La certificación ISO 27001 requiere mucho de documentación. Una política de seguridad de la información, una evaluación y un plan de tratamiento de riesgos, un proceso de auditoría interna formal, documentos del Anexo A y la Declaración de Aplicabilidad, por nombrar solo algunos.

Con requisitos tan extensos, crear todos estos documentos puede ser un desafío y consumir mucho tiempo. Tener acceso a una explicación simple de lo que se necesita junto con ejemplos y plantillas reales puede agilizar el proceso significativamente y brindar tranquilidad para tu auditoría.

A continuación, obtén respuestas directas sobre qué es la Declaración de Aplicabilidad ISO/IEC 27001, por qué es importante y cómo redactarla. También encontrarás una plantilla y un ejemplo de Declaración de Aplicabilidad ISO 27001 para simplificar el proceso.

¿Qué es una Declaración de Aplicabilidad ISO 27001?

Se requiere una Declaración de Aplicabilidad para la certificación ISO 27001. Es una declaración que explica cuáles controles de seguridad del Anexo A de ISO 27001 son —o no son— aplicables al sistema de gestión de seguridad de la información (SGSI) de tu organización.

Según la cláusula 6.1.3, una Declaración de Aplicabilidad debe:

• Listar los controles de seguridad de la información que una organización ha seleccionado para mitigar riesgos
• Explicar por qué estos controles fueron elegidos para tu SGSI
• Indicar si los controles aplicables se han implementado completamente
• Explicar por qué se excluyeron ciertos controles

Una pregunta común: dado el nivel de información que incluye, ¿la Declaración de Aplicabilidad es confidencial? Sí. Estas declaraciones están diseñadas para ser documentos internos confidenciales que solo deben compartirse con tu auditor.

Por qué importa la Declaración de Aplicabilidad ISO 27001

La Declaración de Aplicabilidad es el documento fundamental para ISO 27001. Define cuáles de los 114 controles sugeridos del Anexo A implementarás y cómo, y las razones por las cuales has decidido no implementar ciertos controles de ISO 27001. También detalla por qué se necesita cada control y si se ha implementado completamente.

Incluso dejando de lado los requisitos de certificación ISO 27001, la Declaración de Aplicabilidad es un documento increíblemente útil. Aquí hay algunas otras razones por las cuales su Declaración de Aplicabilidad es tan importante:

Ayuda a poner en práctica su estrategia de seguridad de datos

ISO 27001 requiere que cada ISMS tenga en cuenta y documente los compromisos legales, regulatorios y contractuales de la organización en torno a la seguridad de la información. También requiere una descripción detallada de cómo se cumplen esos requisitos.

Su Declaración de Aplicabilidad le ayuda a definir exactamente qué controles está utilizando para cumplir con esos compromisos críticos para el negocio.

También puede ayudar a enfocar sus esfuerzos en lograr un ISMS conforme actuando como el vínculo entre su evaluación de riesgos y su plan de tratamiento de riesgos. ¿Qué amenazas enfrenta su empresa (evaluación de riesgos), cómo planea priorizarlas y mitigarlas (plan de tratamiento de riesgos), y cómo se ve eso en la práctica (Declaración de Aplicabilidad)?

Guía sus auditorías internas y de certificación

Durante su auditoría de certificación ISO 27001, la Declaración de Aplicabilidad actúa como el documento central para que su auditor verifique si sus controles realmente funcionan de la manera que usted dice que lo hacen. También será un punto focal para sus auditorías internas de seguridad periódicas y le ayudará a cumplir con sus requisitos de revisar y mejorar continuamente su ISMS.

Al enumerar cada control que ha implementado, obtendrá una instantánea de qué tan efectivamente está gestionando el riesgo y si podría haber un mejor enfoque. Y porque necesitará revisar este documento al menos anualmente, le ayudará a mantenerse al tanto de cualquier cambio en el panorama de amenazas que pueda señalar un cambio en su estrategia. Tal vez un riesgo que previamente aceptó ha aumentado en probabilidad y decide implementar un nuevo control.

