Inicio » ISO 27001 en México · Guía completa del SGSI 2022 » Requerimientos del SGSI · ISO 27001:2022

- REQUERIMIENTOS- ISO 27001


Requerimientos ISO 27001:2022 — Documentación y Evidencia para Certificarse

La norma ISO/IEC 27001:2022 define con precisión qué documentos debe tener una organización
para obtener la certificación y qué evidencia operativa debe presentar al auditor para demostrar
que esos controles funcionan en la práctica. Son dos categorías distintas y ambas son auditadas.

Esta página lista los requerimientos mandatorios actualizados a la versión 2022, la estructura
de cláusulas del SGSI y los documentos adicionales que determinan si la certificación se obtiene
o se retrasa.


Hablar con un especialista


Ver proceso de certificación

Hoja de ruta ISO 27001
Guía del SoA
GRC y cumplimiento
Marco Zero Trust

Documentación obligatoria vs. evidencia operativa: la distinción que más confunde

El auditor de certificación ISO 27001 busca dos cosas diferentes. La primera es que los documentos
requeridos por la norma existan, estén aprobados y estén vigentes. La segunda es que haya evidencia
de que los controles definidos en esos documentos operan en el día a día de la organización.
Muchas empresas llegan a auditoría con documentación perfecta pero sin registros operativos —
y es exactamente ahí donde la certificación falla.

Documentación obligatoria

Son los documentos que la norma exige explícitamente como requisito de diseño del SGSI.
Sin ellos, la auditoría no puede continuar. El auditor los revisa en la Etapa 1
(revisión documental, normalmente remota) y determina si la organización está lista para
la Etapa 2.

Evidencia operativa

Son los registros que demuestran que los controles funcionan: logs de acceso revisados,
actas de capacitación firmadas, resultados de pruebas de backup, reportes de gestión de
vulnerabilidades. Se verifican en la Etapa 2 (auditoría en sitio) y son
la causa más frecuente de no conformidades.

Documentación mandatoria para la certificación ISO 27001:2022

La siguiente lista corresponde a los documentos explícitamente requeridos por la norma
ISO/IEC 27001:2022. Cada cláusula referenciada es verificada por el auditor en la Etapa 1.

DocumentoCláusula ISO 27001:2022Qué verifica el auditor
Alcance del SGSI4.3Que define con precisión qué sistemas, procesos y ubicaciones están incluidos. Que los límites con lo que está fuera del alcance estén documentados.
Política de seguridad de la información5.2Que esté aprobada y firmada por la alta dirección. Que sea accesible a todo el personal y partes interesadas relevantes.
Metodología de evaluación de riesgos6.1.2Que la metodología sea consistente, documentada y aplicada de manera uniforme en toda la organización.
Metodología de tratamiento de riesgos6.1.3Que las opciones de tratamiento (mitigar, aceptar, transferir, evitar) estén definidas y que las decisiones sean trazables.
Declaración de Aplicabilidad (SoA)6.1.3dQue cubra los 93 controles del Anexo A con decisión de inclusión/exclusión justificada para cada uno. Es el documento central de la auditoría.
Plan de tratamiento de riesgos6.1.3, 8.3Que cada riesgo identificado tenga una decisión documentada y un responsable asignado con fecha de implementación.
Objetivos de seguridad de la información6.2Que sean medibles, que tengan responsable y que sean coherentes con la política de seguridad.
Resultados de la evaluación de riesgos8.2Registro del proceso de evaluación: activos, amenazas, vulnerabilidades, impacto, probabilidad y nivel de riesgo resultante.
Inventario de activos de informaciónAnexo A 5.9Que exista un registro de activos clasificados por criticidad y con propietario asignado.
Programa y resultados de auditoría interna9.2Que se hayan realizado auditorías internas con hallazgos documentados y acciones correctivas cerradas.
Evidencia de revisión por la dirección9.3Actas donde la alta dirección revisó el SGSI, con compromisos de mejora documentados y firmados.
Registro de no conformidades y acciones correctivas10.1Que las no conformidades identificadas (incluyendo las de auditorías internas) tengan acciones correctivas con estado de cierre.
Evidencia de competencias del personal7.2Registros de capacitación, certificaciones o experiencia demostrable del personal con roles de seguridad.

Documentos adicionales del Anexo A que el auditor solicita con más frecuencia

El Anexo A no prescribe documentos específicos para todos sus controles, pero el auditor
solicita evidencia de su implementación. Estos son los que generan más hallazgos cuando
no existen o están desactualizados.

  • Política de control de acceso

    Cubre controles 8.2–8.5. Define quién tiene acceso a qué sistemas y bajo qué condiciones. Incluye criterios de asignación, revisión periódica de privilegios y proceso de revocación.

  • Política de uso aceptable de activos

    Cubre control 5.10. Define el uso permitido de dispositivos, sistemas y datos corporativos. Debe estar firmada por todo el personal y actualizada cuando cambian las condiciones.

  • Política de seguridad de proveedores

    Cubre controles 5.19–5.22. Define requisitos de seguridad para proveedores con acceso a información o sistemas. En México aplica especialmente a proveedores cloud y outsourcing de TI.

  • Procedimiento de gestión de incidentes

    Cubre controles 5.24–5.28. Define cómo se detectan, reportan, clasifican, responden y documentan los incidentes de seguridad. El auditor solicita registros de incidentes reales gestionados.

