Cuando alguien abre por primera vez la ISO 27001 se lleva una sorpresa. El documento no empieza en la página uno con una lista de medidas de seguridad. Empieza con una introducción, sigue con un apartado de definiciones y solo entonces aparecen los requisitos. Y para colmo, esos requisitos van numerados del 4 al 10, como si alguien hubiera arrancado las primeras páginas.
No falta nada. La norma está construida así a propósito, y entender su arquitectura es la forma más rápida de dejar de verla como un ladrillo y empezar a usarla como un mapa.
En este artículo recorremos la norma de principio a fin. Qué contiene cada parte, cuáles son obligatorias, cuáles son orientativas y por qué la numeración empieza donde empieza.
¿Qué es la ISO 27001 y por qué importa su estructura?
La ISO 27001 es la norma internacional que describe cómo montar y mantener un sistema de gestión de la seguridad de la información, o SGSI. Si quieres el detalle de para qué sirve, a qué empresas aplica y qué beneficios aporta, lo tienes en nuestra guía completa sobre la ISO 27001.
Aquí nos centramos en su arquitectura, y esa arquitectura tiene dos bloques que funcionan de manera muy distinta:
- El primero son las cláusulas. Son los requisitos. Dicen lo que la organización tiene que hacer sí o sí para poder certificarse. Un auditor viene, las lee y comprueba una por una si las cumples.
- El segundo es el Anexo A. Es un catálogo de controles de seguridad. No estás obligado a aplicarlos todos. Estás obligado a mirarlos todos, decidir cuáles necesitas según tus riesgos y justificar por escrito los que descartas.
Esa separación entre lo obligatorio y lo seleccionable es la clave de toda la norma. Quien confunde los dos bloques acaba creyendo que certificarse es implantar noventa y tres medidas de seguridad, pero la realidad es que no lo es.
¿Por qué la ISO 27001 empieza en la cláusula 4?
Porque las primeras cláusulas existen, pero no son auditables.
Detrás hay una decisión de ISO. Para que sus normas de sistemas de gestión dejaran de escribirse cada una por su cuenta, creó una plantilla interna llamada Anexo SL. No es una norma que se compre ni que se certifique. Es el molde que siguen los comités técnicos cuando redactan cualquier norma de gestión, y de ahí salen el índice común de diez cláusulas, los requisitos compartidos y un vocabulario único para palabras como riesgo o no conformidad.
Cada comité añade después lo suyo encima de esa base. En la ISO 27001, lo propio es todo lo que habla de seguridad de la información, del análisis de riesgos y del Anexo A. Por eso, si tu empresa ya tiene la ISO 9001, las cláusulas de liderazgo, soporte y evaluación te van a sonar mucho. Están redactadas casi igual.
Un apunte de vocabulario. Esta estructura común se llamó durante años High Level Structure, o HLS. Desde la revisión de 2021 su nombre oficial es estructura armonizada, y verás los dos términos usados como sinónimos. La versión de 2022 de la ISO 27001 ya la incorpora.
Cláusulas 0 a 3 de la ISO 27001: la parte introductoria
Estas cuatro cláusulas ocupan pocas páginas y ningún auditor te va a pedir evidencias de ellas. Aun así, saltárselas es un error, porque contienen las reglas del juego:
- Cláusula 0, introducción: explica para qué sirve la norma y qué se espera de una organización que la adopta. Aquí aparece la idea de que el SGSI tiene que estar integrado en los procesos de la empresa y no ser un apéndice que vive en una carpeta compartida. Es una declaración de intenciones, no un requisito.
- Cláusula 1, alcance de la norma: no confundir con el alcance de tu SGSI, que es otra cosa y aparece en la cláusula 4. Esta cláusula dice a qué tipo de organizaciones aplica la ISO 27001, y la respuesta es a todas. Cualquier tamaño, cualquier sector. También deja claro que las cláusulas 4 a 10 no son negociables si quieres certificarte.
- Cláusula 2, referencias normativas: remite a la ISO 27000, un documento gratuito que contiene el vocabulario común de toda la familia 27000. Si en algún momento dudas del significado exacto de un término, ahí está.
- Cláusula 3, términos y definiciones: fija el significado de las palabras que la norma usa. Suena a trámite, pero no lo es. Palabras como riesgo, control, información documentada o parte interesada tienen un sentido preciso dentro de la norma que no siempre coincide con el uso coloquial. Muchas discusiones estériles en un proyecto de implantación se resuelven abriendo esta cláusula.
Cláusulas 4 a 10 de la ISO 27001: los requisitos certificables
Aquí está la norma de verdad. Estas siete cláusulas son lo que un auditor comprueba, y el orden en que aparecen no es casual. Cuentan una historia que va desde entender tu organización hasta mejorarla de forma continua.
- Cláusula 4, contexto de la organización: el punto de partida. Tienes que identificar qué factores internos y externos afectan a tu seguridad de la información, quiénes son las partes interesadas y qué esperan de ti. Clientes, empleados, reguladores, proveedores. Con eso defines el alcance de tu SGSI, es decir, qué procesos, qué sedes y qué sistemas quedan dentro.
- Cláusula 5, liderazgo: la dirección tiene que implicarse de verdad. No basta con firmar un documento. Aquí se exige que la alta dirección apruebe una política de seguridad de la información, asigne responsabilidades claras y aporte los recursos necesarios.
