Requerimientos ISO 27001:2022 — Documentación y Evidencia para Certificarse
La norma ISO/IEC 27001:2022 define con precisión qué documentos debe tener una organización para obtener la certificación y qué evidencia operativa debe presentar al auditor para demostrar que esos controles funcionan en la práctica. Son dos categorías distintas y ambas son auditadas.
Esta página lista los requerimientos mandatorios actualizados a la versión 2022, la estructura de cláusulas del SGSI y los documentos adicionales que determinan si la certificación se obtiene o se retrasa.
Documentación obligatoria vs. evidencia operativa: la distinción que más confunde
El auditor de certificación ISO 27001 busca dos cosas diferentes. La primera es que los documentos requeridos por la norma existan, estén aprobados y estén vigentes. La segunda es que haya evidencia de que los controles definidos en esos documentos operan en el día a día de la organización. Muchas empresas llegan a auditoría con documentación perfecta pero sin registros operativos — y es exactamente ahí donde la certificación falla.
Documentación obligatoria
Son los documentos que la norma exige explícitamente como requisito de diseño del SGSI. Sin ellos, la auditoría no puede continuar. El auditor los revisa en la Etapa 1 (revisión documental, normalmente remota) y determina si la organización está lista para la Etapa 2.
Evidencia operativa
Son los registros que demuestran que los controles funcionan: logs de acceso revisados, actas de capacitación firmadas, resultados de pruebas de backup, reportes de gestión de vulnerabilidades. Se verifican en la Etapa 2 (auditoría en sitio) y son la causa más frecuente de no conformidades.
Documentación mandatoria para la certificación ISO 27001:2022
La siguiente lista corresponde a los documentos explícitamente requeridos por la norma ISO/IEC 27001:2022. Cada cláusula referenciada es verificada por el auditor en la Etapa 1.
| Documento | Cláusula ISO 27001:2022 | Qué verifica el auditor |
|---|---|---|
| Alcance del SGSI | 4.3 | Que define con precisión qué sistemas, procesos y ubicaciones están incluidos. Que los límites con lo que está fuera del alcance estén documentados. |
| Política de seguridad de la información | 5.2 | Que esté aprobada y firmada por la alta dirección. Que sea accesible a todo el personal y partes interesadas relevantes. |
| Metodología de evaluación de riesgos | 6.1.2 | Que la metodología sea consistente, documentada y aplicada de manera uniforme en toda la organización. |
| Metodología de tratamiento de riesgos | 6.1.3 | Que las opciones de tratamiento (mitigar, aceptar, transferir, evitar) estén definidas y que las decisiones sean trazables. |
| Declaración de Aplicabilidad (SoA) | 6.1.3d | Que cubra los 93 controles del Anexo A con decisión de inclusión/exclusión justificada para cada uno. Es el documento central de la auditoría. |
| Plan de tratamiento de riesgos | 6.1.3, 8.3 | Que cada riesgo identificado tenga una decisión documentada y un responsable asignado con fecha de implementación. |
| Objetivos de seguridad de la información | 6.2 | Que sean medibles, que tengan responsable y que sean coherentes con la política de seguridad. |
| Resultados de la evaluación de riesgos | 8.2 | Registro del proceso de evaluación: activos, amenazas, vulnerabilidades, impacto, probabilidad y nivel de riesgo resultante. |
| Inventario de activos de información | Anexo A 5.9 | Que exista un registro de activos clasificados por criticidad y con propietario asignado. |
| Programa y resultados de auditoría interna | 9.2 | Que se hayan realizado auditorías internas con hallazgos documentados y acciones correctivas cerradas. |
| Evidencia de revisión por la dirección | 9.3 | Actas donde la alta dirección revisó el SGSI, con compromisos de mejora documentados y firmados. |
| Registro de no conformidades y acciones correctivas | 10.1 | Que las no conformidades identificadas (incluyendo las de auditorías internas) tengan acciones correctivas con estado de cierre. |
| Evidencia de competencias del personal | 7.2 | Registros de capacitación, certificaciones o experiencia demostrable del personal con roles de seguridad. |
Documentos adicionales del Anexo A que el auditor solicita con más frecuencia
El Anexo A no prescribe documentos específicos para todos sus controles, pero el auditor solicita evidencia de su implementación. Estos son los que generan más hallazgos cuando no existen o están desactualizados.
