NORMA ISO/IEC 27001:2022 - SGSI

Prepare su certificación ISO 27001
sin perder 6 meses

ISO/IEC 27001 es la norma internacional de referencia para el Sistema de Gestión de la Seguridad de la Información (SGSI). Cada vez más exigida por los clientes, en las licitaciones, por las aseguradoras de ciberriesgo o para el acceso a determinados mercados de exportación, SYAGA le acompaña desde la evaluación de brechas (gap assessment) hasta la preparación de la auditoría de certificación.

93
Medidas del Anexo A (ed. 2022)
4
Temas de seguridad
7
Cláusulas de gestión (4 a 10)
1
Declaración de Aplicabilidad entregada

El contexto

ISO 27001 no es una obligación legal general, pero se está convirtiendo en un requisito comercial ineludible

📋

Una certificación voluntaria, pero cada vez más solicitada

ISO/IEC 27001 sigue siendo un proceso voluntario. Sin embargo, se exige cada vez más en las licitaciones, por parte de grandes clientes, por algunas aseguradoras de ciberriesgo, o como requisito para el acceso a determinados mercados de exportación.

🔒

Pocas pymes han formalizado su SGSI

La mayoría de las pymes y empresas de tamaño intermedio no han iniciado ningún proceso estructurado de Sistema de Gestión de la Seguridad de la Información. El tema se percibe como complejo, técnico y largo.

💰

Acompañamientos largos y costosos

Los proyectos de certificación clásicos movilizan a sus equipos durante varios meses y representan una inversión considerable, a menudo fuera del alcance de una pyme.

Sus equipos de TI ya están sobrecargados

Movilizar al responsable de TI o al responsable de seguridad durante meses para construir un SGSI no es viable en una pyme donde cada persona ya desempeña varias funciones.

El método ISO27001-Express

Un proceso estructurado en 3 fases, apoyado en la misma metodología ya probada por SYAGA en PSSI-Express

1
Fase 1 - Evaluación de brechas (Gap Assessment)

Evaluación de las 93 medidas del Anexo A

Entrevista de encuadre con la dirección y el responsable de sistemas de información, seguida de una evaluación sistemática de cada una de las 93 medidas de seguridad del Anexo A (edición 2022), repartidas en los 4 temas organizativo, humano, físico y tecnológico. Entrega de un informe de brechas factual.

2
Fase 2 - Documentación del SGSI

Política de seguridad, DdA y plan de remediación

Redacción o actualización de la política de seguridad (SGSI), de la Declaración de Aplicabilidad (DdA) que justifica la aplicación o exclusión de cada una de las 93 medidas, y de un plan de remediación priorizado para cubrir las brechas identificadas en la fase 1.

3
Fase 3 - Acompañamiento hacia la certificación

Preparación de la auditoría por el organismo certificador

Seguimiento de la implementación del plan de remediación, revisión documental, y preparación de su equipo para la auditoría realizada por un organismo certificador acreditado independiente. SYAGA le prepara para la auditoría; la certificación en sí es emitida por ese organismo externo.

Lo que usted recibe

Los documentos estructurantes del expediente de certificación ISO 27001

📊

Informe de Gap Assessment

Evaluación factual de su nivel de conformidad respecto a la norma.

  • Evaluación de las 93 medidas del Anexo A
  • Estado por medida: conforme / parcial / no conforme
  • Síntesis por tema (organizativo, humano, físico, tecnológico)
  • Constataciones factuales, sin juicio de valor
🔐

Declaración de Aplicabilidad (DdA)

Documento normativo central del expediente de certificación ISO 27001.

  • Estado aplicable/excluida para cada una de las 93 medidas
  • Justificación de cada exclusión
  • Referencia a los documentos del SGSI
  • Listo para presentarse ante el organismo certificador
📝

Política de seguridad (SGSI)

El documento de gobernanza exigido por las cláusulas 4 a 10 de la norma.

  • Alcance y contexto del SGSI
  • Roles y responsabilidades de seguridad
  • Proceso de gestión de riesgos
  • Ciclo de mejora continua (PDCA)
🎯

Plan de remediación priorizado

La hoja de ruta para cubrir las brechas identificadas.

  • Acciones clasificadas por prioridad
  • Medidas organizativas y técnicas
  • Seguimiento del avance
  • Preparación progresiva para la auditoría
📄

Procedimientos operativos

Documentos aplicables directamente por sus equipos.

  • Gestión de incidentes de seguridad
  • Gestión de accesos e identidades
  • Gestión de cambios
  • Normativa de uso informático
💻

Archivos editables

Todos los documentos en formatos que usted puede seguir modificando.

