Question 1 :La propriété de protéger l'exactitude et l'exhaustivité des marchandises

est : (Choisir la meilleure réponse)

a) Correction
b) Je ne répudie pas.
c) L'interopérabilité.
d) Intégrité
Réponse : Intégrité.
Question 2 :Une mesure qui modifie le risque peut être qualifiée de : (Sélectionnez la
meilleure réponse)
a) Systèmes de gestion de la sécurité (ISMS)
b) Remédiation aux risques.
c) Contrôle.
d) Analyse de l'impact sur les entreprises
Réponse : Contrôle.
Question 3. Les activités coordonnées visant à diriger et à contrôler une
organisation par rapport au risque sont connues sous le nom de.. :
a) Estimation de l'irrigation.
b) Évaluation des risques.
c) Gestion des risques.
d) Traitement du risque.

Réponse : Gestion des risques.

Question 4. La conformité est considérée comme satisfaisant aux exigences du point

de vue du système de gestion, tandis que la conformité est considérée comme
satisfaisant aux exigences du point de vue juridique, c'est-à-dire qu'elle est
considérée comme satisfaisant aux exigences du point de vue juridique :
a) Vrai
b) Faux

Réponse : Vrai.

Question 5. Lequel des éléments suivants n'est pas une exigence de la norme
ISO/IEC 27001 ?
(Sélectionnez la meilleure réponse)
a) Les objectifs de sécurité de l'information sont communiqués.
b) Documenter le plan de traitement des risques.
c) L'encadrement supérieur doit promouvoir l'amélioration continue.
d) Jouer un rôle spécifique en tant que responsable de la sécurité de l'information.

Réponse : Faire en sorte que le rôle soit dédié à ...

Question 6. Un contrôle physique a été mis en place dans le SGSI d'un hôpital. Ils
ont déterminé que leur contrôle particulier doit être mesuré et veillent à ce qu'il le
soit. Les charges de travail et les agendas étant en constante évolution, ils n'ont pas
désigné une seule personne pour effectuer les mesures. Ceci est conforme à la
norme ISO/IEC 27001 :
 a) C'est vrai.
b) Faux.
Réponse : Vrai.

Question 7. Une société de développement de logiciels a décidé d'externaliser son

service d'assistance, qui traite également les appels relatifs aux incidents de
sécurité. L'organisation reçoit chaque mois un rapport du service d'assistance
externalisé contenant des indicateurs de performance des appels, à savoir le temps
d'attente moyen, le temps d'inactivité de l'agent et le nombre moyen d'appels dans
la file d'attente. L'organisation utilise le rapport pour démontrer le contrôle du
service d'assistance du point de vue des exigences en matière de sécurité de
l'information. Est-ce conforme à la norme ISO/IEC 27001 ?
a) C'est vrai.
b) Faux.

Réponse : Faux.

Question 8. Une organisation dispose de plusieurs sites qui effectuent des

sauvegardes de données et a déterminé qu'elle devait documenter son processus
afin d'en maintenir la cohérence et d'en garantir l'efficacité. Ce document doit
être : (Sélectionnez la meilleure réponse).
a) Disponible en format électronique et imprimé.
b) Une liste dans la matrice de la base de données des documents.
c) Approuvé par le comité directeur de la sécurité de l'information.
d) Disponibles et appropriés pour être utilisés au moment et à l'endroit où ils sont
nécessaires.

Réponse : Disponible et utilisable, .....

Question 9. L'approbation du plan de traitement des risques et l'acceptation du

risque résiduel relèvent de la responsabilité du : (Sélectionnez la meilleure réponse)
a) Directeur de l'information.
b) Les cadres supérieurs.
c) Propriétaire du risque.
d) Directeur de la sécurité.
Réponse : Propriétaire du risque.

Question 10. Selon la norme ISO/IEC 27001, une évaluation des risques doit
comprendre : (Sélectionnez la meilleure réponse)
a) Options de traitement du risque de sécurité.
b) Résultat des mesures de contrôle.
c) Possibilité de survenance d'un risque.
d) Les parties prenantes de l'IMS.

Réponse : possibilité de survenance d'un risque.

