ISO 27001 Avaluació de Riscos. Declaració d'Aplicabilitat i Controls de l'Annex A. Seguretat de la Informació Industrial.
ISO/IEC 27001:2022 és la norma de seguretat de la informació de referència mundial. IgeraIndustria fa consultable cada clàusula i cada control de l'Annex A: avaluació de riscos, Declaració d'Aplicabilitat (SoA), gestió d'incidents i preparació d'auditories. El responsable de seguretat troba la resposta en 3 segons.
ISO 27001: la norma de seguretat de la informació més implantada del món
Amb més de 70.000 certificats actius, ISO 27001 és el referent global en gestió de la seguretat de la informació. La versió 2022 reorganitza els controls en 4 categories i n'afegeix 11 de nous, obligant les empreses certificades a actualitzar la seva Declaració d'Aplicabilitat i el pla de tractament de riscos.
70.000+
Certificats ISO 27001 actius al món. La norma de seguretat de la informació més implantada, ara amb la versió 2022 i 93 controls reorganitzats.
93
Controls de l'Annex A en ISO 27001:2022 (11 nous respecte a 2013). La Declaració d'Aplicabilitat (SoA) ha d'analitzar i justificar cada control.
Cl. 6.1.2
Avaluació de riscos de seguretat: la clàusula central del SGSI. Identificar actius, amenaces, vulnerabilitats i avaluar riscos requereix metodologia documentada.
Cl. 6.1.3
Declaració d'Aplicabilitat (SoA): obligàtoria i específica per a cada organització. El 48% de les NC majors en auditoria provenen d'una SoA incompleta o sense justificació.
El responsable de seguretat dedica hores a buscar què exigeix exactament la clàusula 6.1.3 per justificar l'exclusió d'un control a la SoA, o quina evidència espera l'auditor per al nou control A.5.7 (Threat intelligence). IgeraIndustria respon aquestes preguntes en 3 segons, amb cita exacta del requisit, perquè l'equip de seguretat es centri en implementar controls reals.
Consulta ISO 27001 instantània per clàusula i control
IgeraIndustria localitza la clàusula o el control de l'Annex A que aplica a cada pregunta i respon amb els requisits, l'evidència documental obligàtoria i els errors més freqüents que detecten els auditors de certificació ISO 27001.
Avaluació de riscos de seguretat (6.1.2)
Metodologia per identificar actius d'informació, amenaces, vulnerabilitats i avaluar el risc inherent. Criteris d'acceptació de risc, escales de probabilitat i impacte, i com documentar el procés per a l'auditor de certificació.
Declaració d'Aplicabilitat — SoA (6.1.3)
Document obligatori que analitza els 93 controls de l'Annex A, indica si estan implementats i justifica les exclusions. Com estructurar la SoA, quin nivell de detall esperen els auditors i com mantenir-la actualitzada.
Controls de l'Annex A (ISO 27001:2022)
Els 4 grups de controls (Organitzacionals, Persones, Físics i Tecnològics) i els 11 nous controls de la versió 2022: threat intelligence, seguretat cloud, privacitat, continuïtat ICT. Com avaluar quins apliquen i com implementar-los.
Gestió d'incidents de seguretat (Annex A.5.24–5.28)
Procediment de detecció, classificació, resposta i recuperació d'incidents de seguretat. Registre d'incidents, notificació a autoritats (RGPD Art.33 si hi ha dades personals) i lliçons apreses.
Auditoria interna SGSI (9.2)
Programa d'auditories internes del SGSI: criteris, abast, freqüència, selecció d'auditors i informes. Relació entre resultats d'auditoria, pla de tractament de riscos i revisió per la direcció.
DPIA i protecció de dades (Annex A.5.34)
Integració de les Avaluacions d'Impacte sobre Protecció de Dades (DPIA) en el SGSI ISO 27001. Control A.5.34 i la seva relació amb el RGPD Art.35: quan cal fer una DPIA, contingut mínim i com documentar-la.
Suport complet a auditories ISO 27001
Tant per a auditories internes com per a visites d'organismes de certificació, IgeraIndustria proporciona el suport que l'equip de seguretat necessita en cada fase del cicle d'auditoria.
Anàlisi de llacunes vs ISO 27001:2022
Identificació de clàusules i controls de l'Annex A parcialment implementats. Especialment útil per a empreses que migren de la versió 2013 (114 controls) a la 2022 (93 controls reorganitzats).
