ISO/IEC 27001 es la norma internacional que define cómo implantar un sistema de gestión de la seguridad de la información (SGSI) para proteger la confidencialidad, integridad y disponibilidad de los datos de tu empresa. No es un software ni un antivirus: es un marco de gestión que combina políticas, procesos y controles técnicos y organizativos. En esta guía te explicamos qué es exactamente, qué aporta certificarse, las fases del proyecto, los controles que exige la versión vigente (2022) y qué coste y plazos puedes esperar.
Lo esencial
- Qué es: la norma del SGSI, el marco para gestionar la seguridad de la información de forma sistemática.
- Versión vigente: ISO/IEC 27001:2022, con 93 controles en el Anexo A agrupados en 4 temas.
- Para qué sirve certificarse: ganar licitaciones y clientes que lo exigen, reforzar el RGPD y reducir el riesgo de incidentes.
- Vigencia del certificado: 3 años, con auditorías de seguimiento anuales.
- Plazo típico de implantación: entre 6 y 12 meses según el tamaño y la madurez de la organización.
¿Qué es ISO 27001 y qué es un SGSI?
ISO 27001 es la norma que establece los requisitos para crear, mantener y mejorar un SGSI (Sistema de Gestión de la Seguridad de la Información). Un SGSI es el conjunto de políticas, procedimientos y controles con los que una organización gestiona sus riesgos de seguridad de forma continua, no como un proyecto puntual. La idea central es sencilla: identificas qué información proteges, analizas los riesgos que la amenazan y aplicas controles proporcionados a esos riesgos, revisándolo todo periódicamente.
La norma la publican conjuntamente ISO e IEC. La versión en vigor es ISO/IEC 27001:2022, que sustituyó a la de 2013 (ISO). Las empresas con certificado bajo la versión de 2013 debían completar la transición a la de 2022 antes de octubre de 2025.
¿Por qué certificarse en ISO 27001?
Certificarse aporta tres ventajas concretas y medibles. Primero, comercial: muchas licitaciones públicas y grandes clientes exigen ISO 27001 como requisito para contratar, así que el certificado abre puertas que de otro modo están cerradas. Segundo, regulatorio: un SGSI ordenado facilita demostrar la diligencia que exige el RGPD y se solapa con marcos como el ENS o NIS2. Tercero, operativo: el análisis de riesgos reduce la probabilidad y el impacto de incidentes como brechas de datos o ransomware.
Conviene distinguir entre «ser conforme» y «estar certificado». Puedes aplicar la norma internamente sin pasar una auditoría, pero solo la certificación por una entidad acreditada te da el sello que reclaman clientes y licitaciones. Si tu objetivo es comercial, la certificación es lo que cuenta.
¿Cuáles son las fases para implantar ISO 27001?
La implantación sigue un recorrido bastante estándar. Estas son las fases que verás en casi cualquier proyecto, en orden:
- Contexto y alcance: defines qué partes de la organización y qué información cubre el SGSI.
- Análisis y tratamiento de riesgos: identificas activos, amenazas y vulnerabilidades, y decides qué controles aplicar.
- Declaración de aplicabilidad (SoA): documentas qué controles del Anexo A aplicas y por qué.
- Implantación de controles: despliegas políticas, formación y medidas técnicas.
- Auditoría interna y revisión por dirección: compruebas que el sistema funciona antes de la auditoría externa.
- Auditoría de certificación: una entidad acreditada evalúa el SGSI en dos fases (documental y de implantación).
Fases para implantar un SGSI ISO 27001 paso a paso
El listado anterior te da el mapa, pero conviene que entiendas qué ocurre dentro de cada fase, porque ahí es donde la mayoría de los proyectos se atascan. Te lo desgranamos como lo verías sobre el terreno.
Contexto y alcance. Antes de tocar ningún control, defines qué quieres proteger y hasta dónde llega el sistema. Esto incluye identificar las partes interesadas (clientes, reguladores, empleados, proveedores), los requisitos legales y contractuales que te aplican y los límites del SGSI: qué sedes, qué procesos y qué sistemas entran. Un alcance bien acotado al principio te ahorra meses después, porque cada activo que incluyes arrastra riesgos, controles y evidencias que habrá que documentar.
