ISO 27001

Controles de personas del Anexo A ISO 27001 (A.6): guía completa

Por Equipo GRC360 24 de March, 2026 12 min de lectura
Controles de personas del Anexo A de ISO 27001:2022

Los controles de personas del Anexo A de ISO 27001:2022 reconocen que la seguridad de la información depende fundamentalmente del comportamiento humano. Con solo 8 controles (A.6.1 a A.6.8), esta categoría es la más compacta pero aborda el eslabón más crítico de la cadena de seguridad: las personas.

Los 8 controles de personas

ControlNombreFase del ciclo de empleo
A.6.1Verificación de antecedentesAntes del empleo
A.6.2Términos y condiciones de empleoInicio del empleo
A.6.3Concienciación, educación y formaciónDurante el empleo
A.6.4Proceso disciplinarioDurante el empleo
A.6.5Responsabilidades después de la terminación o cambioFin del empleo
A.6.6Acuerdos de confidencialidad o no divulgaciónTodo el ciclo
A.6.7Trabajo remotoDurante el empleo
A.6.8Reporte de eventos de seguridadDurante el empleo

Implementación por control

A.6.1 — Verificación de antecedentes

Antes de contratar, verifica antecedentes proporcionalmente al nivel de acceso a información que tendrá la persona. Esto incluye verificación de identidad, certificados académicos y profesionales, referencias laborales, y antecedentes penales cuando la legislación lo permita y el rol lo justifique.

A.6.3 — Concienciación, educación y formación

Programa de capacitación en seguridad para todo el personal. Debe ser regular, actualizado y apropiado a las funciones de cada persona.

A.6.7 — Trabajo remoto

Con la normalización del teletrabajo, este control es cada vez más relevante. Requiere definir las condiciones de seguridad para el trabajo remoto: seguridad física del espacio, conexión segura (VPN), protección de equipos y dispositivos, políticas de escritorio limpio aplicables al hogar, y procedimientos ante pérdida o robo de equipos.

A.6.8 — Reporte de eventos de seguridad

Todo el personal debe conocer el mecanismo para reportar eventos de seguridad de la información de manera oportuna. Esto incluye saber qué constituye un evento reportable, a quién reportar, cómo reportar, y que no habrá represalias por reportar eventos.

Buena práctica: Integra los controles de personas en los procesos de RRHH existentes. La verificación de antecedentes se incorpora al proceso de selección. Los términos de seguridad se incluyen en el contrato de trabajo. La capacitación se integra en el plan de desarrollo del personal. Esto evita crear procesos paralelos y asegura cumplimiento sostenible.

Gestiona la seguridad del personal con GRC360

GRC360 te permite gestionar los controles de personas: registros de capacitación, acuerdos de confidencialidad, verificaciones y cumplimiento de la política de trabajo remoto.

Crear Cuenta Gratis

Consulta controles organizacionales, controles tecnológicos y concientización en seguridad.

Controles Anexo A Capacitación Seguridad
Compartir: LinkedIn Twitter WhatsApp

¿Necesitas gestionar tu compliance?

GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.

Crear Cuenta Gratis