Revisió de la Declaració d'Aplicabilitat (SoA)
Verificació que la SoA cobreix els 93 controls, que les justificacions d'exclusió són defensables i que els controls implementats tenen evidència documental suficient.
Simulacre d'auditoria de seguretat
Preguntes habituals dels auditors de certificació ISO 27001: metodologia de riscos, controls implementats vs SoA, gestió d'incidents i proves de penetració. Prepara el CISO o responsable de seguretat.
Pla de tractament de riscos (6.1.3)
Com estructurar el pla que vincula cada risc acceptat o tractat amb els controls de l'Annex A seleccionats, el responsable, el termini i el cost estimat. Format que satisfà els auditors de certificació.
Tancament de NC de seguretat
Suport a l'anàlisi de causa arrel de no conformitats del SGSI, definició d'accions correctives adequades als controls de l'Annex A i verificació d'eficàcia.
Revisió per la direcció (9.3) — entrades SGSI
Entrades obligatòries del SGSI: resultats auditors, estat del pla de tractament de riscos, incidents de seguretat, canvis en el context, recursos i oportunitats de millora.
Les 4 clàusules clau d'ISO 27001:2022
Aquestes clàusules concentren la major part de les no conformitats en auditories de certificació i seguiment. IgeraIndustria les explica amb els requisits exactes, exemples pràctics i els errors més habituals.
6.1.2 — Avaluació i anàlisi de riscos
La clàusula central del SGSI. L'organització ha de definir i aplicar un procés d'avaluació de riscos que identifiqui els riscos associats a la pèrdua de confidencialitat, integritat i disponibilitat de la informació. El procés ha de ser reproduïïble (mateixa metodologia, mateixos resultats quan l'apliquen persones diferents), documentat i que produeixi resultats comparables. La norma no prescriu cap metodologia específica (MAGERIT, OCTAVE, FAIR, etc.) però sí exigeix evidència del procés i els seus resultats.
6.1.3 — Tractament de riscos i SoA
A partir dels riscos identificats, l'organització selecciona els controls de l'Annex A que apliquen i elabora la Declaració d'Aplicabilitat (SoA). La SoA ha d'incloure: tots els controls de l'Annex A (inclosos els exclosos), justificació de cada control (aplicable o exclòs i per quina raó), i si estan implementats o en fase d'implementació. La SoA és el document que l'auditor de certificació revisa amb més detall i ha d'estar perfectament sincronitzada amb el pla de tractament de riscos.
Annex A — Controls (ISO 27001:2022)
La versió 2022 reorganitza els controls en 4 categories (Organitzacionals: 37, Persones: 8, Físics: 14, Tecnològics: 34) i n'afegeix 11 de nous no existents a la versió 2013. Entre els nous: A.5.7 Threat intelligence, A.5.23 Seguretat per a l'ús de serveis cloud, A.5.30 Preparació de les TIC per a la continuïtat del negoci, A.8.9 Gestió de la configuració, A.8.12 Prevenció de la fuga de dades (DLP). La transició des de ISO 27001:2013 havia de completar-se abans d'octubre 2025.
9.2 / 9.3 — Auditoria interna i revisió per la direcció
El programa d'auditories internes ha de cobrir el SGSI complet en el cicle de certificació (3 anys). L'auditor intern ha de ser independent de les àrees auditades. La revisió per la direcció ha de tenir entrades documentades sobre incidents, riscos, auditories i objectius, i ha de produir sortides amb decisions sobre millores, recursos i canvis en l'abast del SGSI. Ambdues han de tenir registres que l'auditor de certificació pot sol·licitar en qualsevol auditoria de seguiment.
Com funciona IgeraIndustria per a ISO 27001
Cinc passos des de la càrrega del sistema de gestió de la seguretat fins a la resposta amb clàusula exacta i evidència requerida.
Indexes el teu Sistema de Gestió de la Seguretat de la Informació
Puges la teva avaluació de riscos, SoA, pla de tractament, procediments de seguretat i registres d'incidents. IgeraIndustria els processa juntament amb la norma ISO 27001:2022 i tots els controls de l'Annex A.
Connectes l'assistent al CISO o responsable de seguretat
Embed al portal de seguretat, Teams o com a bot restringit per al comitè de seguretat. Accés controlat per rols (no tothom ha de poder consultar la SoA ni el pla de riscos).
El responsable de seguretat pregunta en llenguatge natural
«Quins controls de l'Annex A apliquen per al nou servei cloud?», «Com justifiquem l'exclusió del control A.8.12 (DLP) a la SoA?», «Quina evidència necessita l'auditor per a la clàusula 6.1.2?»
