Término del glosario

ISO 27001

ISO/IEC 27001 es la norma internacional que especifica los requisitos de un Sistema de Gestión de la Seguridad de la Información (SGSI), revisada en 2022. Su Anexo A incluye 93 controles agrupados en cuatro temas: organizativos, personas, físicos y tecnológicos.

Qué incluye ISO 27001

El cuerpo principal (cláusulas 4-10) define los requisitos del SGSI con la Estructura de Alto Nivel común a otras normas ISO: contexto, liderazgo, planificación con análisis y tratamiento de riesgos de seguridad, soporte, operación, evaluación del desempeño y mejora. La organización debe elaborar una Declaración de Aplicabilidad (SoA) justificando qué controles del Anexo A aplica.

La versión 2022 redujo el número de controles de 114 (en la edición 2013) a 93. Se acompaña habitualmente de ISO/IEC 27002:2022 como guía de implantación de controles y de ISO/IEC 27005 para gestión de riesgos.

A quién aplica

Voluntaria pero exigida en muchos pliegos públicos y contratos con grandes empresas. Habitual en proveedores tecnológicos, SaaS, banca, sanidad, telecomunicaciones, administraciones, consultoras de datos y empresas que tratan información confidencial. Aporta evidencia útil para demostrar diligencia debida ante el RGPD y NIS2.

Plazos y costes orientativos

Implantación habitual: 6-12 meses en pymes; 9-18 meses en organizaciones medianas con varios centros. Auditoría de certificación de un organismo acreditado por ENAC: orientativamente 4.000-9.000 € el ciclo trienal para pymes, según alcance, ubicaciones y número de empleados. Renovación cada 3 años con seguimientos anuales. Consultar tarifas vigentes.

Errores frecuentes

Elaborar la SoA sin trazabilidad real al análisis de riesgos.
Confundir certificar la organización con certificar un producto o servicio aislado.
No definir métricas de seguridad (KPIs/KRIs) ni revisar incidentes.
Olvidar la gestión de proveedores y la cadena de suministro (controles 5.19-5.23 de 2022).

Categorías

Estrategia y diagnóstico

Ejecución y canales

Inteligencia artificial aplicada al marketing

Formación, conferencias y ponencias

Experiencia de cliente

Dirección de marketing externa

Consultoría estratégica completa.

Por categoría

Industrias en las que trabajo

Dónde trabajo

Ámbito comercial

Por tamaño de empresa

Canarias, un mercado con identidad propia.

Por temática

Branded content y storytelling

Neurociencia aplicada al marketing

Estrategia y clásicos

Analítica y medición

Recursos descargables

La miopía del marketing, 65 años después.

ISO 27001

Qué incluye ISO 27001

A quién aplica

Plazos y costes orientativos

Errores frecuentes

Posts relacionados en angelortegacastro.com

Fuentes oficiales

Hablemos de tu caso concreto