Qué es iso 27001 y para qué sirve es lo que te voy a describir en este artículo.
Esta norma ISO relacionada con la seguridad de la información ha ido aumentando su popularidad e implementación en los últimos años entre las organizaciones.
Te voy también a explicar el por qué.
Sin más te dejo con el artículo.
Contents
¿Qué es la ISO 27001?
ISO 27001 es una norma internacional que regula el qué tienen que hacer las empresas para conseguir un certificado de seguridad de la información.
De lo que trata esta norma es de exponer una serie de requisitos que deben cumplir una empresa para proteger su forma de trabajo respecto a la seguridad de la información.
ISO 27001 es una mezcla entre:
- Seguridad informática.
- Seguridad de protección de datos personales.
Por lo tanto, cuando hablamos de ISO 27001, hablamos de seguridad:
- En los accesos físicos y lógicos a los sistemas de información.
- De los recursos humanos.
- En redes y de las comunicaciones.
- De los dispositivos finales de usuarios (equipos informáticos y otros).
- En la instalación de software y uso de servicios.
- En la identificación de vulnerabilidades técnicas de sistemas de información.
Y también hablamos de seguridad:
- En la protección de datos personales.
- Cuando detectemos una incidencia en la protección de datos personales.
Es importante que sepas que esta norma ISO 27001 es certificable.
¿qué significa eso?
Pues que si una empresa cumple con los requisitos de ISO 27001 puede realizar una auditoría externa (realizada por un tercero) y conseguir un certificado que acredita el cumplimiento de la misma.
Para qué sirve ISO 27001
ISO 27001 se utiliza para dos fines basicamente:
– demostrar que una empresa cuenta con un certificado que acredita el trabajar con buenas prácticas desde el punto de vista de la seguridad de la información.
– mejorar los procesos informáticos de una empresa.
Muchas las organizaciones también implantan iso 27001 para conseguir más puntuaciones en licitaciones públicas y poder trabajar así con organismos públicos.
Estructura de los requisitos de ISO 27001
Los requisitos para cumplir con ISO 27001 se dividen en dos grandes bloques:
- Cumplimiento de los requisitos del Anexo SL
- Cumplimiento de los controles de seguridad de la información según el Anexo A.
Requisitos del Anexo SL
Desde hace varios años, todas las normas ISO se han unificado respecto a su estructura.
Todos los estados miembros que regulan la elaboración de normas ISO han querido mantener una estructura de alto nivel a la hora de detallar el contenido de las normas ISO.
Esta estructura de alto nivel lo han llamado Anexo SL y está compuesto por los siguientes Bloques que están descritos en cada norma ISO:
- Objeto y campo de aplicación.
- Normas para consulta o referencias normativas.
- Términos y definiciones.
- Contexto de la organización.
- Liderazgo.
- Planificación.
- Soporte.
- Operación.
- Evaluación del desempeño.
- Mejora.
Esta es la estructura de bloques de contenido que tienen todas las normas ISO.
En cada norma ISO se hablará de una temática en concreto.
En este artículo estamos hablado de ISO 27001, por lo tanto en cada uno de los bloques de esta norma se detallarán asuntos relacionados a la seguridad de la información.
Para ISO 27001, los bloques que contienen requisitos y por tanto en donde se comienza a exigir el cumplimiento de los mismos es a partir del bloque 4 Contexto de la organización.
Los requisito exigibles de ISO 27001 por la parte del Anexo SL son 30.
Requisitos de los controles de seguridad del Anexo A
ISO 27001 tiene preparado una serie de controles de seguridad específicos que deben cumplir las empresas.
Estas medidas de seguridad están divididas en controles:
- Organizacionales: existen 37 controles de seguridad.
- A personas: existen 8 controles.
- De la infraestructura: existen 14 controles.
- A la tecnología: existen 34 controles.
En total son 93 controles de seguridad, no obstante, ISO 27001 permite que puedas justificar el por qué no te aplican ciertos controles.
Esta justificación debes realizarla en un documento que se llama Declaración de Aplicabilidad.
En el cuál debes describir todos los controles de seguridad y detallar cómo te aplican y por qué alguno no te aplica.
Como obtener el certificado ISO 27001
Si en tu organización quieren obtener el certificado ISO 27001 lo que debes hacer es:
- Cumplir todos los requisitos del Anexo SL.
- Cumplir con los requisitos que te apliquen del Anexo A.
- Llamar a un organismo certificador para que te hagan una auditoría externa y comprueben que te cumples los requisitos de la norma ISO 27001.
Son estos organismos certificadores los que emiten el certificado ISO 27001 a tu organización una vez superes la auditoría.
En muchas ocasiones las empresas necesitan de una ayuda externa de un consultor ISO 27001 ya que no tienen conocimientos o recursos humanos internos para saber cómo cumplir con los requisitos.
Bueno espero haberte ayudado a conocer un poco mejor qué es ISO 27001 y para qué sirve. Si necesitas implantar iso 27001, podemos ayudarte.
Fecha : 16 de junio de 2025
Fuente Bibliográfica: Elaboración propia tras lectura de la norma UNE-EN ISO/IEC 27001:2023
Fuente imagen principal: Freepik
- Licenciado en Administración y Dirección de Empresas,
- Colegiado nº1498 por el colegio de economistas de Las Palmas de Gran Canaria,
- IRCA Certified ISO 9001 Lead Auditor con nº ENR-00555531
- Experto en Customer Experience Management
En mi web podrás encontrar información gratuita de mucho valor que comparto para mejorar la gestión de las empresas.
También encontrarás otros recursos como libros y otras herramientas que ofrezco al mercado para profundizar en las áreas que conozco y ayudar así a las organizaciones a ser más competitivas.
Autor del libro Como Implantar ISO 9001:2015 Paso a Paso.
Autor de la Academia Online IVE Academy