Controles del Anexo A de ISO 27001 explicados

Introducción

El Anexo A es una lista de referencia de 93 controles de seguridad organizados en cuatro categorías desde la versión 2022.

Controles organizacionales (A.5) — 37 controles

La categoría más grande cubre políticas, roles, gestión de activos, control de acceso y gestión de proveedores.

Nuevos controles en 2022: Inteligencia de amenazas (A.5.7), seguridad en la nube (A.5.23) y preparación TIC para continuidad (A.5.30).

Controles de personas (A.6) — 8 controles

Se enfoca en seguridad de empleados: selección, contratos, sensibilización y formación, y procedimientos disciplinarios.

Controles físicos (A.7) — 14 controles

Perímetros de seguridad física, controles de acceso, seguridad de oficinas y protección de equipos.

Controles tecnológicos (A.8) — 34 controles

Seguridad de endpoints, gestión de acceso privilegiado, segmentación de red, criptografía y gestión de vulnerabilidades.

Nuevos controles: Filtrado web (A.8.23), codificación segura (A.8.28) y prevención de fuga de datos (A.8.12).

Creación de su Declaración de Aplicabilidad

La SoA es un documento obligatorio que lista cada control, su aplicabilidad, justificación y estado de implementación. Es uno de los documentos más importantes en su auditoría.

Puntos clave

Los 93 controles son un conjunto de herramientas, no una lista de obligaciones. Aplíquelos según su evaluación de riesgos.