Compliance
ISO 27001
política seguridad
plantilla

Plantilla de política de seguridad de la información ISO 27001 2026

Plantilla práctica de política de seguridad ISO 27001:2022 con secciones obligatorias, checklist controles y guía de adaptación para empresas.

Secra8 de junio de 202616 min de lectura

La política de seguridad de la información es el documento marco del Sistema de Gestión de Seguridad de la Información (SGSI) bajo ISO 27001:2022. Es el documento que la dirección aprueba para declarar formalmente cómo la organización entiende, gobierna y prioriza la seguridad de la información. Sin política aprobada por dirección, no hay certificación posible: la cláusula 5.2 lo exige y cualquier auditor pedirá ver el documento, su evidencia de aprobación y su evidencia de comunicación antes incluso de revisar controles técnicos. Esta guía aporta una plantilla práctica en formato narrativo, un checklist por sección y orientación de adaptación para empresas que implanten o renueven su SGSI en 2026.

Lo esencial: la política de seguridad ISO 27001 es un documento corto (entre 6 y 12 páginas), aprobado por la dirección, que define propósito, alcance, objetivos, roles, marco normativo, gestión de riesgos, cumplimiento y revisión. No es un manual técnico ni un compendio de procedimientos. Su función es gobernar, no implementar. De ella cuelgan políticas específicas (acceso, criptografía, BYOD, backup, continuidad) y procedimientos operativos. Una política bien diseñada se mantiene estable entre 2 y 4 años; las políticas específicas y los procedimientos cambian con mucha más frecuencia.

Qué es la política de seguridad ISO 27001 y por qué importa

La norma ISO 27001:2022 distingue entre política marco y políticas específicas. La política marco es el documento de gobernanza de máximo nivel. Las políticas específicas (acceso lógico, control de acceso físico, criptografía, BYOD, backup, gestión de incidentes, continuidad, seguridad de proveedores, desarrollo seguro, mesa limpia, clasificación y retención) son documentos operativos que desarrollan ámbitos concretos del Anexo A.

La cláusula 5.2 Política establece que la alta dirección debe definir una política apropiada al propósito de la organización, que incluya objetivos o un marco para fijarlos, el compromiso de cumplir requisitos aplicables y el compromiso de mejora continua del SGSI. Adicionalmente debe estar documentada, comunicada y disponible para las partes interesadas cuando proceda.

Esa última obligación es la que en auditoría suele tropezar a las organizaciones: tener la política aprobada no basta, hay que demostrar que el personal la conoce, que existe acuse de recibo y que se incorpora en el onboarding. Un auditor experimentado pedirá registros de comunicación, no solo el PDF firmado.

Secciones obligatorias de la política marco

Propósito y alcance

El propósito declara por qué existe la política: proteger la confidencialidad, integridad y disponibilidad de la información, cumplir requisitos legales y contractuales, y dar soporte a los objetivos de negocio. El alcance delimita qué partes de la organización, qué activos, qué localizaciones, qué procesos y qué unidades quedan dentro del SGSI. El alcance debe coincidir exactamente con el alcance certificable que se haya definido en el Manual del SGSI o en el documento de alcance. Si la política dice una cosa y el certificado dice otra, el auditor lo marcará como no conformidad mayor. Recomendación práctica: redactar el alcance una sola vez y reutilizarlo literalmente en política, manual y declaración de aplicabilidad.

Objetivos de seguridad alineados al negocio

Los objetivos deben ser medibles, alcanzables y trazables. Ejemplos válidos: reducir el tiempo medio de detección de incidentes por debajo de un umbral acordado; mantener una disponibilidad mínima del servicio crítico expresada en porcentaje anual; alcanzar un porcentaje de cobertura formativa anual del personal; cerrar las no conformidades de auditoría interna en un plazo determinado. Cada objetivo debe poder medirse con KPIs que figuren en el cuadro de mando del SGSI y revisarse en el Comité de Seguridad. Objetivos vagos del tipo "garantizar la seguridad de la información" son rechazados por auditoría porque no son medibles.

Compromiso de la dirección

Demuestra el liderazgo exigido por la cláusula 5.1. Debe expresar de forma inequívoca que la alta dirección asume la responsabilidad, asigna recursos suficientes, exige el cumplimiento a todo el personal y promueve la mejora continua. No basta una frase genérica: el auditor busca lenguaje activo y compromiso explícito. Es habitual incluir aquí la promesa de revisar el SGSI al menos una vez al año en Comité de Dirección y de tratar la seguridad como riesgo corporativo de primer nivel.

