ISO 27001: qué es, requisitos y proceso de certificación

ISO 27001: sistema de gestion de seguridad de la informacion (SGSI) y certificacion

La ISO/IEC 27001 es la norma internacional que define cómo implantar un sistema de gestión de la seguridad de la información (SGSI) en una empresa. No es un programa ni un cortafuegos: es un marco de gestión que combina políticas, procesos y controles para proteger la confidencialidad, la integridad y la disponibilidad de tu información. En esta guía verás qué exige la versión vigente (2022), cuáles son sus requisitos reales y cómo es el proceso de certificación, paso a paso.

Lo esencial

  • Qué es: la norma del SGSI, el método para gestionar la seguridad de la información de forma sistemática y auditable.
  • Versión vigente: ISO/IEC 27001:2022, con 93 controles en el Anexo A agrupados en 4 temas.
  • Requisitos: las cláusulas 4 a 10 de la norma describen lo obligatorio del sistema de gestión; el Anexo A es la lista de controles a evaluar.
  • Para qué certificarse: ganar licitaciones y clientes que lo exigen, reforzar el cumplimiento del RGPD y reducir el riesgo de incidentes.
  • Vigencia del certificado: 3 años, con auditorías de seguimiento anuales por una entidad acreditada.

¿Qué es la ISO 27001?

La ISO 27001 es la norma de referencia para construir un sistema de gestión de la seguridad de la información, conocido por sus siglas SGSI. La publican de forma conjunta la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC), por eso su nombre completo es ISO/IEC 27001. Su propósito es que una empresa proteja la información que maneja, ya sea de clientes, de empleados o propia, frente a accesos no autorizados, alteraciones o pérdidas.

La clave está en que no impone una tecnología concreta. Te pide identificar tus riesgos, decidir cómo los tratas y demostrar que el sistema funciona y mejora con el tiempo. Por eso vale tanto para una startup de software como para una asesoría o una empresa industrial. La seguridad de la información se gestiona en tres dimensiones clásicas: confidencialidad (solo accede quien debe), integridad (los datos no se alteran sin control) y disponibilidad (la información está accesible cuando se necesita).

¿Qué cambió en la versión ISO 27001:2022?

La revisión de 2022 actualizó la norma anterior de 2013 y reorganizó por completo el Anexo A. Los controles pasaron de 114 repartidos en 14 dominios a 93 controles agrupados en 4 temas, más fáciles de gestionar y alineados con las amenazas actuales. También se incorporaron 11 controles nuevos, entre ellos la inteligencia de amenazas, la seguridad en servicios en la nube y la prevención de fuga de datos.

Las empresas con certificado bajo la versión de 2013 tuvieron de plazo hasta el 31 de octubre de 2025 para migrar a la edición de 2022. Hoy, cualquier nueva certificación se emite directamente contra la versión vigente, así que si empiezas el proyecto ahora trabajarás siempre con los 93 controles.

Los 4 temas de controles del Anexo A

Tema Controles De qué trata
Organizativos 37 Políticas, roles, gestión de proveedores, clasificación de la información y continuidad.
Personas 8 Concienciación, formación, responsabilidades y proceso disciplinario.
Físicos 14 Control de acceso a instalaciones, protección de equipos y soportes.
Tecnológicos 34 Cifrado, copias de seguridad, registro de eventos, seguridad en la nube y en el desarrollo.
Total 93 Lista completa del Anexo A de la ISO/IEC 27001:2022.

No todos los controles aplican a todas las empresas. Decides cuáles implantas y cuáles excluyes en función de tus riesgos, y lo justificas en un documento clave: la Declaración de Aplicabilidad de la ISO 27001 (SoA).

¿Cuáles son los requisitos de la ISO 27001?

La parte obligatoria de la norma no es el Anexo A, sino las cláusulas 4 a 10. Ahí se describe el sistema de gestión que el auditor va a comprobar. Cumplir esas cláusulas es lo que hace certificable a tu empresa; los controles son las medidas concretas que eliges para tratar el riesgo.

  • Cláusula 4. Contexto: defines qué información proteges, quiénes son las partes interesadas y el alcance del SGSI.
  • Cláusula 5. Liderazgo: la dirección asume el compromiso, aprueba la política de seguridad y asigna responsabilidades.
  • Cláusula 6. Planificación: el corazón del sistema, donde analizas los riesgos y planificas su tratamiento.
  • Cláusula 7. Soporte: recursos, competencias, concienciación y gestión documental.
  • Cláusula 8. Operación: pones en marcha los controles y mantienes la evaluación de riesgos al día.
  • Cláusula 9. Evaluación del desempeño: mides, auditas internamente y revisas el sistema por dirección.
  • Cláusula 10. Mejora: tratas las no conformidades y mejoras de forma continua.

El primer paso práctico de la cláusula 6 es saber qué tienes que proteger. Sin un inventario de activos para la ISO 27001 bien hecho, el análisis de riesgos queda en el aire, así que conviene empezar por ahí.

¿Por qué certificarse en ISO 27001?

Muchas empresas se certifican porque un cliente o un pliego de licitación se lo exige. Es el motivo más inmediato, sobre todo si trabajas con administraciones públicas, banca o grandes corporaciones. Pero el valor va más allá del requisito comercial.

La ISO 27001 te ayuda a ordenar la seguridad y a reducir incidentes antes de que ocurran. Además, encaja con otras obligaciones legales. El artículo 32 del RGPD exige medidas de seguridad apropiadas para los datos personales, y un SGSI certificado es una de las mejores formas de demostrar que cumples. Si un incidente acaba en una brecha de seguridad con obligación de notificación al RGPD, tener el sistema implantado marca la diferencia tanto en la respuesta como ante la autoridad de control.

