El control A.8.8 (Gestión de activos removibles) está diseñado principalmente para prevenir:

La pérdida de confidencialidad, integridad y disponibilidad de la información debido al uso no autorizado de medios removibles

El robo físico de los discos duros

El desgaste prematuro de los puertos USB

La instalación de software no autorizado

En el contexto del control A.7.3 (Concienciación sobre la seguridad de la información), el personal que realiza trabajos bajo el control de la organización debe ser consciente de:

La política de seguridad de la información y su contribución a la eficacia del SGSI

Los procedimientos para reportar incidentes de seguridad

Las consecuencias de no cumplir con los requisitos de seguridad

Durante la revisión por la dirección (cláusula 9.3), la alta dirección debe revisar el SGSI para asegurar su idoneidad, adecuación y eficacia continua. ¿Cuál de los siguientes NO es una entrada típica para esta revisión?

El menú del comedor de la empresa

Resultados de auditorías internas

El estado de acciones provenientes de revisiones por la dirección anteriores

Cambios en las amenazas de seguridad de la información

El desempeño del SGSI, incluyendo tendencias en incidentes

El control A.5.24 (Relaciones con los inversores) es un control nuevo en la versión 2022. Su objetivo principal es:

Gestionar los riesgos de seguridad de la información asociados con las relaciones con los inversores

Garantizar que los inversores reciban dividendos altos

Publicar información financiera de manera trimestral

Seleccionar inversores con altos estándares de seguridad

Una no conformidad se define como:

El incumplimiento de un requisito

Un hallazgo de auditoría que no requiere acción

Cualquier desviación de un procedimiento documentado

El control A.5.5 (Políticas para el tratamiento de la información) requiere que se definan políticas para el tratamiento de la información que sean:

Aplicables a todos los empleados y partes interesadas relevantes

Revisadas a intervalos planificados

Publicadas en la intranet sin necesidad de comunicación formal

En el proceso de tratamiento de riesgos (6.1.3), una organización puede decidir "modificar" el riesgo. Esto significa:

c y d son formas de modificar el riesgo

Aceptar el riesgo sin hacer nada

Aplicar controles para reducir la probabilidad o el impacto del riesgo

Compartir el riesgo con una aseguradora

El control A.8.12 (Prevención de fuga de datos) está diseñado para:

Detectar y prevenir divulgaciones no autorizadas de información

Evitar que el agua dañe los servidores

Cifrar toda la información en reposo

Según la cláusula 10 (Mejora), cuando ocurre una no conformidad, la organización debe:

Ocultarla para evitar sanciones

Reaccionar ante la no conformidad y, si es aplicable, realizar acciones para controlarla y corregirla

Realizar una acción correctiva para abordar la causa raíz y prevenir su recurrencia

El control A.8.23 (Seguridad en el ciclo de vida del desarrollo) aplica principalmente a:

Los procesos de desarrollo de software interno

La compra de software comercial listo para usar

El mantenimiento de hardware antiguo

La gestión de licencias de software

La cláusula 8.2 (Evaluación de riesgos de seguridad de la información) requiere que la organización lleve a cabo evaluaciones de riesgos a intervalos planificados. ¿Qué debe INCLUIR la evaluación de riesgos?

Identificar los riesgos asociados con la pérdida de confidencialidad, integridad y disponibilidad

Identificar a los propietarios de los riesgos

Estimar y evaluar los riesgos utilizando los criterios definidos

El control A.5.9 (Inventario de la información y otros activos asociados) requiere que se mantenga un inventario de los activos. ¿Qué información debe incluirse típicamente en este inventario para cada activo?

El formato del activo (ej., electrónico, físico)

La clasificación de la información según A.5.12

Una organización ha decidido externalizar su servicio de centro de datos. Según el control A.5.19 (Orden en los ceses o cambios de empleo), ¿qué debe asegurar la organización?