  • Procedimiento de gestión de vulnerabilidades

    Cubre control 8.8. Define cómo se identifican, priorizan y remedian vulnerabilidades. En la versión 2022 se espera proceso continuo, no solo escaneos anuales.

  • Plan de continuidad y seguridad de la información

    Cubre controles 5.29–5.30. Nuevo en ISO 27001:2022. Define cómo se mantiene la seguridad durante una disrupción y cómo se garantiza la recuperación de sistemas TIC.

Estructura del SGSI: las 10 cláusulas de ISO 27001:2022

La norma está organizada en cláusulas numeradas del 1 al 10. Las cláusulas 4 a 10 son las
operativas — las que el auditor verifica. Las tres primeras son introductorias.

CláusulaÁreaQué requiere en la práctica
4Contexto de la organizaciónAnálisis del contexto interno y externo, identificación de partes interesadas y definición documentada del alcance del SGSI.
5LiderazgoCompromiso demostrable de la alta dirección: política aprobada, roles asignados, recursos comprometidos. No es opcional ni delegable a TI.
6PlanificaciónEvaluación y tratamiento de riesgos documentados. SoA aprobado. Objetivos de seguridad medibles con responsable asignado.
7SoporteRecursos, competencias del equipo de seguridad, concienciación del personal, control de documentos del SGSI.
8OperaciónEjecución de la evaluación y tratamiento de riesgos. Gestión de cambios. Evidencia de que los controles operan.
9Evaluación del desempeñoMonitoreo y medición de controles. Auditoría interna realizada. Revisión formal por la dirección con actas.
10MejoraNo conformidades documentadas con acciones correctivas cerradas. Evidencia de mejora continua del SGSI.

Requisitos regulatorios en México que se alinean con ISO 27001:2022

ISO 27001 no opera en el vacío. En México, varias regulaciones sectoriales exigen controles
de seguridad que se satisfacen directamente con la implementación del SGSI. Esto significa que
la certificación ISO 27001 no solo demuestra buenas prácticas — reduce el esfuerzo de cumplimiento
regulatorio específico.

Categoría 1

Sector financiero

Las Disposiciones de Carácter General en materia de Seguridad de la Información aplicables a instituciones de crédito (CNBV) exigen controles de gestión de riesgos, control de acceso y respuesta a incidentes.

CNBV Banxico
Alineación: Banxico Circular 50/2018 y Anexo A 2022 (controles 5.x organizacionales + 8.x tecnológicos).
Categoría 2

Protección de datos

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares exige medidas administrativas, técnicas y físicas. Los controles del Anexo A satisfacen casi todos los requisitos.

LFPDPPP datos personales
Mapping directo: Controles 5.32–5.34 + 8.1–8.13 cubren obligaciones LFPDPPP.
Categoría 3

Sector de pagos

Para organizaciones que procesan tarjetas, PCI DSS 4.0 comparte controles significativos con ISO 27001:2022 en gestión de acceso, segmentación de red, monitoreo y gestión de vulnerabilidades.

PCI DSS pagos
Reusabilidad: 60-70% de la evidencia operativa sirve para ambos marcos.
Categoría 4

Gobierno y sector público

El Plan Nacional de Ciberseguridad 2025-2030 establece como objetivo que dependencias gubernamentales adopten marcos de gestión de riesgos de seguridad de la información.

Plan Nacional 2025-2030
Equivalencia esperada: Ver Hub Ley de Ciberseguridad.

Cómo acompaña QMA el proceso de requerimientos

Los requerimientos de ISO 27001:2022 no son una lista de entregables: son el resultado de
un proceso de análisis, decisión y operación. En QMA lo ejecutamos en fases, asegurándonos
de que cada documento sea trazable al análisis de riesgos real de la organización y que
cada evidencia operativa exista antes de que llegue el auditor — no después.

  1. Gap analysis inicial. Diagnóstico contra los 13 documentos obligatorios y los requerimientos del Anexo A más frecuentemente auditados. Resultado: mapa de cumplimiento actual, estimación de esfuerzo y plan de remediación priorizado.
  2. Construcción de documentación. Elaboramos o revisamos cada documento requerido adaptado al contexto real de la organización. No entregamos plantillas genéricas — cada documento referencia el análisis de riesgos propio.
  3. Generación de evidencia operativa. Ayudamos a establecer los registros que el auditor solicita: revisiones de acceso, registros de capacitación, resultados de pruebas de backup y continuidad, reportes de gestión de vulnerabilidades.

El siguiente paso: diagnóstico de sus requerimientos actuales

Si está preparando la certificación ISO 27001 o evaluando el estado de cumplimiento de su
SGSI actual, el punto de partida es saber exactamente qué tiene y qué le falta.
En QMA ejecutamos ese diagnóstico con rigor de auditoría — sin optimismo infundado sobre
lo que ya “está listo”.


Hablar con un especialista


Ver proceso de certificación


Hoja de ruta completa

¿Ya tiene ISO 27001? ¿Busca maximizar su inversión en la norma? Nuestros servicios de consultoría en ISO 27001 aseguran que su organización aproveche al máximo su sistema de gestión y mantenga un cumplimiento continuo y efectivo. Ver detalles de ISO 27001 Conozca los requerimientos Solicite una propuesta

Scroll al inicio