El control A.5.1 del anexo A de la norma ISO 27001:2022 es la base de todo su sistema de gestión de la seguridad de la información. Exige que su organización defina, apruebe, publique y comunique un conjunto de políticas de seguridad de la información, y que las revise a intervalos planificados o cuando se produzcan cambios significativos.
Si se cumple el punto A.5.1, el resto de controles del Anexo A serán más fáciles de implementar. Si no se cumple, los auditores señalarán deficiencias en todo el SGSI.
¿Qué exige el control A.5.1?
El requisito formal del anexo A de la norma ISO 27001:2022 establece lo siguiente:
A.5.1 — Políticas de seguridad de la información: Se definirá un conjunto de políticas de seguridad de la información, que serán aprobadas por la dirección, publicadas, comunicadas y aceptadas por el personal pertinente y las partes interesadas, y revisadas a intervalos planificados o si se producen cambios significativos.
En términos prácticos, esto significa que necesitas:
Por qué es importante A.5.1
A.5.1 suele ser el primer control que examinan los auditores, ya que marca la pauta para todo el SGSI. He aquí por qué es fundamental:
Implementación paso a paso
Paso 1: Defina la jerarquía de sus políticas.
Comience con un enfoque por capas:
La mayoría de las organizaciones necesitan entre 8 y 15 políticas específicas para cada tema. No cree políticas por crearlas: cada una debe corresponder a los riesgos identificados en su evaluación de riesgos.
Paso 2: Redactar políticas alineadas con su registro de riesgos.
Para cada política específica de un tema, haga referencia a los riesgos que aborda. Una buena política incluye:
Paso 3: Obtener la aprobación de la dirección
La norma ISO 27001 exige explícitamente la aprobación de la dirección. Esto significa:
Paso 4: Comunicarse y obtener reconocimiento
No basta con redactar políticas. Debe demostrar que las personas pertinentes las han recibido y comprendido:
Paso 5: Programar y realizar revisiones
Establezca una periodicidad para las revisiones: como mínimo una vez al año, o cuando se produzca alguna de las siguientes circunstancias:
Documente todas las revisiones, incluso si no se han realizado cambios. Los auditores quieren ver que ha considerado activamente si era necesario realizar actualizaciones.
Pruebas necesarias para los auditores
Cuando el auditor de certificación examine el punto A.5.1, buscará lo siguiente:
Pruebas: lo que demuestran. Política de seguridad de la información de alto nivel (firmada y fechada). Compromiso de la dirección y orientación estratégica. Conjunto de políticas específicas sobre temas concretos. Cobertura de los ámbitos pertinentes del anexo A. Registros de aprobación de políticas (firmas, actas de reuniones).Aprobación formal de la dirección Registro de comunicaciones/registros de distribución Las políticas se compartieron con el personal pertinente Registros de reconocimiento (formularios firmados, confirmaciones digitales) El personal recibió y aceptó las políticas Registros de revisión con fechas y resultados Las políticas se mantienen y están actualizadas Historial de versiones/registro de cambios Gestión controlada de documentos
Errores comunes
Cómo ayuda ISMS Copilot
ISMS Copilot acelera la implementación de A.5.1 mediante:
En lugar de pasar semanas redactando políticas desde cero, los equipos que utilizan ISMS Copilot suelen completar su conjunto completo de políticas en cuestión de días.
Controles relacionados
A.5.1 se conecta directamente a varios otros controles del Anexo A:
Preguntas frecuentes
¿Cuántas políticas de seguridad de la información necesito para la norma ISO 27001?
No hay un número fijo. La norma ISO 27001 exige una política de seguridad de la información de alto nivel, además de políticas específicas para cada tema que sea relevante para su organización. La mayoría de las empresas implementan entre 8 y 15 políticas específicas para cada tema. La clave es que sus políticas cubran los riesgos identificados en su evaluación de riesgos y los controles del Anexo A de su Declaración de Aplicabilidad. Una empresa emergente de 20 personas necesitará menos políticas que una empresa de 5000 personas.
¿Con qué frecuencia deben revisarse las políticas de seguridad de la información?
La norma ISO 27001 exige revisiones a «intervalos planificados»; la mayoría de las organizaciones establecen un ciclo de revisión anual. Sin embargo, también se deben revisar las políticas cuando se producen cambios significativos: un incidente de seguridad grave, una reestructuración organizativa, nuevas regulaciones o cambios en la pila tecnológica. Documente todas las revisiones, incluso cuando no se realicen cambios, para demostrar el cumplimiento continuo.
¿Puedo utilizar plantillas de políticas para ISO 27001 A.5.1?
Las plantillas son un punto de partida útil, pero deben personalizarse para reflejar las operaciones reales, el perfil de riesgo y el contexto de su organización. Los auditores buscan políticas específicas y aplicables, no documentos genéricos que puedan aplicarse a cualquier empresa. Herramientas como ISMS Copilot generan borradores personalizados basados en sus aportaciones específicas, lo que ahorra tiempo y garantiza la relevancia.