Tenga en cuenta que el número de versión y la fecha en el documento SOA deben coincidir con los que figuran en su certificado ISO 27001, para que cuando un cliente pregunte, sepa que está viendo la referencia correcta.

Proporciona un documento de trabajo para monitorear y mejorar su ISMS

Aunque la Declaración de Aplicabilidad es una herramienta importante para su auditoría de certificación, no es solo para beneficio de su auditor. Su valor central es como una herramienta para que su organización monitoree y mejore su ISMS.

Piénselo como una visión general instantánea de cómo su organización practica la seguridad de la información: una lista de trabajo de cada control, por qué es necesario y una descripción de cómo realmente funciona. Puede ayudarle a usted y a otros en su organización (como los miembros del consejo y los inversores) a entender cómo y por qué gestiona ciertos riesgos de seguridad de la información y acepta otros.

Cómo escribir una Declaración de Aplicabilidad ISO 27001

Ahora es el momento de poner manos a la obra (o los dedos en el teclado) y crear su documento de Declaración de Aplicabilidad. Hemos dividido el proceso en seis pasos para guiarlo a través de él.

1. Identificar y analizar los riesgos para su ISMS

Complete una evaluación de riesgos ISO 27001 enumerando todos sus activos de información e identificando amenazas de datos y ciberseguridad para cada uno.

Con su informe de evaluación de riesgos en la mano, puede clasificar y priorizar riesgos en función de la probabilidad y el impacto, asignar un responsable de riesgos y crear un plan para cerrar cualquier vulnerabilidad. Puede encontrar una plantilla de evaluación de riesgos ISO 27001 aquí.

2. Defina su plan de tratamiento de riesgos

Ahora que tiene una lista de riesgos identificados, deberá decidir qué medidas de seguridad tomar para cada uno de ellos. Un plan de tratamiento de riesgos es un documento que resume cada riesgo, asigna un propietario para cada uno, detalla cómo planea mitigar o aceptar cada riesgo y el cronograma esperado para remediar cualquier no conformidad.

El estándar ISO 27001 define cuatro opciones de tratamiento del riesgo:

• Tratar el riesgo con controles de seguridad que reduzcan la probabilidad de que ocurra
• Evitar el riesgo previniendo las circunstancias en las que podría ocurrir
• Transferir el riesgo a un tercero (es decir, externalizar los esfuerzos de seguridad a otra empresa, comprar seguros, etc.)
• Aceptar el riesgo si el costo de abordarlo es mayor que el daño potencial.

3. Elija los controles de seguridad que utilizará para mitigar los riesgos

Una vez que haya identificado los riesgos que desea abordar, puede elegir los controles necesarios para reducir su probabilidad o impacto. Utilice el Anexo A y ISO 27002 como guía para revisar los controles recomendados y seleccionar los más adecuados para su organización.

Por ejemplo, un riesgo para la seguridad de los datos es que los empleados usen contraseñas débiles o compartidas. Un posible control sería establecer una política de contraseñas seguras o implementar una herramienta como 1Password en toda la empresa.

4. Cree una lista de los controles que no utilizará y las justificaciones por qué

A veces tiene más sentido para su negocio aceptar un riesgo que tratarlo. Por ejemplo, no querría gastar $10,000 para evitar un riesgo de $1,000.

O quizás la probabilidad y/o el impacto de la amenaza sean tan insignificantes que el riesgo ya esté en un nivel aceptable. Una empresa con sede en Cleveland probablemente no necesite protecciones costosas contra terremotos como racks de servidores sísmicos.

Documente su decisión de no tratar ciertos riesgos en su plan de tratamiento de riesgos ISO 27001. Necesitará esa lista cuando complete su Declaración de Aplicabilidad, y su auditor querrá ver que al menos está al tanto de los riesgos y ha tomado una decisión informada para aceptarlos.