Question 11. Le champ d'application du SMSI d'une organisation dont l'activité
consiste à fournir des services financiers. Dans la politique de sécurité de
l'information, la direction générale a fait part de son intention d'agir dans le
respect des exigences nationales et fédérales. Le reste de la politique de sécurité de
l'information se concentre sur la manière dont les technologies de l'information
fourniront les services financiers. Cette politique : (Veuillez sélectionner la
meilleure réponse)
a) Il est conforme à la norme ISO 27001.
b) Il est conforme à la norme ISO 27001 mais pourrait être amélioré.
c) Non conforme à la norme ISO 27001.
d) Ne s'applique pas à des lignes d'activité spécifiques.

Réponse : Conforme, mais pourrait être amélioré.

Question 12. Le SMSI d'un hôpital est soumis à des exigences légales. Du point de
vue du système de gestion, l'évaluation de la conformité juridique comprendra :
(Sélectionnez la meilleure réponse).
a) Examiner une déclaration du conseil d'administration de l'hôpital stipulant qu'il
respectera les exigences légales.
b) Confirmer qu'il existe un processus en place au sein de l'hôpital pour maintenir la
conformité avec les exigences légales et réglementaires.
c) Contacter le service juridique pour s'assurer qu'il n'y a pas de problèmes
juridiques en suspens.
d) Aucune autre mesure n'a été prise, car les normes ISO ne traitent que de la
conformité.

Réponse : Confirmer qu'il existe un processus ...

Question 13. Une organisation qui a identifié les exigences réglementaires comme un
facteur externe et le maintien de la conformité réglementaire comme un objectif de
sécurité de l'information aura besoin de quoi dans son évaluation des risques ?
a) Le risque associé au non-respect des obligations contractuelles.
b) La possibilité d'être pris en flagrant délit de non-respect des exigences
réglementaires.
c) Les conséquences potentielles liées au non-respect des exigences réglementaires.
d) Un processus documenté pour maintenir la conformité avec les exigences légales
et réglementaires.

Réponse : Les conséquences potentielles associées ...

Question 14. Un organisme financier a choisi ses opérations de négociation de titres

comme champ d'application de son SMSI. En examinant sa politique de sécurité de
l'information, on ne voit pas où l'organisme s'engage à se conformer à la
réglementation gouvernementale en matière de sécurité. Cela répond-il aux
exigences de la norme ISO/IEC 27001 ?
a) C'est vrai.
b) Faux.
Question 15. Un organisme a fait de ses opérations de traitement des réclamations le
champ d'application de son SMSI. Les contrôles que vous avez sélectionnés sont
déterminés dans quel processus ? (Sélectionnez la meilleure réponse).
a) Gestion des risques.
b) Politique de sécurité.
c) Évaluation des risques.
d) Examen de la gestion.

Réponse : Traitement du risque.

Question 16. Le SMSI d'une organisation peut être considéré comme efficace si :
(Sélectionnez la meilleure réponse)
a) La direction a donné au responsable informatique une autorité absolue en matière
de sécurité et a doté le département informatique d'un budget limité.
b) Le service d'assistance a réduit son personnel et continue d'atteindre ses
objectifs.
c) Tous les domaines du processus ont fait l'objet de plans, d'objectifs et de mesures
d'amélioration.
d) Les équipes d'audit interne et de conformité ont identifié de nombreuses

Réponse : Il a été démontré que tous les domaines du processus ont ...

Question 17. Un organisme d'assurance maladie gère des bases de données

contenant des informations confidentielles sur ses clients. Les conséquences
potentielles de la divulgation des informations privées d'un client doivent être
abordées dans : (Sélectionnez la meilleure réponse)
a) Le plan de traitement des risques.
b) La déclaration de mission de l'organisation.
c) Évaluation des risques.
d) Le plan de conformité.

Réponse : l'évaluation des risques.

Question 18. Une organisation a défini un processus d'évaluation des risques. Il est
utilisé chaque année dans ses installations locales et dans toutes ses implantations à
l'étranger. Cela permet-il d'obtenir des résultats cohérents et comparables ?
a) Faux.
b) C'est vrai.

Réponse : Vrai.

Question 19. Une organisation se compose de dix laboratoires médicaux où les

patients se rendent pour des tests et qui sont sous la direction d'un siège central. La
direction générale a décidé que le champ d'application de son SMSI serait la
protection de toutes les informations personnelles des patients et qu'il couvrirait le
siège social. Cela répond-il aux exigences de la norme ISO/IEC 27001 ?
a) C'est vrai.
b) Faux.

