¿Qué es un ISMS según ISO/IEC 27001, y qué papel desempeña el Anexo A?
Respuesta breve
ISO/IEC 27001 especifica los requisitos de un Information Security Management System (ISMS): un marco descendente y basado en el riesgo de políticas, procesos, roles y mejora continua (Plan-Do-Check-Act) que rige cómo una organización gestiona la seguridad de la información. El Anexo A es un catálogo de controles de referencia. No se aplican todos a ciegas — se realiza una evaluación de riesgos, se decide qué controles son necesarios y se documentan las decisiones de inclusión/exclusión con justificación en una Statement of Applicability (SoA).
ISO/IEC 27001 es la principal norma internacional para gestionar la seguridad de la información. La certificación demuestra que una organización opera un sistema de gestión que funciona, no que compró una herramienta concreta. Los entrevistadores usan esta pregunta para separar a quienes han operado un ISMS de quienes solo han oído el acrónimo.
El ISMS
El Information Security Management System es el corazón de la norma (cláusulas 4 a 10). Exige que la organización:
- Comprenda su contexto y sus partes interesadas.
- Establezca el compromiso de la dirección, el alcance y una política de seguridad de la información.
- Lleve a cabo un proceso de evaluación de riesgos y tratamiento de riesgos.
- Defina objetivos, recursos, competencia y concienciación.
- Monitorice, mida, audite y revise el desempeño.
- Impulse la mejora continua — el ciclo Plan-Do-Check-Act.
Estas cláusulas del sistema de gestión son los requisitos certificables. Todo lo demás está a su servicio.
El Anexo A y la Statement of Applicability
El Anexo A es una lista normativa de referencia de controles (organizativos, de personas, físicos y tecnológicos en la revisión de 2022). No es una lista de verificación para implementar en bloque. El flujo es:
- Evaluar los riesgos para tus activos de información.
- Decidir un plan de tratamiento de riesgos.
- Seleccionar los controles del Anexo A que abordan esos riesgos.
- Registrar el estado de cada control — aplicable o excluido, con justificación — en la Statement of Applicability (SoA).
ISO/IEC 27002 proporciona la guía de implementación de esos controles.
Por qué importa
La respuesta más sólida recalca que la 27001 está guiada por el riesgo: los controles derivan del riesgo, y la SoA es el documento que los vincula. Los candidatos que creen que el Anexo A es una lista de verificación obligatoria de todo o nada han malinterpretado la norma.
Posibles preguntas de seguimiento
- ¿Qué incluye una Statement of Applicability y por qué le importan al auditor las exclusiones?
- ¿Cómo se relaciona ISO/IEC 27002 con el Anexo A de ISO/IEC 27001?
- ¿Cómo es el ciclo de auditoría de certificación (Stage 1, Stage 2, vigilancia)?