ISO/IEC 27001:2022

Guía de cumplimiento ISO 27001

ISO 27001 es el estándar internacional para la gestión de seguridad de la información. Ya sea requerido por clientes o buscado voluntariamente, le ayudamos a implementar los 93 controles del Anexo A y lograr la certificación.

Iniciar evaluación de riesgosAgendar consulta de certificación

¿Qué es ISO 27001?

ISO/IEC 27001:2022 es el estándar internacional para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información (SGSI). Proporciona un enfoque sistemático para gestionar información sensible de la empresa basado en la evaluación de riesgos.

Última versión: ISO 27001:2022 reemplazó la versión 2013 en octubre de 2022. Las organizaciones certificadas bajo la versión 2013 deben transicionar antes del 31 de octubre de 2025. La versión 2022 reestructuró el Anexo A de 114 controles en 14 categorías a 93 controles en 4 temas.

Ciclo PDCA

Mejora continua Planificar-Hacer-Verificar-Actuar

Certificación

Auditada por terceros y reconocida globalmente

Complementa SOC 2 para mercados de EE. UU. e ISO 42001 para sistemas de IA.

¿Quién necesita la certificación ISO 27001?

Organizaciones que manejan datos sensibles

Datos de clientes, registros financieros, información de salud

Proveedores de servicios en la nube

Proveedores SaaS, PaaS, IaaS que requieren certificación de seguridad

Servicios financieros

Bancos, fintech, procesadores de pagos

Organizaciones de salud

Hospitales, clínicas, empresas de tecnología de salud

Contratistas gubernamentales

Organizaciones que trabajan con datos del sector público

Empresas globales

Demostrar compromiso de seguridad a clientes y socios

Cómo VerifyWise apoya el cumplimiento de ISO 27001

Capacidades diseñadas específicamente para la implementación y certificación del SGSI

Inventario de activos y clasificación de información

Registre todos los activos de información con metadatos estructurados que cubren propiedad, clasificación y requisitos de manejo. La plataforma captura el contexto de activos requerido por A.5.9 y mantiene el inventario exigido por A.5.1.

Aborda: A.5.1 Inventario de información, A.5.9 Clasificación de activos

Evaluación y tratamiento de riesgos

Identifique riesgos de seguridad utilizando métodos de evaluación estructurados alineados con los requisitos de ISO 27001. La plataforma rastrea fuentes de riesgo, decisiones de tratamiento y genera la documentación requerida por las Cláusulas 6.1.2 y 8.2.

Aborda: Cláusula 6.1.2 Evaluación de riesgos de seguridad de la información, Cláusula 8.2 Tratamiento de riesgos

Gestión de políticas y procedimientos del SGSI

Establezca políticas de seguridad de la información, defina roles y genere procedimientos alineados con ISO 27001. La plataforma mantiene versionado de políticas y flujos de aprobación que satisfacen la Cláusula 5.2 y A.5.1.

Aborda: Cláusula 5.2 Política de seguridad de la información, A.5.1 Políticas para la seguridad de la información

Seguimiento de implementación de controles

Rastree la implementación de los 93 controles del Anexo A con recopilación de evidencia. La plataforma documenta el estado de los controles, las partes responsables y mantiene la pista de auditoría requerida por la Cláusula 6.1.3.

Aborda: Cláusula 6.1.3 Declaración de Aplicabilidad, Cláusula 8.1 Planificación operativa

Monitoreo continuo y métricas

Rastree el rendimiento del SGSI con KPI alineados a los objetivos de seguridad. La plataforma consolida datos de monitoreo, patrones de incidentes y efectividad de controles para la visibilidad continua requerida por la Cláusula 9.1.

Aborda: Cláusula 9.1 Monitoreo y medición, A.5.7 Inteligencia de amenazas

Auditoría interna y revisión por la dirección

Gestione programas de auditoría con flujos de trabajo estructurados y alimente los hallazgos en ciclos de mejora. La plataforma apoya el ciclo Planificar-Hacer-Verificar-Actuar central para la certificación y mantenimiento de ISO 27001.

