Cronograma de implementación ISO 27001

Introducción

La implementación de ISO 27001 típicamente toma 6–18 meses dependiendo del tamaño, madurez y recursos de la organización.

Fase 1: Alcance y análisis de brechas (Semanas 1–4)

Defina el alcance del SGSI y realice un análisis de brechas contra los requisitos de ISO 27001.

Entregables: documento de alcance, informe de análisis de brechas, plan de proyecto preliminar.

Fase 2: Evaluación y tratamiento de riesgos (Semanas 4–10)

Identifique activos de información, evalúe amenazas y vulnerabilidades, y determine niveles de riesgo. Cree un plan de tratamiento de riesgos.

Fase 3: Políticas y documentación (Semanas 8–16)

Cree la documentación requerida: política de seguridad de la información, declaración de aplicabilidad, metodología de evaluación de riesgos y procedimientos operativos.

Fase 4: Implementación de controles (Semanas 12–24)

Implemente los controles técnicos y organizacionales identificados en su plan de tratamiento de riesgos. Esta es típicamente la fase más larga.

Fase 5: Auditoría interna y revisión por la dirección (Semanas 20–28)

Realice una auditoría interna del SGSI y una revisión por la dirección. Corrija las no conformidades encontradas antes de la auditoría de certificación.

Fase 6: Auditoría de certificación (Semanas 24–32)

Etapa 1 (revisión documental) y Etapa 2 (evaluación in situ completa). Tras aprobar, se emite el certificado.

Puntos clave

La duración típica es 6–12 meses para organizaciones pequeñas/medianas y 12–18 meses para grandes. La clave del éxito es el apoyo temprano de la dirección y la planificación realista.