ISO 27001

Documentación obligatoria en ISO 27001:2022: lista completa

Por Equipo GRC360 24 de March, 2026 11 min de lectura
Lista completa de documentación obligatoria en ISO 27001:2022

Una pregunta recurrente al implementar ISO 27001 es: ¿qué documentos necesito exactamente? La norma requiere un conjunto mínimo de información documentada, pero también deja libertad para que cada organización determine qué documentación adicional necesita. Esta guía lista todo lo obligatorio y lo recomendado.

Información documentada obligatoria

ISO 27001:2022 requiere explícitamente los siguientes documentos y registros:

CláusulaDocumento requeridoTipo
4.3Alcance del SGSIDocumento
5.2Política de seguridad de la informaciónDocumento
6.1.2Proceso de evaluación de riesgosDocumento
6.1.3Proceso de tratamiento de riesgosDocumento
6.1.3 d)Declaración de Aplicabilidad (SoA)Documento
6.2Objetivos de seguridad de la informaciónDocumento
7.2Evidencia de competencia del personalRegistro
8.2Resultados de la evaluación de riesgosRegistro
8.3Resultados del tratamiento de riesgosRegistro
9.1Resultados del monitoreo y mediciónRegistro
9.2Programa de auditoría interna y resultadosRegistro
9.3Resultados de la revisión por la direcciónRegistro
10.2No conformidades y acciones correctivasRegistro

Documentación recomendada (no obligatoria pero esperada)

Aunque no son requisitos explícitos, los auditores esperan encontrar procedimientos de control de documentos, inventario de activos de información, política de control de acceso, procedimiento de gestión de incidentes, plan de continuidad de negocio, política de uso aceptable, procedimientos operativos de seguridad, registros de capacitación y concienciación, y contratos y acuerdos de confidencialidad.

Principios de gestión documental

ISO 27001 no prescribe el formato: puedes usar documentos Word, wikis internas, una plataforma como GRC360 o cualquier sistema que permita controlar versiones, aprobar cambios, distribuir documentos, controlar acceso, y retener y disponer documentación obsoleta.

Dato clave: ISO 27001:2022 usa el término "información documentada" en lugar de "documentos" y "registros" por separado. La diferencia práctica: los documentos se actualizan (políticas, procedimientos) mientras que los registros se conservan como evidencia histórica (resultados de auditoría, actas de reuniones).
Error común: Crear demasiada documentación. Un SGSI sobredocumentado es tan problemático como uno subdocumentado. Documenta lo necesario para operar el sistema y demostrar cumplimiento, no más. La documentación innecesaria se vuelve obsoleta rápidamente y genera una falsa sensación de control.

Gestiona toda la documentación en GRC360

GRC360 organiza toda la documentación obligatoria y recomendada de ISO 27001, con control de versiones, flujos de aprobación y vinculación automática a controles.

Crear Cuenta Gratis

Consulta nuestras guías sobre la Declaración de Aplicabilidad, política de seguridad y gestión documental ISO.

SGSI Auditoría Documentación
Compartir: LinkedIn Twitter WhatsApp

¿Necesitas gestionar tu compliance?

GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.

Crear Cuenta Gratis