Inicio / Recursos / Lista de verificación de preparación ISO 27001

Lista de verificación de preparación ISO 27001

Esta guía le lleva por cada etapa de la preparación para la certificación ISO 27001 — desde la implementación del SGSI y el tratamiento de riesgos hasta la aprobación de la Declaración de Aplicabilidad, la auditoría interna y la preparación para la Auditoría de Fase 1 y la Auditoría de Fase 2. Use las secciones de la lista de verificación para identificar brechas y llevar su programa a su cierre antes de que llegue el auditor externo.

8 áreas de preparación 93 controles del Anexo A Cronograma de 8 a 20 semanas

¿Qué es la preparación para ISO 27001?

La preparación para ISO 27001 significa que su sistema de gestión de seguridad de la información (SGSI) está completamente implementado, documentado y evidenciado — no solo diseñado sobre el papel. La preparación para la certificación requiere que sus políticas, tratamiento de riesgos, controles de ISO 27001 y el ciclo de auditoría interna estén todos en funcionamiento antes de invitar a un auditor externo a evaluarlos.

Muchas organizaciones confunden la implementación del SGSI con la preparación para la certificación. La implementación consiste en construir el sistema; la preparación consiste en demostrar que funciona. Los auditores en la Auditoría de Fase 1 y en la Auditoría de Fase 2 buscan evidencia de operación, no de intención. Una política que existe pero no se sigue generará una no conformidad independientemente de lo bien que esté redactada.

Esta lista de verificación cubre las ocho áreas que los auditores externos examinan de forma sistemática. Trabaje cada sección, califique su estado actual, asigne responsables a los elementos pendientes y consolide su evidencia antes de la fecha de su primera auditoría.

Lista de verificación completa de preparación ISO 27001

Califique cada elemento: completo, parcial o no iniciado. Los elementos parciales y pendientes se convierten en su lista de tareas de remediación.

1 Alcance y Contexto

  • La declaración del alcance del SGSI define los límites organizacionales, geográficos y de sistemas
  • El análisis del contexto interno y externo (cláusula 4.1) está documentado
  • Las partes interesadas y sus requisitos relevantes (cláusula 4.2) están identificados
  • Las exclusiones del alcance están justificadas, documentadas y son defendibles ante un auditor

2 Liderazgo y Gobernanza

  • El compromiso de la alta dirección está evidenciado — actas de reuniones, aprobaciones por correo electrónico o firma de políticas
  • La política de seguridad de la información está aprobada, fechada y comunicada a todo el personal
  • Los roles y responsabilidades de seguridad están asignados con nombres propietarios, no solo títulos de puestos
  • Los objetivos de seguridad de la información son medibles y están vinculados al contexto de riesgos de la organización

3 Evaluación de Riesgos

  • La metodología de evaluación de riesgos está documentada con criterios definidos de probabilidad, impacto y aceptación
  • El registro de riesgos cubre todos los activos, procesos o escenarios dentro del alcance del SGSI
  • Se asigna un propietario de riesgo a cada riesgo identificado
  • El plan de tratamiento de riesgos selecciona opciones (tratar, tolerar, transferir, terminar) para cada riesgo por encima del umbral de aceptación
  • El plan de tratamiento de riesgos es revisado y formalmente aceptado por la dirección

4 Declaración de Aplicabilidad

  • Los 93 controles del Anexo A son evaluados — ninguno omitido sin justificación documentada
  • Cada control aplicable muestra su estado de implementación: implementado, parcialmente implementado o planificado
  • Los controles excluidos incluyen una justificación auditable que hace referencia al alcance, al riesgo o a la base legal
  • La Declaración de Aplicabilidad está bajo control de versiones, fechada y firmada por la dirección autorizada
  • La DA está alineada con el plan de tratamiento de riesgos — los controles seleccionados abordan los riesgos identificados