Política de control de acceso
Cubre controles 8.2–8.5. Define quién tiene acceso a qué sistemas y bajo qué condiciones. Debe incluir criterios de asignación, revisión periódica de privilegios y proceso de revocación al desvincularse un usuario.
Evidencia requerida: registros de revisiones de acceso, logs de desactivación de cuentas.
Política de uso aceptable de activos
Cubre control 5.10. Define el uso permitido de dispositivos, sistemas y datos corporativos. Debe estar firmada por todo el personal y actualizada cuando cambian las condiciones (trabajo remoto, BYOD, cloud).
Evidencia requerida: registros de aceptación firmados y fechados por empleado.
Política de seguridad de proveedores
Cubre controles 5.19–5.22. Define requisitos de seguridad para proveedores con acceso a información o sistemas. En México aplica especialmente a proveedores de cloud, outsourcing de TI y servicios gestionados.
Evidencia requerida: contratos con cláusulas de seguridad, evaluaciones de proveedores.
Procedimiento de gestión de incidentes
Cubre controles 5.24–5.28. Define cómo se detectan, reportan, clasifican, responden y documentan los incidentes de seguridad. El auditor solicita registros de incidentes reales gestionados bajo este procedimiento.
Evidencia requerida: ticket o registro de al menos un incidente con ciclo completo documentado.
Procedimiento de gestión de vulnerabilidades
Cubre control 8.8. Define cómo se identifican, priorizan y remedian vulnerabilidades en sistemas. En la versión 2022 se espera un proceso continuo, no solo escaneos anuales.
Evidencia requerida: reportes de escaneos recientes, tickets de remediación con SLA.
Plan de continuidad y seguridad de la información
Cubre controles 5.29–5.30. Nuevo en ISO 27001:2022. Define cómo se mantiene la seguridad de la información durante una disrupción y cómo se garantiza la recuperación de sistemas TIC.
Evidencia requerida: resultado de prueba de recuperación (tabletop o real) con fecha reciente.
Estructura del SGSI: las 10 cláusulas de ISO 27001:2022
La norma está organizada en cláusulas numeradas del 1 al 10. Las cláusulas 4 a 10 son las operativas — las que el auditor verifica. Las tres primeras son introductorias.
| Cláusula | Área | Qué requiere en la práctica |
|---|---|---|
| 4 | Contexto de la organización | Análisis del contexto interno y externo, identificación de partes interesadas y definición documentada del alcance del SGSI. |
| 5 | Liderazgo | Compromiso demostrable de la alta dirección: política aprobada, roles asignados, recursos comprometidos. No es opcional ni delegable a TI. |
| 6 | Planificación | Evaluación y tratamiento de riesgos documentados. SoA aprobado. Objetivos de seguridad medibles con responsable asignado. |
| 7 | Soporte | Recursos, competencias del equipo de seguridad, concienciación del personal, control de documentos del SGSI. |
| 8 | Operación | Ejecución de la evaluación y tratamiento de riesgos. Gestión de cambios. Evidencia de que los controles operan. |
| 9 | Evaluación del desempeño | Monitoreo y medición de controles. Auditoría interna realizada. Revisión formal por la dirección con actas. |
| 10 | Mejora | No conformidades documentadas con acciones correctivas cerradas. Evidencia de mejora continua del SGSI. |
Requisitos regulatorios en México que se alinean con ISO 27001:2022
ISO 27001 no opera en el vacío. En México, varias regulaciones sectoriales exigen controles de seguridad que se satisfacen directamente con la implementación del SGSI. Esto significa que la certificación ISO 27001 no solo demuestra buenas prácticas — reduce el esfuerzo de cumplimiento regulatorio específico.
