Gestión de la Seguridad de la Información
Anexo A ISO/IEC 27001:2022 y metodología de selección de controles
El Anexo A de ISO/IEC 27001:2022 presenta un catálogo de 93 controles de seguridad que orientan a las organizaciones en la protección de la información dentro de un Sistema de Gestión de Seguridad de la Información (SGSI).
Estos controles permiten gestionar riesgos de seguridad mediante prácticas organizacionales, humanas, físicas y tecnológicas.
En la versión 2022 del estándar, los controles se agrupan en cuatro categorías principales:
Haz clic sobre cada recuadro para acceder a la información.
Controles organizacionales
Controles de personas
Controles físicos
Controles tecnologicos
Fuente: canva.com
Fuente: canva.com
Estructura del Anexo A de ISO/IEC 27001:2022
Metodología de selección de controles
Los controles del Anexo A no se implementan de forma automática. Su selección se basa en la evaluación de riesgos de seguridad de la información. El proceso de selección de controles puede seguir cinco pasos principales:
Haz clic sobre cada recuadro para acceder a la información.
Identificación de amenazas y vulnerabilidades
Identificación de activos de información
Fuente: canva.com
Evaluación de riesgos
Documentación en la Declaración de Aplicabilidad (SoA
Selección de controles del Anexo A
Fuente: canva.com
Este documento: - Lista los controles seleccionados del Anexo A
- Justifica por qué se implementan determinados controles
- Explica por qué algunos controles no aplican a la organización.
La SoA permite evidenciar cómo una organización gestiona sus riesgos de seguridad de la información.
Declaración de Aplicabilidad (SoA) La Declaración de Aplicabilidad (Statement of Applicability) es uno de los documentos centrales del SGSI.
Referencias
Controles organizacionales
Relacionados con políticas, procesos y gobernanza de la seguridad de la información.
Ejemplos: política de seguridad, gestión de riesgos, gestión de proveedores.
Evaluación de riesgos
Determinar la probabilidad e impacto de los riesgos identificados.
Identificación de activos de información
Determinar qué información, sistemas y recursos son críticos para la organización.
Documentación en la Declaración de Aplicabilidad (SoA)
Registrar los controles seleccionados y justificar su implementación.
Identificación de amenazas y vulnerabilidades
Analizar los eventos que podrían afectar la seguridad de los activos.
Controles de personas
Define acceso preferencial a mercados internacionales
Enfocados en el comportamiento de los usuarios y la gestión del factor humano.
Ejemplos: concienciación en seguridad, responsabilidades del personal, control de accesos de usuarios.
Fuente: canva.com
Selección de controles del Anexo A
Elegir los controles que permitan mitigar los riesgos detectados.
Controles Tecnologicos
Implementados mediante herramientas tecnológicas para proteger sistemas y datos.
Ejemplos: control de acceso lógico, protección contra malware, monitoreo de eventos, copias de seguridad.
La nueva estructura simplifica el estándar respecto a la versión anterior:
ISO/IEC 27001:2013: 114 controles en 14 dominios
ISO/IEC 27001:2022: 93 controles en 4 categorías
Esto permite una comprensión más clara y facilita su aplicación en entornos organizacionales actuales.
Fuente: canva.com
Referencias
Calder, A., & Watkins, S. (2023). IT Governance: An international guide to data security and ISO 27001/ISO 27002 (8.ª ed.). IT Governance Publishing.
ISO. (2022). ISO/IEC 27001:2022: Information security, cybersecurity and privacy protection — Information security management systems - Requirements.
ISO. (2022). ISO/IEC 27002:2022: Information security, cybersecurity and privacy protection — Information security controls.
Controles físicos
Orientados a proteger instalaciones, infraestructura y equipamiento. Ejemplos: seguridad de instalaciones, protección de equipos, control de acceso físico. Controles tecnológicos Implementados mediante herramientas tecnológicas para proteger sistemas y datos. Ejemplos: control de acceso lógico, protección contra malware, monitoreo de eventos, copias de seguridad. La nueva estructura simplifica el estándar respecto a la versión anterior: ISO/IEC 27001:2013: 114 controles en 14 dominios ISO/IEC 27001:2022: 93 controles en 4 categorías.Esto permite una comprensión más clara y facilita su aplicación en entornos organizacionales actuales.
