La ISO 27001, es un estándar internacionalmente reconocido que ayuda a las organizaciones a proteger de forma sistemática y efectiva su información sensible, incluyendo datos financieros, propiedad intelectual, información de empleados o de clientes.
La Declaración de Aplicabilidad (Statement of Applicability o SoA) es un documento fundamental dentro del sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO/IEC 27001, que de debe ser actualizado periódicamente.
¿Qué es?
La Declaración de Aplicabilidad es un documento que:
- Lista todos los controles del Anexo A de la norma ISO 27001 (versión 2022: 93 controles organizados en 4 secciones).
- Indica si cada control se aplica o no al SGSI de la organización.
- Justifica por qué se aplica o no cada control.
- Proporciona una referencia a cómo se implementa cada control aplicable.
¿Para qué sirve?
- Es una herramienta clave para demostrar conformidad con la norma.
- Conecta el análisis de riesgos con los controles implementados.
- Sirve como guía para auditorías internas y externas.
- Asegura que la organización ha considerado todos los controles pertinentes y ha tomado decisiones informadas sobre su aplicabilidad.
¿Qué contiene típicamente?
Una tabla con columnas como:
| Control | Descripción | ¿Aplicable? | Justificación | Estado de Implementación | Referencias |
|---|---|---|---|---|---|
| A.5.1 | Políticas de seguridad de la información | Sí | Riesgos identificados en el análisis de riesgos | Implementado | Política de SI v1.2 |
Relación con el análisis de riesgos
La Declaración de Aplicabilidad se basa en los resultados del análisis y tratamiento de riesgos. Una vez identificados los riesgos, se seleccionan los controles necesarios para mitigarlos, y esto se refleja en la SoA.
Importancia para certificación ISO 27001
Durante una auditoría de certificación, el auditor revisará en detalle la SoA para verificar:
- Coherencia con el análisis de riesgos.
- Implementación efectiva de los controles aplicables.
- Justificaciones razonables para controles no aplicados.
Si está interesado en conocer más sobre la implementación y la automatización de la norma ISO 27001 y sobre la declaración de aplicabilidad, no dude en ponerse en contacto con nosotros.