ANEXO A · ISO 27001:2022

Anexo A ISO 27001:2022: los 93 controles de seguridad

El Anexo A de ISO 27001:2022 es el catálogo de 93 controles de seguridad de la información que sustentan cualquier SGSI certificable. Esta guía los explica organizados por las 4 categorías, los compara con la versión 2013 y aclara cómo se relacionan con la Declaración de Aplicabilidad (SoA).

¿Qué es el Anexo A de ISO 27001?

El Anexo A es la sección final de la norma ISO/IEC 27001:2022 que enumera los controles de seguridad disponibles para mitigar los riesgos identificados en un SGSI. En la versión 2022 son 93 controles, organizados en cuatro categorías (también llamadas "temas"): organizacional, personas, físico y tecnológico.

Una clave importante: el Anexo A no es una lista de obligaciones. Es un catálogo de referencia. Tu organización selecciona los controles aplicables a través de la Declaración de Aplicabilidad (Statement of Applicability, SoA) en función del análisis de riesgos.

Las 4 categorías del Anexo A:2022

A.5

Controles organizacionales

37 controles

Controles a nivel de gobernanza, gestión y procesos organizacionales. Incluye políticas, roles y responsabilidades, gestión de proveedores, continuidad de negocio, cumplimiento legal, gestión de incidentes y clasificación de información.

  • A.5.1 Políticas para la seguridad de la información
  • A.5.2 Roles y responsabilidades
  • A.5.3 Segregación de funciones
  • A.5.4 Responsabilidades de la dirección
  • A.5.5 Contacto con autoridades
  • A.5.6 Contacto con grupos especiales
  • A.5.7 Inteligencia de amenazas NUEVO 2022
  • A.5.8 Seguridad en gestión de proyectos
  • A.5.9 Inventario de activos
  • A.5.10 Uso aceptable de activos
  • A.5.11 Devolución de activos
  • A.5.12 Clasificación de la información
  • A.5.13 Etiquetado de la información
  • A.5.14 Transferencia de información
  • A.5.15 Control de accesos
  • A.5.16 Gestión de identidad NUEVO 2022
  • A.5.17 Información de autenticación
  • A.5.18 Derechos de acceso
  • A.5.19 Seguridad en relaciones con proveedores
  • A.5.20 Acuerdos con proveedores
  • A.5.21 Seguridad en cadena de suministro TIC
  • A.5.22 Seguimiento de servicios de proveedores
  • A.5.23 Seguridad en uso de servicios cloud NUEVO 2022
  • A.5.24 Planificación de gestión de incidentes
  • A.5.25 Evaluación de eventos de seguridad
  • A.5.26 Respuesta a incidentes
  • A.5.27 Aprendizaje de incidentes
  • A.5.28 Recolección de evidencia
  • A.5.29 Seguridad durante interrupciones
  • A.5.30 Continuidad TIC NUEVO 2022
  • A.5.31 Requisitos legales y regulatorios
  • A.5.32 Propiedad intelectual
  • A.5.33 Protección de registros
  • A.5.34 Privacidad y datos personales
  • A.5.35 Revisión independiente
  • A.5.36 Cumplimiento con políticas
  • A.5.37 Procedimientos operacionales documentados
A.6

Controles de personas

8 controles

Controles relacionados con los recursos humanos en todo el ciclo de empleo: selección, contratación, durante el empleo y desvinculación. Incluye capacitación, awareness y términos contractuales.

  • A.6.1 Investigación de antecedentes
  • A.6.2 Términos y condiciones de empleo
  • A.6.3 Capacitación y awareness
  • A.6.4 Procesos disciplinarios
  • A.6.5 Responsabilidades post-empleo
  • A.6.6 Acuerdos de confidencialidad y NDAs
  • A.6.7 Trabajo remoto
  • A.6.8 Reporte de eventos de seguridad
A.7

Controles físicos

14 controles

Controles que protegen la seguridad física de instalaciones, equipos y soportes. Incluye perímetros de seguridad, control de acceso físico, escritorios limpios, equipos en uso fuera de instalaciones, mantenimiento y disposición de medios.

  • A.7.1 Perímetros de seguridad física
  • A.7.2 Entradas físicas
  • A.7.3 Aseguramiento de oficinas y salas
  • A.7.4 Monitoreo de seguridad física NUEVO 2022
  • A.7.5 Protección contra amenazas físicas y ambientales
  • A.7.6 Trabajo en áreas seguras
  • A.7.7 Escritorio limpio / pantalla limpia
  • A.7.8 Ubicación y protección de equipos
  • A.7.9 Seguridad de activos fuera de instalaciones
  • A.7.10 Soportes de almacenamiento
  • A.7.11 Servicios públicos de soporte
  • A.7.12 Seguridad del cableado
  • A.7.13 Mantenimiento de equipos
  • A.7.14 Disposición segura o reutilización
A.8

Controles tecnológicos

34 controles

Controles técnicos sobre dispositivos, redes, sistemas y aplicaciones. Es la categoría más amplia: incluye gestión de endpoints, autenticación, criptografía, copias de respaldo, monitoreo, segregación de redes, gestión de vulnerabilidades y desarrollo seguro.

