Home Normas ✦ Evaluación IA Solicitar cotización →
HomeNormas → ISO/IEC 27001

ISO/IEC 27001 — Gestión de Seguridad de la Información

The internationally recognised standard for information security management systems (ISMS). ISO 27001 certification demonstrates that your organisation has implemented systematic controls to protect information assets — and is recognised by clients, regulators, and procurement bodies in 100+ countries.

ISO 27001:2022 ISMS IAF MLA recognised 100+ countries

¿Qué es ISO/IEC 27001?

ISO/IEC 27001 es el principal estándar internacional para sistemas de gestión de seguridad de la información (SGSI), publicado por la Organización Internacional de Normalización (ISO). La revisión 2022 introdujo un conjunto de controles del Anexo A revisado alineado con ISO 27002:2022, reduciendo de 114 a 93 controles en 4 temas.

La certificación demuestra que una organización ha evaluado sus riesgos de seguridad de la información e implementado controles apropiados dentro de un marco de gestión sistemático, sujeto a auditoría independiente de terceros.

¿Quién necesita ISO 27001?

  • Empresas de tecnología y SaaS con clientes empresariales B2B
  • Organizaciones de servicios financieros, banca y procesamiento de pagos
  • Empresas de salud y MedTech que manejan datos de pacientes
  • Contratistas del gobierno y sector público
  • Centros de datos, proveedores de nube y proveedores de servicios gestionados
  • Cualquier organización que responda cuestionarios de seguridad de clientes o compras

ISO 27001:2022 — Cambios clave desde 2013

Las organizaciones certificadas bajo ISO 27001:2013 deben hacer la transición a la versión 2022. Los cambios clave incluyen:

  • Anexo A reestructurado en 4 temas: Organizacional, Personas, Físico, Tecnológico
  • 11 nuevos controles añadidos, incluyendo inteligencia de amenazas, seguridad en la nube y enmascaramiento de datos
  • Total de controles reducido de 114 a 93 (algunos fusionados)
  • Mayor alineación con otros estándares de sistemas de gestión ISO (Estructura de Alto Nivel)

Alcance de una Certificación ISO 27001

La definición del alcance es un paso crítico en el proceso de certificación. El alcance determina qué activos de información, procesos, ubicaciones y unidades organizativas están dentro del límite del SGSI. La fase de análisis de brechas de BALTUM incluye orientación detallada para la definición del alcance, asegurando que sea significativo para las partes interesadas y alcanzable dentro del plazo objetivo.

El proceso BALTUM: Etapa por etapa

  • Etapa 1 — Análisis de brechas y alcance: Evaluación del estado actual contra ISO 27001:2022 requirements. Gap register. Scope document. Project roadmap.
  • Etapa 2 — Documentación del SGSI: Política de Seguridad de la Información, Evaluación de Riesgos & Treatment methodology, Statement of Applicability, procedures, and controls documentation.
  • Etapa 3 — Apoyo a la implementación: Orientación para implementación de controles, auditoría interna, and management review facilitation.
  • Stage 4 — Auditoría de certificación: Revisión documental Etapa 1 y auditoría presencial/remota Etapa 2 by accredited certification body.
  • Stage 5 — Vigilancia: Auditorías de vigilancia anuales y planificación de recertificación trienal.

Cronograma típico

Para una organización de tamaño medio (50–500 empleados) que busca la primera certificación: 3–6 meses desde el inicio hasta la emisión del certificado. Timelines depend on organisational size, current maturity, and availability of internal resource. BALTUM provides a milestone-based project plan at the outset of each engagement.

Integración con otras normas

ISO 27001 se implementa frecuentemente junto con estándares complementarios. BALTUM ofrece programas integrados que comparten documentación, controles y actividades de auditoría:

  • ISO 27001 + ISO 27701 (Privacy Information Management)
  • ISO 27001 + ISO 22301 (Business Continuity)
  • ISO 27001 + ISO 42001 (AI Management System)
  • ISO 27001 + SOC 2 (unified evidence framework)
  • ISO 27001 + PCI DSS (financial sector)