5 Controles del Anexo A

  • Todos los controles de ISO 27001 seleccionados en la DA están implementados y cuentan con políticas o procedimientos de respaldo
  • Los controles técnicos — gestión de accesos, cifrado, registro de eventos, gestión de vulnerabilidades — están operativos
  • Los requisitos de seguridad con proveedores y terceros están en los contratos y se evalúan periódicamente
  • La formación en concienciación sobre seguridad está completada y los registros se conservan
  • Los planes de respuesta a incidentes y de continuidad de negocio han sido probados y los resultados están documentados

6 Auditoría Interna

  • Un programa de auditoría interna cubre el alcance completo del SGSI y todos los controles de ISO 27001 aplicables
  • Al menos un ciclo completo de auditoría interna está finalizado antes de la Auditoría de Fase 1
  • Los hallazgos de la auditoría y las no conformidades están formalmente registrados en un informe
  • La auditoría fue realizada por alguien independiente del área auditada

7 Revisión por la Dirección

  • Se ha celebrado una reunión de revisión por la dirección y se han levantado actas formales
  • El orden del día incluyó resultados de auditorías internas, estado de riesgos, desempeño de los objetivos de seguridad y oportunidades de mejora
  • Los resultados de la revisión documentan las decisiones sobre cambios en el SGSI, necesidades de recursos y acciones de mejora
  • Las actas se conservan como información documentada y están disponibles para revisión del auditor

8 Acciones Correctivas

  • Todas las no conformidades de las auditorías internas cuentan con un análisis de causa raíz y una acción correctiva registrada
  • Cada acción correctiva tiene un responsable nominado y una fecha objetivo de cierre
  • Las acciones completadas son verificadas en cuanto a su eficacia antes de cerrarse
  • El registro de acciones correctivas está actualizado y disponible para inspección del auditor

Errores comunes de preparación

Estas son las brechas que con mayor frecuencia se señalan como no conformidades durante la preparación para la auditoría ISO 27001.

Tratar la Declaración de Aplicabilidad como un trámite burocrático

La DA debe reflejar el estado real de sus controles de ISO 27001. Los auditores la contrastan con las implementaciones reales y levantarán una no conformidad si los controles marcados como implementados no pueden evidenciarse.

No tener una auditoría interna ni una revisión por la dirección completadas antes de la Fase 1

Ambas son requisitos obligatorios. Llegar a la Auditoría de Fase 1 sin registros completados significa que el auditor no puede confirmar que su SGSI está operativo, y la certificación se retrasará.

Controles documentados en política pero no aplicados en la práctica

El hallazgo más frecuente en la Auditoría de Fase 2. Una política que dice "el acceso se revisa trimestralmente" debe estar evidenciada con registros de revisión de accesos fechados. La intención sin evidencia es una no conformidad.

Plan de tratamiento de riesgos no aceptado formalmente por la dirección

Completar una evaluación de riesgos no es suficiente. ISO 27001 exige que la dirección acepte formalmente el riesgo residual y apruebe el plan de tratamiento. Sin una aceptación firmada o en acta, la cláusula 6.1 está incompleta.

No conformidades de la auditoría interna pendientes de cierre en la Fase 2

Las acciones correctivas abiertas indican que el ciclo de mejora de su SGSI no está funcionando. Los auditores verifican si los hallazgos han sido cerrados y verificados, no solo registrados.

Alcance del SGSI demasiado amplio para la evidencia disponible

Las organizaciones a veces definen un alcance amplio para parecer exhaustivas, pero luego tienen dificultades para producir evidencia coherente en todas las áreas. Un alcance bien definido y bien evidenciado obtiene la certificación de forma más fiable que un alcance amplio con brechas de evidencia.

Preparación para la Auditoría de Fase 1 y la Auditoría de Fase 2

La certificación ISO 27001 utiliza un proceso de auditoría en dos fases. Entender qué evalúa cada fase le permite centrar su preparación en el orden correcto.

1

Fase 1 — Revisión documental

Generalmente realizada de forma remota, la Auditoría de Fase 1 confirma que la documentación de su SGSI está completa y que su organización está preparada para proceder a la auditoría de efectividad. Los hallazgos de la Fase 1 deben resolverse antes de programar la Fase 2.

