Saltar al contenido principal
ISO 27001 Anexo A 93 Controles Explicado
Solicitar propuesta
iso-27001

ISO 27001:2022 Anexo A — los 93 controles explicados (resumen ejecutivo)

5 min de lectura

Resumen ejecutivo de los 93 controles del Anexo A de ISO/IEC 27001:2022 organizados en los 4 dominios (organizacional, personas, físico, tecnológico). Cambios vs 2013.

ISO 27001:2022 Anexo A — los 93 controles explicados (resumen ejecutivo)
Tabla de Contenidos

Qué es el Anexo A de ISO/IEC 27001:2022

El Anexo A es la lista normativa de controles de seguridad de la información que toda organización certificada en ISO 27001 debe evaluar e implementar (o excluir con justificación). Son 93 controles organizados en 4 dominios. La ISO 27002:2022 acompaña el Anexo A con guía detallada de implementación de cada control.

Funciona así: la organización evalúa sus riesgos de seguridad de la información (cláusula 6.1.2), define un plan de tratamiento de riesgos, y declara en la Statement of Applicability (SoA) qué controles del Anexo A aplica y cuáles excluye con su razonamiento.

Cambios vs ISO 27001:2013

  • Reducción de 114 a 93 controles. Se consolidaron redundancias y se mejoró la coherencia.
  • Reorganización en 4 dominios (antes 14 categorías): Organizacional · Personas · Físico · Tecnológico.
  • 11 controles nuevos: threat intelligence, ICT BC readiness, physical security monitoring, configuration management, information deletion, data masking, data leakage prevention, web filtering, secure coding, secure cloud services, data protection en cloud.
  • Atributos por control: preventive/detective/corrective · capabilities · categorías. Permite análisis cruzado con frameworks como NIST CSF.

Dominio A.5 · 37 controles organizacionales

Los más numerosos. Cubren políticas, roles, gestión de proveedores, gestión de incidentes, continuidad TI, threat intelligence, gestión de activos, clasificación de información, control de acceso lógico (alto nivel), criptografía (políticas).

Controles destacables 2022:

  • A.5.7 Threat intelligence · NUEVO. Información proactiva sobre amenazas.
  • A.5.23 Information security for use of cloud services · NUEVO. Política específica para cloud.
  • A.5.30 ICT readiness for business continuity · NUEVO. Recuperación TI dentro del BCMS.
  • A.5.34 Privacy and protection of PII · vínculo con ISO 27701 / GDPR.

Dominio A.6 · 8 controles de personas

Controles relacionados con el personal: investigación previa al empleo, términos y condiciones del contrato, concientización sobre seguridad, disciplina ante violaciones, responsabilidades al terminar el empleo, acuerdos de confidencialidad, trabajo remoto, reporte de eventos de seguridad.

El control más subestimado: A.6.3 Information security awareness, education and training. La cláusula 7.3 exige concientización pero el A.6.3 lo materializa: programas formales de capacitación, métricas de adherencia, refresco anual.

Dominio A.7 · 14 controles físicos

Cubren perímetro físico, controles de entrada, oficinas, protección contra amenazas externas y ambientales, trabajo en áreas seguras, escritorio limpio y pantalla limpia, ubicación y protección del equipamiento, servicios de soporte (UPS, climatización), seguridad de cableado, mantenimiento, seguridad de equipos fuera de la organización, disposición segura, monitoreo físico.

Control nuevo 2022: A.7.4 Physical security monitoring. Antes era implícito; ahora es explícito (CCTV, sensores, alarmas).

Dominio A.8 · 34 controles tecnológicos

El dominio más amplio en cantidad de controles concretos. Cubre dispositivos de usuario, derechos de acceso privilegiados, restricciones de acceso, autenticación segura, gestión de capacidad, malware, vulnerabilidades técnicas, configuración, eliminación de información, data masking, prevención de fuga de datos, backup, redundancia, registros, monitoreo de actividades, sincronización de tiempo, uso de utilidades privilegiadas, instalación de software en sistemas operacionales, seguridad de redes, segregación de redes, filtro web, criptografía (operacional), ciclo de vida de desarrollo seguro, seguridad de aplicaciones, principios de arquitectura segura, codificación segura, pruebas de seguridad, desarrollo subcontratado, separación de ambientes, gestión de cambios, información de prueba, protección de información durante pruebas de auditoría.

Controles nuevos críticos 2022:

  • A.8.9 Configuration management · gestión de configuración formal.
  • A.8.10 Information deletion · eliminación segura.
  • A.8.11 Data masking · enmascaramiento de datos sensibles.
  • A.8.12 Data leakage prevention · DLP explícito.
  • A.8.16 Monitoring activities · monitoreo continuo.
  • A.8.23 Web filtering · control de navegación.
  • A.8.28 Secure coding · prácticas de desarrollo seguro.

La Declaración de Aplicabilidad (SoA)

La SoA (Statement of Applicability) es el documento que justifica la inclusión o exclusión de cada uno de los 93 controles. Es el documento más auditado en ISO 27001. Para cada control debe contener:

  • Estado: incluido / excluido / parcialmente implementado.
  • Justificación de la decisión basada en el análisis de riesgos.
  • Si está incluido: cómo se implementa (política/procedimiento/control técnico que lo materializa).
  • Si está excluido: razón objetiva por la que no aplica al contexto.
  • Responsable del control.
  • Métrica o evidencia que demuestra eficacia.

