ISO 27001 es la norma certificable que define qué debe tener un Sistema de Gestión de Seguridad de la Información (SGSI). ISO 27002 es la guía de buenas prácticas que describe cómo implementar los 93 controles que el Anexo A de ISO 27001 lista. No son alternativas: son piezas complementarias del mismo rompecabezas.
La distinción esencial en una frase
ISO 27001 dice qué debes hacer. ISO 27002 explica cómo hacerlo. Solo la primera se certifica. La segunda se consulta.
ISO 27001: la norma certificable
ISO/IEC 27001:2022 es una norma de sistema de gestión, equivalente estructural a ISO 9001 (calidad) o ISO 14001 (ambiente). Define los requisitos para establecer, implementar, mantener y mejorar continuamente un SGSI.
Tiene dos partes:
- Cuerpo de la norma (cláusulas 4 a 10). Define el SGSI: contexto de la organización, liderazgo, planificación, soporte, operación, evaluación del desempeño y mejora. Es la parte de "gestión".
- Anexo A. Lista 93 controles de seguridad agrupados en 4 capítulos. Es la parte de "controles".
Una empresa se certifica cuando un organismo acreditado verifica que cumple las cláusulas 4 a 10 y que ha implementado los controles del Anexo A aplicables al alcance definido.
ISO 27002: la guía de controles
ISO/IEC 27002:2022 es una guía técnica, no una norma certificable. Para cada uno de los 93 controles del Anexo A de ISO 27001, ISO 27002 ofrece:
- Propósito del control.
- Descripción de lo que el control busca lograr.
- Guía de implementación con buenas prácticas.
- Información adicional, riesgos asociados y casos de uso.
Es, literalmente, el manual de instrucciones del Anexo A. Un implementador puede certificarse en ISO 27001 sin haber leído nunca ISO 27002, pero leerla acelera muchísimo el diseño de cada control.
La versión 2022: qué cambió
La versión 2022 (publicada en octubre de 2022) introdujo cambios significativos:
- El Anexo A pasó de 14 dominios y 114 controles a 4 capítulos y 93 controles.
- Se introdujeron 11 controles nuevos: inteligencia de amenazas, identidad, seguridad para el uso de servicios en la nube, continuidad TIC, monitoreo de seguridad física, configuración segura, eliminación de información, enmascaramiento, prevención de fuga de datos, monitoreo de actividades y filtrado web.
- Cada control fue tagueado por 5 atributos: tipo de control, propiedades de seguridad (CIA), conceptos de ciberseguridad (NIST), capacidades operativas y dominios de seguridad.
- La transición desde ISO 27001:2013 venció el 31 de octubre de 2025. Hoy todas las certificaciones son bajo la versión 2022.
Los 4 capítulos del Anexo A 2022
La nueva agrupación facilita la asignación de responsabilidades dentro de la organización:
| Capítulo | Nº controles | Foco | Responsable típico |
|---|---|---|---|
| A.5 Organizacionales | 37 | Políticas, roles, contratos, gestión de proveedores, continuidad, cumplimiento. | CISO / Compliance / Legal |
| A.6 Personas | 8 | Selección, contratos laborales, concientización, disciplina, teletrabajo. | RR.HH. / Seguridad |
| A.7 Físicos | 14 | Perímetros, accesos físicos, seguridad de equipos, escritorios limpios. | Facilities / Operaciones |
| A.8 Tecnológicos | 34 | Endpoints, redes, cifrado, backups, vulnerabilidades, desarrollo seguro, nube. | TI / DevOps / Seguridad |
Cómo se complementan: el flujo real
En un proyecto de implementación, las dos normas se usan así:
- Defines el alcance del SGSI siguiendo las cláusulas 4–6 de ISO 27001.
- Identificas riesgos y los evalúas (cláusula 6.1.2 de 27001).
- Seleccionas controles del Anexo A de 27001 para mitigar esos riesgos.
- Para diseñar cada control, abres ISO 27002 y lees la guía correspondiente.
- Adaptas la guía a tu contexto (no la copias literalmente; ese es el error más común).
- Documentas la Declaración de Aplicabilidad (SoA): por cada control del Anexo A, indicas si aplica, cómo lo implementaste y por qué (si no aplica, justificas la exclusión).
- Auditas internamente, corriges, te recertificas anualmente con vigilancia y completas el ciclo cada 3 años (recertificación completa).
Errores típicos al mezclar ambas normas
1. Tratar ISO 27002 como obligatoria
Un auditor no te pedirá demostrar que cumples ISO 27002 al pie de la letra. Te pedirá demostrar que los controles del Anexo A funcionan para tu organización. La guía de 27002 es eso: una guía.
