Declaración de aplicabilidad de la norma ISO/IEC 27001

La norma ISO/IEC 27001 es un estándar internacional que establece los requisitos para el diseño, implementación, mantenimiento y mejora continua de un Sistema de Gestión de Seguridad de la Información (SGSI) en las organizaciones, buscando que puedan proteger los activos de información y gestionar de una mejor manera los diferentes riesgos de seguridad a los que estos están expuestos. 

La ISO/IEC 27001 es certificable y uno de los documentos obligatorios para esta certificación es la declaración de aplicabilidad, Statement of Applicability (SoA), entre otras cosas porque permite demostrar la conformidad con la norma y ayuda a facilitar la gestión y el mantenimiento del SGSI. 

En este artículo podrás conocer más sobre la declaración de aplicabilidad de la ISO/IEC 27001: de qué se trata este documento, qué información debe considerar y cuáles son las ventajas de contar con este documento, además de poder certificarse en la norma.

¿Qué es la declaración de aplicabilidad?

Como mencionamos, la declaración de aplicabilidad se trata de un documento obligatorio para certificarse en la norma. Está relacionado principalmente con los objetivos de seguridad y el cumplimiento de los controles de seguridad de la información que se presentan en el Anexo A, los cuales en la última versión de la norma (ISO/IEC 27001:2022) pasaron de ser 114 a 93 controles y están clasificados así:

1. A.5 Controles organizacionales (37)
2. A.6 Controles de personas (8)
3. A.7 Controles físicos (14)
4. A.8 Controles tecnológicos (34)

En la declaración de aplicabilidad las organizaciones deben especificar cuáles de estos controles de seguridad de la información son aplicables al SGSI implementado, es decir, este documento debe dar cuenta si cada uno de los 93 controles les aplican o no, además, justificar la inclusión o exclusión de estos y mencionar cuál es su estado. 

¿Qué información debe tener la declaración de aplicabilidad?

Básicamente, el SoA debe contener la siguiente información:

• Objetivos de seguridad de la organización.
  
  
• Controles de seguridad seleccionados para aplicarlos en el SGSI. Para esta selección se deben tener en cuenta los resultados de la evaluación de los riesgos identificados, así como los requisitos u obligaciones legales, reglamentarias o contractuales relacionados con seguridad de la información. 
  
  
• Justificación tanto de los controles seleccionados como de los que no son aplicables.
  
  
• Estado de implementación de los controles.
  
  
• Evidencia de la aplicabilidad de los controles en el SGSI.
  
  
• Datos adicionales que puedan ser de valor, por ejemplo, las fechas de implementación de los controles, entre otros.

Ventajas de tener la declaración de aplicabilidad

Más allá de ser un documento obligatorio para la certificación en la ISO/IEC 27001, que además sirve de guía para que los auditores puedan verificar el cumplimiento de lo establecido, la declaración de aplicabilidad presenta otras ventajas para las organizaciones que implementan un Sistema de Gestión de Seguridad de la Información, por ejemplo:

• Tener un resumen del proceso de gestión de riesgos de seguridad de la información de la organización, pues incluye las áreas, los procesos y los activos que están en el SGSI.
  
  
• Tener el registro y conocimiento de los controles de seguridad de la información aplicados para la prevención y mitigación de los riesgos. Permite tener trazabilidad.
  
  
• Facilitar la gestión, el mantenimiento y la mejora continua del SGSI para que las organizaciones puedan asegurar en todo momento la confidencialidad, integridad y disponibilidad de la información. 

Por todo lo anterior, es de gran importancia contar con esta declaración de aplicabilidad y mucho más si la organización quiere certificarse en la norma ISO/IEC 27001. 

Vale la pena recordar que contar con una certificación como esta representa ventajas competitivas como aumentar la confianza entre los clientes, accionistas y otros grupos de interés porque demuestra que la empresa está comprometida con garantizar la seguridad de la información. 

Y a través de nuestro sistema de gestión de seguridad de la información, ISMS, también ayudamos a las empresas a definir y dar cumplimiento a los diferentes controles referenciados en el Anexo A de la norma. Crea tu cuenta en Pirani y conoce cómo lo hacemos y cómo nuestra herramienta puede facilitarte la declaración de aplicabilidad.