ISO/IEC 27001:2022 Internal Auditor (I2700IA)

PREGUNTAS
Pregunta 1 de 40
Los siguientes conceptos:
- Evaluación de auditores
- Asignación del equipo auditor
- La resolución de disputas y el manejo de quejas
Forman parte de:
A. La implementación del programa de auditoria
B. Los deseos del director de TI
C. Las acciones de mejora detectadas
D. Los requisitos de la norma

Pregunta 2 de 40
Uno de los propósitos que tiene usted como auditor durante la reunión de apertura es la revisión del
alcance y la presentación del equipo auditor:
- Verdadero
- Falso

Pregunta 3 de 40
En relación a los resultados de la Auditoría
A. Los hallazgos de la auditoria indican conformidad o no conformidad
B. Los hallazgos de la auditoria pueden conducir a la identificación de los riesgos,
oportunidades de mejora o registro de buenas prácticas
C. Si los criterios de auditoria se seleccionan de entre los requisitos legales o los requisitos
reglamentarios, el hallazgo de la auditoría se denomina cumplimiento o incumplimiento
D. Todas son correctas

Pregunta 4 de 40
El quién, cómo, por qué, cuándo, dónde, se utilizan para que el auditor construya:
A. Conformar el equipo auditor
B. Preguntas cerradas para afirmar situaciones
C. Su carrera como auditor
D. Preguntas abiertas en busca de evidencia

Pregunta 5 de 40
Con respecto a la evaluación de desempeño la norma ISO/IEC 27001 establece:
A. Los métodos seleccionados deben producir resultados comparables y reproducibles para ser
considerados válidos
B. La organización debe evaluar el desempeño de la seguridad de la información y la
efectividad
C. La organización debe conservar la información documentada correspondiente, como
evidencia de los resultados del monitoreo y medición
 D. Todas las anteriores

Pregunta 6 de 40
Durante el desarrollo del programa de auditoria, la persona responsable del programa de auditoria
debería considerar los siguientes riesgos:
1. Recursos
2. Selección del equipo de auditoria
3. Planificación
4. Control de la información documentada
5. Disponibilidad y cooperación del auditado
A. Solo 1,2,3 y 4
B. Solo 1,2,3 y 5
C. Solo 1,2,4 y 5
D. Todas las anteriores

Pregunta 7 de 40
Es un objetivo de la auditoria “Proporcionar al auditado una oportunidad para MEJORAR su SGSI”
- Verdadero
- Falso

Pregunta 8 de 40
Son principios de Auditoría:
1. Enfoque basado en la evidencia
2. Debido cuidado profesional
3. Enfoque basado en el riesgo
4. Integridad
5. Independencia
A. Solo 2,3,4 y 5
B. Solo 1,2,3 y 5
C. Solo 1,2,4 y 5
D. Todos son principios de Auditoría

Pregunta 9 de 40
Son criterios para el programa de auditoria
1. Políticas
2. Procedimientos
3. Regulaciones
4. Legislación
5. Requisitos del SGSI
A. Solo 1,2,3 y 4
B. Solo 1,2,3 y 5
C. Solo 1,2,4 y 5
D. Todas las anteriores
Pregunta 10 de 40
Un Dominio es lo mismo que un Control en la ISO/IEC 27001
- Falso
- Verdadero

Pregunta 11 de 40
Son técnicas a tener en cuenta como auditor
1. Solicitar explicación de las situaciones
2. Escuchar cuidadosamente
3. Mostrarse interesado
4. Tomarse bastante tiempo tomando notas
5. Hablar de tecnicismos
6. Conocer sus preguntas
A. Todas, excepto la 1 y 3
B. Todas, excepto la 4 y 5
C. Todas, excepto la 2 y 4
D. Todas excepto la 3 y 4
E. Todas, excepto la 5 y 6

Pregunta 12 de 40
Usted como auditor en las entrevistas debe:
1. Ser amigable
2. Hacer sentir su poder sobre el auditado
3. Explicar las razones de la entrevista y de las notas tomadas
4. Iniciar con una descripción de las actividades
A. Solo 1,2 y 3
B. Solo 2,3 y 4
C. Solo 1,3 y 4
D. Ninguna

Pregunta 13 de 40
Son fuentes de información claves para un auditor
1. Indicadores de gestión
2. Entrevistas con empleados y otras personas
3. Documentación
4. Actas de reunión, informes de auditoría, seguimiento y mediciones
A. Solo 1,2 y 3
B. Solo 1,2 y 4
C. Solo 2,3 y 4
D. Todas
Pregunta 14 de 40
En el sitio de la auditoria se debe:
1. Designar el jefe o Auditor Líder
2. Definir los objetivos de la auditoria
3. Determinación de la viabilidad de la auditoria
4. Asignación de tareas al equipo auditor
A. Solo 1,2 y 3
B. Solo 1,2 y 4
C. Solo 2,3 y 4
D. Todos los puntos son válidos