2. Copiar literalmente los textos de ISO 27002 a las políticas internas
Es el error más común. El resultado son políticas extensas, genéricas y no aplicables que el equipo no entiende ni respeta. Las políticas deben estar redactadas en lenguaje propio, con responsables reales y verificables.
3. Saltarse la SoA porque "ya tenemos los controles"
La Declaración de Aplicabilidad es exigida por la cláusula 6.1.3.d de ISO 27001. Sin SoA actualizada, el auditor no certifica. Es el documento que conecta riesgos con controles del Anexo A.
4. Confundir un análisis ISO 27002 con un Gap Analysis ISO 27001
Algunas consultoras venden "diagnósticos ISO 27002" que en realidad son revisiones de controles. Un Gap Analysis de ISO 27001 incluye además las cláusulas 4–10 del cuerpo de la norma (gestión del SGSI), no solo controles.
Otras normas de la familia ISO 27000 relevantes
| Norma | Función | ¿Certificable? |
|---|---|---|
| ISO 27000 | Vocabulario y definiciones de la familia. | No |
| ISO 27001 | Requisitos del SGSI. | Sí |
| ISO 27002 | Guía de implementación de controles. | No |
| ISO 27005 | Guía para gestión de riesgos de seguridad. | No |
| ISO 27017 | Controles específicos para servicios en la nube. | Sí (como extensión) |
| ISO 27018 | Protección de datos personales en la nube pública. | Sí (como extensión) |
| ISO 27701 | Sistema de gestión de privacidad (extensión PIMS). | Sí |
| ISO 27035 | Gestión de incidentes de seguridad. | No |
Resumen práctico
- Tu empresa se certifica en ISO 27001, no en 27002.
- Necesitas el cuerpo de la norma (cláusulas 4 a 10) y el Anexo A (controles).
- ISO 27002 es tu manual de referencia para diseñar cada control: léela cuando estés diseñando la implementación, no antes.
- El Anexo A de 2022 tiene 93 controles agrupados en 4 capítulos. La transición desde 2013 ya venció.
- La Declaración de Aplicabilidad (SoA) es el puente entre riesgos y controles. Es obligatoria.
¿Estás evaluando certificarte en ISO 27001?
En Confiden360 acompañamos a empresas chilenas desde el diagnóstico inicial hasta la auditoría de certificación, incluyendo el mantenimiento del ciclo de 3 años. Sesión de diagnóstico inicial gratuita.
Agendar diagnóstico → Ver servicio ISO 27001 →Preguntas frecuentes
¿Cuál es la diferencia principal entre ISO 27001 e ISO 27002?
ISO 27001 es la norma certificable que define los requisitos del SGSI. ISO 27002 es una guía de buenas prácticas que describe cómo implementar los 93 controles del Anexo A de ISO 27001.
¿Tengo que implementar ISO 27002 si voy a certificarme en ISO 27001?
No es obligatorio implementarla literalmente. ISO 27001 exige controles que mitiguen los riesgos identificados; ISO 27002 ofrece la guía de cómo diseñar esos controles.
¿Cuántos controles tiene el Anexo A de ISO 27001:2022?
93 controles agrupados en 4 capítulos: organizacionales (37), personas (8), físicos (14) y tecnológicos (34).
¿Puedo certificarme en ISO 27002?
No. ISO 27002 no es certificable. Lo que se certifica es ISO 27001 y, en privacidad, ISO 27701 (extensión certificable de ISO 27001).
¿Qué se actualizó en la versión 2022?
ISO 27001:2022 reorganizó el Anexo A de 14 dominios y 114 controles a 4 capítulos y 93 controles. Se agregaron 11 controles nuevos (nube, monitoreo, prevención de fuga, etc.).
¿Hasta cuándo puedo certificarme bajo ISO 27001:2013?
La transición desde ISO 27001:2013 a ISO 27001:2022 venció el 31 de octubre de 2025. Desde entonces, todas las nuevas certificaciones se hacen contra la versión 2022.
¿Necesito ambas normas o solo una?
Necesitas ISO 27001 (la certificable). ISO 27002 es una referencia útil al diseñar controles. No es una decisión "una vs la otra": trabajan juntas.
¿Las normas ISO 27001 e ISO 27002 son gratis?
No. Son normas propietarias de ISO. ISO 27001:2022 cuesta alrededor de CHF 200 y ISO 27002:2022 cerca de CHF 210. En Chile pueden comprarse a través del INN.