SoA mal hecha = NC mayor. La auditoría externa empieza siempre por revisar coherencia entre el análisis de riesgos, el plan de tratamiento, la SoA y la implementación real.

Conclusión · cómo abordar los 93

No hay que implementar los 93 desde cero. Hay que partir del análisis de riesgos y dejar que él indique cuáles son críticos. La organización con análisis de riesgos riguroso suele descubrir que 60-75 controles son aplicables y prioritarios; los demás se documentan como excluidos con razón.

El error fatal: implementar los 93 sin saber por qué — es el atajo a un sistema burocrático sin valor. ISO 27001 bien implementada se siente liviana porque cada control responde a un riesgo real del negocio.

— Fernando Arrieta, Director Técnico G-CERTI.

ISO 27001 Anexo A controles seguridad 27002 ISMS

Compartir este artículo

LinkedIn X / Twitter WhatsApp
Fernando Arrieta
Sobre el autor
Fernando Arrieta

Auditor líder

Auditor líder en 6 normas ISO. Representante regional de G-CERTI para el mercado hispanohablante y miembro del International Accreditation Center (IAC). Columnista y voz pública en certificación, cumplimiento, IA y calidad.

Auditor Líder ISO 9001, 14001, 45001, 27001, 37001, 42001 Representación regional G-CERTI para Latinoamérica, Caribe y mercado hispanohablante Miembro, International Accreditation Center (IAC) Columnista Sección Opinión, Infobae

Preguntas Frecuentes

No. ISO 27001 cláusula 6.1.3 exige una Declaración de Aplicabilidad (SoA) donde la organización justifica la inclusión o exclusión de cada control basándose en su evaluación de riesgos. Una organización puede legítimamente excluir controles si demuestra que no aplican a su contexto. Lo que NO se puede excluir es la justificación: cada uno de los 93 debe estar evaluado y la decisión documentada. Excluir sin justificar = NC mayor.
No es obligatoria pero es altamente recomendada. ISO/IEC 27002:2022 es la guía de implementación de los 93 controles del Anexo A. Es decir: ISO 27001 te dice QUÉ controles debes evaluar; ISO 27002 te dice CÓMO implementarlos. Comprar y leer ISO 27002 es prácticamente obligatorio para implementar bien ISO 27001.
Para una organización de servicios TI mediana: 70-85 controles activos (de los 93). Para fintech: 80-90. Para bancos: 88-93. Para empresas de manufactura con ISO 27001 por ataque ransomware: 50-70. La diferencia depende del apetito de riesgo, el tipo de información manejada y los requerimientos contractuales/regulatorios.
En G-CERTI vemos que A.5.30 (ICT readiness for business continuity) y A.8.16 (Monitoring activities) son los que más NCs generan. A.5.30 porque las organizaciones a menudo tienen plan de continuidad pero NO han probado su recuperación TI. A.8.16 porque el monitoreo de seguridad existe pero sin línea de detección documentada ni umbrales de alerta. Otro control problemático: A.5.7 (Threat intelligence) que es nuevo en 2022 y muchas organizaciones aún no tienen procesos formales.
Cambios estructurales: 1) Reducción de 114 a 93 controles (consolidación de redundancias). 2) Reorganización en 4 dominios (antes 14 categorías). 3) Introducción de 11 controles nuevos: threat intelligence, ICT BC readiness, physical security monitoring, configuration management, information deletion, data masking, data leakage prevention, web filtering, secure coding, secure cloud services, data protection en relación a uso de servicios cloud. 4) Atributos de los controles (preventive/detective/corrective + capabilities + categorías) para análisis cruzado.

Artículos Relacionados

Más contenido sobre :category

Auditoría de proveedores · checklist ISO 28000 + ISO 9001 cláusula 8.4
auditoria

Auditoría de proveedores · checklist ISO 28000 + ISO 9001 cláusula 8.4

Checklist práctico para auditar proveedores externos: requisitos ISO 9001:2015 cláusula 8.4 + ISO 28000:2022 (gestión de seguridad cadena suministro).

 Cómo elegir consultor ISO · 8 criterios prácticos para no perder plata
guias-practicas

Cómo elegir consultor ISO · 8 criterios prácticos para no perder plata

Cómo evaluar y contratar un consultor ISO sin equivocarse: 8 criterios objetivos, red flags, rangos de honorarios LATAM 2026, contrato tipo recomendado.

 Gestión documental ISO — qué documentar y qué no (sin convertirlo en burocracia)
iso-9001

Gestión documental ISO — qué documentar y qué no (sin convertirlo en burocracia)

Qué información documentada exige ISO 9001:2015 (cláusula 7.5), qué es opcional, y cómo evitar el síndrome del manual de 400 páginas que nadie lee.
Ver más artículos

Lectura estratégica

Pase de información a evaluación

Si el contenido le ayudó a entender el problema, el siguiente paso es medir prioridad y conectar con la norma adecuada.

Fidelizar con utilidad