Aborda: Cláusula 9.2 Auditoría interna, Cláusula 9.3 Revisión por la dirección, Cláusula 10 Mejora continua

Todas las actividades del SGSI mantienen pistas de auditoría integrales con marcas de tiempo, responsabilidades asignadas y flujos de aprobación. Esto demuestra una gestión sistemática de la seguridad de la información para auditorías de certificación.

Cobertura completa de requisitos ISO 27001

VerifyWise aborda todas las cláusulas obligatorias y controles del Anexo A

93

Controles del Anexo A en ISO 27001:2022

93

Controles con herramientas dedicadas

100%

Cobertura en los 4 temas

Cláusulas 4-107/7

Cláusulas obligatorias del SGSI y ciclo PDCA

Organizacionales37/37

Políticas, roles, relaciones con proveedores

Personas8/8

Selección, concienciación, disciplinario

Físicos14/14

Áreas seguras, equipos, eliminación

Tecnológicos34/34

Control de acceso, criptografía, registro

Construido para la certificación ISO 27001:2022

Declaración de Aplicabilidad

Auto-genere SoA con justificaciones y exclusiones de controles

Plan de tratamiento de riesgos

Rastree decisiones de tratamiento de riesgos y aceptación de riesgo residual

Programa de auditoría interna

Gestione programas de auditoría, hallazgos y acciones correctivas

Mapeo multi-marco

Correlación con ISO 42001, SOC 2 y requisitos NIST

Cláusulas obligatorias del SGSI (4-10)

ISO 27001 sigue el ciclo Planificar-Hacer-Verificar-Actuar a través de siete cláusulas obligatorias

Cláusula 4

Contexto de la organización

Comprender el contexto organizacional, las partes interesadas y definir el alcance del SGSI.

  • Cuestiones internas y externas
  • Partes interesadas y requisitos
  • Determinación del alcance del SGSI
  • Establecimiento del sistema de gestión de seguridad de la información
Cláusula 5

Liderazgo

Demostrar compromiso de liderazgo y establecer la política de seguridad de la información.

  • Liderazgo y compromiso
  • Política de seguridad de la información
  • Roles y responsabilidades organizacionales
  • Asignación de autoridades
Cláusula 6

Planificación

Abordar riesgos y oportunidades, establecer objetivos y planificar para alcanzarlos.

  • Acciones para abordar riesgos y oportunidades
  • Evaluación de riesgos de seguridad de la información
  • Tratamiento de riesgos de seguridad de la información
  • Objetivos de seguridad de la información y planificación
Cláusula 7

Soporte

Garantizar recursos, competencia, concienciación e información documentada.

  • Provisión de recursos
  • Requisitos de competencia
  • Capacitación en concienciación
  • Protocolos de comunicación
  • Control de información documentada
Cláusula 8

Operación

Implementar y operar los procesos del SGSI.

  • Planificación y control operativo
  • Ejecución de evaluación de riesgos de seguridad de la información
  • Implementación del tratamiento de riesgos de seguridad de la información
Cláusula 9

Evaluación del desempeño

Monitorear, medir, analizar y evaluar el desempeño del SGSI.

  • Monitoreo, medición, análisis y evaluación
  • Programa de auditoría interna
  • Revisión por la dirección
Cláusula 10

Mejora

Abordar no conformidades y mejorar continuamente el SGSI.

  • No conformidad y acción correctiva
  • Mejora continua del SGSI

Ciclo PDCA

Modelo de mejora continua

Anexo A: 93 controles de seguridad

ISO 27001:2022 organiza los controles en 4 temas que cubren seguridad organizacional, de personas, física y tecnológica

Controles organizacionales

37 controles

Políticas, procedimientos, roles y medidas de seguridad organizacional.

Controles clave

  • A.5.1 Políticas para la seguridad de la información
  • A.5.7 Inteligencia de amenazas
  • A.5.9 Inventario de información y otros activos asociados
  • A.5.10 Uso aceptable de la información
  • A.5.23 Seguridad de la información para el uso de servicios en la nube
  • A.5.24 Planificación de gestión de incidentes de seguridad de la información

Ejemplos

Política de seguridad de la información, clasificación de activos, seguridad de proveedores, planificación de respuesta a incidentes

Controles de personas

8 controles

Seguridad de recursos humanos a lo largo del ciclo de empleo.