Que el proveedor tenga un proceso para gestionar el cese de sus empleados que tengan acceso a los activos de información de la organización

Que el proveedor pague indemnizaciones altas

Que la organización realice directamente el cese de los empleados del proveedor

Que no se requieren acciones, ya que son empleados del proveedor

El control A.8.4 (Control de acceso) establece que el acceso a la información y otros activos asociados debe basarse en:

El principio de "necesidad de conocer" y "menor privilegio"

Las solicitudes informales de los usuarios

Un acceso único y general para todos los empleados

Durante una auditoría de seguimiento, usted verifica una acción correctiva de una no conformidad anterior. La evidencia muestra que el problema específico fue corregido, pero no hay evidencia de que se haya analizado y eliminado la causa raíz. Usted debe:

Emitir una nueva no conformidad porque la acción correctiva no fue efectiva para prevenir la recurrencia

Cerrar la no conformidad ya que el problema fue corregido

Esperar a la siguiente auditoría para ver si el problema reaparece

Felicitar al auditado por la corrección

El control A.8.10 (Información eliminada) asegura que la información sea eliminada cuando ya no se necesite. ¿Qué método es generalmente considerado como seguro para la eliminación de datos en medios magnéticos?

Sobre-escritura (wiping) o destrucción física

Borrado lógico usando la tecla "Supr"

Mover los archivos a la papelera de reciclaje y vaciarla

La cláusula 4.2 requiere que la organización determine las partes interesadas relevantes y sus requisitos. ¿Cuál de los siguientes es un ejemplo de una parte interesada externa y uno de sus requisitos?

Un cliente: Requisito contractual de notificación de incidentes

Empleados: Requisito de un entorno de trabajo seguro

Alta Dirección: Requisito de reportes de desempeño

El auditor interno: Requisito de acceso a la evidencia

El control A.7.4 (Disciplina en el proceso de gestión de activos) es un control nuevo en 2022. Su objetivo es:

Asegurar que los procesos de gestión de activos se implementen de manera disciplinada y sistemática

Sancionar a los empleados que incumplan la política

Gestionar los activos financieros de la organización

Crear un inventario de sanciones disciplinarias

En el contexto de la continuidad del negocio (A.5.29, A.5.30), la organización debe implementar procesos de seguridad de la información para:

Proteger sus procesos críticos durante una interrupción

Garantizar la disponibilidad de la información a un nivel aceptable durante una interrupción

Reemplazar completamente la necesidad de un plan de recuperación ante desastres

Al auditar el control A.8.16 (Eventos de monitorización), usted esperaría encontrar evidencia de:

La configuración de las herramientas de monitorización (ej., SIEM)

Registros (logs) de actividades del sistema, de seguridad y de la aplicación

La revisión regular de los registros por personal autorizado

La protección de los registros contra alteraciones

Según la cláusula 6.3 (Planificación de cambios), cuando la organización determine la necesidad de cambios en el SGSI, éstos deben llevarse a cabo de manera:

Rápida y sin documentación para agilizar el proceso

Informal, comunicándose por correo electrónico

El control A.8.25 (Seguridad de los servicios en la nube) es un control nuevo. Su implementación requiere que:

Se establezcan acuerdos claros con el proveedor de servicios en la nube que aborden los requisitos de seguridad

La organización prohíba el uso de servicios en la nube

La organización migre toda su información a la nube

El proveedor de la nube realice las auditorías internas de la organización

Un objetivo de seguridad de la información debe ser:

Genérico y no medible (ej., "ser más seguro")

Coherente con la política de seguridad de la información

El control A.8.7 (Protección contra malware) requiere la implementación de controles para proteger contra código malicioso. Esto puede incluir:

Controles técnicos que restringen el acceso a sitios web maliciosos

La Declaración de Aplicabilidad (SoA) es un documento obligatorio que:

Enumera todos los controles del Anexo A y justifica su inclusión o exclusión

Describe la justificación para excluir controles que no son aplicables

Es idéntica para todas las organizaciones del mismo sector

El control A.8.18 (Técnicas de ingeniería de la seguridad) se enfoca en:

La protección contra ataques de ingeniería social

La seguridad física de los edificios de ingeniería

La gestión de proyectos de ingeniería

Durante la etapa de "Planificación" de una auditoría interna, el auditor líder debe:

Definir los objetivos y el alcance de la auditoría

Seleccionar el equipo auditor y asignar responsabilidades

Desarrollar el plan de auditoría y documentos de trabajo

El control A.8.9 (Configuración segura) requiere que se establezcan, implementen y mantengan configuraciones de seguridad para:

Todos los activos de información procesados, almacenados o transmitidos por los sistemas de información

Los dispositivos de red, pero no los equipos de usuario final

El hardware, pero no el software

La cláusula 9.1 (Seguimiento, medición, análisis y evaluación) requiere que la organización determine:

Qué necesita ser monitoreado y medido

Los métodos para el seguimiento, medición, análisis y evaluación

Cuándo se debe realizar el seguimiento y la medición

Cuándo se deben analizar y evaluar los resultados

El control A.5.3 (Separación de funciones y responsabilidades) busca:

Dividir el trabajo en tareas más pequeñas

Reducir el riesgo de modificación o uso no autorizado de los activos de la organización

Evitar que una sola persona tenga todo el control sobre un proceso crítico

Al auditar el proceso de gestión de incidentes (cláusula 8.16 y A.5.26), usted debe verificar que la organización:

Ha establecido un proceso para reportar eventos de seguridad

Asigna responsabilidades y procedimientos para responder a los incidentes

Aprende de los incidentes implementando acciones para prevenir su recurrencia

Realiza una evaluación posterior al incidente

El control A.8.22 (Seguridad en el desarrollo de sistemas) se diferencia de A.8.23 en que se enfoca en:

La seguridad durante todo el ciclo de vida del desarrollo (SDLC)

Los principios de seguridad a aplicar durante la fase de diseño

La gestión de cambios en sistemas ya en producción

Una organización tiene un proceso documentado para la gestión de riesgos, pero durante la auditoría se descubre que no se está siguiendo en un departamento. Esto se considera:

b o c, dependiendo de la significancia y el impacto en el SGSI

El control A.8.14 (Redundancia de las instalaciones de procesamiento de la información) tiene como objetivo:

Reducir costos eliminando sistemas duplicados

Asegurar la disponibilidad de los sistemas de información

Implementar mecanismos de redundancia para satisfacer los requisitos de disponibilidad

La política de seguridad de la información (cláusula 5.2) debe estar disponible para las partes interesadas según se defina. "Disponible" significa:

A disposición de las partes interesadas relevantes, según lo comunicado

Para cualquier persona que lo solicite, dentro o fuera de la organización

El control A.8.11 (Cifrado) se utiliza para proteger la:

Confidencialidad de la información

Integridad o autenticidad de la información

Disponibilidad de la información

Al evaluar la eficacia de los controles implementados, un auditor debe:

Buscar evidencia objetiva que demuestre que el control está logrando su objetivo previsto

Confiar únicamente en las declaraciones del propietario del proceso

Revisar únicamente la documentación

Asumir que si está documentado, es efectivo

El control A.5.16 (Respuesta a incidentes de seguridad de la información) está estrechamente alineado con la cláusula:

8.16 (Gestión de incidentes de seguridad de la información)

4.1 (Contexto de la organización)

5.3 (Roles, responsabilidades y autoridades)

10.1 (No conformidad y acción correctiva)

Una organización ha excluido el control A.8.28 (Codificación segura) de su SoA. La justificación válida podría ser:

La organización no realiza desarrollo de software interno

Es demasiado caro de implementar

Nadie en la organización conoce sobre codificación segura

Durante el cierre de una auditoría, la reunión final con la dirección del auditado tiene el propósito de:

Presentar los hallazgos de la auditoría y las conclusiones

Obtener un consenso sobre las no conformidades

Discutir las oportunidades de mejora

Confirmar que el plan de auditoría se completó

El control A.8.6 (Gestión de vulnerabilidades técnicas) requiere que la organización:

Establezca un proceso para identificar, evaluar y tratar las vulnerabilidades técnicas de manera oportuna

Parchee todas las vulnerabilidades inmediatamente después de su publicación

Contrate hackers éticos anualmente

Realice pruebas de penetración semanales

La principal diferencia entre un "evento" y un "incidente" de seguridad de la información es que un incidente:

Siempre es causado por un ataque externo

Tiene el potencial de impactar negativamente en la confidencialidad, integridad o disponibilidad de la información

Es un evento que ha sido confirmado como una violación de la política de seguridad o un fallo de los controles

Solo se refiere a eventos que afectan la disponibilidad

Cuestionario Medio de Auditor Interno ISO 27001:2022

Authored by Ricardo Rojano

Other

Professional Development

Cuestionario Medio de Auditor Interno ISO 27001:2022

AI Actions

Add similar questions

Adjust reading levels

Convert to real-world scenario

Translate activity

More...

