¿Qué es la ISO 27001? Definición, certificado y diferencias
¿Qué es ISO 27001? ISO/IEC 27001 es la norma internacional para Sistemas de Gestión de Seguridad de la Información (ISMS). Establece los requisitos para que las organizaciones planifiquen, operen, supervisen y mejoren la seguridad de la información. Un certificado acredita un Sistema de Gestión auditado y madurez operativa. No es una prueba de que los sistemas no puedan ser vulnerados técnicamente. La versión actual es ISO/IEC 27001:2022.
Lo más importante en resumen
- Alcance: norma internacional para un Sistema de Gestión de Seguridad de la Información (ISMS), auditável por auditores acreditados.
- Núcleo: el certificado acredita un Sistema de Gestión auditado y madurez operativa. No es una prueba de invulnerabilidad técnica.
- Factores: Los grandes clientes exigen cada vez más el certificado a los proveedores y, de este modo, configuran las cadenas de suministro.
¿Qué significa ISO 27001 en concreto?
ISO/IEC 27001 es la norma internacional para un Sistema de Gestión de Seguridad de la Información, abreviado ISMS. Define cómo una organización planifica, opera, supervisa y mejora sistemáticamente la seguridad de la información. La norma sigue el ciclo Plan-Do-Check-Act y exige un enfoque basado en riesgos. Es la norma más utilizada a nivel mundial para un ISMS y está consolidada en muchos sectores.
Anexo A de la versión ISO/IEC 27001:2022
cuatro áreas en lugar de 14 capítulos
La versión actual ISO/IEC 27001:2022 ha revisado fundamentalmente el Anexo A. Las medidas de control ahora se estructuran en cuatro áreas: organizativas, personales, físicas y tecnológicas. En total, el Anexo A incluye 93 Controles. El período de transición para certificados según la versión anterior ISO/IEC 27001:2013 finalizó el 31. octubre 2025. Quien ya está certificado o busca una nueva certificación, opera bajo la edición de 2022.
Qué certifica realmente el certificado
El certificado ISO‑27001 (norma de gestión de seguridad de la información) es un certificado de sistema de gestión. Atesta que una organización ha implementado un ISMS (Sistema de Gestión de Seguridad de la Información) que cumple con los requisitos de la norma y ha sido auditado por una entidad independiente y acreditada. Se evalúa la madurez del proceso: ¿existe un análisis de riesgos? ¿Son los controles definidos efectivos y se supervisa el sistema de forma regular?
Lo que el certificado no certifica es la invulnerabilidad técnica. Una empresa certificada puede seguir siendo víctima de un ataque. La norma exige una gestión sistemática de riesgos, no un conjunto fijo de medidas técnicas específicas. La seguridad del ISMS y la seguridad basada en listas de verificación son cosas diferentes: una auditoría realizada no equivale a una prueba de penetración.
En la práctica, esta brecha suele manifestarse en expectativas incumplidas. Una empresa certificada puede ser afectada por un cero‑day (exploit) o convertirse en víctima de un ataque de ingeniería social. Por el contrario, una cortafuegos perfectamente configurada ofrece poca protección si no existe un análisis de riesgos documentado y responsabilidades claras.
El camino al certificado
La certificación se lleva a cabo en dos fases. La auditoría de la fase 1 (etapa 1) revisa la documentación: ¿Están todos los componentes del Sistema de Gestión de Seguridad de la Información (SGSI) descritos completamente y comparados con los requisitos de la norma? La auditoría de la fase 2 (etapa 2) revisa la aplicación in situ, con muestreos en procesos y pruebas.
Una vez superado el proceso, el organismo certificador emite el certificado. Tiene una validez de tres años. Durante este período se realizan auditorías de vigilancia anuales, que garantizan que el SGSI siga cumpliendo con los requisitos. Tras tres años está prevista la recertificación, que reabre el ciclo.
Diferenciación con conceptos relacionados
En el ámbito de habla alemana, ISO 27001 tiene dos referencias clave. La primera es BSI IT-Grundschutz. IT-Grundschutz es la vía alemana hacia un Sistema de Gestión de Seguridad de la Información y lo publica la Oficina Federal de Seguridad en Tecnologías de la Información. Es compatible con ISO 27001 y en muchos aspectos es más detallado. Es posible un certificado combinado: un certificado ISO-27001 basado en un análisis de IT-Grundschutz. Quien necesita requisitos muy detallados suele encontrar en IT-Grundschutz una vía más directa.
La segunda referencia es NIS2. La directiva exige a las empresas afectadas una gestión de riesgos y pruebas de su eficacia. ISO 27001 ayuda a demostrar una gestión de riesgos funcional. La norma no sustituye el cumplimiento legal. Quien está bajo NIS2 debe cumplir los requisitos específicos de la legislación nacional de transposición. El certificado es un componente, no una prueba automática de cumplimiento.
Por qué las empresas persiguen la certificación
Un fuerte impulsor en la práctica son los requisitos de la cadena de suministro. Grandes clientes exigen cada vez más la certificación ISO‑27001 a sus proveedores, normalmente como prueba en convocatorias y auditorías de proveedores. Quien no pueda presentar la certificación pierde contratos o recibe condiciones menos atractivas. Este efecto B2B se extiende profundamente a lo largo de la cadena de valor.
Para directores de TI y CISO, la certificación es tanto protección como palanca. Obliga a un análisis documentado de riesgos, responsabilidades claras y un proceso de mejora trazable. Al mismo tiempo abre puertas en convocatorias y en la captación de nuevos clientes. Quien la utilice como instrumento operativo de control obtiene un marco para demostrar seguridad verificable.
Preguntas frecuentes
Cada pregunta está bloqueada. Un toque desbloquea la respuesta.
¿Qué es ISO/IEC 27001:2022?
ISO/IEC 27001:2022 es la versión actual de la norma. Actualiza el Anexo A y organiza los controles en cuatro áreas temáticas en lugar de los 14 capítulos.
¿Un certificado ISO-27001 garantiza seguridad?
No. El certificado acredita un sistema de gestión auditado y, por ende, madurez del proceso. No constituye prueba de que los sistemas puedan ser comprometidos técnicamente.
¿Cómo se lleva a cabo una certificación ISO-27001?
La certificación se realiza en dos etapas: Stufe 1 revisa la documentación, Stufe 2 la implementación in situ. El certificado es válido durante tres años, con auditorías de supervisión anuales y una recertificación después de tres años.
¿Obliga NIS2 a la certificación ISO-27001?
No. NIS2 exige una gestión de riesgos, pero no establece una norma específica. ISO 27001 ayuda a demostrar una gestión de riesgos así, pero no sustituye el cumplimiento legal exigido por NIS2.
¿Cómo difiere ISO 27001 del BSI IT-Grundschutz?
BSI IT-Grundschutz es la vía alemana para un ISMS y es más detallado en muchos aspectos. Ambos enfoques son compatibles. Un certificado ISO-27001 puede expedirse basándose en un análisis de IT-Grundschutz.
Selección de la redacción
Recomendado¿Qué es el CRA? Obligaciones para productos digitalesRecomendado¿Qué es DORA? Definición, obligaciones y plazos


