ISO 27001

No conformidades en ISO 27001: clasificación y gestión

Por Equipo GRC360 24 de March, 2026 11 min de lectura
No conformidades ISO 27001 clasificación gestión acciones correctivas

Las no conformidades son el mecanismo central de mejora en cualquier sistema de gestión. En ISO 27001, la cláusula 10.2 exige que la organización no solo identifique y corrija los incumplimientos, sino que analice sus causas y tome acciones para que no se repitan.

Esta guía explica qué son las no conformidades en ISO 27001, cómo se clasifican, qué proceso debes seguir para gestionarlas y cómo cerrarlas formalmente. Complementa con los artículos sobre auditoría interna y preparación para la certificación.

¿Qué es una no conformidad en ISO 27001?

Una no conformidad (NC) es el incumplimiento de un requisito. En el contexto de ISO 27001, ese requisito puede ser un requisito de la norma (cláusulas 4 a 10 o controles del Anexo A), un requisito legal o contractual, un procedimiento o política interna, o un objetivo de seguridad establecido por la organización.

Clasificación: mayores vs. menores

CriterioNo conformidad mayorNo conformidad menor
DefiniciónAusencia de un requisito obligatorio o fallo sistémico que afecta la efectividad del SGSIIncumplimiento puntual o parcial que no compromete la integridad del SGSI
Impacto en certificaciónBloquea la certificación hasta ser resueltaNo bloquea; se corrige en plazo acordado
Plazo de resoluciónAntes de otorgar el certificadoGeneralmente 30–90 días post-auditoría
EjemplosSin evaluación de riesgos, sin SoA, sin auditoría internaProcedimiento existente pero desactualizado, registro incompleto
Acumulación de no conformidades menores: Varios organismos de certificación tienen la política de que tres o más no conformidades menores en la misma área equivalen a una no conformidad mayor. Este principio se llama "acumulación de menores" y es importante considerarlo al diseñar tu plan de respuesta.

La cláusula 10.2 de ISO 27001: qué exige exactamente

La cláusula 10.2 establece que cuando ocurre una no conformidad, la organización debe reaccionar ante ella, evaluar la necesidad de acción correctiva, implementar las acciones necesarias, revisar su efectividad y hacer cambios al SGSI si fuera necesario. Además exige conservar información documentada como evidencia.

El proceso de gestión de no conformidades paso a paso

Paso 1: Identificación y registro

Cuando se detecta una no conformidad, debe registrarse inmediatamente capturando: fecha de detección y origen, descripción objetiva del incumplimiento, clasificación inicial (mayor o menor) y responsable asignado.

Paso 2: Contención inmediata

Antes del análisis de causa raíz, implementa acciones de contención para eliminar el impacto inmediato. La contención no reemplaza la acción correctiva — es solo el primer paso.

Paso 3: Análisis de causa raíz

Este es el paso más crítico y más frecuentemente omitido. Las herramientas más usadas son:

HerramientaDescripciónMejor para
5 PorquésPreguntar "¿por qué?" sucesivamente hasta llegar a la causa raízProblemas simples o moderadamente complejos
Diagrama de IshikawaMapa de causas organizadas en categorías (personas, procesos, tecnología)Problemas con múltiples causas posibles
Árbol de fallas (FTA)Análisis lógico descendente de causasFallos sistémicos complejos
Análisis de barrerasIdentifica qué controles fallaron o no existíanIncidentes de seguridad

Paso 4: Planificación de la acción correctiva

La acción correctiva debe abordar la causa raíz, no el síntoma. Debe documentarse con responsable, fecha límite, recursos necesarios y criterio de éxito medible.

Paso 5: Implementación y evidencia

Implementa la acción correctiva y documenta la evidencia: procedimiento actualizado, registro de capacitación, configuración de sistema, política aprobada.

Paso 6: Verificación de eficacia

La verificación de eficacia es el paso que más organizaciones omiten. Debes confirmar que la acción correctiva efectivamente eliminó la causa raíz mediante seguimiento posterior, re-auditoría o revisión de indicadores relacionados.

Paso 7: Cierre formal

El cierre requiere confirmación formal de que la acción fue implementada según lo planificado, la evidencia es adecuada, la eficacia fue verificada y la causa raíz ha sido eliminada.

Buena práctica: Mantén un registro centralizado de todas las no conformidades con su estado. Este registro es uno de los documentos que el auditor revisará con más detalle, ya que demuestra la madurez del proceso de mejora continua del SGSI.

Errores comunes en la gestión de no conformidades

  • Corregir el síntoma sin analizar la causa raíz: La no conformidad reaparece en la próxima auditoría
  • Omitir la verificación de eficacia: El auditor detectará que el ciclo está incompleto
  • Plazos incumplidos sin justificación: Genera desconfianza sobre la seriedad del proceso
  • Registros incompletos: Sin evidencia, la acción correctiva no cuenta para el auditor
  • No extender el análisis a otras áreas similares: La cláusula 10.2 exige verificar si el problema existe en otros procesos

Registra y gestiona no conformidades en GRC360

GRC360 incluye un módulo de no conformidades y acciones correctivas integrado con el SGSI. Registra, analiza, asigna responsables, controla plazos y genera evidencias para el auditor, todo en un solo lugar.

Probar GRC360 Gratis

Consulta también nuestras guías sobre mejora continua y ciclo PDCA, métricas del SGSI y auditorías de seguimiento.

SGSI Auditoría No Conformidad
Compartir: LinkedIn Twitter WhatsApp

¿Necesitas gestionar tu compliance?

GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.

Crear Cuenta Gratis