Análisis y tratamiento de riesgos. Es el corazón de la norma. Inventarías tus activos de información, valoras qué amenazas y vulnerabilidades los afectan y estimas el impacto y la probabilidad de cada escenario. Con ese mapa decides para cada riesgo si lo mitigas con un control, lo transfieres (por ejemplo, con un seguro), lo evitas o lo aceptas de forma consciente. La norma no te impone una metodología concreta, así que puedes apoyarte en un enfoque cualitativo o cuantitativo siempre que sea repetible y esté documentado.
Declaración de aplicabilidad (SoA) y plan de tratamiento. Aquí justificas, control por control del Anexo A, si lo aplicas y por qué, o si lo descartas y con qué motivo. Es el documento que el auditor mira con lupa, porque resume tu razonamiento de seguridad. En paralelo construyes el plan de tratamiento de riesgos, que asigna responsables, plazos y recursos a cada control que vas a implantar.
Implantación, formación y operación. Despliegas las políticas, los procedimientos y las medidas técnicas (control de accesos, cifrado, copias de seguridad, gestión de incidentes) y, sobre todo, formas a las personas. De poco sirve un control técnico impecable si la plantilla no sabe reconocer un correo de phishing o reutiliza contraseñas. Esta fase necesita rodaje: el sistema tiene que llevar funcionando un tiempo razonable para generar registros y evidencias antes de que venga el auditor.
Auditoría interna y revisión por dirección. Antes de la certificación, tú mismo auditas el SGSI para detectar no conformidades y corregirlas. La dirección revisa los resultados, los indicadores y los incidentes, y decide mejoras. Este paso demuestra el compromiso de la cúpula, que la norma exige de forma explícita y que el auditor comprueba.
Auditoría de certificación en dos fases. La entidad acreditada revisa primero tu documentación (fase 1) y después comprueba sobre el terreno que lo escrito se cumple de verdad (fase 2). Si superas ambas, obtienes el certificado, válido tres años con seguimientos anuales. Si quedan no conformidades, dispones de un plazo para subsanarlas antes de la emisión.
¿Qué controles exige el Anexo A de ISO 27001:2022?
La versión 2022 reorganizó el Anexo A en 93 controles agrupados en 4 temas, frente a los 114 controles en 14 dominios de la versión 2013. La tabla resume la nueva estructura.
| Tema del Anexo A (2022) | Nº de controles | Ejemplos |
|---|---|---|
| Organizativos | 37 | Políticas de seguridad, gestión de proveedores, clasificación de información |
| De personas | 8 | Concienciación, responsabilidades, teletrabajo seguro |
| Físicos | 14 | Control de acceso a instalaciones, seguridad de equipos |
| Tecnológicos | 34 | Cifrado, copias de seguridad, registro y monitorización |
| Total | 93 | Cuatro temas que cubren personas, procesos y tecnología |
No tienes que aplicar los 93 controles obligatoriamente: aplicas los que tu análisis de riesgos justifique, y los documentas en la Declaración de Aplicabilidad (SoA). Esa proporcionalidad es lo que evita convertir el SGSI en burocracia inútil.
¿Qué relación tiene ISO 27001 con el ENS, NIS2 y el RGPD?
ISO 27001 encaja con el resto del marco de ciberseguridad y protección de datos en España. Comparte buena parte de sus controles con el Esquema Nacional de Seguridad (ENS), de modo que avanzar en uno facilita el otro; si quieres ver qué pide ese marco, repasa los requisitos del Esquema Nacional de Seguridad. También sirve de base sólida para cumplir las obligaciones de gestión de riesgos de la directiva NIS2 y para demostrar las medidas técnicas y organizativas que pide el RGPD. Si quieres profundizar en el bloque de ciberseguridad europea, nuestra guía de NIS2 y cómo prepararse lo desarrolla, y puedes consultar el resto de contenidos de normas ISO para ubicar 27001 dentro de la familia.