  • HTML autónomo (abrible en cualquier navegador)
  • PDF de alta calidad (impresión A4)
  • DOCX editable (Microsoft Word)
  • Actualización en cada revisión anual

Una base documental reutilizable

El SGSI de ISO 27001 se solapa de forma natural con varios marcos de referencia

ISO

ISO/IEC 27001:2022

Marco central: cláusulas 4 a 10 (requisitos de gestión) y Anexo A (93 medidas de seguridad repartidas en 4 temas).

N2

Pasarela con NIS2

Las medidas de gestión de ciberriesgos exigidas por la directiva NIS2 coinciden en gran medida con las medidas del Anexo A de ISO 27001. Un SGSI ISO 27001 facilita la puesta en conformidad con NIS2 para las entidades afectadas.

AN

Guía ANSSI (autoridad francesa) - Higiene informática

Las medidas de la guía de higiene informática de la ANSSI (autoridad francesa de ciberseguridad) coinciden con una parte significativa de las medidas del Anexo A de ISO 27001. Correspondencia documentada en el plan de remediación.

RG

RGPD (Art. 32)

Las medidas técnicas y organizativas apropiadas exigidas por el artículo 32 del RGPD se apoyan en las mismas buenas prácticas que el Anexo A de ISO 27001 (control de acceso, cifrado, gestión de incidentes).

Ofertas adaptadas a su contexto

Cada proyecto ISO 27001 se dimensiona según su alcance y su madurez actual. Presupuesto personalizado sistemático.

Gap Assessment

Fotografía inicial de sus brechas

Bajo presupuesto
según alcance y plantilla
  • Evaluación de las 93 medidas del Anexo A
  • Informe de constatación factual
  • Síntesis por tema de seguridad
  • Presentación a la dirección
  • Formatos HTML + PDF + DOCX
Solicitar un presupuesto

Mantenimiento anual

Tras la certificación o de forma continua

Bajo presupuesto
según alcance y plantilla
  • Revisión anual del SGSI
  • Actualización de la DdA
  • Actualización del plan de remediación
  • Preparación para las auditorías de seguimiento
Solicitar un presupuesto

Preguntas frecuentes

¿Qué es la norma ISO/IEC 27001?
ISO/IEC 27001 es la norma internacional de referencia para la implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI). En su edición 2022, está estructurada en cláusulas 4 a 10 (requisitos de gestión: contexto, liderazgo, planificación, soporte, funcionamiento, evaluación, mejora) y un Anexo A de 93 medidas de seguridad repartidas en 4 temas: organizativo, humano, físico y tecnológico.
¿Es obligatoria ISO 27001 para mi empresa?
No, ISO 27001 es una certificación voluntaria, a diferencia de textos normativos como NIS2. En cambio, se solicita cada vez más de facto: licitaciones, exigencias de grandes clientes, condiciones de seguros cibernéticos, o acceso a determinados mercados de exportación. Es una elección estratégica más que una obligación legal general.
¿SYAGA emite la certificación?
No. La certificación ISO 27001 es emitida exclusivamente por un organismo certificador acreditado independiente, tras una auditoría externa. SYAGA le acompaña en la preparación (gap assessment, documentación del SGSI, plan de remediación, preparación de sus equipos), pero no emite el certificado.
¿Qué es la Declaración de Aplicabilidad (DdA)?
La DdA es un documento normativo obligatorio del expediente de certificación. Enumera cada una de las 93 medidas del Anexo A y precisa si se aplica o se excluye, con la justificación correspondiente. Es uno de los documentos más examinados durante la auditoría de certificación.
¿Cuánto tiempo debo dedicar a movilizar a mis equipos?
La mayor parte del trabajo (evaluación, redacción documental, plan de remediación) la realizan nuestros auditores. Sus equipos participan principalmente en la entrevista de encuadre inicial y en los puntos de presentación. La duración total de un proceso de certificación depende en gran medida de su alcance y de su madurez de partida; se estima caso por caso en el presupuesto.
¿Por qué es legítima SYAGA para acompañarme?
SYAGA Consulting realiza auditorías de seguridad de sistemas de información desde 2009. Nuestros auditores trabajan con clientes de tamaños variados en varios sectores. La metodología de gap assessment y de generación documental utilizada para ISO27001-Express se apoya en el mismo motor ya utilizado en nuestros otros acompañamientos de conformidad (PSSI-Express).
SYAGA le acompaña en la preparación de su SGSI y de su expediente de certificación. La certificación ISO/IEC 27001 en sí es emitida por un organismo certificador acreditado independiente, no afiliado a SYAGA. Este contenido es una herramienta de acompañamiento y no constituye un dictamen jurídico.

¿Listo para estructurar su proceso ISO 27001?

Contáctenos para un presupuesto personalizado según su alcance y su madurez actual.