Pourquoi l'ISO 27001 exige-t-elle que les objectifs de sécurité soient "mesurables" (clause 6.2) ?

Pour permettre l'évaluation objective de leur atteinte et supporter l'amélioration continue

Pour justifier les investissements en sécurité auprès des parties prenantes et actionnaires

Pour faciliter les benchmarks et comparaisons avec d'autres organisations du secteur

Pour satisfaire les exigences documentaires des auditeurs de certification et surveillance

Durant la phase opérationnelle du SMSI (clause 8), une organisation découvre qu'un processus critique n'est pas documenté. Quelle approche est conforme à l'ISO 27001 ?

Évaluer si le processus nécessite une documentation selon les critères de risque et d'efficacité

Documenter immédiatement le processus tel qu'il est exécuté actuellement sans analyse préalable

Suspendre le processus jusqu'à ce qu'une documentation complète soit établie et approuvée

Déléguer la documentation aux opérationnels qui exécutent quotidiennement le processus

Dans le cycle PDCA appliqué au SMSI, à quelle phase correspond principalement la clause 9 (Évaluation des performances) ?

Check - Phase de vérification de l'efficacité et de la conformité du système

Plan - Phase de planification des objectifs et de définition des indicateurs clés

Do - Phase de mise en œuvre des processus de surveillance et de mesure établis

Act - Phase d'actions correctives basées sur les résultats et d'amélioration

Un audit interne révèle qu'une procédure documentée n'est pas suivie en pratique. Quelle est la première action à entreprendre selon l'approche ISO 27001 ?

Analyser les causes profondes pour comprendre l'écart entre la procédure et la pratique réelle

Appliquer des sanctions disciplinaires aux employés ne respectant pas la procédure documentée

Modifier immédiatement la procédure pour l'aligner sur les pratiques opérationnelles observées

Organiser des sessions de formation obligatoires pour les employés concernés par la procédure

Quelle est la différence essentielle entre "surveillance" et "audit interne" dans le contexte du SMSI ?

La surveillance est continue et opérationnelle, l'audit est ponctuel et systématique selon un programme

La surveillance est réalisée par des tiers externes, l'audit est conduit en interne par l'organisation

La surveillance porte sur les mesures techniques, l'audit sur les aspects organisationnels et documentaires

Les deux termes sont interchangeables et désignent le même processus de vérification dans le SMSI

Un RSSI fait face à une résistance des métiers sur de nouvelles mesures de sécurité. Quelle approche privilégier selon l'ISO 27001 ?

Impliquer les représentants métiers dans l'évaluation des risques et le choix des mesures adaptées

S'appuyer principalement sur l'autorité de la direction générale pour imposer les mesures nécessaires

Réduire les exigences de sécurité pour obtenir l'adhésion des équipes métiers concernées par les changements

Implémenter progressivement les mesures sans communication préalable pour éviter les résistances inutiles

Dans quel cas une organisation devrait-elle privilégier une approche basée sur les menaces plutôt que sur la conformité pour son SMSI ?

Quand elle fait face à des menaces spécifiques, évolutives et adaptées à son contexte particulier

Quand elle opère dans un secteur d'activité peu réglementé avec des exigences légales minimales

Quand elle dispose d'un budget limité nécessitant une priorisation stricte des investissements

Quand elle vise principalement l'obtention rapide de la certification ISO 27001 sans maintien

Quelle est l'implication principale de l'exigence de "leadership" (clause 5) pour la direction générale ?

Elle doit démontrer son engagement par l'allocation de ressources et le soutien actif au SMSI

Elle doit acquérir une expertise technique approfondie en sécurité de l'information et cybersécurité

Elle doit personnellement valider les décisions techniques et opérationnelles de sécurité importantes

Elle doit présider systématiquement les comités et réunions liés à la sécurité de l'information

Comment l'ISO 27001 envisage-t-elle la relation entre sécurité de l'information et continuité d'activité ?

La sécurité de l'information constitue un élément fondamental pour assurer la continuité d'activité

Ce sont deux domaines distincts nécessitant des systèmes de management complètement séparés

La continuité d'activité remplace les mesures de sécurité pendant les situations de crise majeures

La continuité d'activité ne concerne que les organisations gérant des infrastructures critiques

Une entreprise modifie son SMSI pour intégrer le télétravail généralisé. Selon la clause 6.3, quels aspects doivent être considérés ?

Les processus existants, l'analyse des risques, la sensibilisation et la communication organisationnelle

Les aspects techniques, les vulnérabilités des réseaux domestiques et les outils de collaboration utilisés

Les nouveaux risques émergents, leur probabilité d'occurrence et leur impact potentiel sur l'organisation

Les coûts d'infrastructure, de licences logicielles et de formation du personnel concerné par le changement

Quelle est la logique derrière l'exigence de documenter les compétences (clause 7.2) dans le SMSI ?