5. Complete su documento de Declaración de Aplicabilidad

Enumere los controles recomendados por el Anexo A, junto con una declaración sobre si aplicó cada uno y las razones detrás de su decisión. También enumerará si el control cumple con un requisito legal, contractual, comercial o de cumplimiento, junto con la fecha en que se implementó.

Dado que la Declaración de Aplicabilidad enumera cada control del Anexo A y sus detalles correspondientes, la mayoría de las personas la organizan como una hoja de cálculo. Dicho esto, cualquier documento que pueda dividirse en secciones será suficiente.

6. Mantenga su Declaración de Aplicabilidad actualizada

Su Declaración de Aplicabilidad es un documento vivo. Debido a que la mejora continua es un aspecto esencial de los estándares ISO 27001, deberá seguir evaluando, agregando y ajustando sus controles de seguridad con el tiempo.

Su SoA debe actualizarse regularmente para reflejar los controles que utiliza y cómo los ha cambiado para fortalecer su SGSI.

Descargue la plantilla de Declaración de Aplicabilidad ISO 27001

Utilice nuestra plantilla de Declaración de Aplicabilidad ISO 27001 para simplificar el proceso de creación de su propia SoA.

ISO 27001 Declaración de Aplicabilidad Preguntas Frecuentes

¿Qué es una Declaración de Aplicabilidad de ISO 27001?

Una Declaración de Aplicabilidad de ISO 27001 explica qué controles de seguridad del Anexo A son (o no) aplicables al SGSI de tu organización. Si un control no es aplicable, se necesita una explicación. 

¿Es una Declaración de Aplicabilidad un requisito de ISO 27001?

Sí, se requiere una Declaración de Aplicabilidad para la certificación ISO 27001.

¿Cómo se escribe una Declaración de Aplicabilidad de ISO 27001?

Debido a que contienen una lista de controles del Anexo A y cómo se han implementado en tu organización, la mayoría de las Declaraciones de Aplicabilidad están formateadas como una hoja de cálculo. Enumera cada control del Anexo A, indica si se ha aplicado y su justificación, especifica un responsable del control e incluye la fecha en que se implementó y se evaluó por última vez. 

Las Declaraciones de Aplicabilidad son documentos vivos que cambiarán a medida que mejores continuamente tu SGSI, por lo que probablemente querrás incluir algún tipo de historial de versiones también. 

¿Qué es un documento SoA?

SoA es una abreviatura de Declaración de Aplicabilidad. Es el mismo documento. 

¿Dónde puedo encontrar una plantilla de Declaración de Aplicabilidad de ISO 27001 para descargar?

Puedes encontrar una plantilla gratuita en Excel de Declaración de Aplicabilidad de ISO 27001 para descargar aquí. 

¿Qué es una justificación de Declaración de Aplicabilidad de ISO 27001?

Si decides no implementar un control del Anexo A, necesitarás explicar (o justificar) las razones por las cuales no es aplicable a tu SGSI.

¿Qué es ISO 27001:2022?

ISO 27001:2022 es la última edición del estándar ISO, publicada en octubre de 2022. En general, las actualizaciones en las Cláusulas del SGSI 4-10 incluyen cambios menores en la redacción y estructura para aclarar los objetivos de control, y no impactan el requisito de la Declaración de Aplicabilidad.

Optimiza la certificación ISO 27001 con Secureframe

¡Felicidades! Has completado tu Declaración de Aplicabilidad de ISO 27001. A medida que te prepares para tu auditoría de certificación, probablemente tendrás cientos de otros documentos que recopilar y organizar con los controles adecuados, y mantener actualizados. 

La plataforma de automatización de cumplimiento de Secureframe puede simplificar y optimizar todo el proceso de preparación y mantenimiento de tu certificación ISO 27001. Te ayudaremos a construir un SGSI conforme, monitorear tu pila tecnológica para vulnerabilidades y asistir con la gestión de riesgos. También te ayudaremos a mapear tus controles ISO 27001 para demostrar el cumplimiento con otros marcos como SOC 2, PCI DSS, NIST, GDPR y más. Programa una demostración hoy para saber más.