Réponse : Faux.
Question 20. Les objectifs de sécurité de l'information doivent être cohérents avec :
(Veuillez sélectionner la meilleure réponse)
a) La méthodologie d'évaluation des risques.
b) Politique de sécurité de l'information.
c) La déclaration d'applicabilité
d) Le plan de traitement des risques.

Réponse : La politique de sécurité de l'information.

Question 1. Si des changements importants surviennent ou sont proposés,

l'organisation doit : (Sélectionnez la meilleure réponse).
a) Mettre en place un conseil d'examen de la gestion.
b) Procéder à une évaluation des risques en matière de sécurité de l'information.
c) Revoir et mettre à jour ses objectifs en matière de sécurité de l'information.
d) Mettre en place des contrôles pour atténuer le nouveau risque.

Réponse : Effectuer une évaluation des risques de sécurité ....

Question 2. Si l'un des objectifs d'une organisation en matière de sécurité de

l'information est d'empêcher la divulgation non autorisée d'informations
confidentielles en cas de vol d'un ordinateur portable, les contrôles sélectionnés
pour faire face au risque et dans la déclaration d'applicabilité devraient inclure :
(Sélectionnez la meilleure réponse)
a) Protection contre les logiciels malveillants.
b) Sécurité RH - Pré-recrutement.
c) Chiffrement.
d) Responsabilité de l'utilisateur.

Réponse : Cryptage.

Question 3. Le champ d'application d'un audit est toujours le même que le champ
d'application du système de gestion.
a) C'est vrai.
b) Faux.

Réponse : Faux.

Question 4. Pour maintenir la conformité avec les exigences en matière de licences

de logiciels, une organisation utilisera quel contrôle ? (Sélectionnez la meilleure
réponse).
a) A.12.1.4 - Séparation des ressources de développement, d'essai et d'exploitation.
b) A.5.1.1 - Politiques de sécurité de l'information.
c) A.18.1.2 - Droits de propriété intellectuelle (DPI)
d) A.9.2.3 - Gestion des privilèges d'accès.

Réponse : IPR.
Question 5. L'évaluation des risques liés à la sécurité de l'information doit être
effectuée : (Sélectionnez la meilleure réponse).
a) Semestrielle
b) À intervalles réguliers.
c) Annuellement.
d) Uniquement selon les instructions de l'auditeur.

Réponse : à des intervalles planifiés.

Question 6. Le rapport d'audit est distribué aux personnes suivantes

a) Les entités auditées définies par le chef de l'équipe d'audit.
b) Les destinataires définis par la direction de l'organisation auditée
c) Les entités auditées définies dans le plan/la procédure d'audit.
d) Les destinataires définis par le représentant de la direction de l'organisation
auditée.

Réponse : Les destinataires définis par la procédure ou le plan d'audit.

Question 7. Parmi les facteurs suivants, lesquels seraient pris en compte pour
déterminer la faisabilité d'un audit ? (Sélectionnez la meilleure réponse).
a) Lignes directrices de l'agent d'admission.
b) Disponibilité d'informations suffisantes pour planifier l'audit.
c) Coopération adéquate de l'équipe d'audit.
d) Questions relatives au rapport d'audit.

Réponse : Disponibilité des informations ....

Question 8. La déclaration d'applicabilité doit contenir les contrôles nécessaires à la

mise en œuvre de l'option de traitement des risques choisie, qu'elle soit mise en
œuvre ou non, et... (Sélectionnez la meilleure réponse)
a) Liste de tous les actifs auxquels s'appliquent les contrôles et les risques associés.
b) la justification de la sélection des contrôles et de l'exclusion de tout contrôle
c) Une liste de toutes les politiques et procédures associées et des contrôles
auxquels elles se rapportent.
d) Les valeurs de risque totales calculées, classées de la plus élevée à la plus basse.

Réponse : La justification de la sélection des contrôles et la ...

Question 9. Les documents de travail de l'auditeur peuvent comprendre :

(Sélectionnez la meilleure réponse).
a) Liste de contrôle, plans et formulaires de preuve.
b) Instructions relatives à l'installation à contrôler
c) Le code de conduite de l'auditeur.
d) Identification, y compris la photographie.

Réponse : Liste de contrôle, plans et formats ...Question 10. Les informations acceptées
comme preuves d'audit doivent être : (Sélectionnez la meilleure réponse).
a) Documenté.
b) Identifier au moins deux fois.
c) Vérifiable.
d) Confirmé par le guide.
Réponse : vérifiable.