Controles clave

  • A.6.1 Selección
  • A.6.2 Términos y condiciones de empleo
  • A.6.3 Concienciación, educación y capacitación en seguridad de la información
  • A.6.4 Proceso disciplinario
  • A.6.5 Responsabilidades después de la terminación
  • A.6.6 Acuerdos de confidencialidad

Ejemplos

Verificación de antecedentes, capacitación en concienciación de seguridad, contratos de empleo, procedimientos de desvinculación

Controles físicos

14 controles

Protección de áreas físicas, equipos y activos.

Controles clave

  • A.7.1 Perímetros de seguridad física
  • A.7.2 Entrada física
  • A.7.4 Monitoreo de seguridad física
  • A.7.7 Escritorio limpio y pantalla limpia
  • A.7.10 Medios de almacenamiento
  • A.7.14 Eliminación segura de equipos

Ejemplos

Control de acceso a oficinas, gestión de visitantes, CCTV, eliminación de equipos, política de escritorio limpio

Controles tecnológicos

34 controles

Medidas de seguridad técnica para sistemas y redes.

Controles clave

  • A.8.1 Dispositivos de punto final de usuario
  • A.8.2 Derechos de acceso privilegiado
  • A.8.3 Restricción de acceso a información
  • A.8.5 Autenticación segura
  • A.8.10 Eliminación de información
  • A.8.24 Uso de criptografía
  • A.8.28 Codificación segura

Ejemplos

Control de acceso, cifrado, registro, gestión de vulnerabilidades, desarrollo seguro, respaldo

Nota: No todos los 93 controles aplican a cada organización. Su Declaración de Aplicabilidad documenta qué controles implementa y proporciona justificación para cualquier exclusión basada en su evaluación de riesgos.

Iniciar evaluación de controles

ISO 27001:2022 vs 2013

Cambios clave en la última versión y requisitos de transición

AspectoISO 27001:2022ISO 27001:2013
Estructura
4 temas: Organizacional, Personas, Físico, Tecnológico14 categorías organizadas por tema
Cantidad de controles
93 controles (simplificados y consolidados)114 controles (más granulares)
Convención de nomenclatura
Atributos: Preventivo, Detectivo, CorrectivoSolo categorías
Enfoque en la nube
A.5.23 Control explícito de servicios en la nubeNube cubierta implícitamente
Inteligencia de amenazas
A.5.7 Control dedicado de inteligencia de amenazasParte de la gestión de incidentes
Plazo de transición
31 de octubre de 2025 (todas las certificaciones deben transicionar)Ya no es válido después de octubre de 2025

Plazo de transición: 31 de octubre de 2025

Las organizaciones certificadas bajo ISO 27001:2013 deben transicionar a ISO 27001:2022 antes de esta fecha. Después del 31 de octubre de 2025, los certificados ISO 27001:2013 ya no serán válidos.

Qué cambió: 11 nuevos controles añadidos, 24 controles fusionados, 58 controles actualizados. Enfoque en riesgos emergentes incluyendo seguridad en la nube, inteligencia de amenazas y seguridad de la información para servicios en la nube.

Proceso de certificación ISO 27001

Auditoría de dos etapas realizada por organismos de certificación acreditados

Etapa 1

Revisión de documentación

El auditor revisa la documentación del SGSI para verificar su completitud

Actividades clave

  • Revisar alcance y políticas del SGSI
  • Evaluar la Declaración de Aplicabilidad
  • Evaluar metodología de evaluación de riesgos
  • Verificar procedimientos documentados
Etapa 2

Auditoría de implementación

Evaluación presencial de la implementación y operación del SGSI

Actividades clave

  • Verificar implementación de controles
  • Entrevistar al personal
  • Revisar evidencia y registros
  • Probar la efectividad de los controles
  • Identificar no conformidades
Inicial

