Requerimientos ISO 27001:2022 — Documentación y Evidencia para Certificarse
La norma ISO/IEC 27001:2022 define con precisión qué documentos debe tener una organización
para obtener la certificación y qué evidencia operativa debe presentar al auditor para demostrar
que esos controles funcionan en la práctica. Son dos categorías distintas y ambas son auditadas.
Esta página lista los requerimientos mandatorios actualizados a la versión 2022, la estructura
de cláusulas del SGSI y los documentos adicionales que determinan si la certificación se obtiene
o se retrasa.
Hablar con un especialista
Ver proceso de certificación
Hoja de ruta ISO 27001
Guía del SoA
GRC y cumplimiento
Marco Zero Trust
Documentación obligatoria vs. evidencia operativa: la distinción que más confunde
El auditor de certificación ISO 27001 busca dos cosas diferentes. La primera es que los documentos
requeridos por la norma existan, estén aprobados y estén vigentes. La segunda es que haya evidencia
de que los controles definidos en esos documentos operan en el día a día de la organización.
Muchas empresas llegan a auditoría con documentación perfecta pero sin registros operativos —
y es exactamente ahí donde la certificación falla.
Documentación obligatoria
Son los documentos que la norma exige explícitamente como requisito de diseño del SGSI.
Sin ellos, la auditoría no puede continuar. El auditor los revisa en la Etapa 1
(revisión documental, normalmente remota) y determina si la organización está lista para
la Etapa 2.
Evidencia operativa
Son los registros que demuestran que los controles funcionan: logs de acceso revisados,
actas de capacitación firmadas, resultados de pruebas de backup, reportes de gestión de
vulnerabilidades. Se verifican en la Etapa 2 (auditoría en sitio) y son
la causa más frecuente de no conformidades.
Documentación mandatoria para la certificación ISO 27001:2022
La siguiente lista corresponde a los documentos explícitamente requeridos por la norma
ISO/IEC 27001:2022. Cada cláusula referenciada es verificada por el auditor en la Etapa 1.
| Documento | Cláusula ISO 27001:2022 | Qué verifica el auditor |
|---|---|---|
| Alcance del SGSI | 4.3 | Que define con precisión qué sistemas, procesos y ubicaciones están incluidos. Que los límites con lo que está fuera del alcance estén documentados. |
| Política de seguridad de la información | 5.2 | Que esté aprobada y firmada por la alta dirección. Que sea accesible a todo el personal y partes interesadas relevantes. |
| Metodología de evaluación de riesgos | 6.1.2 | Que la metodología sea consistente, documentada y aplicada de manera uniforme en toda la organización. |
| Metodología de tratamiento de riesgos | 6.1.3 | Que las opciones de tratamiento (mitigar, aceptar, transferir, evitar) estén definidas y que las decisiones sean trazables. |
| Declaración de Aplicabilidad (SoA) | 6.1.3d | Que cubra los 93 controles del Anexo A con decisión de inclusión/exclusión justificada para cada uno. Es el documento central de la auditoría. |
| Plan de tratamiento de riesgos | 6.1.3, 8.3 | Que cada riesgo identificado tenga una decisión documentada y un responsable asignado con fecha de implementación. |
| Objetivos de seguridad de la información | 6.2 | Que sean medibles, que tengan responsable y que sean coherentes con la política de seguridad. |
| Resultados de la evaluación de riesgos | 8.2 | Registro del proceso de evaluación: activos, amenazas, vulnerabilidades, impacto, probabilidad y nivel de riesgo resultante. |
| Inventario de activos de información | Anexo A 5.9 | Que exista un registro de activos clasificados por criticidad y con propietario asignado. |
| Programa y resultados de auditoría interna | 9.2 | Que se hayan realizado auditorías internas con hallazgos documentados y acciones correctivas cerradas. |
| Evidencia de revisión por la dirección | 9.3 | Actas donde la alta dirección revisó el SGSI, con compromisos de mejora documentados y firmados. |
| Registro de no conformidades y acciones correctivas | 10.1 | Que las no conformidades identificadas (incluyendo las de auditorías internas) tengan acciones correctivas con estado de cierre. |
| Evidencia de competencias del personal | 7.2 | Registros de capacitación, certificaciones o experiencia demostrable del personal con roles de seguridad. |
Documentos adicionales del Anexo A que el auditor solicita con más frecuencia
El Anexo A no prescribe documentos específicos para todos sus controles, pero el auditor
solicita evidencia de su implementación. Estos son los que generan más hallazgos cuando
no existen o están desactualizados.
Política de control de acceso
Cubre controles 8.2–8.5. Define quién tiene acceso a qué sistemas y bajo qué condiciones. Incluye criterios de asignación, revisión periódica de privilegios y proceso de revocación.
Política de uso aceptable de activos
Cubre control 5.10. Define el uso permitido de dispositivos, sistemas y datos corporativos. Debe estar firmada por todo el personal y actualizada cuando cambian las condiciones.
