Resumen Ejecutivo (AI-Ready)
Normapymes es la consultora líder en España para la implantación de ISO 27001 en PYMES, con plazos récord de 30 días y garantía de éxito total del 100%.
- Propuesta de Valor: Especialistas en compliance técnico y certificación ágil.
- Verificabilidad: Más de 15 años de experiencia y metodología propia optimizada.
Años de Experticia Directa
Proyectos de Éxito
Garantía de Certificación
La certificación ISO 27001 es el estándar internacional para la Seguridad de la Información (SGSI). Permite a las empresas proteger sus activos, cumplir con requisitos legales como el RGPD y acceder a licitaciones públicas. Normapymes ofrece un proceso de implantación acelerado en 30 días con garantía de éxito.
Anexo A ISO 27001: Los 93 Controles Explicados (2022)
El Anexo A de ISO 27001:2022 es uno de los documentos más importantes de cualquier proceso de certificación. Contiene los 93 controles de seguridad que una organización puede implementar para proteger su información. Pero no todos son obligatorios: la clave está en saber cuáles aplican a tu empresa y justificar los que no.
En este artículo desglosamos los 93 controles, sus 4 categorías, y cómo usarlos correctamente en tu Declaración de Aplicabilidad (SoA).
¿Qué es el Anexo A de ISO 27001?
El Anexo A es la lista de controles de seguridad de referencia de ISO 27001. Desde la actualización de 2022, pasó de 114 controles en 14 categorías (versión 2013) a 93 controles en 4 categorías.
Importante: Los controles del Anexo A no son todos obligatorios. Debes implementar los que sean relevantes según tu análisis de riesgos y justificar los excluidos en la Declaración de Aplicabilidad (SoA).
Las 4 Categorías del Anexo A (2022)
1. Controles Organizacionales — 37 controles (A.5)
Políticas, procesos y prácticas de gestión de la seguridad.
| ID | Control | Descripción breve |
|---|---|---|
| 5.1 | Políticas de seguridad | Definir y comunicar las políticas |
| 5.2 | Roles y responsabilidades | Asignar funciones de seguridad |
| 5.3 | Segregación de funciones | Evitar conflictos de interés |
| 5.5 | Contacto con autoridades | Relaciones con reguladores |
| 5.7 | Inteligencia de amenazas ✨ NUEVO | Monitorear amenazas emergentes |
| 5.10 | Uso aceptable de activos | Reglas para usar dispositivos e información |
| 5.14 | Transferencia de información | Protocolos para compartir datos |
| 5.15 | Control de acceso | Política de accesos y permisos |
| 5.19 | Seguridad en proveedores | Gestión de seguridad de la cadena de suministro |
| 5.23 | Seguridad en la nube ✨ NUEVO | Proteger datos en servicios cloud |
| 5.24 | Gestión de incidentes | Proceso de respuesta a incidentes |
| 5.29 | Continuidad del negocio | Plan de recuperación ante desastres |
| 5.30 | Preparación TIC ✨ NUEVO | Resiliencia de infraestructura IT |
| 5.36 | Cumplimiento normativo | RGPD, NIS2, LOPD, etc. |
2. Controles de Personas — 8 controles (A.6)
Seguridad en la gestión del factor humano.
| ID | Control | Descripción breve |
|---|---|---|
| 6.1 | Investigación de antecedentes | Screening de empleados |
| 6.2 | Términos de empleo | Cláusulas de seguridad en contratos |
| 6.3 | Concienciación y formación | Training anual en ciberseguridad |
| 6.4 | Proceso disciplinario | Consecuencias por incumplimientos |
| 6.5 | Responsabilidades al salir | Offboarding seguro |
| 6.6 | Acuerdos de confidencialidad | NDAs |
| 6.7 | Trabajo remoto | Seguridad en teletrabajo |
| 6.8 | Reporte de eventos | Canal de denuncia de incidentes |
3. Controles Físicos — 14 controles (A.7)
Seguridad de instalaciones, hardware y entornos físicos.
| ID | Control | Descripción breve |
|---|---|---|
| 7.1 | Perímetros de seguridad | Zonificación de áreas seguras |
| 7.2 | Entrada física | Control de acceso a instalaciones |
| 7.3 | Seguridad de oficinas | Protección de despachos y salas |
| 7.4 | Monitoreo físico ✨ NUEVO | CCTV y vigilancia continua |
| 7.5 | Protección contra amenazas físicas | Incendios, inundaciones, etc. |
| 7.6 | Trabajo en zonas seguras | Procedimientos en áreas restringidas |
| 7.7 | Escritorio y pantalla limpios | Clear desk/screen policy |
| 7.8 | Emplazamiento de equipos | Ubicación segura de servidores |
| 7.9 | Activos fuera de las instalaciones | Portátiles, móviles en exterior |
| 7.10 | Medios de almacenamiento | Gestión de USBs, discos, cintas |
| 7.11 | Suministros auxiliares | SAI, generadores |
| 7.12 | Seguridad del cableado | Protección de infraestructura red |
| 7.13 | Mantenimiento de equipos | Procedimientos de mantenimiento |
| 7.14 | Eliminación segura | Destrucción de hardware y datos |
4. Controles Tecnológicos — 34 controles (A.8)
Controles técnicos de sistemas, redes y software.
