Declaración de Aplicabilidad en ISO 27001: Importancia y Contenido

Clase 21 de 39 • Curso de Preparación para la Certificación en la Norma ISO 27001 (2020)

En este punto del curso, es importante mencionar un documento de alta relevancia dentro de la norma ISO 27001 y es la Declaración de Aplicabilidad o también conocido como SoA (SoA por las siglas en inglés de Statement of Applicability). Este documento puede encontrarse en el formato que más le convenga a una organización ya que la norma no tiene un formato preestablecido; lo relevante está en su contenido, que en general debe incluir los objetivos de control y controles seleccionados de la norma, las razones por las cuales han sido seleccionados y las medidas de seguridad adicionales cuando aplique.

La Declaración de Aplicabilidad en la ISO 27001 es un documento generado a partir del análisis de riesgos realizado. Sin embargo, es importante mencionar que si la organización pretende implementar un sistema de gestión de seguridad de la información, pero no está interesada en alcanzar la conformidad total con ISO 27001, ni tiene entre sus planes obtener la certificación, la Declaración de Aplicabilidad no es obligatoria. Pero las organizaciones que quieren o necesitan obtener la certificación, sí o sí deben elaborar una Declaración de Aplicabilidad.

No obstante, así la intención de la organización no sea obtener la certificación, es importante aclarar que la Declaración de Aplicabilidad en la norma ISO 27001 tiene gran relevancia. Este documento define el alcance del sistema de gestión de seguridad de la información. Y también se convierte en la guía para el auditor. Por eso, debe existir antes de la auditoría de certificación y, también, antes de la auditoría interna del sistema.

Una vez que se han definido las opciones de tratamiento para los riesgos, la organización debe aplicar medidas de seguridad, es decir, decidir de qué manera serán mitigados los riesgos. Es en este punto cuando se desarrolla la Declaración de Aplicabilidad, el documento donde se registran los controles de seguridad que son aplicables (necesarios) y si éstos se encuentran operando o todavía no.

Para concluir, te puedo decir que la Declaración de Aplicabilidad en la norma ISO 27001 se trata de un documento que enlista los controles de seguridad establecidos en el Anexo A (114 controles) que has decidido aplicar o implementar dentro de tu Sistema de Gestión de Seguridad de la Información.

DANIEL TENOCH SANCHEZ GARCIA

student•

Raul Bautista Arroyo

student•

Está muy genial, buen aporte

Jorge Luis Pacheco Bautista

student•

Genial tomare tu aporte para agregarlo a mis notas.

Arturo Sanchez

student•

Jhonny Gutiérrez Lázaro

student•

muy bueno!

Angel Beltran

student•

Hola compañeros, tengamos también muy en cuenta que se presentan casos en los que ciertos controles no aplican a la organización , a esto se le conoce como exclusiones de control, los cuales deben justificarse de manera optima para indicarle al auditor del por que no se aplican.

por ejemplo, si la empresa no cuenta de ninguna manera con implementación de teletrabajo , entonces se debería excluir el siguiente control: A.6.2.2 | Teletrabajo con su debida justificación.

Saludos

Alejandro Barraza Montaño

student•

Perfecto, excelente dato, gracias por ello @Angel Beltran

Giselle Emma

student•

Entiendo que esto no es una DDA en si, pero parece ser una guía de cómo confeccionarla. Declaración de Aplicabilidad en el ENS (Spain) INFORME DE BUENAS PRÁCTICAS https://www.ccn-cert.cni.es/informes/informes-de-buenas-practicas-bp/3830-ccn-cert-bp-14-declaracion-de-aplicacibilidad-ens/file.html#:~:text=categor%C3%ADa-,La%20Declaraci%C3%B3n%20de%20Aplicabilidad%2C%20en%20el%20%C3%A1mbito%20del%20ENS%2C%20es,3%20de%20mayo%2C%20que%20lo

Andres Maximiliano Moreira

student•

Muy bueno! Gracias por compartir!

Luis Carlos Gomez Rivera

student•

Después de mucho tiempo entendí que es la norma ISO, gracias por este aporte.

Nicole Milenka Paredes Medrano

student•

Excelente información :3

Jolman De Dios Sanchez

student•

El contexto de esta norma ISO 27001, es la v.2013, ¿Cuándo actualizan a la v.2022 de esta norma 27001?

