ISO 27001

Controles organizacionales del Anexo A ISO 27001 (A.5): guía completa

Por Equipo GRC360 24 de March, 2026 16 min de lectura
Guía Completa
Controles organizacionales del Anexo A de ISO 27001:2022

Los controles organizacionales constituyen la categoría más extensa del Anexo A de ISO 27001:2022, con 37 controles (A.5.1 a A.5.37). Estos controles establecen las bases de gobernanza, políticas y procesos que sostienen todo el SGSI. Son controles de gestión que involucran a toda la organización, no solo al área de TI.

Visión general de los 37 controles

GrupoControlesÁrea
Políticas y rolesA.5.1 – A.5.6Políticas, roles, segregación de funciones, contacto con autoridades y grupos de interés
Inteligencia y gestión de riesgosA.5.7 – A.5.8Inteligencia de amenazas, seguridad en proyectos
Inventario y uso de activosA.5.9 – A.5.14Inventario de activos, uso aceptable, devolución, clasificación, etiquetado, transferencia
Identidad y accesoA.5.15 – A.5.18Control de acceso, gestión de identidades, autenticación, privilegios de acceso
ProveedoresA.5.19 – A.5.23Seguridad de proveedores, acuerdos, supervisión, cambios, servicios en la nube
IncidentesA.5.24 – A.5.28Gestión de incidentes: planificación, evaluación, respuesta, aprendizaje, recolección de evidencia
Continuidad y cumplimientoA.5.29 – A.5.37Continuidad de negocio, requisitos legales, propiedad intelectual, protección de registros, privacidad, revisión de seguridad

Controles clave y su implementación

A.5.1 — Políticas de seguridad de la información

La base del SGSI. Debe existir un conjunto de políticas de seguridad aprobadas por la dirección, comunicadas al personal y revisadas periódicamente. La política de seguridad principal se complementa con políticas específicas (uso aceptable, control de acceso, clasificación, etc.).

A.5.9 — Inventario de activos

Todos los activos de información y activos asociados deben identificarse y un inventario debe mantenerse actualizado. Cada activo debe tener un propietario asignado.

A.5.12 — Clasificación de la información

La información debe clasificarse según su valor, requisitos legales, sensibilidad y criticidad. Los niveles típicos son Pública, Interna, Confidencial y Restringida.

A.5.15 — Control de acceso

Las políticas de control de acceso deben establecerse y aplicarse basándose en los requisitos de negocio y seguridad. El principio de mínimo privilegio es fundamental.

A.5.24 — Planificación y preparación de gestión de incidentes

La organización debe planificar y prepararse para la gestión de incidentes definiendo roles, procedimientos de comunicación, escalamiento y respuesta.

Dato clave: Los controles organizacionales son los que más impacto tienen en la cultura de seguridad. Mientras que los controles tecnológicos protegen sistemas, los organizacionales aseguran que las personas, procesos y políticas trabajen juntos para proteger la información.

Implementa los 37 controles organizacionales con GRC360

GRC360 cubre cada control organizacional con guías de implementación, plantillas de políticas y seguimiento de cumplimiento integrado.

Crear Cuenta Gratis

Consulta nuestras guías sobre controles de personas, controles tecnológicos y la Declaración de Aplicabilidad.

Controles Anexo A Política de Seguridad
Compartir: LinkedIn Twitter WhatsApp

¿Necesitas gestionar tu compliance?

GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.

Crear Cuenta Gratis