Preguntas examen certificación ISO 27001 Foundation - Parte 1

Este bloque reúne 10 preguntas diseñadas para practicar y evaluar tu preparación rumbo a la certificación ISO 27001 Foundation y algunas de ellas podrian serte utiles si buscas certificarte como Auditor lider o Auditor Interno. La dificultad, los distractores y los temas están alineados al examen, de modo que puedas medirte de forma realista.

Responde sin mirar la solución. Al final encontrarás la clave con explicación breve para consolidar lo aprendido y cerrar brechas rápidamente.

1 ) Según la norma ISO/IEC 27001:2022, ¿qué debe contener la Declaración de Aplicabilidad (SoA)?

A) Inventario de activos, propietarios y RTO/RPO
B) Programa de auditoría interna y plan de continuidad
C) Matriz de riesgos completa
D) Controles necesarios; justificación de inclusión; estado de implementación; justificación de exclusiones del Anexo A

2 ) La Cláusula 4 exige que la organización defina el “alcance del SGSI”. ¿Qué debe considerar al determinarlo?

A) Asuntos externos/internos, requisitos de partes interesadas, interfaces y dependencias
B) Solo los procesos TI
C) Solo requisitos legales
D) Únicamente el presupuesto del área

3 ) ¿Cuál es el principal objetivo de la Cláusula 5 (Liderazgo)?

A) Establecer procedimientos de continuidad
B) Definir métricas de desempeño
C) Demostrar liderazgo y compromiso con el SGSI, establecer política, roles y responsabilidades
D) Elaborar el plan de auditoría externa

4 ) ¿Qué se debe establecer antes de evaluar riesgos?

A) La SoA
B) El plan de auditoría interna
C) El inventario de proveedores
D) Criterios de aceptación del riesgo y criterios para realizar la evaluación

5 ) En cuanto al Tratamiento del riesgo, ¿qué opción describe mejor el proceso?

A) Seleccionar controles al azar y probarlos
B) Seleccionar opciones de tratamiento, determinar controles necesarios, contrastarlos con Anexo A, producir SoA, plan de tratamiento y aprobar riesgos residuales
C) Solo contratar un seguro
D) Aceptar todos los riesgos y monitorear

6 ) ¿Qué exige 6.2 respecto a los objetivos de seguridad de la información?

A) Que sean secretos
B) Que solo existan a nivel directivo
C) Que sean medibles (si es factible), monitoreados, comunicados y actualizados; con planificación para lograrlos
D) Que sean inspiradores, no medibles

7 ) En 7.2 (Competencia), ¿qué debe conservarse como evidencia?

A) Evidencia documentada de la competencia (formación, experiencia, evaluaciones)
B) Únicamente cursos externos
C) No se requiere evidencia
D) Solo los diplomas universitarios

8 ) ¿Qué cubre 7.3 (Conciencia)?

A) Conocimiento exclusivo de la política de calidad
B) Solo firmar el código de conducta
C) Solo saber usar el SIEM
D) Que las personas conozcan la política de seguridad, su contribución a la eficacia del SGSI y las implicaciones de no cumplir

9 ) ¿Qué regula 7.5 (Información documentada)?

A) Solo plantillas de informes
B) Exclusivamente el manual del SGSI
C) Requisitos para crear, actualizar y controlar la información documentada del SGSI (disponibilidad, protección, control de cambios, retención y disposición)
D) Políticas de marketing

10 ) En 8.1 (Planificación y control operacional), ¿qué es imprescindible?

A) Hacer controles solo cuando falle algo
B) Establecer criterios de proceso y controlarlos conforme a dichos criterios, con la información documentada necesaria
C) No permitir cambios
D) Subcontratar toda la operación

Soluciones

1 ) Respuesta correcta: D

Explicación: La SoA conecta la evaluación/tratamiento del riesgo con los controles. Debe listar controles necesarios, justificar su inclusión, indicar su estado e incluir la justificación de exclusiones del Anexo A.

2 ) Respuesta correcta: A

Explicación: El alcance del SGSI considera el contexto (4.1), necesidades de partes interesadas (4.2) e interfaces/dependencias con terceros.

3 ) Respuesta correcta: C

Explicación: La Cláusula 5 se centra en liderazgo, política, roles y responsabilidades, comunicación y mejora continua del SGSI.

4 ) Respuesta correcta: D

Explicación: Los criterios de aceptación y de evaluación de riesgos permiten resultados consistentes, válidos y comparables.

5 ) Respuesta correcta: B

Explicación: El tratamiento del riesgo debe ser sistemático y trazable: opciones, controles, contraste con Anexo A, SoA, plan y aprobación de riesgos residuales.

6 ) Respuesta correcta: C

Explicación: Los objetivos deben alinearse con la política, ser medibles (si es factible), monitoreados y contar con planificación para lograrlos.

7 ) Respuesta correcta: A

Explicación: La organización debe mantener evidencia de la competencia (formación, experiencia y/o evaluaciones) del personal relevante.

8 ) Respuesta correcta: D

Explicación: Conciencia implica conocer la política, la contribución personal a la eficacia del SGSI y las implicaciones de no cumplir.

9 ) Respuesta correcta: C

Explicación: 7.5 regula la creación, actualización y control de la información documentada (acceso, protección, control de cambios, retención y disposición).

10 ) Respuesta correcta: B

Explicación: 8.1 exige planificar procesos, fijar criterios y controlarlos con la información documentada necesaria.

Cierre

¡Buen trabajo! Si llegaste hasta aquí, ya diste un paso sólido hacia tu certificación ISO 27001 Foundation. Revisa las explicaciones de las respuestas, identifica tus brechas y vuelve sobre los temas clave

¿Quieres certificarte en ISO 27001 Foundation?

Si ya revisaste estas entradas con atención, puedes dar el paso al examen oficial con nuestro:

Kit Oficial ISO 27001 Foundation
https://academy.seguridadcero.com.pe/kit-oficial-iso-27001-foundation 

¿Prefieres una formación integral con seguimiento para llegar con total seguridad?

Tengo una formación completa con acceso a clases, talleres, plantillas, simulacros y más.

Curso Oficial ISO 27001 Foundation
https://academy.seguridadcero.com.pe/curso-oficial-iso-27001-foundation 

Nos vemos.

—

Fernando Conislla

Instructor Oficial ISO 27001 | Todos los niveles