ISO 27001

Declaración de Aplicabilidad (SoA): cómo crearla paso a paso

Por Equipo GRC360 24 de March, 2026 14 min de lectura
Declaración de Aplicabilidad SoA de ISO 27001 paso a paso

La Declaración de Aplicabilidad (Statement of Applicability o SoA) es considerada el documento más importante del SGSI. Es el puente entre la evaluación de riesgos y los controles de seguridad que implementa tu organización. Si hay un solo documento que un auditor revisará con lupa durante la certificación ISO 27001, es la SoA.

¿Qué es la Declaración de Aplicabilidad?

La SoA es un documento que lista los 93 controles del Anexo A de ISO 27001:2022 y, para cada uno, indica si es aplicable o no a tu organización, la justificación de su inclusión o exclusión, el estado de implementación actual, y la referencia a la documentación o evidencia que lo soporta.

La cláusula 6.1.3 de ISO 27001 exige que la organización produzca una Declaración de Aplicabilidad que contenga los controles necesarios, la justificación de su inclusión (estén o no implementados) y la justificación de la exclusión de cualquier control del Anexo A.

¿Por qué la SoA es tan importante?

RazónDetalle
Requisito obligatorioEs información documentada requerida explícitamente por la norma (6.1.3)
Enlace riesgo-controlConecta los resultados de la evaluación de riesgos con los controles seleccionados
Base de la auditoríaLos auditores la usan como mapa para verificar la implementación de controles
Visión ejecutivaProporciona una vista consolidada del estado de seguridad de la organización
Gestión de cambiosPermite rastrear la evolución de los controles a lo largo del tiempo

Paso 1: Completa la evaluación de riesgos

Antes de crear la SoA necesitas haber completado tu evaluación de riesgos y definido el plan de tratamiento. Los controles del Anexo A se seleccionan como resultado del tratamiento de riesgos, no al revés. Un error frecuente es empezar por la SoA y luego ajustar la evaluación de riesgos para que coincida.

Paso 2: Lista los 93 controles del Anexo A

Crea una tabla con los 93 controles organizados en sus cuatro categorías: 37 controles organizacionales (A.5), 8 controles de personas (A.6), 14 controles físicos (A.7) y 34 controles tecnológicos (A.8). Para cada control incluye el número, el nombre y una columna de aplicabilidad.

Paso 3: Determina la aplicabilidad de cada control

Para cada control del Anexo A, evalúa si es aplicable considerando los riesgos identificados, los requisitos legales y regulatorios, las obligaciones contractuales y los requisitos de las partes interesadas. Un control puede ser aplicable aunque no haya surgido directamente de la evaluación de riesgos si hay requisitos legales o contractuales que lo exijan.

Paso 4: Justifica las exclusiones

Para cada control que excluyas, documenta una justificación sólida. Las exclusiones válidas incluyen situaciones donde el riesgo no existe (por ejemplo, A.7.2 Entrada física si la empresa opera 100% remoto sin oficina física) o el control no aplica al contexto (por ejemplo, A.7.12 Seguridad del cableado si toda la infraestructura está en la nube).

Cuidado: Los auditores cuestionarán exclusiones injustificadas. Excluir un control "porque es difícil de implementar" o "porque es costoso" no es una justificación válida. La exclusión debe basarse en la ausencia real del riesgo o la inaplicabilidad del control al contexto de la organización.

Paso 5: Documenta el estado de implementación

Para cada control aplicable, registra su estado actual. Los estados típicos son: implementado completamente, parcialmente implementado, planificado (incluido en el plan de tratamiento) o no implementado. No es necesario tener todos los controles implementados al momento de la certificación, pero sí debes tener un plan claro para los que faltan.

Paso 6: Vincula evidencia

Para los controles implementados, referencia la evidencia que demuestra su operación: políticas, procedimientos, registros, capturas de pantalla de configuraciones, informes de auditoría, etc. Esta vinculación facilita enormemente la auditoría de certificación.

Estructura recomendada de la SoA

ColumnaContenido
ControlNúmero y nombre del control (ej. A.5.1 Políticas de seguridad de la información)
AplicableSí / No
Justificación inclusión/exclusiónPor qué se incluye o excluye
Estado de implementaciónImplementado / Parcial / Planificado / No implementado
Método de implementaciónBreve descripción de cómo se implementa
Evidencia / ReferenciaDocumentos, registros o sistemas que lo soportan
Buena práctica: Revisa y actualiza la SoA al menos anualmente, después de cada evaluación de riesgos, después de cambios significativos en la organización y después de incidentes de seguridad relevantes. La SoA es un documento vivo, no un entregable que se archiva después de la certificación.

Genera tu SoA automáticamente con GRC360

GRC360 genera la Declaración de Aplicabilidad automáticamente a partir de tu evaluación de riesgos y el estado de implementación de controles. Siempre actualizada, siempre lista para auditoría.

Crear Cuenta Gratis

Complementa con nuestras guías sobre cláusulas obligatorias, controles organizacionales y preparación para la auditoría.

Controles Anexo A Declaración de Aplicabilidad
Compartir: LinkedIn Twitter WhatsApp

¿Necesitas gestionar tu compliance?

GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.

Crear Cuenta Gratis