  • A.8.1 Dispositivos de usuario final
  • A.8.2 Derechos de acceso privilegiado
  • A.8.3 Restricción de acceso a información
  • A.8.4 Acceso a código fuente
  • A.8.5 Autenticación segura
  • A.8.6 Gestión de capacidad
  • A.8.7 Protección contra malware
  • A.8.8 Gestión de vulnerabilidades técnicas
  • A.8.9 Gestión de configuración NUEVO 2022
  • A.8.10 Eliminación de información NUEVO 2022
  • A.8.11 Enmascaramiento de datos NUEVO 2022
  • A.8.12 Prevención de fuga de datos (DLP) NUEVO 2022
  • A.8.13 Respaldo de información
  • A.8.14 Redundancia de sistemas
  • A.8.15 Registro (logging)
  • A.8.16 Actividades de monitoreo NUEVO 2022
  • A.8.17 Sincronización de reloj
  • A.8.18 Uso de programas utilitarios privilegiados
  • A.8.19 Instalación de software en sistemas operacionales
  • A.8.20 Seguridad de redes
  • A.8.21 Seguridad de servicios de red
  • A.8.22 Segregación de redes
  • A.8.23 Filtrado web NUEVO 2022
  • A.8.24 Uso de criptografía
  • A.8.25 Ciclo de vida de desarrollo seguro
  • A.8.26 Requisitos de seguridad de aplicaciones
  • A.8.27 Arquitectura y principios de ingeniería segura
  • A.8.28 Codificación segura NUEVO 2022
  • A.8.29 Pruebas de seguridad en desarrollo y aceptación
  • A.8.30 Desarrollo externalizado
  • A.8.31 Separación de entornos (dev/test/prod)
  • A.8.32 Gestión de cambios
  • A.8.33 Información de pruebas
  • A.8.34 Protección de sistemas durante auditoría

Los 11 controles nuevos del Anexo A:2022

Respecto a ISO 27001:2013, la versión 2022 introdujo 11 controles completamente nuevos que reflejan la realidad actual del riesgo digital:

  1. A.5.7 Inteligencia de amenazas — recolección y análisis de información sobre amenazas.
  2. A.5.16 Gestión de identidad — ciclo de vida completo de identidades.
  3. A.5.23 Seguridad en uso de servicios cloud — adquisición, uso y salida de servicios en la nube.
  4. A.5.30 Continuidad TIC — preparación de tecnología para continuidad de negocio.
  5. A.7.4 Monitoreo de seguridad física — monitoreo continuo de instalaciones.
  6. A.8.9 Gestión de configuración — establecimiento, documentación e implementación de configuraciones seguras.
  7. A.8.10 Eliminación de información — procesos para eliminar información cuando ya no se necesita.
  8. A.8.11 Enmascaramiento de datos — anonimización y pseudonimización.
  9. A.8.12 Prevención de fuga de datos (DLP) — controles técnicos para evitar exfiltración.
  10. A.8.16 Actividades de monitoreo — monitoreo continuo de redes, sistemas y aplicaciones.
  11. A.8.23 Filtrado web — control de acceso a sitios web externos.
  12. A.8.28 Codificación segura — principios de desarrollo seguro aplicados al código.

Si tu empresa tiene una certificación ISO 27001:2013 vigente, la transición a la versión 2022 implica integrar estos 11 controles al SGSI antes de la fecha límite de migración.

Anexo A vs Declaración de Aplicabilidad (SoA)

Es muy común confundir ambos términos. La distinción:

La SoA es obligatoria y específica de cada organización. Es el documento más revisado por los auditores certificadores. Cada control debe tener: estado de aplicabilidad (aplica/no aplica), justificación, descripción de la implementación y referencia al documento de control.

Anexo A de ISO 27001 vs ISO 27002

Otra confusión frecuente. La diferencia:

En la práctica: si quieres entender qué hacer con un control del Anexo A, vas a ISO 27002. Si quieres demostrar que cumples ese control para certificarte, vuelves a ISO 27001.

Preguntas frecuentes sobre el Anexo A

¿Tengo que implementar los 93 controles?
No. La Declaración de Aplicabilidad (SoA) define qué controles aplican a tu organización en función de tu análisis de riesgos. Es común que entre el 70% y 95% apliquen — los no aplicables deben justificarse formalmente. No hay mínimo regulatorio: hay controles que se omiten legítimamente (ej.: si no tienes desarrollo de software in-house, los controles de A.8.25 a A.8.30 podrían no aplicar).
¿Qué controles del Anexo A son los más auditados?
Los más revisados por certificadoras tienden a ser: A.5.1 (políticas), A.5.9 (inventario de activos), A.5.15 (control de accesos), A.5.24-27 (gestión de incidentes), A.6.3 (awareness), A.8.7 (malware), A.8.8 (vulnerabilidades), A.8.13 (respaldos) y A.8.15 (logs). Si tu SoA no tiene evidencias sólidas en estos controles, la certificación se complica.
¿Cómo se elige qué controles aplicar?
A partir del análisis de riesgos. Identificas amenazas, evalúas impacto y probabilidad, y para cada riesgo significativo seleccionas los controles del Anexo A que lo mitigan. El proceso queda documentado en la SoA y se revisa anualmente.
¿Qué pasa con los controles que no estaban antes en 2013?
Los 11 controles nuevos de la versión 2022 son obligatorios de evaluar para empresas que se certifican en 2022 o posterior. Las empresas con certificación 2013 vigente deben transicionar a 2022 antes de la fecha límite (típicamente 3 años desde publicación).

¿Necesitas implementar el Anexo A en tu SGSI?

Confiden360 acompaña a empresas chilenas en la implementación completa del SGSI bajo ISO 27001:2022. Levantamos los 93 controles, generamos la SoA con justificaciones auditables y dejamos cada control con evidencias vivas en nuestra plataforma Confirmer360. Diagnóstico inicial sin costo.

Agendar diagnóstico gratuito → Ver Consultoría ISO 27001 →

Relacionados con el Anexo A e ISO 27001

Consultoría ISO 27001 → SGSI: guía completa → Cómo certificar ISO 27001 → Guía ISO 27001 → Costos de certificación → ISO 27001 vs ISO 27002 →