Content View

Student View

50 questions

Show all answers

Access all questions and much more by creating a free account

Create resources

Host any resource

Get auto-graded reports

Continue with Google

Continue with Email

Continue with Classlink

Continue with Clever

or continue with

Microsoft

Apple

Others

Already have an account?

Popular Resources on Wayground

16 questions

Grade 3 Simulation Assessment 2

Quiz

•

3rd Grade

19 questions

HCS Grade 5 Simulation Assessment_1 2526sy

Quiz

•

5th Grade

10 questions

Cinco de Mayo Trivia Questions

Interactive video

•

3rd - 5th Grade

17 questions

HCS Grade 4 Simulation Assessment_2 2526sy

Quiz

•

4th Grade

24 questions

HCS Grade 5 Simulation Assessment_2 2526sy

Quiz

•

5th Grade

13 questions

Cinco de mayo

Interactive video

•

6th - 8th Grade

20 questions

Math Review

Quiz

•

3rd Grade

30 questions

GVMS House Trivia 2026

Quiz

•

6th - 8th Grade

Discover more resources for Other

20 questions

90s Cartoons

Quiz

•

Professional Development

15 questions

Disney Characters Quiz

Quiz

•

Professional Development

15 questions

El barrio - La ciudad

Quiz

•

Professional Development

20 questions

Sports trivia

Quiz

•

Professional Development

Cuestionario Medio de Auditor Interno ISO 27001:2022

d es correcta porque incluye tanto nuevas leyes como competencia, que son factores externos.

En el capítulo 5 (Liderazgo), una de las responsabilidades clave de la alta dirección es:

La alta dirección debe asignar y comunicar responsabilidades y autoridades, según la cláusula 5.3.

Al establecer los criterios para la evaluación de riesgos (cláusula 6.1.2), la organización debe definir:

Los criterios deben incluir los niveles de riesgo aceptable según 6.1.2 c).

El Anexo A, control A.5.7 (Amenazas) establece que la organización debe recopilar y evaluar información sobre amenazas. ¿Qué tipo de amenaza se relaciona directamente con este control?

El control A.5.7 requiere recopilar información sobre amenazas, incluyendo todas las opciones listadas.

Durante una auditoría, usted encuentra que un riesgo identificado como "alto" no ha sido tratado. La organización justifica que ha decidido aceptar el riesgo. Como auditor, su acción inmediata debe ser:

La aceptación del riesgo es válida solo si se sigue el proceso definido y está debidamente autorizada y documentada.

El control A.8.2 (Asignación de activos) requiere que los activos de información asociados con el SGSI sean:

A.8.2 requiere identificar los activos y asignar un propietario para cada uno.

Según la cláusula 7.4 (Comunicación), la organización debe determinar la necesidad de comunicaciones internas y externas relacionadas con el SGSI. ¿Qué debe incluirse en esta determinación?

La cláusula 7.4 requiere determinar qué, cuándo, a quién y quién comunica.

El control A.8.8 (Gestión de activos removibles) está diseñado principalmente para prevenir:

El objetivo principal es prevenir la pérdida de CID por el uso no autorizado de medios removibles.

En el contexto del control A.7.3 (Concienciación sobre la seguridad de la información), el personal que realiza trabajos bajo el control de la organización debe ser consciente de:

A.7.3 requiere que el personal sea consciente de la política, procedimientos de reporte y consecuencias del incumplimiento.

Durante la revisión por la dirección (cláusula 9.3), la alta dirección debe revisar el SGSI para asegurar su idoneidad, adecuación y eficacia continua. ¿Cuál de los siguientes NO es una entrada típica para esta revisión?

El menú del comedor no es una entrada relevante para la revisión del SGSI según la cláusula 9.3.

Access all questions and much more by creating a free account

Popular Resources on Wayground

Discover more resources for Other