¿Qué es ISO/IEC 27001?

ISO/IEC 27001 es el principal estándar internacional para sistemas de gestión de seguridad de la información (SGSI), publicado por la Organización Internacional de Normalización (ISO). La revisión 2022 introdujo un conjunto de controles del Anexo A revisado alineado con ISO 27002:2022, reduciendo de 114 a 93 controles en 4 temas.

La certificación demuestra que una organización ha evaluado sus riesgos de seguridad de la información e implementado controles apropiados dentro de un marco de gestión sistemático, sujeto a auditoría independiente de terceros.

¿Quién necesita ISO 27001?

Empresas de tecnología y SaaS con clientes empresariales B2B
Organizaciones de servicios financieros, banca y procesamiento de pagos
Empresas de salud y MedTech que manejan datos de pacientes
Contratistas del gobierno y sector público
Centros de datos, proveedores de nube y proveedores de servicios gestionados
Cualquier organización que responda cuestionarios de seguridad de clientes o compras

ISO 27001:2022 — Cambios clave desde 2013

Las organizaciones certificadas bajo ISO 27001:2013 deben hacer la transición a la versión 2022. Los cambios clave incluyen:

Anexo A reestructurado en 4 temas: Organizacional, Personas, Físico, Tecnológico
11 nuevos controles añadidos, incluyendo inteligencia de amenazas, seguridad en la nube y enmascaramiento de datos
Total de controles reducido de 114 a 93 (algunos fusionados)
Mayor alineación con otros estándares de sistemas de gestión ISO (Estructura de Alto Nivel)

Alcance de una Certificación ISO 27001

La definición del alcance es un paso crítico en el proceso de certificación. El alcance determina qué activos de información, procesos, ubicaciones y unidades organizativas están dentro del límite del SGSI. La fase de análisis de brechas de BALTUM incluye orientación detallada para la definición del alcance, asegurando que sea significativo para las partes interesadas y alcanzable dentro del plazo objetivo.

El proceso BALTUM: Etapa por etapa

Etapa 1 — Análisis de brechas y alcance: Evaluación del estado actual contra los requisitos de ISO 27001:2022. Registro de brechas. Documento de alcance. Hoja de ruta del proyecto.
Etapa 2 — Documentación del SGSI: Política de Seguridad de la Información, Evaluación de Riesgos y metodología de tratamiento, Declaración de Aplicabilidad, procedimientos y documentación de controles.
Etapa 3 — Apoyo a la implementación: Orientación para implementación de controles, auditoría interna y facilitación de la revisión por la dirección.
Etapa 4 — Auditoría de certificación: Revisión documental Etapa 1 y auditoría presencial/remota Etapa 2 por organismo de certificación acreditado.
Etapa 5 — Vigilancia: Auditorías de vigilancia anuales y planificación de recertificación trienal.

Cronograma típico

Para una organización de tamaño medio (50–500 empleados) que busca la primera certificación: 3–6 meses desde el inicio hasta la emisión del certificado. Los plazos dependen del tamaño de la organización, su nivel de madurez actual y la disponibilidad de recursos internos. BALTUM proporciona un plan de proyecto basado en hitos al inicio de cada compromiso.

Integración con otras normas

ISO 27001 se implementa frecuentemente junto con estándares complementarios. BALTUM ofrece programas integrados que comparten documentación, controles y actividades de auditoría:

ISO 27001 + ISO 27701 (Gestión de Información de Privacidad)
ISO 27001 + ISO 22301 (Continuidad del Negocio)
ISO 27001 + ISO 42001 (Sistema de Gestión de IA)
ISO 27001 + SOC 2 (marco de evidencia unificado)
ISO 27001 + PCI DSS (sector financiero)

Obtenga la certificación ISO 27001

Envíe sus datos y un consultor de BALTUM le proporcionará una propuesta detallada en 1 día hábil.

Solicitar propuesta gratuita →

✦ Verifique su preparación primero

Obtenga una puntuación de preparación ISO 27001 gratuita en 2 minutos.

Abrir baltum.ai →

ISO/IEC 27001 — Gestión de Seguridad de la Información