Declaración de Aplicabilidad de ISO 27001: Guía completa

Introducción

La Declaración de Aplicabilidad (SoA) es el documento más importante en una implementación ISO 27001. Conecta su evaluación de riesgos con los controles implementados y sirve como referencia principal para los auditores.

¿Qué es la Declaración de Aplicabilidad?

La SoA es requerida formalmente por ISO 27001 Cláusula 6.1.3(d). Debe documentar para cada uno de los 93 controles del Anexo A: Aplicabilidad, Justificación para inclusión, Estado de implementación e Implementación.

Las tres decisiones para cada control

Decisión 1 — ¿Es aplicable? Las exclusiones deben justificarse. Decisión 2 — ¿Por qué está incluido? Vincule cada control a un riesgo, requisito legal u obligación contractual. Decisión 3 — ¿Cuál es el estado? Planificado, En Progreso o Implementado.

Construyendo su Declaración de Aplicabilidad

Paso 1: Comenzar con el plan de tratamiento de riesgos. Paso 2: Añadir controles de requisitos legales. Paso 3: Revisar controles restantes. Paso 4: Documentar exclusiones cuidadosamente. Paso 5: Obtener aprobación de la dirección.

Errores comunes de SoA que fallan auditorías

Justificaciones genéricas: "N/A" sin explicación es señal de alerta. Desconexión del registro de riesgos: Controles sin vinculación a riesgos específicos. Informe de estado optimista: Marcar controles como "implementados" cuando solo están parcialmente. Documento estático: No actualizar cuando cambia el alcance o los riesgos.

Mantener la SoA actualizada

La SoA debe revisarse al menos anualmente y cuando: se añaden nuevos servicios o tecnologías, se identifican nuevos riesgos, cambia el estado de controles, o hay hallazgos de auditoría.

Trate la revisión de SoA como punto fijo en su revisión trimestral de SGSI.

Puntos clave

La SoA es la columna vertebral de su SGSI ISO 27001. Una SoA de alta calidad acelera la certificación, simplifica las auditorías de vigilancia y proporciona una hoja de ruta clara para la mejora.