Question 11. Une organisation a inclus les opérations de vente dans le champ
d'application de son SMSI. L'évaluation des risques liés aux informations sur les
ventes d'une organisation doit comprendre : (Veuillez sélectionner la meilleure
réponse)
a) Le risque lié au fait que les vendeurs transportent des informations sur les ventes
sur leurs ordinateurs portables.
b) Valeur financière associée à la perte de confidentialité des informations sur les
ventes.
c) Cryptage des noms et adresses des clients.
d) Une politique sur l'utilisation acceptable des biens de l'entreprise.

Réponse : Risque associé aux fournisseurs qui transportent les informations ....

Question 12. Si un organisme prévoit de modifier un processus dans le cadre de son

SMSI, il doit : (Choisir la meilleure réponse)
a) Mettre à jour la politique du SGSI.
b) Contrôler le changement.
c) Mettre à jour les objectifs du SMSI.
d) Calculer les coûts du changement.

Réponse : Contrôle du changement.

Question 13. Les objectifs de l'audit peuvent être les suivants :

a) Évaluation de l'efficacité du système de gestion.
b) Maintenance des pistes d'audit.
c) Offrir une certification selon une norme.
d) Sélection d'un chef d'équipe

Réponse : évaluation de l'efficacité du système de gestion.

Question 14. Une grande chaîne nationale de distribution veut s'assurer que les
clients peuvent accéder aux informations relatives à leur compte au moins 98 % du
temps. L'évaluation des risques doit : (Sélectionnez la meilleure réponse)
a) Inclure le risque associé à la disponibilité des informations.
b) Inclure le risque associé au fait que le logiciel du client soit développé par une
société de développement externalisée.
c) A remplir par le service informatique qui est le dépositaire des fichiers de
comptes clients.
d) Veiller à ce que l'accès aux clients soit conforme aux exigences réglementaires.

Réponse : Inclure le risque associé à la disponibilité des informations.

Question 15. Une personne ou une organisation qui demande un audit est appelée :
(Sélectionnez la meilleure réponse).
a) Auditeur.
b) Équipe d'audit.
c) Audité.
d) Client de l'audit.
Réponse : Audit Client.

Question 16. Le terme "constat d'audit" signifie automatiquement non-conformité.

a) C'est vrai.
b) Faux

Réponse : Faux.

Question 17. Lors de l'établissement d'un programme d'audit pour un système de

management, l'organisme doit donner la priorité aux ressources d'audit pour
traiter : (Sélectionnez la meilleure réponse).
a) Risque.
b) Intégration dans les plans de continuité des activités.
c) Besoins des entreprises.
d) Opportunités de marché.

Réponse : Risque.

Question 18. Quel contrôle de l'annexe A serait sélectionné pour atténuer le risque
que les salariés utilisent à des fins personnelles des équipements de formation
appartenant à l'organisation ? (Sélectionnez la meilleure réponse)
a) A.18.2.2 - Respect des politiques et des normes de sécurité.
b) A.72.3 - Procédure disciplinaire.
c) A.8.13 - Utilisation acceptable des actifs.
d) 1.7.1.2 - Conditions d'emploi.

Réponse : A.8.1.3 - Utilisation acceptable des actifs.

Question 19. Quel contrôle pourrait être sélectionné pour atténuer le risque lié à la
mise à jour des logiciels sur les serveurs de l'entreprise ? (Sélectionnez la meilleure
réponse)
a) A.12.1.2- Gestion du changement.
b) A.14.2.2 - Procédure de contrôle des modifications des systèmes.
c) A.9.4.5 - Contrôle de l'accès au code source du programme.
d) A.12.7.1 - Contrôles d'audit des systèmes d'information.

Réponse : A.14.2.2 - Procédure de contrôle...

Question 20. Un rapport d'audit comprend ou mentionne :

a) Une liste complète de tous les employés de l'organisation auditée.
b) Un résumé des résultats de l'audit.
c) Une description complète et détaillée de la procédure d'audit.

d) Une liste complète de tous les documents utilisés lors de l'audit.

Réponse : Un résumé des résultats de l'audit.

Question 1. Lequel des rôles suivants est responsable de la définition de la politique

et des objectifs du système de gestion de la sécurité de l'information ?
a) Le comité de sécurité de l'information.
 b) Le responsable de la sécurité de l'information.
c) Le représentant de la direction.
d) Aux cadres supérieurs.