Roles y responsabilidades

La política nombra a los actores con responsabilidad sobre la seguridad: CISO o responsable de seguridad de la información, CIO o responsable de TI, DPO cuando aplica RGPD, responsables de negocio o propietarios de activos, Comité de Seguridad y alta dirección. No se nombra por persona física sino por rol; los nombres concretos van en un anexo o en un documento separado que se actualiza con mayor frecuencia. Para cada rol se describe brevemente la responsabilidad: el CISO gobierna el SGSI, el CIO opera la infraestructura, los propietarios de activos clasifican y autorizan accesos, el Comité de Seguridad decide riesgos residuales y aprueba excepciones.

Marco normativo aplicable

Sección donde se citan las normas y regulaciones a las que la organización está sujeta: RGPD y LOPDGDD siempre; NIS2 transpuesta en España mediante la Ley reguladora correspondiente si la organización es entidad esencial o importante; ENS si presta servicios al sector público; DORA si es entidad financiera o proveedor TIC crítico de una; PCI DSS si procesa tarjetas; normativa sectorial específica (sanitario, eIDAS, MiCA según corresponda). El listado no necesita ser exhaustivo a nivel de artículo, basta con nombrar las normas y declarar el compromiso de cumplimiento.

Gestión de riesgos

La política declara que la organización gestiona la seguridad bajo enfoque basado en riesgos, conforme a ISO 27001 cláusulas 6.1 y 8.2-8.3. Aquí se cita la metodología que la organización utiliza, normalmente MAGERIT v3 o ISO 27005, con sus criterios de aceptación, de evaluación y de tratamiento de riesgos. La política no entra en detalle técnico; el detalle vive en la metodología de análisis de riesgos. Lo que sí debe estar en política es el compromiso de revisar el análisis de riesgos al menos una vez al año o cuando se produzcan cambios materiales en el alcance, los activos o el contexto.

Cumplimiento y sanciones internas

Declara que el incumplimiento de la política tendrá consecuencias disciplinarias proporcionadas, conforme al régimen laboral aplicable y al convenio colectivo. No es necesario detallar tipologías sancionadoras: basta con remitir al procedimiento interno disciplinario y a la legislación laboral. Esta sección sirve para evidenciar que la seguridad no es opcional. Sin esta cláusula, los Comités de Empresa y los responsables de Recursos Humanos pueden tener problemas para aplicar medidas correctivas.

Revisión y actualización

La política se revisa formalmente al menos una vez al año, y de forma extraordinaria cuando se produce un cambio material: fusión o adquisición, cambio de alcance del SGSI, modificación regulatoria significativa, incidente grave que evidencie deficiencias del marco, cambio de dirección. La revisión se documenta en acta del Comité de Seguridad o de Dirección y, si hay cambios, se aprueba una nueva versión con número y fecha. El control de versiones es responsabilidad del responsable del SGSI.

Aprobación dirección con firma y fecha

Cierre del documento con firma del CEO, Director General o miembro del Consejo con poderes suficientes. Fecha de aprobación visible. Histórico de versiones en anexo. La firma puede ser manuscrita escaneada, firma electrónica cualificada o firma electrónica avanzada con sello de tiempo, conforme a eIDAS. Sin firma y fecha, el documento no es válido a efectos de auditoría.

Plantilla práctica: estructura comentada

El documento se estructura en estas secciones, en este orden:

1. Identificación del documento. Título, código interno (por ejemplo POL-SI-001), versión, fecha, clasificación (interno o público), autor, revisor, aprobador.

2. Propósito. Tres o cuatro líneas. Declarar que el documento define el marco de gobernanza de la seguridad de la información en la organización y soporta el cumplimiento de ISO 27001:2022 y demás normativa aplicable.

3. Alcance. Activos, procesos, unidades, localizaciones y filiales incluidas. Excepciones explícitas si las hay. Coincidencia literal con el alcance del SGSI.

4. Definiciones. Glosario breve: confidencialidad, integridad, disponibilidad, activo de información, incidente, riesgo, SGSI, SOA (Declaración de Aplicabilidad). Cinco a diez términos máximo.