Carlos Fernando Torrez Belmonte

student•

Excelente, muchas gracias!!

Wilmer Paguay

student•

Hay que tener en cuenta que, si la organización pretende implementar un sistema de gestión de seguridad de la información, pero no está interesada en alcanzar la conformidad total con ISO 27001, ni tiene entre sus planes obtener la certificación, la Declaración de Aplicabilidad no es obligatoria. Pero las organizaciones que quieren o necesitan obtener la certificación, sí deben elaborar una Declaración de Aplicabilidad.

stephano yparraguirre

student•

buena explicion

Sergio Brandon De Lucio Chavero

student•

Excelente :3.

Enrique Montes Trejo

student•

Excelente información

Gabriel Díaz H

student•

Esta declaracion se puede firmar al inicio del proceso o solo cuando se haya realizado registro e identificacion de riesgos?

Jesús Daniel Doria Pitalua

student•

Para la definición de la declaración de aplicabilidad ya se debió haber hecho un identificación y análisis de riesgos.

Kyb3r Cipher

student•

Buena expliación 😄

Arturo Moran

student•

Espero que se explique en los siguientes videos.

Leonel Miranda

student•

Excelente información!

Sofia Cristina Leyva Ortecho

student•

Muy buena información

Agustin Isaias Salinas Quinteros

student•

Muy claro como el agua.

Ray Miguel Hernández Cabrera

student•

Entendido

Bernard Rodriguez

student•

Gracias, muy claro la información.

Declaración de Aplicabilidad en ISO 27001: Importancia y Contenido

Introducción a la norma ISO 27001

Preparación para Auditoría Interna ISO 27001

Historia y Evolución de la Norma ISO 27001 hasta 2019

Principios de la Seguridad de la Información: Confidencialidad, Integridad y Disponibilidad

Sistema de Gestión de Seguridad según la Norma ISO 27001

Contenido de la norma

Terminología clave de la norma ISO 27001

Norma ISO 27001: Gestión de Seguridad de la Información

Implementación de ISO 27001: Contexto, Liderazgo y Planificación

Implementación de la Norma ISO 27001: Recursos y Competencias

Controles del Anexo A de ISO 27001: Introducción y Aplicaciones

Controles de Seguridad en ISO 27001: Anexo A y su Implementación

Gestión de Riesgos

Gestión de Riesgos y Clasificación de Activos de Información

Clasificación de Activos de Información en Excel

Creación de Plantilla de Gestión de Activos de Información en Excel

Clasificación de Activos de Información en Excel

Gestión de Niveles y Tratamientos de Riesgo según ISO 27001

Gestión de Riesgos: Mapa de Calor y Tratamiento Efectivo

Controles para Mitigar Riesgos según ISO 27001

Construcción de Matriz de Riesgos para Gestión Empresarial

Gestión de Controles en Matrices de Riesgos en Excel

Modelo de Tres Líneas de Defensa en Seguridad de la Información

Declaración de Aplicabilidad en ISO 27001: Importancia y Contenido

Controles de seguridad: Políticas y controles de acceso

Controles de Seguridad en la Gestión de la Información ISO 27001

Controles de Acceso y Criptografía en ISO 27001

Controles de seguridad: Operaciones y Comunicaciones

Controles de Seguridad Física y del Entorno en ISO 27001

Seguridad de las Operaciones según ISO 27001

Seguridad de las Comunicaciones en Redes Empresariales

Controles de seguridad: Sistemas de información

Controles de Seguridad en el Desarrollo de Software bajo ISO 27001

Seguridad en el Desarrollo de Software según OWASP Top 10

Gestión de Proveedores e Incidentes de Seguridad en ISO 27001

Controles de Continuidad y Cumplimiento en Seguridad de la Información

Auditoría

Auditoría de Sistemas de Seguridad según ISO 27001

Terminología de Auditoría según ISO 27001

Fases de una Auditoría: Paso a Paso para su Ejecución

Auditoría ISO 27001: Identificación y Reporte de No Conformidades

Reporte de No Conformidades en Auditoría ISO 27001

Gestión de la Continuidad del Negocio

Gestión de Continuidad del Negocio y Normas ISO 22301 y 27001

Construcción de un Plan de Continuidad de Negocio

Cierre del curso

Examen Simulacro de ISO 27001: Seguridad de la Información

Certificación y Feedback en ISO 27001: Próximos Pasos