Réponse : L'encadrement supérieur !

Question 2. Lorsque des objectifs de sécurité de l'information sont fixés, ils doivent
l'être :
a) Cohérent avec la politique de sécurité de l'information et mesurable.
b) être communiquées et mises à jour le cas échéant.
c) Tenir compte des exigences applicables en matière de sécurité de l'information et
des résultats de l'évaluation et du traitement des risques.
d) Toutes les réponses ci-dessus.

Réponse : Toutes les réponses ci-dessus.

Question 3. La propriété de l'information, qui permet de la maintenir inaccessible et

de ne pas la divulguer à des personnes, des entités ou des processus non autorisés,
est ?
a) Intégrité.
b) Disponibilité.
c) La véracité.
d) Confidentialité.

Réponse : Confidentialité.

Question 4. La politique de sécurité de l'information, conformément à l'exigence 5.2

de la norme ISO/IEC 27001, doit
a) Inclure le rôle du représentant de la direction.
b) Être adapté à l'objectif de l'organisation.
c) Inclure des objectifs de sécurité de l'information afin de fournir un cadre pour
leur mise en place.
d) Seulement ay b.

Réponse : Seulement A et B !

Question 5. Selon l'exigence 4.3 de la norme ISO/IEC 27001, pour déterminer le

champ d'application du système de gestion de la sécurité de l'information, vous
devez.. :
a) Examiner les questions internes et externes relatives à l'organisation
b) Identifier les parties prenantes et leurs besoins.
c) Inclure des objectifs de sécurité de l'information
d) Seulement a et b.

Réponse : Solo Ay B ! !!!

Question 6. La norme actuelle de l'ISO sur les exigences en matière de sécurité de

l'information est ?
a) ISO/IEC 27001:2013
b) ISO/IEC 27000:2013
c) Aucune de ces réponses.
 d) ISO/IEC 27001:2005

Réponse : ISO/IEC 27001:2013

Question 7. Un système de gestion de la sécurité de l'information consiste en un

ensemble de politiques, de procédures, de lignes directrices, de ressources et
d'activités associées à un organisme et gérées collectivement par celui-ci en vue de
préserver ses actifs informationnels.
a) C'est vrai.
b) Faux

Réponse : Vrai.

Question 8. Le processus d'évaluation des risques en matière de sécurité de

l'information comprend
a) Identifier les risques liés à la sécurité de l'information
b) Évaluer les risques liés à la sécurité de l'information
c) Analyse des risques en matière de sécurité de l'information.
d) Toutes les réponses ci-dessus.

Réponse : Toutes les réponses ci-dessus.

Question 9. Pour la détermination du contexte organisationnel, l'ISO/IEC 27001

recommande l'utilisation de la méthodologie :
a) Pestel.
b) Les 5 forces de Porter.
c) SWOT.
d) Rien de tout cela, la norme ne recommande pas la méthodologie à utiliser pour la
détermination du contexte.

Réponse : Aucune de ces réponses.

Question 10. Les informations documentées du système de gestion de la sécurité

doivent-elles inclure celles requises par la norme ISO/IEC 27001 et celles
déterminées par l'organisation elle-même ?
a) C'est vrai.
b) Faux

Réponse : Vrai.

Question 11. La norme ISO/IEC 27001 prend en compte les caractéristiques

suivantes de l'information :
a) Qualité, utilité et précision.
b) Sécurité, intégrité et disponibilité.
c) Confidentialité, intégrité et disponibilité.
d) Aucune de ces réponses.

Réponse : CIA

Question 12. Quel estl'objectif de l'identification des risques et des opportunités

dans les systèmes de gestion de la sécurité de l'information ?
a) S'assurer que le système de gestion de la sécurité permet d'atteindre les résultats
escomptés.
b) Prévenir ou réduire les effets indésirables
c) Établir le contexte de l'organisation.
d) Seulement a et b

Réponse : Seulement A et B ! !!

Question 13. La propriété de l'information d'être accessible et utilisable sur

demande par une entité autorisée est :
a) Confidentialité des informations.
b) La véracité des informations
c) L'intégrité de l'information
d) La disponibilité de l'information
e) Aucune de ces réponses.