Fuente: canva.com
uss_s9_infografia_Anexo A ISO/IEC 27001:2022 y metodología de selecció
Griky Kontent
Created on March 27, 2026
Start designing with a free template
Discover more than 1500 professional designs like these:
View
Essential Business Proposal
View
Project Roadmap Timeline
View
Step-by-Step Timeline: How to Develop an Idea
View
Artificial Intelligence History Timeline
View
Mobile Phone Call
View
Momentum: Tools Tutorial
View
Momentum: Onboarding Video
Explore all templates
Transcript
Gestión de la Seguridad de la Información
Anexo A ISO/IEC 27001:2022 y metodología de selección de controles
El Anexo A de ISO/IEC 27001:2022 presenta un catálogo de 93 controles de seguridad que orientan a las organizaciones en la protección de la información dentro de un Sistema de Gestión de Seguridad de la Información (SGSI). Estos controles permiten gestionar riesgos de seguridad mediante prácticas organizacionales, humanas, físicas y tecnológicas. En la versión 2022 del estándar, los controles se agrupan en cuatro categorías principales:
Haz clic sobre cada recuadro para acceder a la información.
Controles organizacionales
Controles de personas
Controles físicos
Controles tecnologicos
Fuente: canva.com
Fuente: canva.com
Estructura del Anexo A de ISO/IEC 27001:2022
Metodología de selección de controles
Los controles del Anexo A no se implementan de forma automática. Su selección se basa en la evaluación de riesgos de seguridad de la información. El proceso de selección de controles puede seguir cinco pasos principales:
Haz clic sobre cada recuadro para acceder a la información.
Identificación de amenazas y vulnerabilidades
Identificación de activos de información
Fuente: canva.com
Evaluación de riesgos
Documentación en la Declaración de Aplicabilidad (SoA
Selección de controles del Anexo A
Fuente: canva.com
Este documento:
- Lista los controles seleccionados del Anexo A
- Justifica por qué se implementan determinados controles
- Explica por qué algunos controles no aplican a la organización.
La SoA permite evidenciar cómo una organización gestiona sus riesgos de seguridad de la información.Declaración de Aplicabilidad (SoA) La Declaración de Aplicabilidad (Statement of Applicability) es uno de los documentos centrales del SGSI.
Referencias
Controles organizacionales
Relacionados con políticas, procesos y gobernanza de la seguridad de la información. Ejemplos: política de seguridad, gestión de riesgos, gestión de proveedores.
Evaluación de riesgos
Determinar la probabilidad e impacto de los riesgos identificados.
Identificación de activos de información
Determinar qué información, sistemas y recursos son críticos para la organización.
Documentación en la Declaración de Aplicabilidad (SoA)
Registrar los controles seleccionados y justificar su implementación.
Identificación de amenazas y vulnerabilidades
Analizar los eventos que podrían afectar la seguridad de los activos.
Controles de personas
Define acceso preferencial a mercados internacionales Enfocados en el comportamiento de los usuarios y la gestión del factor humano. Ejemplos: concienciación en seguridad, responsabilidades del personal, control de accesos de usuarios.
Fuente: canva.com
Selección de controles del Anexo A
Elegir los controles que permitan mitigar los riesgos detectados.
Controles Tecnologicos
Implementados mediante herramientas tecnológicas para proteger sistemas y datos. Ejemplos: control de acceso lógico, protección contra malware, monitoreo de eventos, copias de seguridad. La nueva estructura simplifica el estándar respecto a la versión anterior: ISO/IEC 27001:2013: 114 controles en 14 dominios ISO/IEC 27001:2022: 93 controles en 4 categorías Esto permite una comprensión más clara y facilita su aplicación en entornos organizacionales actuales.
Fuente: canva.com
Referencias
Calder, A., & Watkins, S. (2023). IT Governance: An international guide to data security and ISO 27001/ISO 27002 (8.ª ed.). IT Governance Publishing.
ISO. (2022). ISO/IEC 27001:2022: Information security, cybersecurity and privacy protection — Information security management systems - Requirements.
ISO. (2022). ISO/IEC 27002:2022: Information security, cybersecurity and privacy protection — Information security controls.
Controles físicos
Orientados a proteger instalaciones, infraestructura y equipamiento. Ejemplos: seguridad de instalaciones, protección de equipos, control de acceso físico. Controles tecnológicos Implementados mediante herramientas tecnológicas para proteger sistemas y datos. Ejemplos: control de acceso lógico, protección contra malware, monitoreo de eventos, copias de seguridad. La nueva estructura simplifica el estándar respecto a la versión anterior: ISO/IEC 27001:2013: 114 controles en 14 dominios ISO/IEC 27001:2022: 93 controles en 4 categorías.Esto permite una comprensión más clara y facilita su aplicación en entornos organizacionales actuales.
Fuente: canva.com