5. Principios rectores. Declaración de principios: enfoque basado en riesgos, defensa en profundidad, mínimo privilegio, segregación de funciones, mejora continua, cumplimiento normativo, responsabilidad individual y colectiva.

6. Objetivos. Lista de cuatro a siete objetivos medibles. Cada objetivo enlaza a un KPI definido en el cuadro de mando del SGSI.

7. Compromiso de la dirección. Texto de una página aproximadamente declarando liderazgo, asignación de recursos, revisión anual y mejora continua.

8. Roles y responsabilidades. Tabla o lista de roles con responsabilidad descrita en una o dos líneas por rol.

9. Marco normativo. Listado de normativas aplicables.

10. Enfoque de gestión de riesgos. Referencia a la metodología documentada en documento independiente.

11. Políticas específicas relacionadas. Listado de políticas específicas que desarrollan ámbitos del Anexo A.

12. Cumplimiento y régimen sancionador interno. Cláusula breve remitiendo al procedimiento disciplinario.

13. Comunicación. Cómo se comunica la política: intranet, onboarding, formación anual, acuse de recibo.

14. Revisión. Periodicidad y disparadores de revisión extraordinaria.

15. Aprobación. Firma, nombre, cargo, fecha.

16. Histórico de versiones. Tabla con versión, fecha, autor de cambios, descripción del cambio.

Extensión total recomendada: entre 6 y 12 páginas. Más de 15 páginas indica que se está mezclando política con procedimiento.

Políticas específicas que debe convocar la política marco

La política marco no entra en detalle operativo. Convoca políticas específicas que desarrollan cada ámbito. El conjunto mínimo recomendado para cubrir el Anexo A de ISO 27001:2022 incluye:

  • Política de control de acceso lógico: gestión de identidades, autenticación, autorización, MFA, ciclo de vida de usuarios.
  • Política de control de acceso físico: zonas seguras, control perimetral, registro de visitas, salas técnicas.
  • Política de criptografía: algoritmos aprobados, gestión de claves, cifrado en reposo y en tránsito.
  • Política de BYOD y dispositivos móviles: condiciones de uso, MDM, perfiles separados.
  • Política de copias de seguridad: frecuencia, retención, pruebas de restauración, custodia.
  • Política de gestión de incidentes: clasificación, escalado, notificación 24h/72h cuando aplica NIS2 o RGPD.
  • Política de continuidad de negocio: RTO, RPO, planes de contingencia, pruebas anuales.
  • Política de seguridad de proveedores: due diligence, cláusulas contractuales, auditoría.
  • Política de desarrollo seguro: SDLC, revisión de código, pruebas de seguridad, gestión de vulnerabilidades.
  • Política de mesa limpia y pantalla limpia: tratamiento de información en puestos.
  • Política de clasificación de la información: categorías (pública, interna, confidencial, restringida) y reglas de manejo por categoría.
  • Política de retención y destrucción: plazos legales, borrado seguro, destrucción de soportes.

Cada política específica puede ocupar entre 2 y 6 páginas. La política marco las cita por nombre; el SOA detalla cómo se mapean a controles concretos del Anexo A.

Checklist de validación ISO 27001:2022 (93 controles Anexo A)

ISO 27001:2022 redujo el número de controles de 114 (versión 2013) a 93 controles agrupados en cuatro dominios:

Dominio 5. Controles organizacionales (37 controles). Cubren políticas, roles, segregación de funciones, contactos con autoridades, gestión de activos, clasificación, gestión de identidades, control de acceso, criptografía a nivel organizativo, seguridad de proveedores, gestión de incidentes y cumplimiento legal. La mayoría de estos controles requieren documentación política específica: el control 5.1 exige políticas; el 5.10 exige uso aceptable de activos; el 5.15 exige control de acceso; el 5.19 exige seguridad en relaciones con proveedores; el 5.24 exige planificación de respuesta a incidentes.

Dominio 6. Controles de personas (8 controles). Cubren screening previo a la contratación, términos y condiciones, concienciación, formación, proceso disciplinario, responsabilidades al finalizar el empleo, acuerdos de confidencialidad y trabajo remoto. Requieren políticas específicas en concienciación, trabajo remoto y disciplina.

