Evaluación ISO 27005:2018Versión en línea EVALUACIÓN NORMA ISO 27005:2018 GESTIÓN DE RIESGOS PARA LA SEGURIDAD DE LA INFORMACIÓN por GLOBAL COLOMBIA CERTIFICACION 1 La gestión de los riesgos para la seguridad de la información debería contribuir a lo siguiente: a a. Riesgos que se identifican y se evalúan en función de sus consecuencias para el negocio y la probabilidad de que se produzcan b b. Probabilidad y las consecuencias de que esos riesgos se comuniquen y se comprendan c c. Orden de prioridad del tratamiento de los riesgos que se establezca y de las medidas para reducir los riesgos que se produzcan d d. Todas las anteriores 2 El tratamiento de riesgos implica un proceso cíclico de a a. Evaluar un tratamiento de riesgo, decidir si los niveles de riesgo residual son aceptables, generar un Nuevo tratamiento de riesgos si los niveles de riesgo no son aceptables y evaluar la eficacia de ese tratamiento b b. Evaluar un tratamiento de riesgo, generar un Nuevo tratamiento de riesgos si los niveles de riesgo no son aceptables, decidir si los niveles de riesgo residual son aceptables y evaluar la eficacia de ese tratamiento. c c. Evaluar un tratamiento de riesgo, decidir si los niveles de riesgo residual son aceptables, evaluar la eficacia de ese tratamiento y generar un nuevo tratamiento de riesgos si los niveles de riesgo no son aceptables d d. Evaluar un tratamiento de riesgo, decidir si los niveles de riesgo residual son aceptables y evaluar la eficacia de ese tratamiento 3 Los criterios de impacto deberían elaborarse y especificarse en función del grado de daño o los costos para la organización causados por un evento de seguridad de la información, teniendo en cuenta: a a. Nivel de clasificación del activo de información impactado b b. Incidentes de la seguridad de la información e interrupción de los planes y plazos c c. Operaciones deterioradas (internas o de terceros), pérdida de valor del negocio y financiero d d) Todas las anteriores. 4 Es necesario definir el alcance del proceso de gestión de los riesgos para la seguridad de la información a fin de garantizar que todos los activos relevantes se tengan en cuenta en la evaluación de los riesgos a a) Verdadero b b) Falso 5 Para la identificación de los controles existentes o previstos, pueden ser útiles las siguientes actividades: a a. Examinar los documentos que contengan información sobre los controles b b. Verificar con las personas responsables de la seguridad de la información c c. Examen de los resultados de las auditorías y examen in situ de los controles físicos d d) Todas las anteriores. 6 Para la aceptación del riesgo para la seguridad de la información se define a a. Entrada: Plan de tratamiento de riesgos; acción: la decisión de aceptar los riesgos y responsabilidades de la decisión debería ser tomada y registrada formalmente; instrucciones de aplicación: los planes de tratamiento de riesgos deberían describir cómo se van a tratar los riesgos evaluados para cumplir los criterios de aceptación de riesgos b b. Entrada: Plan de tratamiento de riesgos y evaluación de los riesgos residuales sujeto a la decisión de aceptación de los directivos de la organización; acción: la decisión de aceptar los riesgos; instrucciones de aplicación: los planes de tratamiento de riesgos deberían describir cómo se van a tratar los riesgos evaluados para cumplir los criterios de aceptación de riesgos c c. Entrada: Plan de tratamiento de riesgos y evaluación de los riesgos residuales sujeto a la decisión de aceptación de los directivos de la organización; acción: la decisión de aceptar los riesgos y responsabilidades de la decisión debería ser tomada y registrada formalmente; instrucciones de aplicación: los planes de tratamiento de riesgos deberían describir cómo se van a tratar los riesgos evaluados para cumplir los criterios de aceptación de riesgos d d. Ninguna de las anteriores 7 La comunicación de riesgos debería llevarse a cabo con el fin de: a a. Proporcionar una garantía del resultado de la gestión de riesgos de la organización b b. Recopilar información sobre los riesgos c c. Compartir los resultados de la evaluación de riesgos y presentar el plan de tratamiento de riesgos d d. Todas las anteriores 8 Las organizaciones deberían asegurarse de que se vigilen continuamente los aspectos: a a. Nuevos activos que se han incluido en el ámbito de la gestión de riesgos b b. La modificación necesaria del valor de los activos, por ejemplo, debido a cambios en los requisitos del negocio c c. Nuevas amenazas que pueden estar activas tanto fuera como dentro de la organización y que no han sido evaluadas d Todas las anteriores 9 Las medidas necesarias para mejorar el cumplimiento del proceso deberían notificarse a los administradores apropiados para tener la seguridad de que: a a. No se pasa por alto ni se subestima ningún riesgo o elemento de riesgo b b. Se toman las medidas necesarias c c. Se toman decisiones para proporcionar una comprensión realista de los riesgos y la capacidad de respuesta d d. Todas las anteriores 10 Las opciones de tratamiento de riesgos deberían seleccionarse teniendo en cuenta el costo previsto de la aplicación de esas opciones y los beneficios previstos de esas opciones, sin contemplar la base del resultado de la evaluación de los riesgos a a) Verdadero b b) Falso 11 Dentro de la lista de limitaciones que afectan a la organización se definen: a a. Limitaciones de naturaleza política y estratégica b b. Limitaciones territoriales, derivadas del clima económico y político c c. Limitaciones derivadas del calendario de la organización y relativas al personal d d. Todas las anteriores 12 Los métodos de evaluación de las vulnerabilidades técnicas pueden incluir actividades como: a a. Entrevistar a las personas y a los usuarios b b. Cuestionarios e inspección física c c. Análisis de documentos d d) Todas las anteriores. 13 Las ventajas de una evaluación de riesgos de alto nivel son las siguientes: a a. Es probable que la incorporación de un enfoque inicial sencillo consiga la aceptación del programa de evaluación de riesgos b b. Debería ser posible construir una imagen estratégica de un programa de seguridad de la información de la organización, es decir, actúa como una buena ayuda de planificación c c. Los recursos y el dinero pueden aplicarse donde sean más beneficiosos, y los sistemas que probablemente tengan mayor necesidad de protección se abordarán en primer lugar d d. Todas las anteriores 14 Al identificar las limitaciones, no siempre es posible enumerar las que repercuten en el alcance y determinar cuáles son las que aún requieren medidas apropiadas a a. Verdadero b b) Falso 15 Las limitaciones técnicas, relacionadas con la infraestructura, generalmente surgen de los equipos y programas informáticos instalados, y de las salas o sitios que albergan los procesos de:: a a. Archivos, arquitectura general, software de aplicación y de paquete, hardware y redes de comunicación b b. Archivos, arquitectura general y software de aplicación y de paquete. c c. Arquitectura general, software de aplicación y de paquete, hardware y redes de comunicación d d. Archivos, arquitectura general, software y hardware
Crear