IgeraIndustria cerca en 2 capes de coneixement
Primer a la teva documentació interna (avaluació de riscos, SoA, procediments de seguretat, registres d'incidents), després a la norma ISO 27001:2022 i els 93 controls de l'Annex A indexats.
Resposta amb clàusula, control i evidència requerida
La resposta cita la clàusula o control de l'Annex A aplicable, indica quin nivell d'implementació és suficient i adverteix dels errors més freqüents en auditories de certificació ISO 27001.
IgeraIndustria en acció — SoA i Annex A ISO 27001
Consulta sobre com justificar l'exclusió d'un control de l'Annex A a la Declaració d'Aplicabilitat.
CISO / Responsable de Seguretat
El control A.5.7 (Threat intelligence) és nou a ISO 27001:2022. Hem d'implementar-lo obligatòriament o podem excloure'l a la SoA?
IgeraIndustria
ISO 27001:2022 — Annex A.5.7 Threat intelligence (control nou vs 2013)
OBLIGACIÓ: La SoA ha de mencionar A.5.7 sempre — inclós si s'exclou (clàusula 6.1.3.c)
- • EXCLOURE és possible si: la justificació és defensable (ex: «cost desproporcionat per la mida de l'organització»)
- • IMPLEMENTACIÓ mínima acceptable: subscripció a un feed gratuït (INCIBE-CERT, ENISA) + revisió mensual documentada
Tendència 2024: els auditors demanen evidència activa d'A.5.7. Exclusió sense justificació sòlida genera NC
✓ ISO 27001:2022 Annex A.5.7 · Confiança: 99,4%
180
empleats empresa tecnologia industrial
6 set.
SoA 93 controls completada
0 NC
majors a la primera auditoria
Teníem ISO 27001:2013 i vam haver de migrar a la versió 2022 amb els 11 controls nous. El nostre CISO no sabia com justificar els controls nous a la SoA — especialment threat intelligence i seguretat cloud. Amb IgeraIndustria, va poder respondre qualsevol pregunta de l'auditor en temps real durant la mateixa visita. Primera auditoria de la nova versió sense cap no conformitat major.
*Testimoni representatiu basat en resultats de clients reals
Preguntes freqüents — ISO 27001:2022
Com es fa l'avaluació de riscos segons la clàusula 6.1.2 d'ISO 27001?
La clàusula 6.1.2 exigeix que l'organització defineixi i apliqui un procés d'avaluació de riscos de seguretat de la informació. Aquest procés ha d'establir i mantenir criteris de risc (incloent-hi criteris d'acceptació i criteris per a l'avaluació de riscos), identificar riscos associats a la pèrdua de confidencialitat, integritat i disponibilitat, analitzar els riscos (probabilitat i impacte) i comparar els resultats amb els criteris de risc definits. La norma no prescriu cap metodologia concreta (es pot usar MAGERIT, OCTAVE, FAIR, ISO 31010 o qualsevol altra), però el procés ha de ser reproduïïble: persones diferents han d'obtenir resultats comparables aplicant la mateixa metodologia. Tota l'avaluació ha d'estar documentada com a informa ció documentada conservada.
Quins controls de l'Annex A s'han d'implementar obligatòriament?
ISO 27001 no defineix cap conjunt de controls de l'Annex A com a obligatoris per a totes les organitzacions. Els controls que apliquen depènen dels riscos identificats a l'avaluació de riscos i de les decisions preses al pla de tractament de riscos (clàusula 6.1.3). La Declaració d'Aplicabilitat (SoA) ha de mencionar tots els 93 controls de l'Annex A — inclosos els que s'exclouen — amb la justificació corresponent. Un control pot excloure's si no aplica per naturalesa del negoci, està fora de l'abast del SGSI o existeix un control compensatori equivalent. Els 11 nous controls de la versió 2022 (threat intelligence, seguretat cloud, DLP, etc.) reben especial atenció dels auditors i les exclusions han d'estar ben argumentades.
Què és un incident de seguretat i com s'ha de gestionar segons ISO 27001?