Dominio 7. Controles físicos (14 controles). Cubren perímetros físicos, controles de entrada, oficinas y salas seguras, monitorización física, protección contra amenazas físicas y ambientales, trabajo en zonas seguras, escritorio limpio, ubicación y protección del equipo, seguridad de cableado, mantenimiento, eliminación segura y reutilización. Requieren documentación política específica en mesa limpia y en eliminación de soportes.

Dominio 8. Controles tecnológicos (34 controles). Cubren endpoint, privilegios, gestión de identidades, autenticación, malware, vulnerabilidades técnicas, configuración, prevención de fuga, backup, redundancia, logging, monitorización, redes, segmentación, criptografía, ciclo de vida de desarrollo, entornos, externalización y pruebas de seguridad. La mayoría requiere procedimientos técnicos detallados y, transversalmente, una política de seguridad técnica que la política marco debe convocar.

Para certificar es obligatorio elaborar la Declaración de Aplicabilidad (SOA) que justifique cada control: aplicabilidad, implementación, justificación de exclusión cuando proceda. La política marco no detalla el SOA pero sí debe mencionar que existe y dónde se mantiene.

Errores comunes en la política

  • Copiar una plantilla genérica sin adaptar. Los auditores detectan inmediatamente plantillas reutilizadas. Cualquier párrafo que no encaje con la organización real es no conformidad.
  • Política demasiado larga. Más de 15 páginas indica mezcla con manual o con procedimientos. El documento pierde su función de gobernanza y deja de leerse.
  • Falta de revisión periódica. Documentos fechados en 2021 cuando estamos en 2026 son una bandera roja inmediata.
  • No comunicar a empleados. Política aprobada pero no comunicada, sin evidencia de acuse de recibo, sin formación de onboarding. Es el fallo más frecuente en primera auditoría.
  • No mapear a controles del Anexo A. La política debe convocar las políticas específicas que cubren los controles; sin ese mapa, no hay forma de demostrar al auditor que el marco es completo.
  • Confundir política con manual del SGSI. Son documentos distintos. El manual describe el sistema completo; la política gobierna principios y compromisos.
  • No nombrar al CISO o al responsable de seguridad. Sin rol claro de responsabilidad, la política es declarativa pero no ejecutable.

Cómo aprobar y comunicar la política

Flujo de aprobación recomendado: borrador elaborado por el responsable del SGSI (CISO o asimilado); revisión por el Comité de Seguridad; revisión legal cuando hay cláusulas con impacto contractual o laboral; aprobación formal en Comité de Dirección o por el CEO; firma con fecha; publicación en repositorio documental del SGSI; comunicación.

Vehículos de comunicación que el auditor espera ver evidenciados:

  • Publicación en intranet o portal corporativo en sección visible y accesible para toda la plantilla.
  • Inclusión obligatoria en el plan de onboarding de nuevas incorporaciones con acuse de recibo firmado.
  • Formación anual de concienciación que incluya recordatorio de la política y prueba de conocimiento (test).
  • Difusión por correo corporativo cuando se publique una nueva versión, con instrucciones de leer y acusar recibo.
  • Cláusula contractual o anexo al contrato laboral remitiendo al cumplimiento de las políticas de seguridad publicadas.

Sin estas evidencias, la respuesta a la pregunta del auditor "demuéstreme que su personal conoce la política" se queda corta.

Encaje con NIS2, DORA, ENS

Una política de seguridad ISO 27001 bien diseñada puede convertirse en el documento marco de cumplimiento multinormativo si se redacta con esa intención desde el inicio. La estrategia es diseñar la política como marco global y desarrollar en políticas específicas o anexos los requisitos diferenciales de cada normativa adicional.

ISO 27001 cubre aproximadamente el 70% de las obligaciones del artículo 21 de NIS2. La política marco basada en ISO 27001 sirve como base, y se complementa con políticas específicas que cubran los deltas: notificación de incidentes en plazos 24h/72h, gestión activa de cadena de suministro, formación específica del consejo, responsabilidad personal de directivos.

DORA exige a entidades financieras y proveedores TIC críticos un marco de gestión del riesgo TIC, gestión de incidentes, pruebas de resiliencia operativa digital y gestión del riesgo de terceros. Una política marco ISO puede contener una sección o anexo específico para DORA cuando aplica.

