TALLER DE SISTEMA DE GESTION S0BRE LA NTC- ISO/ IEC 27001

1. De acuerdo con la ISO 27001 defina:

Integridad: mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso. Disponibilidad: acceso y utilización de la información y los
sistemas de tratamiento de la misma por parte de los individuos, entidades o
procesos autorizados cuando lo requieran.

riesgo Residual: El riesgo residual en ISO 27001 es aquel que persiste, aun

después de tomar las medidas necesarias para tratar los riesgos identificados.

seguridad de la información: se basa en la preservación de su confidencialidad,

integridad y disponibilidad, así como la de los sistemas aplicados para su
tratamiento. Confidencialidad: la información no se pone a disposición ni se revela a
individuos, entidades o procesos no autorizados.

valoración del riesgo: el riesgo residual en ISO 27001 es aquel que persiste, aun
después de tomar las medidas necesarias para tratar los riesgos identificados.

2. ¿Qué y cuáles son los activos de una empresa u organización?

Como Control de la norma ISO 27001 2017 se exige la realización de un inventario de

activos, que es además la mejor manera de comenzar a trabajar. Si no sabemos lo que
tenemos, nos será muy complicado gestionarlo o controlarlo correctamente. Este
inventario se deberá mantener actualizado a lo largo del tiempo, por lo que se deberán
realizar revisiones periódicas y comunicar los cambios.

Los activos los podemos separar en dos grandes grupos: tangibles e intangibles. Los
activos tangibles son aquellos activos materiales que contienen información, y sobre los
que tomaremos medidas preventivas para protegerlos principalmente de riesgos físicos:
golpes, agua, fuego, etc. Los activos intangibles son aquellos que soportan la
información dentro de un activo material, y pueden inutilizar la información, pese a que el
activo físico no haya sufrido daño alguno.
 Por ejemplo: Un listado de personal (información) puede estar incluido en una hoja Excel
(activo intangible), que se encuentra en un ordenador de sobremesa (activo material),
situado en la oficina principal (activo material) de la empresa.

3. ¿Cuáles son los tratamientos de los riesgos?

El tratamiento del riesgo comprende un control. Estos valores del riesgo se

conducen a niveles aceptables por la organización.
En el tratamiento del riesgo se pueden tomar 4 medidas diferentes:
 Aceptación del riesgo.
 Rechazo del riesgo.
 Transferencia del riesgo.
 Mitigación del riesgo.

4. Mencione 4 documentos que debe incluir el SGSI

 El alcance del SGSI.
 Política de seguridad de la información.
 Proceso de evaluación de riesgos de seguridad de la información.
 Proceso de tratamiento de riesgos de seguridad de la información.
 La declaración de aplicabilidad.

5. Es una forma de como la dirección brinda evidencia de su compromiso con el

establecimiento, implementación, operación, seguimiento, y mejora del SGSI:

A) formando un plan para el tratamiento de riesgos

B) ayudando a detectar eventos de seguridad

C) realizando el tratamiento de los riesgos

D) brindando los recursos suficientes para establecer, mantener y mejorar un SGSI

6. Esta revisión debe

Incluir la evaluación de las oportunidades de mejora y la necesidad de cambios

del SGSI, incluidos la política de seguridad y los objetivos de seguridad.

A. Resultados de revisión

B. Acción preventiva
 C. Generalidades

D. Mejora continúa

7. Defina que es Mejora continua

la mejora continua es un proceso que pretende mejorar los productos, servicios y

procesos de una organización mediante una actitud general, la cual configura la base para
asegurar la estabilización de los circuitos y una continuada detección de errores o áreas
de mejora

8. ¿Cuáles son los requisitos para la acción correctiva?

una acción correctiva es una acción tomada para eliminar las causas de una no
conformidad detectada u otra situación indeseable. Es diferente a “Corrección” mediante
la cual sólo se elimina o repara la no conformidad detectada, no su causa.