Qué exige ISO 27001 para la certificación
ISO 27001 es el estándar internacional para la gestión de la seguridad de la información. La versión vigente —ISO/IEC 27001:2022— fue publicada en octubre de 2022 y sustituyó a la edición de 2013. Para obtener la certificación, una organización debe demostrar que ha establecido, implementado, mantenido y mejorado de forma continua un Sistema de Gestión de Seguridad de la Información (SGSI) conforme a todos los requisitos de la norma.
A diferencia de otros estándares técnicos, ISO 27001 no prescribe controles concretos de forma obligatoria para todos. Su enfoque es basado en riesgos: la organización debe identificar sus activos de información, analizar los riesgos a los que están expuestos, seleccionar controles proporcionales a esos riesgos y demostrar que el sistema funciona y mejora. Lo que sí es completamente obligatorio son las 10 cláusulas del cuerpo normativo de la norma.
El proceso de certificación culmina con una auditoría externa realizada por una entidad de certificación acreditada (en España, acreditada por ENAC bajo el esquema ISO/IEC 17021), que verifica que el SGSI de la organización cumple con todos los requisitos. Si la auditoría es satisfactoria, se emite el certificado ISO 27001, válido por 3 años con auditorías de seguimiento anuales.
Las 10 cláusulas de ISO 27001:2022
El cuerpo normativo de ISO 27001 se estructura en 10 cláusulas. Las cláusulas 1 a 3 son introductorias (contexto, términos y referencias normativas). Las cláusulas 4 a 10 contienen los requisitos obligatorios:
- Cláusula 4 — Contexto de la organización: Determinar los factores internos y externos relevantes, las partes interesadas y sus expectativas, y definir el alcance del SGSI.
- Cláusula 5 — Liderazgo: Compromiso demostrable de la alta dirección, política de seguridad de la información aprobada y comunicada, y asignación de roles y responsabilidades.
- Cláusula 6 — Planificación: Proceso de análisis y valoración de riesgos, plan de tratamiento de riesgos y Declaración de Aplicabilidad (SoA). Establecimiento de objetivos de seguridad medibles.
- Cláusula 7 — Soporte: Recursos necesarios para el SGSI, competencias del personal, concienciación, comunicación y gestión de la información documentada (políticas, procedimientos, registros).
- Cláusula 8 — Operación: Implementación práctica de los procesos de gestión de riesgos y los controles seleccionados. Gestión de cambios y subcontratación.
- Cláusula 9 — Evaluación del desempeño: Seguimiento, medición, análisis y evaluación del SGSI. Auditoría interna anual y revisión por la dirección.
- Cláusula 10 — Mejora: Gestión de no conformidades, acciones correctivas y mejora continua del sistema.
Pide presupuesto en 24 horas. Sin compromiso.
El Anexo A de ISO 27001: los 93 controles
El Anexo A de ISO 27001:2022 contiene el catálogo de referencia de controles de seguridad. En la versión de 2022, este catálogo tiene 93 controles organizados en 4 categorías temáticas:
| Categoría | Número de controles | Ejemplos de controles |
|---|---|---|
| Controles organizativos | 37 controles | Políticas de seguridad, gestión de activos, gestión de acceso, gestión de incidentes, continuidad del negocio |
| Controles de personas | 8 controles | Selección de personal, responsabilidades del empleado, formación en seguridad, acuerdos de confidencialidad |
| Controles físicos | 14 controles | Seguridad de perímetro, control de acceso físico, protección contra amenazas físicas, política de escritorios limpios |
| Controles tecnológicos | 34 controles | Control de acceso lógico, cifrado, gestión de vulnerabilidades, seguridad de redes, registro y monitorización |
La versión 2022 introdujo 11 nuevos controles respecto a la edición anterior de 2013, reflejando la evolución del panorama de amenazas: inteligencia de amenazas, seguridad de la nube, continuidad de TIC, supervisión de la seguridad física, gestión de la configuración, eliminación de información, enmascaramiento de datos, prevención de fuga de datos, actividades de monitorización, filtrado web y codificación segura.
Es fundamental entender que el Anexo A no es una lista de verificación que hay que cumplir íntegramente. Los controles son de referencia: la organización selecciona los aplicables en función de su análisis de riesgos y puede excluir los que no aplican a su contexto, justificándolo documentalmente en la Declaración de Aplicabilidad.
Cómo se estructura un SGSI
Un Sistema de Gestión de Seguridad de la Información (SGSI) es el núcleo de ISO 27001. No es un software ni una herramienta: es un sistema de gestión, similar en estructura al de calidad (ISO 9001) o medio ambiente (ISO 14001), que gobierna cómo la organización protege su información.
Los componentes esenciales de un SGSI conforme a ISO 27001 incluyen:
- Inventario de activos de información: Identificación y clasificación de todos los activos (datos, sistemas, software, personas, instalaciones) que tienen valor para la organización.
- Metodología de análisis de riesgos: Un proceso documentado y reproducible para identificar amenazas y vulnerabilidades, estimar la probabilidad e impacto de los riesgos, y priorizarlos. No hay una metodología obligatoria (puede usarse MAGERIT, ISO 27005, OCTAVE u otras).
- Plan de tratamiento de riesgos: Decisiones documentadas sobre qué hacer con cada riesgo identificado: mitigar, transferir, aceptar o evitar, con controles concretos asignados.
- Declaración de Aplicabilidad (SoA): El documento central del SGSI que relaciona todos los controles del Anexo A con su estado de implementación y justificación.
- Políticas y procedimientos: El conjunto de documentación normativa interna que regula el comportamiento esperado en materia de seguridad.
- Programa de auditoría interna: Revisiones periódicas internas que verifican la conformidad y efectividad del SGSI.