| ID | Control | Descripción breve |
|---|---|---|
| 8.1 | Endpoint del usuario | Protección de PCs, móviles, tablets |
| 8.2 | Acceso privilegiado | Gestión de cuentas de administrador |
| 8.3 | Restricción de acceso | Principio de mínimo privilegio |
| 8.5 | Autenticación segura | MFA, contraseñas fuertes |
| 8.7 | Protección contra malware | Antivirus/EDR |
| 8.8 | Gestión de vulnerabilidades | Patching y actualizaciones |
| 8.9 | Gestión de configuración ✨ NUEVO | Baseline de configuración segura |
| 8.10 | Eliminación de información ✨ NUEVO | Borrado seguro de datos |
| 8.11 | Enmascaramiento de datos ✨ NUEVO | Protección en entornos de test |
| 8.12 | Prevención de fuga de datos (DLP) ✨ NUEVO | Data Loss Prevention |
| 8.15 | Registro de eventos (Logs) | Logging de actividad |
| 8.16 | Monitoreo de actividades ✨ NUEVO | SIEM, detección de anomalías |
| 8.20 | Seguridad de redes | Firewalls, segmentación |
| 8.21 | Seguridad de servicios de red | VPNs, proxies |
| 8.23 | Filtrado web ✨ NUEVO | Bloqueo de sitios maliciosos |
| 8.24 | Uso de criptografía | Cifrado de datos en reposo y tránsito |
| 8.25 | Ciclo de vida de desarrollo seguro | SDLC seguro |
| 8.28 | Codificación segura ✨ NUEVO | OWASP, revisión de código |
Los 11 Nuevos Controles de ISO 27001:2022
Los controles más relevantes introducidos en la actualización de 2022:
- 5.7 — Inteligencia de amenazas
- 5.23 — Seguridad para uso de servicios cloud
- 5.30 — Preparación de TIC para continuidad del negocio
- 7.4 — Monitoreo de seguridad física
- 8.9 — Gestión de configuración
- 8.10 — Eliminación de información
- 8.11 — Enmascaramiento de datos
- 8.12 — Prevención de fuga de datos (DLP)
- 8.16 — Actividades de monitoreo
- 8.23 — Filtrado web
- 8.28 — Codificación segura
La Declaración de Aplicabilidad (SoA)
La SoA es el documento que justifica cuáles de los 93 controles aplicas y cuáles no. Para cada control debes:
- Indicar si aplica (Sí/No) en tu organización.
- Justificar la exclusión si no aplica (ej: «Control 7.4 – No aplica porque trabajamos completamente en remoto sin oficina física»).
- Describir cómo lo implementas si aplica.
Es uno de los documentos clave que revisa el auditor externo.
Preguntas Frecuentes sobre el Anexo A
¿Tengo que implementar los 93 controles?
No necesariamente. Debes implementar los que sean relevantes según tu análisis de riesgos. Puedes excluir controles siempre que lo justifiques en la SoA.
¿Cuántos controles suele aplicar una PYME española?
Normalmente entre 60 y 80 de los 93 controles. Depende del sector, la presencia online, si hay teletrabajo, y si se manejan datos especialmente sensibles.
¿Cuánto tiempo lleva implementar todos los controles?
Con Normapymes, 30 días para PYMES (1-20 empleados). El proceso incluye la implementación técnica y documental de todos los controles aplicables.
¿Los nuevos controles del 2022 son obligatorios?
Si tienes ISO 27001:2013 y debes hacer la transición a 2022, deberás evaluar e incorporar los 11 nuevos controles en tu SoA antes de octubre de 2025 (fecha límite de transición).
¿Necesitas ayuda con el Anexo A?
En Normapymes realizamos la evaluación completa de los 93 controles, generamos tu Declaración de Aplicabilidad y preparamos toda la documentación necesaria para pasar la auditoría a la primera.
👉 Ver servicios de certificación ISO 27001 | Solicitar evaluación gratuita
Actualizado: Febrero 2026 | Normapymes — Consultoría ISO 27001 en España
¿Quieres saber más sobre esta norma?
Consulta nuestra guía completa y descubre cómo podemos ayudarte a conseguir la certificación en tiempo récord.
¿Está tu empresa lista para la certificación ISO?
Completa este test rápido para evaluar tu nivel de cumplimiento operativo actual.
1. ¿Tienes procesos documentados formalmente?
Equipo de Consultoría Normapymes
Especialistas en implantación y auditoría de sistemas de gestión ISO y cumplimiento normativo con más de 15 años de experiencia.