómo se están mitigando.

No conformidad, ya que la norma requiere la documentación de un plan de tratamiento de riesgos

Observación, ya que los riesgos están identificados, pero la falta de documentación no genera un impacto inmediato

Oportunidad de mejora, ya que mejorar la formalización del proceso fortalecería el SGSI

Access all questions and much more by creating a free account

Create resources

Host any resource

Get auto-graded reports

Continue with Google

Continue with Email

Continue with Classlink

Continue with Clever

or continue with

Microsoft

Apple

Others

Already have an account?

Similar Resources on Wayground

13 questions

Bekerülési érték, értékcsökkenés, értékvesztés

Quiz

•

Professional Development

17 questions

NUEVO INGRESO

Quiz

•

Professional Development

12 questions

L'écoute active

Quiz

•

Professional Development

13 questions

CAPITAL INTELECTUAL

Quiz

•

University - Professi...

10 questions

Teoria educației I

Quiz

•

Professional Development

20 questions

Especificaciones LG K61

Quiz

•

Professional Development

14 questions

JUNTOS+

Quiz

•

Professional Development

10 questions

¿Qué es Orientación Vocacional?

Quiz

•

1st Grade - Professio...

Popular Resources on Wayground

15 questions

Grade 3 Simulation Assessment 1

Quiz

•

3rd Grade

22 questions

HCS Grade 4 Simulation Assessment_1 2526sy

Quiz

•

4th Grade

16 questions

Grade 3 Simulation Assessment 2

Quiz

•

3rd Grade

19 questions

HCS Grade 5 Simulation Assessment_1 2526sy

Quiz

•

5th Grade

17 questions

HCS Grade 4 Simulation Assessment_2 2526sy

Quiz

•

4th Grade

20 questions

Equivalent Fractions

Quiz

•

3rd Grade

24 questions

HCS Grade 5 Simulation Assessment_2 2526sy

Quiz

•

5th Grade

20 questions

Math Review

Quiz

•

3rd Grade

Discover more resources for Professional Development

20 questions

Block Buster Movies

Quiz

•

10th Grade - Professi...

40 questions

Flags of the World

Quiz

•

KG - Professional Dev...

10 questions

Lead Awareness Health Hazards

Quiz

•

Professional Development