ISO 27001:2022 es el estándar internacional de gestión de la seguridad de la información. No es una norma técnica con controles obligatorios cerrados, sino un marco para diseñar, implantar y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI). La versión 2022 introduce 93 controles en el Anexo A, organizados en 4 dominios (organizativo, personas, físico, tecnológico). Certificarse exige auditoría externa por una entidad acreditada por ENAC (en España) y se renueva cada 3 años, con auditorías de vigilancia anuales. Para una PYME de 50-200 empleados, la implantación completa suele durar entre 5 y 9 meses. Es la base sobre la que se construyen otros marcos: cubre ~70% de NIS2 artículo 21, ~75% de ENS y es exigida cada vez más en licitaciones.
Qué es ISO 27001 (versión 2022)
ISO/IEC 27001:2022 es la versión vigente de la norma internacional de gestión de la seguridad de la información, publicada por ISO e IEC en octubre de 2022. Sustituye a la versión 2013, vigente durante casi una década.
ISO 27001 no impone tecnologías ni controles cerrados. Define un marco de gestión (el SGSI) que cada organización adapta a su contexto, riesgos y apetito de riesgo. La auditoría comprueba que el marco existe, está implantado, funciona y mejora continuamente.
Las dos partes clave de la norma:
- Cláusulas 4-10: requisitos del SGSI (contexto, liderazgo, planificación, soporte, operación, evaluación de desempeño, mejora). Estas cláusulas son obligatorias y no negociables.
- Anexo A: lista de 93 controles de referencia organizados en 4 categorías. Su aplicación se decide en la Declaración de Aplicabilidad (SoA) según los riesgos de cada organización.
¿Para qué sirve ISO 27001?
Beneficios comerciales
- Acceso a licitaciones: cada vez más concursos públicos y privados la exigen como prerrequisito.
- Acceso a clientes enterprise: bancos, aseguradoras, sanidad y administraciones públicas la piden a sus proveedores.
- Reducción de cuestionarios de seguridad: un certificado vigente sustituye buena parte de los cuestionarios SIG/CAIQ.
- Diferenciación competitiva: en sectores donde solo una minoría está certificada, es señal de madurez.
Beneficios de seguridad
- Marco estructurado para gestionar riesgos en lugar de apagar fuegos.
- Mejora continua documentada (PDCA) que evita que la seguridad se degrade con el tiempo.
- Implicación de la dirección formalmente exigida por la cláusula 5.
- Evidencias defendibles ante incidentes, auditorías regulatorias o peritajes.
Encaje con NIS2, DORA, ENS y RGPD
| Norma | Cobertura aproximada con ISO 27001:2022 |
|---|---|
| NIS2 (artículo 21) | 65–75% |
| DORA | 50–60% (DORA exige adicionalmente TLPT, registro de proveedores, supervisión CTPP) |
| ENS Real Decreto 311/2022 | 70–80% (ENS añade categorización ACIDA y obligaciones del sector público) |
| RGPD | 60–70% en medidas técnicas y organizativas (artículo 32) |
ISO 27001 es la base sobre la que apilar el resto: te ahorra rehacer trabajo cuando entras en el siguiente marco.
SGSI: el corazón de ISO 27001
El Sistema de Gestión de Seguridad de la Información (SGSI) es el conjunto coordinado de políticas, procedimientos, roles, controles, recursos y actividades de mejora que la organización despliega para gestionar la seguridad de la información.
Cláusulas 4-10 que el SGSI debe cubrir:
| Cláusula | Qué exige |
|---|---|
| 4. Contexto | Determinación de partes interesadas, alcance del SGSI, contexto interno y externo |
| 5. Liderazgo | Compromiso de la alta dirección, política de seguridad, roles y responsabilidades |
| 6. Planificación | Análisis de riesgos, tratamiento, objetivos de seguridad medibles, gestión del cambio |
| 7. Soporte | Recursos, competencia y formación, concienciación, comunicación, información documentada |
| 8. Operación | Planificación operacional, evaluación periódica del riesgo, tratamiento aplicado |
| 9. Evaluación del desempeño | Seguimiento, medición, auditoría interna, revisión por la dirección |
| 10. Mejora | No conformidades, acciones correctivas, mejora continua |
Estas cláusulas son idénticas a otras normas ISO de gestión (9001, 14001, 22301, 27701) — si ya tienes una de ellas, partes con el 30-40% del SGSI hecho.