Pregunta 15 de 40
Es la base para la imparcialidad de la auditoria y la objetividad de las conclusiones de la auditoria.
¿Esto es considerado como un principio de auditoría?
A. Sí, esto es conocido como principio de independencia
B. Sí, corresponde al principio de Opinión imparcial
C. Sí, el es principio de Ética
D. No es un principio de auditoria

Pregunta 16 de 40
“Proceso sistemático, independiente, documentado, para obtener evidencia y evaluarla
objetivamente, con el fin de determinar en qué grado se cumplen los criterios de la auditoría” – ISO
19011
Es la definición de:
A. Proceso de auditoria
B. Auditoria
C. Ambas
D. Ninguna

Pregunta 17 de 40
Durante la ejecución de una auditoría, un auditor puede “Engañar al auditor”. Esto se considera:
A. Una actitud que trata de entorpecer la auditoria
B. Una observación a documentarse en el informe
C. Una No Conformidad
D. Algo normal, todos los auditores lo hacen

Pregunta 18 de 40
Se puede considerar deficiencia en el sistema, la carencia de una metodología de análisis de riesgo
A. Sí, es una no conformidad
B. Sí, es algo por mejorar, pero no es no conformidad
C. No es deficiencia
Pregunta 19 de 40
Seleccione cuales documentos podría usted verificar en la auditoria
1. Declaraciones documentadas de la política
2. Controles que apoyan el SGSI
3. Hoja de vida del gerente de TI
4. El informe de valoración de riesgos
5. El plan de tratamiento de riesgos
A. Solo 1,2,4 y 5
B. Solo 1,2,3 y 4
C. Solo 1,2,3 y 5
D. Solo 2,3,4 y 5

Pregunta 20 de 40
La razón por la cual el auditor debe hacer auditorias es:
A. Conocer la capacidad del SGSI para cumplir los requisitos
B. Evaluar las fortalezas y debilidades del SGSI
C. Detectar oportunidades para la mejora continua
D. Verificar la capacidad de los procesos para alcanzar los resultados planificados
E. Todas las anteriores

Pregunta 21 de 40
¿A qué rol corresponde la siguiente lista de responsabilidades?
1. Dirección del proceso de auditoría
2. Ayuda en la selección del personal del equipo
3. Responsable por todas las etapas de la auditoría
4. Preparar el plan de auditoría
A. El CISO
B. El responsable de la dirección
C. El CIO
D. El auditor líder

Pregunta 22 de 40
El auditor debe elaborar un programa de auditorias tomando en consideración:
1. El estado y la importancia de los procesos, y las áreas a auditar
2. Resultados de auditorías previas
3. Cambios organizacionales
4. Definir los objetivos y el alcance
5. El equipo auditor
A. Solo 1,2,3 y 4
B. Solo 1,2,3 y 5
C. Solo 2,3,4 y 5
D. Todas las opciones se deben tener en cuenta
Pregunta 23 de 40
Se asocia con la forma en que controles de la seguridad de la información pueden ser agrupados:
A. Preventivo, Evaluativo, Correctivo
B. De Prevención, de Detección, de Corrección
C. Proactivo, Represivo, Correctivo
D. Ninguna de las anteriores

Pregunta 24 de 40
Esta es la fórmula de:
EL PROCESO
+
[Lo que exige la Norma]
+
[lugar donde está la evidencia]
+
[evidencia]
+
Incumplimiento
+
[norma o criterio]
A. Redacción de no conformidades
B. Redacción de conformidades
C. Redacción de observaciones
D. Recomendaciones del auditor

Pregunta 25 de 40
Al presentar los resultados del informe de auditoria el Auditor declara una no conformidad y el
auditado no está conforme. El auditor debe:
A. No debe hacer nada. El auditor es el experto y nadie puede poner en duda sus hallazgos.
B. Orientar al auditado sobre la naturaleza del incumplimiento y solicitar que demuestre
evidencia del cumplimiento
C. Solicitar al auditado que presente un recurso de apelación
D. Modificar la no conformidad y colocarla como una observación

Pregunta 26 de 40
En un programa de auditoria se debe tener en cuenta:
1. Ubicación física
2. Unidades organizacionales
3. La aplicación de six sigma como método de mejora
4. Actividades y procesos
5. Duración de la auditoria
A. Solo 1,2,3 y 4
 B. Solo 1,2,3 y 5
C. Solo 1,2,4 y 5
D. Todas las anteriores