ISO 27001, privacidad y gobierno del dato
La seguridad de la información rara vez viaja sola. En cuanto montas un SGSI te das cuenta de que la mayoría de tus activos críticos son datos personales, y ahí la norma se cruza con tu obligación de protección de datos. Por eso muchas organizaciones encadenan ISO 27001 con su extensión de privacidad, la norma ISO/IEC 27701 y sus ventajas para un sistema de gestión de privacidad: reutilizas el mismo análisis de riesgos, los mismos controles base y la misma estructura de auditoría, y solo añades los requisitos específicos del tratamiento de datos personales. Es la vía más eficiente para que seguridad y privacidad hablen el mismo idioma.
El SGSI también encaja dentro de tu programa de cumplimiento general. Si todavía estás ordenando ese marco, te conviene entender primero qué es el compliance, sus tipos y obligaciones para las empresas en España, porque ISO 27001 es una de las piezas que encajas dentro de ese paraguas, no un proyecto aislado. Y como buena parte de los controles tocan datos personales, conviene definir quién vela por ellos: si manejas volúmenes relevantes o categorías sensibles, la figura del delegado de protección de datos (DPO) y cuándo es obligatorio se vuelve clave para coordinar seguridad, privacidad y la relación con la autoridad de control. Pensar estas tres capas juntas, seguridad, privacidad y gobierno, te ahorra duplicar esfuerzos y te deja un sistema más coherente de cara a la auditoría.
¿Cuánto cuesta y cuánto tarda certificarse?
El coste y el plazo dependen del tamaño de la empresa, del alcance del SGSI y de su madurez previa en seguridad. Como orientación, la implantación suele llevar entre 6 y 12 meses, y el certificado tiene una vigencia de 3 años con auditorías de seguimiento anuales y una recertificación al final del ciclo. El presupuesto se divide en dos partidas que conviene no confundir: el trabajo de implantación (interno o con consultoría) y la tarifa de la entidad certificadora, que es independiente. Elegir bien las herramientas de gestión ayuda a contener el coste; en nuestra guía sobre cómo elegir un software de compliance explicamos qué buscar. Para gestionar los conflictos de interés que el SGSI también toca, la norma ISO 37009 es un complemento útil.
Errores comunes al implantar ISO 27001
- Copiar políticas genéricas sin adaptarlas al riesgo real de la empresa: el auditor lo detecta.
- Tratar la certificación como un proyecto de una vez en lugar de un sistema vivo que se mantiene.
- Definir un alcance demasiado amplio al principio, lo que dispara el coste y el plazo.
- Olvidar la formación y la concienciación: los controles de personas suspenden muchos SGSI técnicamente buenos.
- Confundir conformidad documental con seguridad real: tener la política escrita no sirve si nadie la aplica en el día a día.
Preguntas frecuentes sobre ISO 27001
¿Es obligatoria la ISO 27001?
No es obligatoria por ley con carácter general, pero sí es un requisito frecuente en licitaciones públicas y contratos con grandes clientes. En la práctica, para muchas empresas funciona como una obligación comercial.
¿Cuántos controles tiene la ISO 27001:2022?
El Anexo A de la versión 2022 incluye 93 controles agrupados en cuatro temas: organizativos, de personas, físicos y tecnológicos. La versión anterior de 2013 tenía 114 controles en 14 dominios.
¿Cuánto dura el certificado ISO 27001?
El certificado es válido durante 3 años, con auditorías de seguimiento anuales para confirmar que el SGSI se mantiene, y una auditoría de recertificación al concluir el ciclo.
¿Cuál es la diferencia entre ISO 27001 e ISO 27002?
ISO 27001 es la norma certificable que define los requisitos del SGSI; ISO 27002 es una guía de buenas prácticas que detalla cómo implantar los controles. Te certificas en 27001 y usas la 27002 como referencia de apoyo.
¿ISO 27001 cubre el RGPD?
No lo sustituye, pero ayuda: un SGSI bien implantado aporta gran parte de las medidas técnicas y organizativas que el RGPD exige y facilita demostrar la diligencia debida ante la autoridad de control.
Contenido informativo, no asesoramiento jurídico. El alcance, el coste y los plazos dependen de cada organización. Si quieres una hoja de ruta para certificarte, contacta con nuestro equipo. Actualizado en junio de 2026.