Los 93 controles del Anexo A (versión 2022)
La versión 2022 reorganizó los antiguos 114 controles de 14 dominios en 93 controles agrupados en 4 categorías, e incorporó 11 controles nuevos alineados con amenazas modernas.
Estructura del Anexo A 2022
| Categoría | Nº controles | Foco |
|---|---|---|
| A.5 Controles organizativos | 37 | Políticas, gobierno, gestión de proveedores, gestión de incidentes |
| A.6 Controles de personas | 8 | RRHH, formación, disciplina, teletrabajo |
| A.7 Controles físicos | 14 | Perímetro, áreas seguras, equipos, mantenimiento |
| A.8 Controles tecnológicos | 34 | Acceso, criptografía, seguridad de operaciones, comunicaciones, desarrollo |
Los 11 controles nuevos de 2022
| Control | Qué exige |
|---|---|
| A.5.7 Threat intelligence | Recoger y analizar inteligencia sobre amenazas relevantes |
| A.5.23 Seguridad de servicios cloud | Gestión específica del riesgo de proveedores cloud |
| A.5.30 Preparación TIC para continuidad | Planes específicos TIC dentro del BCP |
| A.7.4 Monitoreo de seguridad física | Detección de intrusiones en instalaciones |
| A.8.9 Gestión de configuración | Hardening sistemático de configuraciones |
| A.8.10 Borrado de información | Procedimientos de borrado seguro |
| A.8.11 Enmascaramiento de datos | Anonimización/seudonimización en entornos no productivos |
| A.8.12 Prevención de fugas de datos (DLP) | Tecnología y procesos DLP |
| A.8.16 Actividades de monitoreo | SIEM, detección de anomalías, alertas |
| A.8.23 Filtrado web | Control de navegación web |
| A.8.28 Codificación segura | SDLC seguro, revisión de código, OWASP |
Cómo certificarse paso a paso
1. Análisis GAP
Duración: 2–4 semanas. Comparar el estado actual contra cláusulas 4-10 + Anexo A. Identificar qué políticas, procedimientos y controles existen, cuáles hay que crear y cuáles hay que mejorar.
2. Diseño del SGSI
Duración: 4–8 semanas. Definir alcance, política, roles, metodología de análisis de riesgos, procedimiento de tratamiento de riesgos, Declaración de Aplicabilidad (SoA) y los procedimientos exigidos por las cláusulas (gestión documental, auditoría interna, no conformidades, revisión por la dirección).
3. Implantación de controles
Duración: 2–4 meses. Despliegue real de los controles seleccionados en el SoA. Esta fase es la más larga y dependiente de la madurez previa.
4. Auditoría interna
Duración: 2–3 semanas. Auditor interno (o externo subcontratado, independiente del equipo implantador) verifica que el SGSI cumple los requisitos antes de exponerlo a la entidad de certificación. Identifica no conformidades y oportunidades de mejora.
5. Auditoría de certificación (Fase 1 + Fase 2)
Realizada por una entidad de certificación acreditada:
- Fase 1 — Revisión documental: alcance, política, SoA, análisis de riesgos, procedimientos. Identifica si la organización está preparada para la Fase 2.
- Fase 2 — Auditoría in situ: muestreo de controles, entrevistas, verificación de evidencias. Si pasa, se emite el certificado válido por 3 años.
6. Renovación trienal y vigilancia anual
- Auditoría de vigilancia anual (años 1 y 2 del ciclo): verifica que el SGSI sigue funcionando.
- Auditoría de renovación al año 3: similar a la inicial, renueva el certificado por 3 años más.
Componentes del proyecto y duración
Componentes que intervienen
Una implantación ISO 27001:2022 desde cero típicamente incluye:
- Consultoría de implantación — análisis GAP, diseño del SGSI, soporte a la implantación de los 93 controles del Anexo A.
- Auditoría interna — independiente del equipo implantador; suele externalizarse en organizaciones pequeñas.
- Auditoría de certificación — Fase 1 (revisión documental) + Fase 2 (auditoría in situ), realizada por entidad acreditada por ENAC (no es Secra; tú eliges la entidad: AENOR, Bureau Veritas, TÜV Rheinland, SGS, DNV, LRQA…).