Política de seguridad de proveedores
Cubre controles 5.19–5.22. Define requisitos de seguridad para proveedores con acceso a información o sistemas. En México aplica especialmente a proveedores cloud y outsourcing de TI.
Procedimiento de gestión de incidentes
Cubre controles 5.24–5.28. Define cómo se detectan, reportan, clasifican, responden y documentan los incidentes de seguridad. El auditor solicita registros de incidentes reales gestionados.
Procedimiento de gestión de vulnerabilidades
Cubre control 8.8. Define cómo se identifican, priorizan y remedian vulnerabilidades. En la versión 2022 se espera proceso continuo, no solo escaneos anuales.
Plan de continuidad y seguridad de la información
Cubre controles 5.29–5.30. Nuevo en ISO 27001:2022. Define cómo se mantiene la seguridad durante una disrupción y cómo se garantiza la recuperación de sistemas TIC.
Estructura del SGSI: las 10 cláusulas de ISO 27001:2022
La norma está organizada en cláusulas numeradas del 1 al 10. Las cláusulas 4 a 10 son las
operativas — las que el auditor verifica. Las tres primeras son introductorias.
| Cláusula | Área | Qué requiere en la práctica |
|---|---|---|
| 4 | Contexto de la organización | Análisis del contexto interno y externo, identificación de partes interesadas y definición documentada del alcance del SGSI. |
| 5 | Liderazgo | Compromiso demostrable de la alta dirección: política aprobada, roles asignados, recursos comprometidos. No es opcional ni delegable a TI. |
| 6 | Planificación | Evaluación y tratamiento de riesgos documentados. SoA aprobado. Objetivos de seguridad medibles con responsable asignado. |
| 7 | Soporte | Recursos, competencias del equipo de seguridad, concienciación del personal, control de documentos del SGSI. |
| 8 | Operación | Ejecución de la evaluación y tratamiento de riesgos. Gestión de cambios. Evidencia de que los controles operan. |
| 9 | Evaluación del desempeño | Monitoreo y medición de controles. Auditoría interna realizada. Revisión formal por la dirección con actas. |
| 10 | Mejora | No conformidades documentadas con acciones correctivas cerradas. Evidencia de mejora continua del SGSI. |
Requisitos regulatorios en México que se alinean con ISO 27001:2022
ISO 27001 no opera en el vacío. En México, varias regulaciones sectoriales exigen controles
de seguridad que se satisfacen directamente con la implementación del SGSI. Esto significa que
la certificación ISO 27001 no solo demuestra buenas prácticas — reduce el esfuerzo de cumplimiento
regulatorio específico.
Sector financiero
Las Disposiciones de Carácter General en materia de Seguridad de la Información aplicables a instituciones de crédito (CNBV) exigen controles de gestión de riesgos, control de acceso y respuesta a incidentes.
Protección de datos
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares exige medidas administrativas, técnicas y físicas. Los controles del Anexo A satisfacen casi todos los requisitos.
Sector de pagos
Para organizaciones que procesan tarjetas, PCI DSS 4.0 comparte controles significativos con ISO 27001:2022 en gestión de acceso, segmentación de red, monitoreo y gestión de vulnerabilidades.
Gobierno y sector público
El Plan Nacional de Ciberseguridad 2025-2030 establece como objetivo que dependencias gubernamentales adopten marcos de gestión de riesgos de seguridad de la información.
Cómo acompaña QMA el proceso de requerimientos
Los requerimientos de ISO 27001:2022 no son una lista de entregables: son el resultado de
un proceso de análisis, decisión y operación. En QMA lo ejecutamos en fases, asegurándonos
de que cada documento sea trazable al análisis de riesgos real de la organización y que
cada evidencia operativa exista antes de que llegue el auditor — no después.
- Gap analysis inicial. Diagnóstico contra los 13 documentos obligatorios y los requerimientos del Anexo A más frecuentemente auditados. Resultado: mapa de cumplimiento actual, estimación de esfuerzo y plan de remediación priorizado.
- Construcción de documentación. Elaboramos o revisamos cada documento requerido adaptado al contexto real de la organización. No entregamos plantillas genéricas — cada documento referencia el análisis de riesgos propio.
- Generación de evidencia operativa. Ayudamos a establecer los registros que el auditor solicita: revisiones de acceso, registros de capacitación, resultados de pruebas de backup y continuidad, reportes de gestión de vulnerabilidades.
El siguiente paso: diagnóstico de sus requerimientos actuales
Si está preparando la certificación ISO 27001 o evaluando el estado de cumplimiento de su
SGSI actual, el punto de partida es saber exactamente qué tiene y qué le falta.
En QMA ejecutamos ese diagnóstico con rigor de auditoría — sin optimismo infundado sobre
lo que ya “está listo”.
Hablar con un especialista
Ver proceso de certificación
Hoja de ruta completa