S'assurer que le personnel possède les compétences nécessaires pour maintenir efficacement la sécurité

Respecter les obligations légales en matière de formation professionnelle et de développement des compétences

Justifier les augmentations salariales et les évolutions de carrière du personnel de sécurité qualifié

Faciliter le processus de recrutement en définissant précisément les profils recherchés par l'organisation

Selon la clause 7.4, quels éléments doivent être définis dans le plan de communication du SMSI ?

Le contenu, les destinataires, le moment, les responsables et les méthodes de communication

Les canaux techniques utilisés, les formats de fichiers et les protocoles de transmission sécurisés

Les langues officielles, les templates graphiques et les signatures électroniques requises

Les indicateurs de performance, les tableaux de bord et les rapports d'audit mensuels

Un employé signale un incident mineur qui n'a pas eu d'impact. Selon l'approche ISO 27001, quelle devrait être la réaction ?

Analyser l'incident pour identifier les vulnérabilités sous-jacentes et prévenir des incidents majeurs

Classer l'incident sans suite puisqu'il n'y a eu aucun impact mesurable sur l'organisation

Sanctionner l'employé responsable pour négligence afin d'éviter la récurrence de tels incidents

Documenter l'incident dans les statistiques annuelles sans analyse approfondie des causes

Un auditeur constate que des procédures obsolètes sont encore accessibles sur l'intranet. Quel principe de l'ISO 27001 n'est pas respecté ?

Le contrôle de la distribution garantissant l'accès aux seules versions valides des documents

L'exigence de signature électronique qualifiée pour les documents du système de management

L'obligation de documenter exhaustivement les activités liées à la sécurité de l'information

La traçabilité complète des modifications avec historique détaillé de chaque version

Après une violation de données due à une erreur humaine, quelle approche est cohérente avec l'ISO 27001 ?

Analyser les causes systémiques et organisationnelles ayant permis la survenance de l'erreur

Sanctionner immédiatement l'employé responsable pour dissuader de futures erreurs similaires

Former la personne impliquée sur les bonnes pratiques de sécurité applicables à son poste

Minimiser l'incident en interne pour préserver la réputation du service concerné

Quelle est la distinction principale entre les informations documentées "à conserver" et "à tenir à jour" selon l'ISO 27001 ?

Les premières concernent les preuves d'activités, les secondes les documents de référence actuels

Les premières sont archivées définitivement, les secondes sont mises à jour régulièrement

Les premières sont obligatoires pour la certification, les secondes sont recommandées

Les premières sont gérées par la direction, les secondes par les équipes opérationnelles

Une entreprise découvre une nouvelle méthode d'attaque apparue récemment. Que doit-elle faire selon le principe d'amélioration continue ?

Réévaluer ses risques et adapter ses mesures de protection si l'analyse le justifie

Documenter la menace pour l'intégrer lors du prochain cycle de certification triennal prévu

Former immédiatement l'équipe IT sur les caractéristiques techniques de cette nouvelle menace

L'intégrer au planning du prochain audit interne programmé dans les six mois à venir

Quelle est la valeur ajoutée principale de l'intégration des "parties intéressées" (clause 4.2) dans la démarche SMSI ?

Aligner les mesures de sécurité sur les besoins réels et obtenir l'adhésion des parties prenantes

Partager la responsabilité juridique en cas d'incident majeur de sécurité de l'information

Réduire les coûts globaux en impliquant financièrement les fournisseurs et partenaires externes

Respecter formellement les exigences normatives sans impact réel sur l'efficacité du système

Un nouveau règlement impose des mesures de sécurité spécifiques. Comment cela s'intègre-t-il dans l'approche ISO 27001 ?

C'est une exigence légale à intégrer dans l'analyse du contexte et le traitement des risques

Les mesures réglementaires remplacent automatiquement l'évaluation des risques pour les domaines concernés

L'organisation doit choisir entre se conformer à l'ISO 27001 ou au nouveau règlement applicable

Les mesures réglementaires sont présumées insuffisantes et doivent être systématiquement renforcées

Pourquoi la revue de direction (clause 9.3) est-elle positionnée après la surveillance et l'audit dans la structure de la norme ?

Pour que la direction dispose de données factuelles complètes nécessaires à la prise de décision

Par simple convention de numérotation suivie par les normes ISO de systèmes de management

Parce que la direction n'intervient qu'en fin de cycle PDCA pour valider les résultats obtenus

Pour respecter la hiérarchie organisationnelle traditionnelle des entreprises certifiées ISO 27001

Une organisation hésite entre accepter un risque ou investir dans des mesures coûteuses. Quel critère devrait primer selon l'ISO 27001 ?