- Auditorías de vigilancia anuales durante la vigencia del certificado.
- Auditoría de renovación al final del ciclo trienal.
- Inversión técnica si hay gaps importantes (MFA, SIEM, DLP, EDR, gestión documental). Esto depende totalmente de tu estado de partida.
Duración
- Implantación inicial: 5–9 meses según madurez previa.
- Certificación: 6–10 semanas adicionales tras finalizar implantación.
- Si ya tienes ISO 9001 u otra ISO de gestión: la parte de cláusulas 4-10 está prácticamente hecha y la duración baja a 3–5 meses.
Para un presupuesto ajustado a tu organización, solicita una conversación inicial.
ISO 27001 vs ISO 27002 vs ISO 27017 vs ISO 27018
| Norma | Qué es | Es certificable |
|---|---|---|
| ISO/IEC 27001:2022 | Requisitos del SGSI + Anexo A de controles | Sí |
| ISO/IEC 27002:2022 | Guía de implementación detallada de los 93 controles del Anexo A | No (es guía) |
| ISO/IEC 27017:2015 | Código de prácticas para servicios cloud, complementaria a 27001 | Sí (extensión) |
| ISO/IEC 27018:2019 | Protección de datos personales en cloud (PII), complementaria a 27001 | Sí (extensión) |
| ISO/IEC 27701:2019 | SGPI: Sistema de Gestión de Privacidad de Información, extensión de 27001 | Sí |
Lo habitual: certificarse en 27001 y luego añadir 27017+27018 si se opera servicios cloud, o 27701 si la gestión de datos personales es crítica.
Preguntas frecuentes
¿Cuánto cuesta certificarse en ISO 27001?
Depende de cuatro factores: tamaño y complejidad de la organización, alcance del SGSI (toda la empresa o una unidad/sede/servicio), madurez previa (si ya tienes ISO 9001 u otra ISO de gestión, parte del SGSI está hecho) y gaps técnicos a remediar (MFA, SIEM, DLP, EDR…). La auditoría externa se contrata con una entidad acreditada por ENAC y es independiente de la consultoría. Para un presupuesto ajustado a tu caso, solicita una conversación inicial.
¿Cuánto se tarda en certificarse?
Entre 5 y 9 meses desde el arranque hasta la auditoría de certificación, dependiendo de la madurez previa y la dedicación interna. Si ya tienes otra ISO de gestión (9001, 14001), baja a 3-5 meses.
¿La auditoría interna se puede hacer in-house?
Sí, siempre que el auditor interno sea independiente del equipo que implantó el SGSI. En organizaciones pequeñas suele externalizarse para garantizar independencia.
¿Qué entidad de certificación elegir?
Cualquier entidad acreditada por ENAC en España (Bureau Veritas, AENOR, TÜV Rheinland, SGS, DNV, LRQA…) o por un organismo de acreditación equivalente del IAF MLA. La diferencia está en precio, plazos de agenda y reputación sectorial.
¿El certificado caduca?
El certificado tiene validez de 3 años, condicionada a superar las auditorías de vigilancia anuales. Al final del tercer año se realiza la auditoría de renovación.
¿Si tengo ISO 27001 cumplo NIS2?
Parcialmente. ISO 27001:2022 cubre aproximadamente el 70% de las obligaciones del artículo 21 de NIS2. Los gaps típicos son notificación 24h/72h, cadena de suministro y formación específica del consejo. Ver ISO 27001 + NIS2.
¿Puedo certificar solo una parte de la organización?
Sí. El alcance del SGSI se define en el SoA y puede ser una unidad de negocio, una sede, un servicio concreto. Hay que tener cuidado de no excluir interfaces críticas que comprometan la coherencia del SGSI.
Implanta ISO 27001:2022 con Secra
En Secra acompañamos el proceso completo: análisis GAP, diseño del SGSI, soporte a la implantación de los 93 controles del Anexo A, auditoría interna independiente y soporte hasta superar la certificación.
→ Conoce nuestro servicio de certificación ISO 27001
→ Solicita una conversación inicial sin compromiso
Lecturas relacionadas
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.
Conoce al equipo →