Lista de verificación para la certificación ISO 27001: 80 pasos
Introducción
La preparación para la certificación ISO 27001 es un esfuerzo de varios meses. Esta lista está organizada en seis fases y le ayuda a evitar brechas críticas.
Fase 1: Fundamentos y alcance (Semanas 1–4)
Obtener compromiso de la alta dirección. Definir el alcance del SGSI. Nombrar líder del proyecto. Identificar partes interesadas. Realizar análisis de brechas de alto nivel. Establecer plan de proyecto. Seleccionar organismo de certificación.
Fase 2: Evaluación y tratamiento de riesgos (Semanas 4–10)
Definir metodología de evaluación. Construir inventario de activos. Identificar amenazas y vulnerabilidades. Calcular puntuaciones de riesgo. Seleccionar opciones de tratamiento. Mapear controles del Anexo A. Elaborar Plan de Tratamiento de Riesgos. Producir Declaración de Aplicabilidad.
Fase 3: Políticas y documentación (Semanas 8–16)
Redactar Política de Seguridad de la Información. Documentar el alcance del SGSI. Crear documentación obligatoria: resultados de evaluación, plan de tratamiento, SoA, objetivos, registros de competencia. Desarrollar políticas y procedimientos operativos.
Fase 4: Implementación de controles (Semanas 12–24)
Implementar controles de acceso basados en roles. Desplegar controles técnicos: MFA, protección de endpoints, gestión de parches. Realizar formación de concienciación. Establecer gestión de seguridad de proveedores. Implementar procedimientos de gestión de incidentes. Desplegar registro y monitorización.
Fase 5: Auditoría interna y revisión por la dirección (Semanas 20–28)
Planificar y realizar auditoría interna del SGSI. Documentar todos los hallazgos. Implementar acciones correctivas. Verificar efectividad. Realizar revisión por la dirección. Confirmar preparación para la auditoría.
Fase 6: Auditoría de certificación y más allá (Semanas 24–36)
Etapa 1 (revisión documental). Etapa 2 (auditoría de implementación in situ). Abordar no conformidades. Recibir certificado (válido 3 años). Establecer operaciones SGSI continuas.
Puntos clave
La certificación ISO 27001 es alcanzable para cualquier organización que comprometa los recursos adecuados. Los puntos de falla más comunes: evaluación de riesgos insuficiente, documentación inadecuada y no conformidades sin resolver antes de la auditoría.
¿Listo para estimar los costos de su ISO 27001?
Use nuestro calculador gratuito para obtener una estimación personalizada de costos, esfuerzo y plazos basada en su perfil empresarial.