La cohérence avec l'appétit pour le risque formellement défini et approuvé par l'organisation

Le ratio coût/bénéfice des mesures comparé au budget annuel alloué à la sécurité de l'information

L'opinion professionnelle de l'auditeur externe lors du dernier audit de certification réalisé

Les pratiques standards observées dans le secteur d'activité et chez les concurrents directs

Comment l'ISO 27001 conçoit-elle la relation entre mesures préventives et détectives ?

Elles sont complémentaires et nécessaires pour établir une défense en profondeur efficace

Les mesures préventives ont généralement la priorité sur les mesures détectives dans le SMSI

Les mesures détectives ne sont pertinentes qu'en l'absence de mesures préventives adéquates

Le choix entre préventif et détectif dépend principalement du budget disponible

Quelle est l'importance du "domaine d'application" (clause 4.3) pour l'efficacité du SMSI ?

Il définit précisément le périmètre protégé et évite les zones d'incertitude organisationnelle

Il détermine le montant des frais de certification et le nombre d'auditeurs requis pour l'audit

Il permet de limiter la charge de travail des équipes sécurité et IT de l'organisation

Il constitue une formalité administrative requise pour l'audit de certification initial

Un incident révèle qu'une mesure de sécurité n'était pas efficace. Selon la clause 10.2, quelle approche adopter ?

Analyser méthodiquement les causes profondes pour comprendre les raisons de l'échec constaté

Remplacer immédiatement la mesure défaillante par une solution technique plus robuste et moderne

Identifier et sanctionner le responsable de l'implémentation inadéquate de la mesure de sécurité

Augmenter le niveau de criticité et les paramètres de configuration de la mesure existante

Dans quelle situation une organisation pourrait-elle légitimement exclure certaines mesures de l'Annexe A ?

Quand l'analyse démontre qu'elles ne correspondent à aucun risque identifié dans le contexte

Quand leur coût d'implémentation dépasse significativement le budget sécurité annuel disponible

Quand elles nécessitent des compétences techniques non disponibles dans l'organisation actuelle

Quand les représentants du personnel s'opposent formellement à leur mise en œuvre effective

Comment l'ISO 27001 gère-t-elle les différences culturelles dans une multinationale ?

Permet l'adaptation au contexte local tout en maintenant des objectifs de sécurité globaux cohérents

Impose des mesures uniformes obligatoires pour les filiales sans exception possible ou adaptation

Accorde une autonomie complète aux filiales pour définir leur propre système de management local

Exige la certification du siège social qui couvre automatiquement les filiales internationales

Des rumeurs sur un incident circulent avant la communication officielle. Quelle est la priorité selon le SMSI ?

Activer le plan de communication de crise pour reprendre le contrôle du message diffusé

Identifier et sanctionner immédiatement la source des fuites d'information non autorisées

Attendre d'avoir l'ensemble des détails techniques avant toute communication interne ou externe

Démentir catégoriquement les rumeurs sans fournir d'informations factuelles précises

Le SMSI d'une entreprise couvre uniquement le département IT. Un incident dans le département RH compromet des données sensibles. Quel est le problème ?

Le périmètre du SMSI est inadapté aux risques réels de l'organisation dans son ensemble

Le département RH doit être sanctionné pour non-respect des procédures de sécurité applicables

Le département RH n'a pas appliqué les procédures IT qui lui sont pourtant obligatoires

L'incident est hors périmètre SMSI donc non pertinent pour l'analyse des risques organisationnels

ISO 27001 - Quizz

Authored by F S

Other

Professional Development

Used 8+ times

AI Actions

Add similar questions

Adjust reading levels

Convert to real-world scenario

Translate activity

More...

Content View

Student View

35 questions

Show all answers

MULTIPLE CHOICE QUESTION

45 sec • 1 pt

Une organisation constate que malgré l'implémentation de mesures de sécurité coûteuses, des incidents continuent de se produire. Quelle est la cause la plus probable selon l'approche ISO 27001 ?

Les mesures techniques implémentées ne correspondent pas aux technologies actuelles de l'organisation

Le budget alloué n'a pas permis de couvrir l'ensemble des domaines critiques identifiés

L'analyse initiale des risques n'a pas identifié les menaces et vulnérabilités pertinentes

Les employés n'ont pas été suffisamment formés aux procédures de sécurité établies

MULTIPLE CHOICE QUESTION

45 sec • 1 pt

Quelle est la différence fondamentale entre une menace et une vulnérabilité dans le contexte du SMSI ?

La menace représente ce qui peut exploiter une faiblesse, la vulnérabilité est cette faiblesse

La menace provient de l'intérieur de l'organisation, la vulnérabilité vient de l'extérieur

La menace concerne les aspects techniques, la vulnérabilité les aspects organisationnels

La menace est quantifiable objectivement, la vulnérabilité reste subjective et contextuelle

MULTIPLE CHOICE QUESTION

45 sec • 1 pt

Lors de l'établissement du contexte (clause 4), pourquoi l'ISO 27001:2022 a-t-elle intégré les considérations climatiques ?

