Guía de implementación de un SGSI conforme a ISO/IEC 27001:2022. Alcance, evaluación de riesgos, controles del Anexo A y auditoría interna.
ISO 27001 establece los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI). Esta guía desglosa el proceso en pasos concretos para que tu organización alcance la conformidad de forma ordenada.
Determiná qué procesos, ubicaciones y activos de información entran dentro del SGSI. Un alcance mal definido es la causa más frecuente de hallazgos en auditoría de Etapa 1.
Identificá amenazas y vulnerabilidades sobre los activos del alcance. Evaluá la probabilidad e impacto con criterios cuantificables y documentá el tratamiento elegido para cada riesgo.
Listá los 93 controles del Anexo A y justificá cuáles aplican y cuáles no. La SoA es el documento más revisado durante la auditoría de certificación.
Desplegá los controles técnicos y organizacionales seleccionados. Documentá las políticas obligatorias (seguridad de la información, uso aceptable, control de acceso) con evidencia de aprobación por la dirección.
Realizá al menos un ciclo completo de auditoría interna cubriendo todas las cláusulas (4-10) y los controles aplicables. La revisión por la dirección debe evaluar resultados, métricas y oportunidades de mejora.
Depende del alcance y la madurez de la organización. En promedio, entre 6 y 12 meses para organizaciones medianas con procesos parcialmente documentados.
No. El Anexo A es un catálogo de referencia. Solo se implementan los controles que el análisis de riesgos y la SoA determinan como aplicables.
La versión 2022 reorganizó los controles del Anexo A en 4 categorías (antes 14) y agregó 11 controles nuevos, incluyendo inteligencia de amenazas y seguridad en la nube.
Diagnostico en 72 horas operativas. Metodologia ISO. Sin vinculacion con certificadores.
Solicitar diagnostico