Sector financiero — CNBV y Banxico
Las Disposiciones de Carácter General en materia de Seguridad de la Información aplicables a instituciones de crédito (CNBV) exigen controles de gestión de riesgos, control de acceso, gestión de incidentes y continuidad que tienen mapeo directo con cláusulas 6, 8 y controles del Anexo A de ISO 27001:2022.
La certificación ISO 27001 no sustituye la supervisión de CNBV pero reduce significativamente el esfuerzo de demostración de cumplimiento ante el regulador.
Protección de datos — LFPDPPP
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares exige medidas de seguridad administrativas, técnicas y físicas para datos personales. Los controles de clasificación de información (5.9–5.13), control de acceso (8.2–8.5) y eliminación de información (8.10) de ISO 27001:2022 satisfacen directamente estos requisitos.
El control 8.10 (Eliminación de información), nuevo en 2022, es especialmente relevante para cumplimiento de LFPDPPP en México.
Sector de pagos — PCI DSS
Para organizaciones que procesan tarjetas de pago, PCI DSS 4.0 comparte controles significativos con ISO 27001:2022 en gestión de acceso, segmentación de red, monitoreo y gestión de vulnerabilidades. Una organización certificada en ISO 27001 tiene avanzado entre un 40% y 60% del camino hacia el cumplimiento PCI DSS.
La diferencia clave: PCI DSS tiene requisitos técnicos más prescriptivos (criptografía, red, logs) que ISO 27001 deja a criterio de la organización.
Gobierno y sector público
El Plan Nacional de Ciberseguridad 2025-2030 de México establece como objetivo que dependencias gubernamentales adopten marcos de gestión de riesgos de seguridad de la información. ISO 27001 es el estándar internacional de referencia para ese objetivo y es crecientemente requerido en licitaciones federales y contratos con entidades públicas.
Proveedores de servicios a gobierno que no tienen ISO 27001 quedan fuera de procesos de licitación donde se exige como requisito técnico.
Recurso de profundidad
Declaración de Aplicabilidad: el documento que más no conformidades genera
El SoA es el documento central de la auditoría ISO 27001. Cómo se construye, qué columnas debe tener, cómo justificar exclusiones de controles y qué verifica el auditor control por control — todo en la guía operativa del SoA.
Guía completa del SoA →Cómo acompaña QMA el proceso de requerimientos
Los requerimientos de ISO 27001:2022 no son una lista de entregables: son el resultado de un proceso de análisis, decisión y operación. En QMA lo ejecutamos en fases, asegurándonos de que cada documento sea trazable al análisis de riesgos real de la organización y que cada evidencia operativa exista antes de que llegue el auditor — no después.
Gap analysis inicial
Diagnóstico contra los 13 documentos obligatorios y los requerimientos del Anexo A más frecuentemente auditados. Resultado: mapa de cumplimiento actual, estimación de esfuerzo y plan de remediación priorizado.
Construcción de documentación
Elaboramos o revisamos cada documento requerido adaptado al contexto real de la organización. No entregamos plantillas genéricas — cada documento referencia el análisis de riesgos específico y los sistemas en el alcance.
Generación de evidencia operativa
Ayudamos a establecer los registros que el auditor solicita: revisiones de acceso, registros de capacitación, resultados de pruebas de backup y continuidad, reportes de gestión de vulnerabilidades. La evidencia se genera antes de la auditoría.
El siguiente paso: diagnóstico de sus requerimientos actuales
Si está preparando la certificación ISO 27001 o evaluando el estado de cumplimiento de su SGSI actual, el punto de partida es saber exactamente qué tiene y qué le falta. En QMA ejecutamos ese diagnóstico con rigor de auditoría — sin optimismo infundado sobre lo que ya “está listo”.