Réponse : Disponibilité

Question 14. Sélectionnez parmi les options suivantes quelques-unes des exigences
de la norme ISO 27001.
a) Leadership et travail d'équipe
b) Contexte organisationnel, leadership et planification
c) Travail d'équipe, fonctionnement et amélioration
d) Toutes les réponses ci-dessus.

Réponse : contexte organisationnel, leadership, ...

Question 15. Selon la norme ISO/IEC, les critères de risque de sécurité de

l'information à prendre en compte sont les suivants :
a) Les critères d'établissement d'une matrice des risques.
b) Les critères d'acceptation des risques et les critères d'évaluation des risques pour
la sécurité de l'information.
c) Critères d'évaluation de l'efficacité du traitement des risques
d) Toutes les réponses ci-dessus.

Réponse : Les critères d'acceptation des risques et les critères de réalisation...

Question 16. La déclaration d'applicabilité est-elle le document contenant les
contrôles de l'annexe A qui doivent être mis en œuvre pour faire face aux risques et
ceux qui sont exclus avec justification ?
a) C'est vrai.
b) Faux.

Réponse : Vrai

Question 17. Les compétences des personnes visées à l'exigence 7.2 de la norme
ISO/IEC 27001 sont les suivantes :
a) Compétences et aptitudes.
b) Éducation, formation ou expérience appropriées
c) Études de troisième cycle
d) Aucune de ces réponses.
Réponse : L'éducation, la formation ou l'exp...

Question 18. Le cycle de Deming, généralement appelé cycle d'amélioration

continue, se compose des étapes suivantes ?
a) Planifier, faire, vérifier et agir.
b) Planifier, faire, mesurer et améliorer.
c) Concevoir, mettre en œuvre, mesurer, améliorer.
d) Planifier, améliorer, mettre en œuvre et vérifier.

Réponse : PDCA

Question 19. La propriété de l'exactitude et de l'exhaustivité des informations se

réfère-t-elle à l'exhaustivité ?
a) Faux
b) C'est vrai.

Réponse : Vrai.

Question 20. Un engagement qui "doit" être inclus dans la politique de sécurité de
l'information est l'engagement d'améliorer continuellement le système de gestion de
la sécurité de l'information ?
a) Vrai
b) Faux

Réponse : Vrai.

Question 1. La direction générale doit-elle examiner, à des intervalles déterminés, le

système de gestion de la sécurité de l'information pour s'assurer qu'il est adapté,
adéquat et efficace en permanence ?
a) NON
b) OUI
Question 2. Dans le domaine A.15 de la relation avec les fournisseurs, il est établi
que :
a) Les fournisseurs doivent être certifiés ISO 27001.
b) Une politique de sécurité de l'information doit être mise en place dans les
relations avec les fournisseurs.
c) Les fournisseurs doivent faire l'objet d'un audit annuel de la sécurité de
l'information.
d) Seulement a et c

Réponse : Il doit y avoir une politique de sécurité...

Question 3. Le non-respect d'une exigence est ?

a) Une observation
b) Une opportunité d'amélioration.
c) Une non-conformité
d) Aucune de ces réponses.

Réponse : Une non-conformité.

Question 4. Dans laquelle des étapes suivantes de la gestion de la sécurité de

l'information des ressources humaines le domaine A.7 envisage-t-il la mise en
œuvre de contrôles ?
a) Avant l'emploi.
b) Pendant l'emploi.
c) En cas de cessation d'emploi ou de changement d'emploi.
d) Toutes les réponses ci-dessus.

Réponse : Toutes les réponses ci-dessus.

Question 5. Lesquelles des conditions suivantes font partie du domaine A.8 de

l'annexe A de la norme ISO/IEC 27001.
a) Les actifs informationnels doivent être identifiés et inventoriés.
b) Il n'y a pas d'obligation de tenir un inventaire des actifs.
c) Les actifs doivent avoir un propriétaire assigné.
d) Seulement a et c

Réponse : A et C uniquement.

Question 6. Les actions correctives sont-elles utilisées pour éliminer la cause

première d'une non-conformité ?
a) NON
b) OUI

Réponse : Oui

Question 7. Sur la base des résultats de l'évaluation des risques en matière de

sécurité de l'information, vous devez :
a) Conserver les informations documentées
b) Tenir à jour les informations documentées
c) Appliquer des méthodes statistiques d'évaluation et d'analyse.
d) Seulement a et b
Réponses : conserver les informations documentées.