- Cláusula 6, planificación: el corazón de la norma. Aquí defines cómo identificas y valoras tus riesgos de seguridad, cuáles aceptas, cuáles tratas y qué controles aplicas. De ahí salen dos documentos, el plan de tratamiento de riesgos y la Declaración de Aplicabilidad, donde justificas control por control por qué lo aplicas o por qué no.
- Cláusula 7, soporte: todo lo que hace falta para que el sistema funcione. Personas con la competencia adecuada, formación, concienciación de la plantilla, canales de comunicación internos y externos, y control de la documentación.
- Cláusula 8, operación: poner en marcha lo planificado. Ejecutas los procesos, aplicas el plan de tratamiento de riesgos y repites el análisis de riesgos de forma periódica o cuando cambien las circunstancias. También te obliga a controlar los procesos que subcontratas, porque externalizar un servicio no externaliza tu responsabilidad.
- Cláusula 9, evaluación del desempeño: comprobar si el sistema funciona. Se apoya en tres patas: seguimiento y medición de los indicadores que definiste, auditoría interna realizada por alguien objetivo, revisión por la dirección y una reunión formal y documentada donde la alta dirección analiza los resultados y toma decisiones.
- Cláusula 10, mejora: cerrar el círculo. Cuando algo falla, y algo va a fallar, hay que registrar la no conformidad, corregirla, analizar por qué ocurrió y actuar sobre la causa para que no se repita.
El Anexo A y los 93 controles de seguridad
El Anexo A es la lista de la compra. Noventa y tres controles de seguridad que la norma pone sobre la mesa para que elijas cuáles necesitas.
Aquí es donde más gente se equivoca, así que conviene ser tajante. No tienes que implantar los noventa y tres. Tienes que revisarlos todos, comparar cada uno con los riesgos que identificaste en la cláusula 6, aplicar los que tengan sentido y justificar por escrito los que descartes. Esa justificación es la Declaración de Aplicabilidad.
Un ejemplo. Si tu empresa no desarrolla software, los controles de desarrollo seguro no te aplican y lo dices. Si no tienes oficina física porque todo el equipo trabaja en remoto, algunos controles físicos decaen. El auditor no espera que los tengas todos. Espera que tus decisiones sean coherentes con tus riesgos.
Hasta la versión de 2013 los controles eran ciento catorce y estaban repartidos en catorce apartados. La revisión de 2022 los reagrupó, eliminó duplicidades, incorporó once controles nuevos relacionados con la nube, la inteligencia de amenazas y la seguridad en el desarrollo, y los redujo a noventa y tres organizados en cuatro grandes familias.
- Controles organizativos: son treinta y siete y forman la familia más grande. Cubren políticas, roles y responsabilidades, gestión de proveedores, clasificación de la información, respuesta ante incidentes y continuidad de negocio. Es la parte más de gestión y menos de tecnología.
- Controles de personas: son ocho. Van desde la verificación de antecedentes antes de contratar hasta los acuerdos de confidencialidad, la formación en seguridad, el proceso disciplinario y qué ocurre cuando alguien deja la empresa. El factor humano concentrado en un bloque.
- Controles físicos: son catorce, perímetros de seguridad, control de accesos a las instalaciones, protección frente a amenazas ambientales, seguridad del cableado, política de mesa limpia y pantalla limpia, y eliminación segura de equipos y soportes.
- Controles tecnológicos: son treinta y cuatro. Lo que la mayoría de la gente imagina cuando oye seguridad de la información. Gestión de identidades, autenticación, cifrado, copias de seguridad, registro y monitorización, protección frente a malware, gestión de vulnerabilidades y seguridad en el desarrollo de software.
La versión de 2022 añadió además una capa útil. Cada control lleva asociados cinco atributos que permiten filtrarlo y clasificarlo. Tipo de control, propiedad de la seguridad que protege, concepto de ciberseguridad, capacidad operativa y dominio de seguridad.
Relación entre el Anexo A y la ISO 27002
Al leer el Anexo A verás que cada control se despacha en dos o tres líneas. Te dice qué hay que conseguir, no cómo conseguirlo. Es deliberado, porque el Anexo A es un índice de referencia, no un manual.
El cómo está en la ISO 27002, una norma distinta que se compra aparte y no se certifica. Contiene los mismos noventa y tres controles con la misma numeración, pero dedica varias páginas a cada uno explicando su propósito y cómo implantarlo. Dicho en corto, la ISO 27001 dice qué hacer y te certifica, la ISO 27002 te explica cómo y nadie te audita contra ella. Si quieres el detalle, lo desarrollamos en este artículo comparando ambas normas.
El flujo de trabajo es sencillo. Identificas tus riesgos en la cláusula 6, recorres el Anexo A para seleccionar los controles que responden a esos riesgos, documentas la selección en la Declaración de Aplicabilidad y abres la ISO 27002 por ese mismo número para implantar cada uno.
Con eso tienes el mapa completo. Cuatro cláusulas introductorias que fijan el vocabulario, siete cláusulas certificables que cuentan el ciclo de vida del sistema, un catálogo de noventa y tres controles del que eliges lo que necesitas y una guía hermana que te explica cómo aplicarlos.