- Revisión por la dirección: Reunión anual formal donde la alta dirección evalúa el estado del SGSI y toma decisiones estratégicas.
La Declaración de Aplicabilidad (SoA)
La Declaración de Aplicabilidad (Statement of Applicability o SoA) es uno de los documentos más importantes y característicos de ISO 27001. Es, en esencia, un inventario de todos los controles del Anexo A donde la organización declara:
- Si el control es aplicable o no a su contexto
- Si el control está implementado o en proceso de implementación
- La justificación para incluirlo (qué riesgos mitiga) o excluirlo (por qué no aplica)
- La referencia a la evidencia o documentación que demuestra su implementación
La SoA es un documento vivo que evoluciona con el SGSI. Es uno de los primeros documentos que revisa el auditor externo durante la certificación, porque permite entender de un vistazo el perímetro y la profundidad del sistema de gestión implantado. Una SoA bien construida simplifica enormemente la auditoría de certificación.
Pide presupuesto en 24 horas. Sin compromiso.
Proceso de certificación ISO 27001: etapas y auditoría
El proceso de certificación ISO 27001 tiene una estructura bien definida que normalmente sigue estas etapas:
- Definición del alcance y análisis de brechas (semanas 1-3): Antes de iniciar el proyecto, se determina qué sistemas, procesos y unidades organizativas quedan dentro del SGSI, y se analiza la situación actual frente a los requisitos de la norma para identificar las brechas a cerrar.
- Implementación del SGSI (semanas 4-14): Desarrollo de la documentación (políticas, procedimientos, registros), implementación de controles técnicos y organizativos, análisis de riesgos formal, desarrollo de la SoA y formación del personal.
- Período de operación del SGSI (semanas 15-20): El SGSI debe haber estado operativo durante un período suficiente antes de la auditoría de certificación. Normalmente se exige al menos 3 meses de registros de operación.
- Auditoría interna y revisión por la dirección (semanas 18-21): Requisitos obligatorios previos a la certificación. La auditoría interna verifica la conformidad del SGSI y la revisión por la dirección es la reunión formal de evaluación estratégica.
- Auditoría de certificación — Fase 1 (semanas 22-23): El auditor externo revisa la documentación del SGSI (SoA, políticas, análisis de riesgos, registros de auditoría interna). Si hay deficiencias documentales, se da un plazo para corregirlas antes de la Fase 2.
- Auditoría de certificación — Fase 2 (semanas 24-26): Auditoría presencial. El auditor verifica in situ que los controles están implementados según lo documentado, entrevista al personal y revisa evidencias. Al finalizar, emite un informe con posibles no conformidades menores o mayores.
- Cierre de no conformidades y emisión del certificado: Si hay no conformidades menores, la organización tiene normalmente 90 días para corregirlas. Si la auditoría es satisfactoria, la entidad certificadora emite el certificado ISO 27001.
En Avson, con nuestro enfoque de certificación intensiva, completamos todo este proceso en 3 a 4 meses para pymes, significativamente por debajo del promedio del mercado (6-12 meses). Nuestra garantía de éxito por escrito cubre el proceso completo.
ISO 27001:2022 vs 2013: los cambios importantes
La revisión de 2022 supuso los cambios más relevantes desde la publicación del estándar. Las organizaciones certificadas bajo la versión 2013 tuvieron que migrar a la versión 2022 antes del 31 de octubre de 2025. Los cambios principales fueron:
- Estructura del Anexo A: De 114 controles en 14 dominios (versión 2013) a 93 controles en 4 categorías temáticas (versión 2022). Se fusionaron controles redundantes y se añadieron 11 nuevos controles.
- Nuevos controles: Inteligencia de amenazas, seguridad en servicios cloud, eliminación de información, enmascaramiento de datos, prevención de fuga de datos (DLP), monitorización de la seguridad física, actividades de monitorización, filtrado web y codificación segura.
- Atributos de los controles: La versión 2022 añade para cada control en ISO 27002 cinco nuevos atributos (tipo de control, propiedades de seguridad, conceptos de ciberseguridad, capacidades operativas, dominios de seguridad) que facilitan su clasificación y selección.
- Cláusula 6.3 (nueva): Planificación de cambios del SGSI, alineando la norma con el marco Annex SL común a los sistemas de gestión ISO.
Si ya tienes ENS, el 65% está hecho
Para las empresas que ya disponen de certificación ENS, la noticia es excelente: el solapamiento entre ENS e ISO 27001 es del 65% aproximadamente. Esto significa que la documentación, los controles técnicos y el sistema de gestión implementados para el ENS son directamente reutilizables o fácilmente adaptables para ISO 27001.
Los elementos ENS que cubren directamente requisitos ISO 27001 incluyen: política de seguridad de la información, análisis y gestión de riesgos (MAGERIT es compatible con ISO 27005), control de acceso y gestión de privilegios, seguridad física, gestión de incidentes, continuidad del negocio, gestión de proveedores, formación y concienciación, y auditoría interna. La brecha restante (35%) se concentra principalmente en requisitos formales del sistema de gestión que ISO 27001 exige de forma más estructurada que el ENS.
En la práctica, Avson completa el paso de ENS a ISO 27001 en aproximadamente 6 a 8 semanas de trabajo adicional para organizaciones con ENS Media o Alta ya certificadas.
Pide presupuesto en 24 horas. Sin compromiso.
Artículos relacionados:
Preguntas frecuentes sobre ISO 27001
ISO 27001 en 3-4 meses. Con garantía de éxito por escrito.
Analizamos tu situación actual y te decimos exactamente qué falta, cuánto tiempo llevará y qué coste tendrá. Sin letra pequeña.
Solicitar presupuesto sin compromiso →