Un incident de seguretat de la informació és un o més esdeveniments de seguretat no desitjats o inesperats que tenen una probabilitat significativa de comprometre les operacions del negoci i amenaçar la seguretat de la informació. Els controls A.5.24 a A.5.28 de l'Annex A cobreixen la gestió d'incidents: planificació i preparació (A.5.24), detecció i notificació (A.5.25), avaluació i decisió (A.5.26), resposta (A.5.27) i aprenentatge (A.5.28). El procediment ha de definir com es classifiquen i prioritzen els incidents, qui és responsable de la resposta, quins registres es mantenen i com s'escala. Si l'incident implica dades personals, pot activar-se l'obligació de notificació a l'autoritat de control en 72 hores (RGPD Art.33).
Quan cal fer una Avaluació d'Impacte sobre la Protecció de Dades (DPIA) en el context d'ISO 27001?
Una DPIA (Avaluació d'Impacte sobre la Protecció de Dades) és un requisit del RGPD (Art.35), no d'ISO 27001 directament. Però, el control A.5.34 d'ISO 27001:2022 (Privacitat i protecció de la informació personal) exigeix que l'organització identifiqui els requisits de privacitat i protecció de dades i els integri en els seus controls de seguretat. En la pràctica, les organitzacions amb ISO 27001 que tracten dades personals han de realitzar DPIAs per a tractaments d'alt risc: videovigilancia massiva, perfilació, processament a gran escala de categories especials de dades, etc. La DPIA complementa l'anàlisi de riscos de l'ISO 27001 i ha d'estar inclosa a la documentació del SGSI quan apliqui.
Com s'ha de planificar i executar una auditoria interna del SGSI?
La clàusula 9.2 exigeix que l'organització planifiqui, estableixi, implanti i mantingui un programa d'auditoria interna que cobreixi el SGSI complet dins del cicle de certificació (3 anys). El programa ha de definir freqüència, mètodes, responsabilitats i requisits de planificació. Els auditors interns han de ser independents de les àrees que auditen (no s'ha d'auditar el propi treball). Cada auditoria ha de tenir un pla d'auditoria amb abast, criteris i dates, i produir un informe amb constació dels resultats i no conformitats detectades. Els registres d'auditoria interna són informació documentada que l'organització ha de conservar i que l'auditor de certificació pot sol·licitar en qualsevol visita de seguiment.
Quant triga una empresa a obtenir la certificació ISO 27001 per primer cop?
El temps típic per a una primera certificació ISO 27001 en una empresa de 50-200 empleats és de 9 a 18 mesos, depenent de la maduresa del sistema de seguretat existent. Les fases principals són: diagnòstic i anàlisi de llacunes (1-2 mesos), disseny del SGSI i documentació incloent-hi anàlisi de riscos i SoA (3-6 mesos), implementació de controls i formació (3-6 mesos), auditoria interna prèvia (1 mes) i certificació (auditoria fase 1 + fase 2, 1-2 mesos). IgeraIndustria redueix significativament el temps de la fase de documentació perquè l'equip pot consultar què exigeix cada clàusula i control sense necessitar consultora externa a cada dubte.
Plans IgeraIndustria ISO 27001
Sense permanència. Cancel·la quan vulguis.
Starter
Per a pimes industrials que inicien la certificació ISO 27001 i necessiten consultar clàusules i controls de l'Annex A sense depèndre de consultora externa.
- ISO 27001:2022 + Annex A preindexats
- Consultes per clàusula i control
- Checklist SoA 93 controls
- 1.000 consultes/mes
- Widget per al CISO o responsable de seguretat
- Suport per correu electrònic
Professional
Per a empreses amb SGSI actiu, auditories periòdiques i necessitat de suport continu a l'equip de seguretat per a la gestió de riscos i controls.
- ISO 27001 + documentació interna indexada
- Gestió SoA i pla de tractament assistida
- Simulacre d'auditoria per clàusula
- 5.000 consultes/mes
- Alertes renovació norma i controls nous
- Suport prioritari
Enterprise
Per a grups industrials amb ISO 27001 integrada amb ISO 9001 i ISO 27701, múltiples seus i equips d'auditoria interns.
- Multi-seu i multi-norma
- ISO 27001 + 27701 + 9001 integrades
- Gestió canvis de context (4.1) assistida
- Consultes il·limitades
- SLA 99,9% uptime
- Customer success dedicat
Gestiona ISO 27001 clàusula a clàusula. Comença avui.
- Prova gratuïta 14 dies — sense targeta de crèdit
- ISO 27001:2022 completa + 93 controls de l'Annex A preindexats des del dia 1
- Puja la teva avaluació de riscos, SoA i procediments de seguretat interns
- Checklist de controls per clàusula llest per a auditories de certificació
