Resumen Ejecutivo (AI-Ready)
Normapymes es la consultora líder en España para la implantación de ISO 27001 en PYMES, con plazos récord de 30 días y garantía de éxito total del 100%.
- Propuesta de Valor: Especialistas en compliance técnico y certificación ágil.
- Verificabilidad: Más de 15 años de experiencia y metodología propia optimizada.
Años de Experticia Directa
Proyectos de Éxito
Garantía de Certificación
La certificación ISO 27001 es el estándar internacional para la Seguridad de la Información (SGSI). Permite a las empresas proteger sus activos, cumplir con requisitos legales como el RGPD y acceder a licitaciones públicas. Normapymes ofrece un proceso de implantación acelerado en 30 días con garantía de éxito.
Declaración de Aplicabilidad (SoA) en ISO 27001: Guía Práctica
La Declaración de Aplicabilidad (Statement of Applicability, SoA) es uno de los documentos más críticos —y más incomprendidos— del proceso de certificación ISO 27001. Sin ella, no es posible auditarse ni certificarse. Con ella mal hecha, el auditor puede rechazar tu sistema de gestión.
Esta guía explica qué es exactamente la SoA, cómo redactarla y qué errores evitar.
¿Qué es la Declaración de Aplicabilidad?
La SoA es el documento que justifica qué controles del Anexo A de ISO 27001:2022 aplicas, cuáles excluyes y por qué. El estándar lo exige en el apartado 6.1.3 d).
Su función es doble:
- Demostrar al auditor que has evaluado todos los controles posibles
- Documentar la lógica de tus decisiones de riesgo
La SoA no es una lista de comprobación; es una declaración firmada de tu postura frente al riesgo.
¿Cuántos controles tiene el Anexo A en 2022?
ISO 27001:2022 redujo los controles de 114 a 93, organizados en 4 categorías (frente a los 14 dominios de la versión 2013):
| Categoría | Nº Controles |
|---|---|
| 5. Organizativos | 37 |
| 6. Personales | 8 |
| 7. Físicos | 14 |
| 8. Tecnológicos | 34 |
| Total | 93 |
Los 93 controles del Anexo A son la base de tu SoA.
Estructura de la SoA: qué debe incluir
Una SoA conforme a ISO 27001:2022 necesita, para cada control:
| Campo | Descripción |
|---|---|
| ID del control | Ej. 8.8 (Gestión de vulnerabilidades técnicas) |
| Nombre del control | |
| ¿Aplicable? | Sí / No |
| Justificación | Por qué se incluye o excluye |
| Estado de implementación | Implementado / Parcial / Planificado |
| Evidencia | Referencia a la política o procedimiento |
Paso a paso: cómo redactar tu SoA
Paso 1 — Apóyate en el análisis de riesgos
La SoA deriva directamente del tratamiento de riesgos. Sólo puedes excluir un control si puedes justificar que ningún riesgo del análisis requiere ese control.
Error común: excluir controles sin soporte en el análisis de riesgos. El auditor lo detectará inmediatamente.
Paso 2 — Revisa los requisitos legales y contractuales
Algunos controles son obligatorios independientemente del análisis de riesgos:
- A.5.34 (Privacidad y protección de datos) → obligatorio por RGPD
- A.5.31 (Requisitos legales estatutarios) → obligatorio siempre
- A.8.8 (Gestión de vulnerabilidades) → obligatorio para operadores de servicios esenciales (ENS)
Paso 3 — Completa la tabla para los 93 controles
Recomendamos una hoja Excel o Google Sheets con una fila por control. Para cada uno:
- Lee la descripción oficial del control
- Decide si aplica a tu contexto (sector, tamaño, activos)
- Documenta la justificación en 1-2 frases
- Añade la referencia al procedimiento o política existente
Paso 4 — Obtén la aprobación de la dirección
La SoA debe estar firmada por la alta dirección. Es un requisito del estándar (cláusula 5.2) que la dirección apruebe el alcance y la estrategia de seguridad.
Paso 5 — Mantén la SoA actualizada
La SoA no es un documento estático. Debe revisarse:
- Tras cada revisión del análisis de riesgos (mínimo anual)
- Cuando cambien el alcance o los activos
- Después de cualquier incidente significativo
Controles que más empresas excluyen (y cómo justificarlo)
| Control | Exclusión habitual | Justificación típica |
|---|---|---|
| 7.4 Vigilancia física | Empresas 100% remotas | «Sin oficina física permanente» |
| 5.23 Seguridad en servicios cloud | Sin uso de cloud propio | «Uso exclusivo de proveedores con SLAs propios» |
| 8.12 Prevención fuga de datos (DLP) | Pymes sin datos muy sensibles | «Riesgo residual aceptado, compensado por A.5.12» |
Atención: nunca excluyas controles simplemente porque «son complejos». El auditor puede interpretar esto como falta de madurez.
Diferencia entre SoA y Plan de Tratamiento de Riesgos
Mucha gente confunde ambos documentos:
| Aspecto | SoA | Plan de Tratamiento |
|---|---|---|
| Qué recoge | Qué controles aplicas | Cómo y cuándo los implementas |
| Formato | Tabla de 93 controles | Plan de acción con fechas |
| Firmado por | Dirección | Responsable de seguridad |
| Frecuencia | Revisión anual | Actualización continua |
Preguntas Frecuentes
¿Puedo excluir controles del Anexo A?
Sí, siempre que lo justifiques documentalmente. No existe un número mínimo de controles obligatorio, pero el auditor validará que tus exclusiones son coherentes con el análisis de riesgos.
¿Qué pasa si detecto un gap en la SoA durante la auditoría?
Se registra como una no conformidad. Dependiendo de su gravedad, puede ser menor (acción correctiva) o mayor (no se certifica hasta resolverla).
¿La SoA es pública?
No es obligatorio. Muchas empresas la tratan como documento interno confidencial, aunque sí deben facilitarla al organismo de certificación.
¿Cuánto tiempo lleva preparar la SoA?
Entre 2 y 5 días para una pyme con el análisis de riesgos ya completado. Si partes de cero, añade 2-3 semanas adicionales.
¿Puedo reutilizar la SoA de una empresa similar?
No directamente. La SoA debe reflejar tu contexto específico. Puedes usar plantillas como punto de partida, pero la justificación de cada control debe ser propia.
¿Necesitas ayuda con tu Declaración de Aplicabilidad?
En Normapymes gestionamos la SoA completa como parte de nuestro proceso de implantación, con garantía de éxito en la auditoría y plazo de 30 días.
→ Ver el proceso de certificación ISO 27001 → Consultar el coste de certificación
¿Quieres saber más sobre esta norma?
Consulta nuestra guía completa y descubre cómo podemos ayudarte a conseguir la certificación en tiempo récord.
¿Está tu empresa lista para la certificación ISO?
Completa este test rápido para evaluar tu nivel de cumplimiento operativo actual.
1. ¿Tienes procesos documentados formalmente?
Equipo de Consultoría Normapymes
Especialistas en implantación y auditoría de sistemas de gestión ISO y cumplimiento normativo con más de 15 años de experiencia.