ENS (Esquema Nacional de Seguridad) se aplica a organizaciones que prestan servicios al sector público. ENS y ISO 27001 son altamente compatibles: una organización con SGSI maduro puede certificar ENS Medio o Alto en plazos cortos. La política marco ISO se adapta con sección específica ENS que cite el nivel aplicable.

Recomendación práctica: si la organización está sujeta a varias normativas, redactar una única política marco con anexos por normativa adicional. Mantener varias políticas paralelas genera contradicciones y duplica el trabajo de revisión anual.

Preguntas frecuentes

¿Necesito políticas separadas o una sola política con muchas secciones?

Una política marco corta (6 a 12 páginas) más políticas específicas separadas. Mantener una única política con todo dentro hace el documento ilegible y obliga a revisar el documento completo ante cualquier cambio menor. Las políticas específicas se actualizan con mayor frecuencia (típicamente cada año o cuando hay cambio operativo); la política marco se mantiene estable durante 2 a 4 años.

¿Quién aprueba la política de seguridad?

La alta dirección. En función de la estructura societaria: CEO, Director General, Consejo de Administración o miembro del Consejo con poderes suficientes. El responsable del SGSI (CISO o asimilado) elabora y mantiene; el Comité de Seguridad revisa; la dirección aprueba. Esta separación de roles es exigida por la cláusula 5.1 de ISO 27001:2022.

¿Cuántas páginas es razonable para la política marco?

Entre 6 y 12 páginas. Por debajo de 5 páginas suele faltar contenido; por encima de 15 páginas hay mezcla con procedimientos o políticas específicas. La métrica de auditoría que mejor predice una política bien diseñada es la legibilidad: que un empleado nuevo pueda leerla en 20 minutos y entenderla.

¿Revisar cada año o cada cambio material?

Ambas cosas. Revisión formal anual con acta del Comité de Seguridad, exista o no cambio. Revisión extraordinaria cuando hay cambio material: nuevo alcance, fusión, regulación nueva relevante, incidente grave, cambio de dirección. La revisión anual sin cambios es válida; basta con dejar evidencia de que se revisó y se decidió mantener la versión vigente.

¿Una plantilla genérica vale para certificar?

No. Cualquier plantilla, incluida esta, es punto de partida. La certificación exige que el documento refleje la organización real: alcance real, roles reales, normativa aplicable real, objetivos medibles propios. Un auditor experimentado detecta plantillas no adaptadas en la primera lectura.

¿El auditor pedirá evidencia de comunicación de la política?

Sí, siempre. Es uno de los hallazgos más frecuentes en primera auditoría: política aprobada pero sin evidencia de comunicación. El auditor pedirá ver el portal o intranet donde está publicada, registros de inclusión en onboarding, listado de acuses de recibo y contenido formativo donde se mencione. Sin estas evidencias hay no conformidad.

Recursos relacionados

Implementación SGSI ISO 27001 con Secra

En Secra acompañamos a organizaciones que están iniciando su SGSI o que están renovando documentación obsoleta antes de auditoría. Nuestro trabajo incluye redacción de la política marco adaptada al sector y al alcance, redacción del paquete completo de políticas específicas alineadas con los 93 controles del Anexo A, definición de la Declaración de Aplicabilidad, evidencia documental para auditoría de certificación y formación de concienciación para la plantilla.

Si tu organización va a certificar ISO 27001 en 2026 o necesita revisar la política existente para alinearla con la versión 2022 de la norma, escríbenos y diseñamos el plan de trabajo adaptado a tu caso.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →Nuestra investigación →

Compartir artículo

Artículos Relacionados

Compliance

Ciberseguridad en banca: cumplimiento DORA para entidades financieras 2026

Ciberseguridad banca bajo DORA: gestión riesgos TIC, TLPT, gobernanza terceros, reporte incidentes y plan cumplimiento para entidades financieras.

2026-06-0815 min
Compliance

Ciberseguridad en logística y transporte: NIS2 sector esencial 2026

Ciberseguridad logística y transporte bajo NIS2: puertos, ferroviario, aéreo, road carriers, ransomware operadores y plan compliance.

2026-06-0814 min
Compliance

Ciberseguridad retail y eCommerce: PCI DSS, NIS2 y prevención fraude 2026

Ciberseguridad retail y eCommerce: PCI DSS v4.0.1, Magecart, account takeover, NIS2 importante y controles para tiendas y marketplaces.

2026-06-0815 min