ISO 27001

Certificación ISO 27001

Implementación y certificación del estándar internacional de Sistema de Gestión de Seguridad de la Información, reconocido globalmente como referencia en protección de datos.

Comienza Tu CertificaciónVolver a GRC

Estándar Internacional

¿Qué es ISO 27001?

ISO/IEC 27001:2022 es el estándar internacional de referencia para Sistemas de Gestión de Seguridad de la Información (SGSI). Define los requisitos para establecer, implementar, mantener y mejorar continuamente un SGSI utilizando el ciclo PDCA (Plan-Do-Check-Act).

La certificación es otorgada por organismos acreditados independientes y proporciona confianza a clientes, inversores y reguladores de que la organización gestiona la seguridad de la información de forma sistemática y efectiva.

P

Plan

Establecer objetivos y procesos

D

Do

Implementar controles y procesos

C

Check

Monitorizar y auditar

A

Act

Mejorar continuamente

Proceso

Proceso de Certificación ISO 27001

01

CONTEXTO Y ALCANCE

Definición del contexto organizacional, partes interesadas y alcance del SGSI.

  • Análisis de contexto
  • Mapa de partes interesadas
  • Alcance del SGSI
02

LIDERAZGO Y POLÍTICA

Establecimiento de política de seguridad y compromiso de la dirección.

  • Política de seguridad
  • Roles y responsabilidades
  • Comité de seguridad
03

ANÁLISIS DE RIESGOS

Identificación, análisis y evaluación de riesgos de seguridad según ISO 27005.

  • Metodología de riesgos
  • Registro de riesgos
  • Plan de tratamiento
04

DECLARACIÓN DE APLICABILIDAD

Selección de controles del Anexo A y justificación de inclusiones/exclusiones.

  • Statement of Applicability (SoA)
  • Objetivos de control
  • Justificación de exclusiones
05

IMPLEMENTACIÓN DE CONTROLES

Implementación de los 93 controles del Anexo A aplicables.

  • Procedimientos documentados
  • Configuraciones técnicas
  • Evidencias de operación
06

AUDITORÍAS INTERNAS

Auditorías internas del SGSI para validar conformidad con ISO 27001.

  • Informe de auditoría interna
  • No conformidades
  • Acciones correctivas
07

REVISIÓN POR LA DIRECCIÓN

Revisión gerencial del SGSI para evaluar eficacia y oportunidades de mejora.

  • Acta de revisión
  • Métricas de seguridad
  • Decisiones de mejora
08

AUDITORÍA DE CERTIFICACIÓN

Acompañamiento en Stage 1 (documental) y Stage 2 (operativa) con certificador.

  • Soporte Stage 1 y 2
  • Gestión de hallazgos
  • Certificación obtenida

Anexo A

Controles Anexo A

93 controles organizados en 4 temas principales (ISO 27001:2022).

Controles Organizacionales

A.5(37 controles)

Políticas, roles, gestión de activos, control de acceso, gestión de proveedores y continuidad.

Controles de Personas

A.6(8 controles)

Screening, términos de empleo, awareness, procesos disciplinarios y fin de relación laboral.

Controles Físicos

A.7(14 controles)

Perímetros de seguridad, controles de entrada, protección de equipos y áreas seguras.

Controles Tecnológicos

A.8(34 controles)

Dispositivos, privilegios, autenticación, malware, backups, logging, criptografía y desarrollo seguro.

Requiere validación técnica

Validación Técnica

Auditorías Técnicas para ISO 27001

Nuestras auditorías técnicas validan los controles del Anexo A.

Testing de Seguridad

A.8.8

Gestión de vulnerabilidades técnicas mediante escaneos y análisis periódicos.

Revisión Técnica de Cumplimiento

A.18.2 / A.5.36

Verificación de conformidad con políticas y estándares de seguridad.

Controles de Acceso

A.8.2, A.8.3

Validación de privilegios de acceso, autenticación y segregación de funciones.

Análisis de Vulnerabilidades

A.8.8

Identificación y evaluación de vulnerabilidades en sistemas e infraestructura.

Entregables

Lo Que Recibes

Alcance del SGSI

Definición del alcance del Sistema de Gestión de Seguridad de la Información.

Política de Seguridad

Política corporativa de seguridad de la información aprobada por dirección.

Análisis de Riesgos

Metodología, registro de riesgos y plan de tratamiento según ISO 27005.

Declaración de Aplicabilidad

SoA con justificación de inclusiones y exclusiones de controles del Anexo A.

Plan de Tratamiento de Riesgos

Acciones priorizadas para mitigar riesgos identificados con responsables y plazos.

Procedimientos Obligatorios

Los 9 procedimientos mínimos documentados requeridos por ISO 27001.

Informes de Auditoría Interna

Informes de auditoría del SGSI con hallazgos y acciones correctivas.

Registros de Revisión

Actas de revisión por la dirección con métricas y decisiones de mejora.

FAQ

Preguntas Frecuentes

Un Sistema de Gestión de Seguridad de la Información (SGSI) es un marco de políticas, procedimientos y controles para gestionar los riesgos de seguridad de la información de forma sistemática. Es importante porque proporciona un enfoque estructurado para proteger la confidencialidad, integridad y disponibilidad de la información.

Típicamente entre 6 y 12 meses dependiendo del tamaño de la organización, complejidad de sistemas y estado de madurez actual. Organizaciones pequeñas con buen estado inicial pueden lograrlo en 6 meses; organizaciones grandes o con baja madurez pueden necesitar 12+ meses.

ISO 27001:2022 actualiza el Anexo A reduciendo controles de 114 a 93, reorganizados en 4 temas (organizacionales, personas, físicos, tecnológicos). Añade 11 nuevos controles incluyendo threat intelligence, seguridad cloud, filtrado web y secure coding. Las organizaciones certificadas tienen hasta octubre 2025 para migrar.

No es legalmente obligatoria en la mayoría de sectores, pero se ha convertido en un requisito de facto para: trabajar con grandes corporaciones, participar en licitaciones, cumplir regulaciones sectoriales (DORA, NIS2), atraer inversión y demostrar compromiso con la seguridad a clientes internacionales.

La Statement of Applicability es un documento clave que lista los 93 controles del Anexo A, indicando cuáles se aplican y cuáles se excluyen con justificación. Es uno de los documentos más revisados durante la auditoría de certificación y debe reflejar el resultado del análisis de riesgos.

Utilizamos metodologías reconocidas como ISO 27005, NIST SP 800-30 u OCTAVE. El proceso incluye: identificación de activos, amenazas y vulnerabilidades, evaluación de probabilidad e impacto, determinación del nivel de riesgo, y definición del plan de tratamiento (mitigar, transferir, aceptar o evitar).

El certificado tiene validez de 3 años. Durante ese periodo hay auditorías de seguimiento anuales (años 1 y 2) y auditoría de recertificación en el año 3. Además, se requieren auditorías internas anuales y revisión por la dirección periódica.

Sí, es una estrategia recomendada. ISO 27701 extiende el SGSI de ISO 27001 con requisitos específicos de privacidad (PIMS). Implementarlas juntas es más eficiente ya que comparten gran parte del marco documental y de controles.

Explora más servicios

Certificación ENS
Consultoría GRC
Auditorías Internas
Evaluación Inicial Gratuita

¿Preparado para proteger tu negocio?

Solicita una evaluación inicial gratuita y descubre cómo podemos fortalecer la seguridad de tu organización. Sin compromiso.

Contactar Ahora

👋¡Hola! ¿Tienes alguna duda? Escríbenos, respondemos en minutos.

Abrir WhatsApp →