Es una norma internacional que especifica los requisitos para establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Su objetivo es ayudar a las organizaciones a proteger sus activos de información contra amenazas como accesos no autorizados, fugas de datos, ciberataques, errores humanos, entre otros.
Estructura principal de la ISO/IEC 27001:2022
- 4 Contexto de la organización
- 5 Liderazgo
- 6 Planificación
- 7 Soporte
- 8 Operación
- 9 Evaluación del desempeño
- 10 Mejora continua
La norma ISO 27001:2022, en su Anexo A, contiene 93 controles de seguridad de la información (Que deben implementarse y declararse en una Declaración de Aplicabilidad. Estos controles están agrupados en cuatro categorías: organizativos, de personas, físicos y tecnológicos. La versión anterior, ISO 27001:2013, tenía 114 controles.
- Controles organizativos:Son aquellos que establecen políticas, responsabilidades y procesos dentro de la organización.
- Controles de personas:Se enfocan en la gestión del personal, incluyendo la concienciación, capacitación y gestión de la seguridad.
- Controles físicos:Se refieren a medidas de seguridad para proteger los activos físicos, como instalaciones y equipos.
- Controles tecnológicos:Son aquellos que abordan la seguridad de los sistemas de información, incluyendo el software y las redes.
Es importante destacar que para cumplir con la norma ISO 27001:2022, una organización debe implementar estos 93 controles y justificar adecuadamente la no implementación de alguno de ellos mediante el documento denominado «Declaración de Aplicabilidad«.
Beneficios de implementar ISO/IEC 27001:2022
- 🔐 Mejora la confidencialidad, integridad y disponibilidad de la información.
- 📉 Reduce el riesgo de brechas de seguridad y sanciones legales.
- ✅ Mejora el cumplimiento con leyes como la Ley de Ciberseguridad de Chile (Ley 21.663), GDPR, etc.
- 🏢 Aumenta la confianza de clientes, proveedores y partes interesadas.
- 📊 Facilita procesos de auditoría interna y externa.
Certificación ISO/IEC 27001:2022
Una organización puede certificarse a través de un organismo acreditado, demostrando que:
- Tiene un SGSI implementado conforme a la norma
- Evalúa y trata sus riesgos de seguridad
- Realiza auditorías, revisiones y mejora continua
🔁 Las organizaciones certificadas en ISO/IEC 27001:2013 tienen hasta octubre de 2025 para migrar a la versión 2022.
¿A quién aplica?
A todo tipo de organizaciones, públicas o privadas, grandes o pequeñas, que manejen información sensible o dependen de sistemas informáticos. Es especialmente crítica para:
- Empresas tecnológicas
- Sector financiero
- Salud
- Educación
- Gobierno
- Proveedores de servicios en la nube y telecomunicaciones