Pregunta 27 de 40
La declaración de Aplicabilidad (SoA) debe contener:
A. Los controles necesarios del Anexo A y además la justificación de inclusiones
B. Los controles necesarios del anexo A y además la justificación de exclusiones
C. Los controles necesarios del Anexo A y además la justificación de inclusiones y la
justificación para exclusiones
D. Ninguna de las anteriores

Pregunta 28 de 40
¿Cuál es el propósito de la gestión de riesgos?
A. Determinar la probabilidad de que ocurra un cierto riesgo
B. Utilizar medidas para reducir riesgos a un nivel aceptable
C. Determinar el daño causado por posibles incidentes relacionados con la seguridad
D. Establecer las amenazas a las que están expuestos los recursos informáticos

Pregunta 29 de 40
Una vez realizada la auditoria, el auditor encargado de realizarla debe hacer el informe de auditoría.
Con dicho informe se establecen las no conformidades detectadas.
- Verdadero
- Falso

Pregunta 30 de 40
Las listas de chequeo o verificación son:
1. Una guía del auditor
2. Un apoyo para optimizar el tiempo durante la auditoria
3. Una herramienta clave para recolectar evidencia
4. Ayudan a identificar elementos a evaluar
A. Solo 1, 2 y 3
B. Solo 2, 3 y 4
C. Todas (1,2,3,4)
D. Solo 1, 2 y 4

Pregunta 31 de 40
Algunos de los atributos personales del Auditor son:
1. De mente abierta
2. Perceptivo
3. Diplomático
4. Ético
A. Todos
B. Solo 1,3 y 4
Pregunta 32 de 40
El plan de auditoria se refiere a:
A. Conjunto de una o más auditorias planificadas para un período de tiempo determinado y
dirigidas hacia un propósito específico.
B. Descripción de las actividades y los arreglos para una auditoría.

Pregunta 33 de 40
La auditoria de primera parte es:
A. Auditoria que se lleva a cabo por las partes que tienen un interés en la organización, como
los clientes, o por otras personas en su nombre
B. Auditoria mediante el cual auditamos nuestro propio sistema de gestión de seguridad de la
información
C. Auditoria de certificación y/o acreditación
D. Ninguna de las anteriores

Pregunta 34 de 40
La Declaración de Aplicabilidad (SoA):
Proporciona dirección y apoyo a la gestión de la seguridad de la información.
- Verdadero
- Falso

Pregunta 35 de 40
La siguiente imagen podría ser:

Auditoria Enero Febrero Marzo Abril Mayo

Auditoria No.1
Auditoria No.1
Auditoria No.1
Auditoria No.1
Auditoria No.1

A. Hoja de ruta
B. Programa de Auditoria
C. Plan de Auditoria
D. Cronograma anual de Auditorias

Pregunta 36 de 40
Con respecto a la información documentada:
A. El sistema de gestión, incluidos los procesos relacionados
B. La información creada para que la organización opere (documentación)
C. La evidencia de los resultados alcanzados (registros)
D. Todas las anteriores
Pregunta 37 de 40
Usted como auditor realiza el siguiente trabajo, un funcionario de la compañía le pregunta el
nombre de este instrumento

No. Pregunta Hallazgo Cumple (si/no)

Clausula

Usted responde:
A. Hoja de ruta
B. Es un documento confidencial
C. Lista de verificación
D. Programa de auditoria

Pregunta 38 de 40
¿Cada NO Conformidad debe tener un reporte separado?
A. No, se puede hacer redacción de no conformidades de diferentes numerales en una sola no
conformidad para ser más contundente.
B. Sí, una redacción independiente es requerido para dar claridad de las evidencias de la no
conformidad.

Pregunta 39 de 40
Durante la auditoria de una compañía que se está recertificando usted indaga sobre la política de
seguridad y le informan que esta va a ser actualizada y por eso es mejor no revisarla. ¿Esto se puede
considerar una no conformidad? o, como si existe, pero no se ha actualizado. ¿Se considera una
observación?
A. Se genera una redacción de observación
B. Se pide evidencia y más información, puede ser muy apresurado redactar una no
conformidad
C. Es una no conformidad, no existe política actualizada
D. No tiene relevancia que no se revise, se están recertificando

Pregunta 40 de 40
Usted como auditor podría decir que en su trabajo de auditoria hay evidencia objetiva sí:
1. Puede ser basada en la observación (hechos).
2. Puede ser cuantificada y cualitativa.
A. Solo 1
B. Solo 2
C. Ambas
D. Ninguna