Question 8. Pour le processus de sensibilisation du personnel à la sécurité de

l'information, il convient de prendre en compte les éléments suivants :
a) Les conséquences de la non-conformité au système de gestion.
b) Votre contribution à l'efficacité du système de sécurité de l'information
c) La politique de sécurité.
d) Toutes les réponses ci-dessus.

Réponses : Toutes les réponses.

Question 9. Est-il possible de déclarer la non-applicabilité de certains contrôles de

l'annexe A de la norme ISO/IEC 27001 ?
a) Non
b) Oui, mais non-applicabilité justifiée
c) Oui
d) Aucune de ces réponses.

Réponse : Oui, mais en justifiant la non-applicabilité.

Question 10. Le domaine A.13 de la sécurité des communications vise à.. :

a) Veiller à ce que les ressources de traitement de l'information et les informations
soient protégées contre les logiciels malveillants.
b) Assurer la protection des informations sur les réseaux et les ressources de
traitement de l'information.
c) Assurer la sécurité du développement des logiciels.
d) Veiller au bon fonctionnement et à la sécurité des installations de traitement des
données.

Réponse : Assurer la protection des informations sur les réseaux et les ressources de
traitement de l'information.

Question 11. L'annexe A de la norme ISO/IEC 27001 comporte 18 domaines ?

a) C'est vrai.
b) Faux.

Réponse : Faux.

Question 12. Dans le domaine de la conformité A.18, un système de sécurité de

l'information doit :
a) Procéder à des examens indépendants de la sécurité de l'information.
b) Assurer la conformité juridique de l'utilisation des matériaux pour lesquels il
existe des droits de propriété intellectuelle.
c) Respecter les exigences légales applicables en matière de protection de la vie
privée et des données à caractère personnel.
d) Toutes les réponses ci-dessus.

Réponse : Toutes les réponses ci-dessus.

Question 13. Des audits internes du système de gestion de la sécurité de
l'information doivent être réalisés :
a) Mensuel.
b) Deux fois par an.
c) Trimestrielle.
d) À intervalles réguliers.

Réponse : à des intervalles planifiés.

Question 14. Faut-il conserver des informations documentées sur les résultats du
traitement des risques liés à la sécurité de l'information ?
a) Oui
b) Non.

Réponse : Oui

Question 15. Sélectionnez le terme associé à la définition : "un besoin ou une attente
déclarée, généralement implicite ou obligatoire".
a) Exigence.
b) Conformité
c) Processus.
d) Confidentialité.

Réponse : Exigence.

Question 16. Quel est l'objectif du contrôle A.12 sur la sécurité des opérations ?
a) Assurer le fonctionnement correct et sécurisé des installations de traitement des
données.
b) Garantir la sécurité du télétravail et de l'utilisation des appareils mobiles.
c) Assurer la protection des données d'essai.
d) Prévenir les dommages ou les pertes d'informations.

Réponse : Assurer le bon fonctionnement et la sécurité des installations de traitement des

données.

Question 17. Des responsabilités et des procédures de gestion doivent-elles être

établies pour garantir une réaction efficace aux incidents liés à la sécurité de
l'information ? Dans l'affirmative, quel contrôle indique-t-il ?
a) Non
b) Oui, contrôle A.16
c) Oui, contrôle A.14
d) Aucune de ces réponses.

Réponse : Oui, contrôle A.16.

Question 18. Les informations documentées doivent être contrôlées en tenant

compte des aspects suivants :
a) Stockage et conservation
b) Distribution, accès, récupération et utilisation.
c) Contrôle des modifications, conservation et élimination.
d) Toutes les réponses ci-dessus.
Réponses : Toutes les réponses ci-dessus.

Question 19. Le domaine A.9 de l'annexe A de la norme ISO/IEC 27001 fait

référence :
a) Sécurité physique et environnementale.
b) Sécurité dans les processus de développement et de soutien.
c) Contrôle d'accès.
d) Cryptographie.

Réponse : Contrôle d'accès.

Question 20. Le domaine A.17 détermine que :

a) L'organisation doit disposer d'un plan de reprise après sinistre.
b) L'organisation doit disposer d'un service de conseil externe en matière de
continuité des activités.
c) L'organisation doit disposer d'un plan de continuité des activités.
d) Aucune de ces réponses.

Réponse : L'organisation doit disposer d'un plan de continuité des activités.