Auditoría Etapa 1 + Etapa 2

Certificación válida por 3 años

Anual

Auditorías de vigilancia

Años 1 y 2 después de la certificación

Año 3

Auditoría de recertificación

Reevaluación completa

Hoja de ruta de implementación de 26 semanas

Camino estructurado desde el análisis de brechas hasta la auditoría de certificación

Fase 1Semanas 1-4

Alcance y análisis de brechas

  • Definir alcance y límites del SGSI
  • Realizar evaluación inicial de brechas
  • Identificar partes interesadas clave
  • Establecer gobernanza del proyecto
Fase 2Semanas 5-12

Evaluación y tratamiento de riesgos

  • Identificar activos de información
  • Realizar evaluación de riesgos
  • Seleccionar controles del Anexo A
  • Desarrollar Declaración de Aplicabilidad
  • Crear plan de tratamiento de riesgos
Fase 3Semanas 13-20

Implementación y documentación

  • Implementar controles seleccionados
  • Desarrollar políticas y procedimientos del SGSI
  • Realizar capacitación en concienciación de seguridad
  • Establecer procesos de monitoreo
Fase 4Semanas 21-26

Auditoría y certificación

  • Realizar auditoría interna
  • Revisión por la dirección
  • Abordar hallazgos
  • Auditoría de certificación Etapa 1 y Etapa 2
Plantillas de políticas

Plantillas de políticas y procedimientos ISO 27001

Acceda a documentación del SGSI lista para usar alineada con los requisitos de ISO 27001:2022 y compatible con ISO 42001 y SOC 2

Organizacional

  • • Política de Seguridad de la Información
  • • Política de Gestión de Activos
  • • Política de Seguridad de Proveedores
  • • Plan de Respuesta a Incidentes
  • • Plan de Continuidad del Negocio
  • • Política de Seguridad en la Nube
  • + 8 políticas más

Personas y físico

  • • Capacitación en Concienciación de Seguridad
  • • Política de Uso Aceptable
  • • Política de Control de Acceso
  • • Política de Seguridad Física
  • • Procedimiento de Escritorio Limpio
  • • Gestión de Visitantes
  • + 6 políticas más

Tecnológico

  • • Política de Cifrado
  • • Política de Respaldo y Recuperación
  • • Gestión de Vulnerabilidades
  • • Registro y Monitoreo
  • • Política de Desarrollo Seguro
  • • Política de Seguridad de Red
  • + 9 políticas más
Explorar todas las plantillas del SGSI