Los auditores se centran en

  • El alcance del SGSI está claramente definido y es adecuado
  • La Declaración de Aplicabilidad está finalizada y firmada
  • La evaluación de riesgos y el plan de tratamiento de riesgos están documentados
  • La auditoría interna y la revisión por la dirección han sido completadas
  • Toda la información documentada obligatoria de ISO 27001 está presente
2

Fase 2 — Efectividad de controles

La Auditoría de Fase 2 verifica si los controles de ISO 27001 están funcionando según lo previsto mediante entrevistas al personal, revisiones de procesos y muestreo de evidencias. Es en esta fase donde se concede la certificación o se plantean no conformidades mayores.

Los auditores se centran en

  • Los controles de ISO 27001 operan según lo descrito en las políticas y la DA
  • La evidencia es actual, coherente y trazable hasta los controles
  • El personal demuestra conocimiento de sus responsabilidades en el SGSI
  • Las no conformidades de la Fase 1 están completamente cerradas
  • El registro de acciones correctivas muestra un ciclo de mejora efectivo

Preguntas frecuentes

¿Qué es un sistema de gestión de seguridad de la información (SGSI)?

Un sistema de gestión de seguridad de la información es el conjunto de políticas, procedimientos y controles que gestiona de forma sistemática los riesgos de seguridad de la información en toda una organización. ISO 27001 es el estándar internacional que define los requisitos para establecer, implementar, mantener y mejorar continuamente un SGSI. La certificación demuestra a clientes y reguladores que su sistema de gestión de seguridad de la información cumple dicho estándar.

¿Cuánto tiempo lleva la implementación del SGSI?

La mayoría de los programas de implementación del SGSI tardan entre 8 y 20 semanas desde el inicio hasta estar preparados para la Auditoría de Fase 1, dependiendo de la complejidad del alcance, la madurez de la documentación existente y la disponibilidad de recursos dedicados. Prevea además entre cuatro y ocho semanas entre la Fase 1 y la Fase 2 para consolidar evidencias y remediar los hallazgos de la Fase 1.

¿Qué es la Declaración de Aplicabilidad y por qué es importante?

La Declaración de Aplicabilidad es el documento que mapea los 93 controles del Anexo A con su organización, registrando cuáles son aplicables e implementados y por qué se excluye alguno. Es uno de los primeros documentos solicitados en la Auditoría de Fase 1, ya que muestra al auditor el panorama de sus controles de ISO 27001. Debe estar bajo control de versiones, actualizada y firmada por la dirección.

¿Necesitamos los 93 controles del Anexo A?

No, pero debe evaluar los 93 controles de ISO 27001 y documentar una justificación para cualquiera que excluya. Los controles se seleccionan en función de los riesgos de su evaluación, sus obligaciones legales y contractuales, y su contexto operativo. Las exclusiones injustificadas son un hallazgo habitual en la Auditoría de Fase 1.

¿Qué ocurre si no superamos la Auditoría de Fase 1?

Una Auditoría de Fase 1 con resultado negativo significa que el auditor ha planteado hallazgos que deben resolverse antes de que la Fase 2 pueda continuar. Los hallazgos pueden ser observaciones menores, oportunidades de mejora o no conformidades mayores. Los problemas menores se cierran durante el período entre la Fase 1 y la Fase 2; las no conformidades mayores pueden requerir una re-auditoría completa del área afectada y retrasarán su cronograma de certificación.

¿Puede la implementación del SGSI con ISO 27001 apoyar el cumplimiento de DORA?

Sí. La gobernanza de políticas, el tratamiento de riesgos, la supervisión de proveedores y la evidencia de gestión de incidentes desarrollados durante la implementación del SGSI pueden apoyar directamente las obligaciones de DORA. Los marcos son complementarios: ISO 27001 establece la línea base de control de seguridad de la información, mientras que DORA añade requisitos de resiliencia operativa digital, notificación de incidentes de TIC y supervisión de terceros específicos para entidades financieras.

Speak with an expert

Talk to an experienced consultant about your objectives. We'll help you understand what it takes and how RiskNow can accelerate your path to compliance.