ISO 27001

ISO 27001 vs ISO 27002: diferencias y cómo se complementan

Por Equipo GRC360 24 de March, 2026 10 min de lectura
Diferencias entre ISO 27001 e ISO 27002

Una de las confusiones más comunes al iniciar el camino de la seguridad de la información es la diferencia entre ISO 27001 e ISO 27002. Aunque comparten numeración y temática, cumplen funciones muy distintas dentro del ecosistema de normas de la familia ISO 27000. Entender esta diferencia es fundamental para implementar correctamente tu SGSI.

Diferencia fundamental

AspectoISO 27001ISO 27002
TipoNorma de requisitosNorma de guía/recomendaciones
CertificableSí — es la única certificableNo — no se puede certificar en ISO 27002
Contenido principalRequisitos para el SGSI (cláusulas 4-10) + Anexo A (lista de controles)Guía detallada de implementación para cada control
Nivel de detalleDice qué debes hacerDice cómo hacerlo
Extensión~30 páginas (cuerpo) + Anexo A~150+ páginas con guías detalladas
UsoAuditoría y certificaciónReferencia para implementación

ISO 27001: el "qué"

ISO 27001 establece los requisitos para un SGSI. Las cláusulas 4 a 10 definen qué debe hacer la organización: evaluar riesgos, definir políticas, asignar roles, implementar controles, auditar y mejorar. El Anexo A proporciona una lista de 93 controles de referencia que la organización debe considerar en su Declaración de Aplicabilidad. Sin embargo, el Anexo A solo lista los controles con una breve descripción; no explica cómo implementarlos.

ISO 27002: el "cómo"

ISO 27002:2022 toma cada uno de los 93 controles del Anexo A y proporciona una guía detallada de implementación. Para cada control incluye un propósito claro, atributos del control (tipo, propiedad de seguridad, concepto de ciberseguridad, capacidad operacional, dominio de seguridad), guía de implementación paso a paso, y otra información complementaria. Es la referencia indispensable cuando necesitas saber exactamente cómo implementar un control específico.

¿Cuándo usar cada una?

EscenarioNorma a consultar
Quiero certificar mi empresaISO 27001 (es la certificable)
Necesito saber qué controles implementarISO 27001 Anexo A + evaluación de riesgos
Necesito saber cómo implementar un control específicoISO 27002
Estoy preparando la auditoríaISO 27001 (los auditores evalúan contra 27001)
Quiero mejorar la seguridad sin certificarmeISO 27002 como guía de buenas prácticas

La familia ISO 27000

ISO 27001 y 27002 son parte de una familia más amplia que incluye ISO 27000 (vocabulario y conceptos), ISO 27005 (gestión de riesgos), ISO 27017 (seguridad en la nube), ISO 27018 (privacidad en la nube), ISO 27701 (gestión de privacidad) e ISO 27035 (gestión de incidentes). Todas complementan a ISO 27001 en áreas específicas.

Recomendación práctica: Adquiere ambas normas. Usa ISO 27001 como tu checklist de cumplimiento e ISO 27002 como tu manual de implementación. Cuando un auditor pregunte por un control del Anexo A, ISO 27002 te habrá guiado sobre cómo implementarlo correctamente.

Implementa los 93 controles con GRC360

GRC360 integra los requisitos de ISO 27001 con la guía de implementación de ISO 27002 en una sola plataforma. Cada control incluye orientación práctica y seguimiento de cumplimiento.

Crear Cuenta Gratis

Consulta nuestras guías sobre cláusulas obligatorias, controles del Anexo A y ISO 27001 vs NIST CSF.

SGSI Controles Implementación ISO
Compartir: LinkedIn Twitter WhatsApp

¿Necesitas gestionar tu compliance?

GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.

Crear Cuenta Gratis