Preguntas frecuentes

Preguntas comunes sobre la certificación ISO 27001

ISO/IEC 27001 es el estándar internacional para sistemas de gestión de seguridad de la información (SGSI). Proporciona un enfoque sistemático para gestionar información sensible de la empresa, asegurando confidencialidad, integridad y disponibilidad. La última versión es ISO 27001:2022. Consulte la página oficial de ISO 27001 para detalles completos.
ISO 27001 se enfoca en la gestión de seguridad de la información, mientras que ISO 42001 se enfoca específicamente en sistemas de gestión de IA. Las organizaciones que despliegan sistemas de IA a menudo implementan ambos: ISO 27001 para asegurar activos de información e ISO 42001 para la gobernanza responsable de la IA. Comparten estructuras PDCA similares pero abordan dominios diferentes.
Un proyecto típico de certificación ISO 27001 toma de 6 a 12 meses dependiendo del tamaño organizacional, la complejidad y la madurez de seguridad existente. Las organizaciones más pequeñas con buenas prácticas existentes pueden avanzar más rápido. La auditoría de certificación en sí es un proceso de dos etapas realizado por organismos de certificación acreditados.
ISO 27001:2022 contiene 93 controles organizados en 4 temas: Organizacionales (37 controles), Personas (8 controles), Físicos (14 controles) y Tecnológicos (34 controles). No todos los controles aplican a cada organización. La Declaración de Aplicabilidad documenta qué controles implementa y justifica las exclusiones.
ISO 27001 es voluntario pero a menudo requerido por contratos, regulaciones o estándares de la industria. Muchas industrias (servicios financieros, salud, proveedores de nube) lo requieren para relaciones con proveedores. Algunas regulaciones hacen referencia a ISO 27001 como un marco de seguridad aceptable. Los contratos de clientes frecuentemente requieren certificación.
Las organizaciones certificadas bajo ISO 27001:2013 deben transicionar a ISO 27001:2022 antes del 31 de octubre de 2025. Después de esta fecha, los certificados ISO 27001:2013 ya no serán válidos. Las nuevas certificaciones desde octubre de 2022 usan la versión 2022. Las auditorías de transición evalúan los 21 controles nuevos/modificados.
PDCA es el modelo de mejora continua subyacente a ISO 27001. Planificar: Establecer SGSI (Cláusulas 4-6). Hacer: Implementar y operar (Cláusulas 7-8). Verificar: Monitorear y revisar (Cláusula 9). Actuar: Mantener y mejorar (Cláusula 10). Este ciclo asegura que su SGSI evolucione con las amenazas cambiantes y las necesidades del negocio.
ISO 27001 es un estándar internacional con certificación de terceros, mientras que SOC 2 es un marco de auditoría basado en EE. UU. ISO 27001 tiene controles prescriptivos del Anexo A; SOC 2 usa Criterios de Servicio de Confianza. Muchas organizaciones persiguen ambos: ISO 27001 para reconocimiento global y SOC 2 para requisitos de clientes de EE. UU.
ISO 27001 requiere información documentada que incluye: alcance del SGSI, política de seguridad de la información, metodología de evaluación de riesgos, plan de tratamiento de riesgos, Declaración de Aplicabilidad, procedimientos para operaciones, programas de monitoreo y auditoría, registros de competencia y actas de revisión por la dirección. El estándar no exige formatos específicos.
Los costos de certificación varían ampliamente según el tamaño organizacional, la complejidad del alcance y el organismo de certificación elegido. Presupueste para tarifas del organismo de certificación (típicamente $10,000-50,000 anuales), tarifas de consultor si se usan, costos de capacitación y tiempo del personal interno. Las auditorías de vigilancia anuales ocurren con recertificación cada 3 años.
No, la certificación ISO 27001 requiere una auditoría independiente por un organismo de certificación acreditado. Puede implementar controles ISO 27001 sin certificación, pero para reclamar certificación, debe someterse al proceso formal de auditoría de dos etapas. Busque organismos de certificación acreditados a través de organizaciones nacionales de acreditación.
ISO 27001 aborda muchos requisitos de seguridad del RGPD a través de controles como gestión de acceso, cifrado, respuesta a incidentes y protección de datos. El Artículo 32 del RGPD requiere medidas técnicas y organizativas apropiadas; ISO 27001 proporciona un marco reconocido. Sin embargo, ISO 27001 no cubre todos los requisitos del RGPD (como derechos del interesado y evaluaciones de impacto de privacidad).
Después de la certificación inicial, los organismos de certificación realizan auditorías de vigilancia anuales para verificar el mantenimiento y mejora del SGSI. Estas son más cortas que la auditoría inicial de Etapa 2 y se enfocan en: efectividad continua de los controles, resultados de revisión por la dirección, resultados de auditoría interna, manejo de incidentes y no conformidades, y cambios al SGSI. La recertificación ocurre cada 3 años.
Sí, VerifyWise proporciona herramientas dedicadas para la implementación de ISO 27001. Nuestra plataforma le ayuda a realizar evaluaciones de riesgos, rastrear la implementación de controles del Anexo A, gestionar documentación del SGSI, ejecutar auditorías internas y generar evidencia para auditorías de certificación. También proporcionamos correlaciones con ISO 42001, NIST AI RMF y EU AI Act para organizaciones que implementan múltiples marcos.

¿Listo para lograr la certificación ISO 27001?

Comience su implementación del SGSI con nuestra evaluación guiada y herramientas de preparación para la certificación.

Iniciar evaluación del SGSIAgendar consulta de certificación
ISO 27001 Compliance Guide | Information Security | VerifyWise