Pour répondre aux exigences réglementaires environnementales et aux normes de durabilité

Pour optimiser la consommation énergétique des centres de données et réduire les coûts

Pour démontrer l'alignement de l'organisation sur les objectifs de développement durable

Les événements climatiques peuvent affecter la disponibilité et l'intégrité des infrastructures

MULTIPLE CHOICE QUESTION

45 sec • 1 pt

Un RSSI présente à la direction un risque avec un impact catastrophique mais une probabilité très faible. La direction décide de l'accepter. Cette décision est-elle conforme à l'ISO 27001 ?

Non, l'ISO 27001 requiert le traitement systématique des risques à impact catastrophique identifiés

Oui, si l'acceptation respecte les critères d'acceptation des risques définis et documentés

Non, la décision d'accepter des risques majeurs relève exclusivement du RSSI selon la norme

Oui, sous réserve qu'une police d'assurance couvre ce risque de manière substantielle

MULTIPLE CHOICE QUESTION

45 sec • 1 pt

Dans quelle situation la Déclaration d'Applicabilité (SoA) doit-elle être mise à jour ?

Lors de chaque renouvellement triennal du certificat ISO 27001 de l'organisation considérée

Systématiquement après chaque audit interne ou externe, même sans non-conformité identifiée

Lorsque le contexte organisationnel, l'évaluation des risques ou les mesures évoluent significativement

Automatiquement selon le calendrier de revue documentaire établi par l'organisation

MULTIPLE CHOICE QUESTION

45 sec • 1 pt

Quelle est la relation logique entre les clauses 6.1.2 (appréciation des risques) et 6.1.3 (traitement des risques) ?

L'appréciation identifie et évalue les risques, le traitement définit les options de gestion

Les deux clauses peuvent être mises en œuvre indépendamment selon les besoins organisationnels

Le traitement des risques doit précéder leur appréciation pour définir les critères d'évaluation

L'appréciation des risques s'applique aux risques non couverts par des mesures existantes

MULTIPLE CHOICE QUESTION

45 sec • 1 pt

Une entreprise externalise son service de paie. Selon l'ISO 27001, quelle approche de traitement du risque cela représente-t-il principalement ?

Évitement du risque en éliminant complètement l'activité génératrice de vulnérabilités identifiées

Réduction du risque par la mise en place de contrôles techniques et organisationnels appropriés

Acceptation du risque après évaluation de son niveau résiduel et de son impact potentiel

Partage du risque en transférant une partie de la responsabilité au prestataire externe

Access all questions and much more by creating a free account

Create resources

Host any resource

Get auto-graded reports

Continue with Google

Continue with Email

Continue with Classlink

Continue with Clever

or continue with

Microsoft

Apple

Others

Already have an account?

Similar Resources on Wayground

35 questions

PRE-TEST ORIENTATION/RE-ORIENTATION WORKSHOP

Quiz

•

Professional Development

40 questions

Les relations producteurs - distributeurs

Quiz

•

Professional Development

30 questions

Ujian Komprehensif Tata Kelola TI Keimigrasian

Quiz

•

Professional Development

33 questions

Tema 2: Comunicación, estilos

Quiz

•

Professional Development

30 questions

Culture générale...

Quiz

•

KG - Professional Dev...

30 questions

Test Reyes de Israel

Quiz

•

KG - Professional Dev...

33 questions

EIKT profesiju darba pienākumi

Quiz

•

Professional Development

40 questions

C4 - UD8 Aparell reproductor (PART I)

Quiz

•

Professional Development

Popular Resources on Wayground

8 questions

Spartan Way - Classroom Responsible

Quiz

•

9th - 12th Grade

15 questions

Fractions on a Number Line

Quiz

•

3rd Grade

14 questions

Boundaries & Healthy Relationships

Lesson

•

6th - 8th Grade

20 questions

Equivalent Fractions

Quiz

•

3rd Grade

3 questions

Integrity and Your Health

Lesson

•

6th - 8th Grade

25 questions

Multiplication Facts

Quiz

•

5th Grade

9 questions

FOREST Perception

Lesson

•

20 questions

Main Idea and Details

Quiz

•

5th Grade

Discover more resources for Other

15 questions

LOTE_SPN2 5WEEK3 Day 2 Itinerary

Quiz

•

Professional Development

6 questions

Copy of G5_U6_L5_22-23

Lesson

•

KG - Professional Dev...

10 questions

March Quiz

Quiz

•

Professional Development

5 questions

Copy of G5_U6_L8_22-23

Lesson

•

KG - Professional Dev...

10 questions

suffixes FUL OR LESS

Quiz

•

Professional Development