Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

Estructura de la norma ISO 27001

iso27001

Por qué importa la estructura

La norma ISO 27001:2022 adopta la estructura común de alto nivel (Anexo SL), la misma que usan otras normas de gestión como ISO 9001, ISO/IEC 20000-1 o ISO 22301. Esto facilita integrar el SGSI con calidad, servicios TI o continuidad del negocio y operar un solo sistema con políticas, métricas y auditorías alineadas.

Además, la actualización se publicó en un contexto de ciberseguridad muy dinámico que refresca los requisitos y, sobre todo, moderniza los controles (Anexo A).

Cláusulas de ISO 27001:2022 (estructura Anexo SL)

Ahora conozcamos de cerca la estructura de 10 clausulas de la norma ISO 27001:

  • 0–3 (informativas): Introducción, Referencias normativas, Términos y definiciones.

  • 4. Contexto de la organización: alcance del SGSI, partes interesadas, procesos, información.

  • 5. Liderazgo: política, roles, responsabilidades, compromiso de la dirección.

  • 6. Planificación: riesgos y oportunidades, apreciación y tratamiento de riesgos, objetivos.

  • 7. Soporte: recursos, competencias, concienciación, comunicaciones, información documentada.

  • 8. Operación: control operacional y ejecución del tratamiento de riesgos.

  • 9. Evaluación del desempeño: monitorización y medición, auditoría interna, revisión por la dirección.

  • 10. Mejora: no conformidades, acciones correctivas y mejora continua.

    En la práctica: estas cláusulas te dicen qué debes gestionar y evidenciar; y los controles nos dicen las medidas especificas para proteger la información y se ncuentran en el Anexo A.

Anexo A (ISO 27001:2022): de 114 a 93 controles en 4 grupos

La versión 2013 tenía 114 controles en 14 dominios. En 2022 se reagrupan y actualizan a 93 controles distribuidos en 4 temas:

  • Organizacionales (37)

  • Personas (8)

  • Físicos (14)

  • Tecnológicos (34)

Controles nuevos/modernizados (11)

Lista oficial de ISO/IEC 27002:2022 a la que se alinea el Anexo A de 27001:2022.

  1. Threat intelligence (inteligencia de amenazas)

  2. Information security for use of cloud services (seguridad para uso de servicios en la nube)

  3. ICT readiness for business continuity (preparación TIC para continuidad del negocio)

  4. Physical security monitoring (supervisión/monitoreo de seguridad física)

  5. Configuration management (gestión de configuraciones)

  6. Information deletion (eliminación segura de información)

  7. Data masking (enmascaramiento de datos)

  8. Data leakage prevention (prevención de fuga de datos, DLP)

  9. Monitoring activities (actividades de monitoreo)

  10. Web filtering (filtrado web)

  11. Secure coding (codificación segura)

Nota: a veces se menciona “encriptación de datos” como novedad, pero cifrado ya existía; lo realmente nuevo es data masking y DLP.

Además:

  • 1 control eliminado (eliminación de activos).

  • 24 controles fusionados y 58 actualizados (nombres, propósito y atributos).

Preguntas tipo examen

1) ¿Qué facilita la adopción de Anexo SL en 27001:2022?

A. Eliminar auditorías internas
B. Alinea la norma ISO 27001 con otras normas ISO
C. Certificar productos
D. Evitar evidencias documentadas

Explicación: El Anexo SL comparte estructura 4–10 con 9001/22301/20000-1.

Respuesta: B

2) ¿Cómo se agrupan los controles en el Anexo A (2022)?

A. 14 dominios
B. Por sector (finanzas, salud, público)
C. 4 temas: Organizacionales, Personas, Físicos, Tecnológicos
D. Por criticidad (alto/medio/bajo)

Explicación: Son 93 controles organizados por temas.

Respuesta: C

 

Fernando Conislla
Instructor Oficial ISO 27001 | Todos los niveles

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 malware osint owasp phishing