¿Cómo es el proceso de certificación paso a paso?

Certificarse no es un examen de un día. Es un proyecto con varias fases que culmina en una auditoría externa en dos etapas, realizada por una entidad de certificación acreditada por ENAC en España.

  1. Análisis de diferencias (gap analysis): comparas tu situación actual con lo que pide la norma.
  2. Análisis y tratamiento de riesgos: identificas amenazas, valoras su impacto y decides los controles.
  3. Implantación del SGSI: redactas políticas, despliegas controles y formas a las personas.
  4. Auditoría interna y revisión por dirección: compruebas tú mismo que el sistema funciona antes de pagar al auditor.
  5. Auditoría de certificación, fase 1: la entidad revisa tu documentación y tu grado de preparación.
  6. Auditoría de certificación, fase 2: el auditor verifica sobre el terreno que los controles operan de verdad.
  7. Emisión del certificado y seguimiento: recibes el certificado, válido 3 años, con auditorías de seguimiento cada año.

¿Cuánto cuesta y cuánto tarda certificarse?

Concepto Orientación
Plazo de implantación De 4 a 9 meses, según tamaño y madurez previa.
Auditoría externa Coste de la entidad certificadora, en función del número de empleados y sedes.
Vigencia del certificado 3 años, con auditoría de seguimiento anual.
Recertificación Cada 3 años, con una auditoría completa.

Las cifras de coste varían mucho de un proyecto a otro, por lo que cualquier estimación cerrada sería poco fiable. Lo que sí es estable es la estructura: implantación, auditoría en dos fases y seguimiento anual. Una plataforma de gestión reduce el esfuerzo, porque centraliza documentación, riesgos y evidencias. Es justo lo que cubre el software de compliance y protección de datos de Laworatory.

ISO 27001 y el Esquema Nacional de Seguridad: ¿en qué se diferencian?

Es una duda habitual porque ambos marcos protegen la información, pero su origen y su obligatoriedad son distintos. La ISO 27001 es una norma internacional y voluntaria que certifica una empresa. El Esquema Nacional de Seguridad es una obligación legal española para el sector público y sus proveedores tecnológicos.

En la práctica se complementan. Si ya tienes implantada la ISO 27001, buena parte del trabajo del ENS está hecho, porque comparten muchos controles. Si tu empresa presta servicios a la Administración, te interesa entender los dos marcos: lo explicamos en la guía del Esquema Nacional de Seguridad (ENS) y cómo adecuarse.

Errores frecuentes al implantar la ISO 27001

El fallo más común es tratar la norma como un trámite documental y copiar políticas genéricas que no reflejan la realidad de la empresa. El auditor lo detecta enseguida, porque pregunta por evidencias, no por papeles. Otro error es definir un alcance demasiado amplio al principio, lo que dispara el coste y el tiempo. Empezar por un alcance acotado y ampliarlo después suele ser más sensato.

También conviene no olvidar a las personas. Muchos incidentes nacen de un descuido interno, así que la formación y la concienciación pesan tanto como el cifrado o las copias de seguridad. Y, por último, el SGSI no termina con el certificado: si dejas de revisarlo, en la auditoría de seguimiento aparecen las no conformidades.

Preguntas frecuentes sobre la ISO 27001

¿Es obligatoria la ISO 27001?

No, la ISO 27001 es una norma voluntaria. Lo que ocurre es que muchos clientes y pliegos de licitación la exigen como condición para trabajar, de modo que en la práctica se vuelve necesaria en muchos sectores. Las obligaciones legales de seguridad vienen de otras normas, como el RGPD o el Esquema Nacional de Seguridad.

¿Cuánto dura el certificado ISO 27001?

El certificado tiene una vigencia de 3 años. Durante ese periodo, la entidad certificadora realiza una auditoría de seguimiento cada año para confirmar que el sistema sigue funcionando. Al cumplirse los 3 años se hace una auditoría de recertificación completa para renovarlo.

¿Cuántos controles tiene la ISO 27001:2022?

La versión de 2022 incluye 93 controles en el Anexo A, agrupados en 4 temas: organizativos, de personas, físicos y tecnológicos. La versión anterior de 2013 tenía 114 controles en 14 dominios, así que la nueva edición los simplificó y modernizó.

¿Sirve la ISO 27001 para cumplir el RGPD?

Ayuda mucho, aunque no lo sustituye. El artículo 32 del RGPD exige medidas de seguridad apropiadas para los datos personales, y un SGSI certificado es una forma sólida de demostrar que las has adoptado. Aun así, el RGPD incluye obligaciones que la ISO 27001 no cubre, como la base legal del tratamiento o los derechos de las personas.

¿Qué diferencia hay entre la ISO 27001 y la ISO 27002?

La ISO 27001 es la norma certificable que define los requisitos del sistema de gestión. La ISO 27002 es una guía de buenas prácticas que desarrolla en detalle cómo implantar cada control del Anexo A. Te certificas en la 27001 y usas la 27002 como manual de apoyo.


Si has llegado hasta aquí,
¿quieres más información de las soluciones CompaaS?

Laworatory tratará los datos personales facilitados a través del presente formulario con la finalidad de gestionar su solicitud de contacto para agendar una demo de la herramienta de LAWORATORY, legitimando el consentimiento mostrado mediante la remisión del mismo. Puede obtener más información en nuestra Política de Privacidad, así como contactar con nuestro Delegado de Protección de Datos a través de dpd@laworatory.com.

Los campos marcados con asterisco (*) son obligatorios. En caso de no ser facilitados no podrá atenderse correctamente su solicitud.

¿Necesitas más información?

Escríbenos

¿Necesitas más información?

Escríbenos
Recursos