ISO/IEC 27001:2022 · 70.000+ CERTIFICATS · CIBERSEGURETAT

ISO 27001 Anàlisi de Riscos. Declaració d'Aplicabilitat i Controls de Seguretat. Seguretat de la Informació Industrial.

ISO/IEC 27001:2022 és la norma de seguretat de la informació de referència mundial. IgeraIndustria fa consultable cada clàusula i cada control de l'Annex A: anàlisi de riscos, declaració d'aplicabilitat (SoA), gestió d'incidències i auditories internes. El responsable de seguretat troba la resposta en segons.

ISO 27001:2022 + Annex A indexats 93 controls coberts <3s resposta

ISO 27001: la norma de seguretat de la informació més implantada del món

Amb més de 70.000 certificats actius, ISO 27001 és el referent global en gestió de la seguretat de la informació. La versió 2022 reorganitza els controls en 4 categories i n'afegeix 11 de nous, obligant les empreses certificades a actualitzar la seva Declaració d'Aplicabilitat i el pla de tractament de riscos.

70.000+

Certificats ISO 27001 actius al món. La norma de seguretat de la informació més implantada, ara amb la versió 2022 i 93 controls reorganitzats.

93

Controls de l'Annex A en ISO 27001:2022 (11 nous respecte a 2013). La Declaració d'Aplicabilitat (SoA) ha d'analitzar i justificar cada control.

Cl. 6.1.2

Anàlisi de riscos de seguretat: la clàusula central del SGSI. Identificar actius, amenaces, vulnerabilitats i avaluar riscos requereix metodologia documentada.

Cl. 6.1.3

Declaració d'Aplicabilitat (SoA): obligàtoria i específica per a cada organització. El 48% de les NCs majors en auditoria provenen d'una SoA incompleta o sense justificació.

El responsable de seguretat dedica hores a buscar què exigeix exactament la clàusula 6.1.3 per justificar l'exclusió d'un control a la SoA, o quina evidència espera l'auditor per al nou control A.5.7 (Threat intelligence). IgeraIndustria respon aquestes preguntes en segons, amb cita exacta del requisit, perquè l'equip de seguretat es centri en implementar controls reals.

Consulta ISO 27001 instantània per clàusula i control

IgeraIndustria localitza la clàusula o el control de l'Annex A que aplica a cada pregunta i respon amb els requisits, l'evidència documental obligàtoria i els errors més freqüents que detecten els auditors de certificació ISO 27001.

Anàlisi de riscos de seguretat (6.1.2)

Metodologia per identificar actius d'informació, amenaces, vulnerabilitats i avaluar el risc inherent. Criteris d'acceptació de risc, escales de probabilitat i impacte, i com documentar el procés per a l'auditor de certificació.

Declaració d'Aplicabilitat — SoA (6.1.3)

Document obligatori que analitza els 93 controls de l'Annex A, indica si estan implementats i justifica les exclusions. Com estructurar la SoA, quin nivell de detall esperen els auditors i com mantenir-la actualitzada.

Controls de l'Annex A (ISO 27001:2022)

Els 4 grups de controls (Organitzacionals, Persones, Físics i Tecnològics) i els 11 nous controls de la versió 2022: threat intelligence, seguretat cloud, privacitat, continuïtat ICT... Com avaluar quins apliquen i com implementar-los.

Gestió d'incidències de seguretat (Annex A.5.24–5.28)

Procediment de detecció, classificació, resposta i recuperació d'incidents de seguretat. Registre d'incidents, notificació a autoritats (RGPD Art.33 si hi ha dades personals) i lliçons apreses.

Auditoria interna SGSI (9.2)

Programa d'auditories internes del SGSI: criteris, abast, freqüència, selecció d'auditors i informes. Relació entre resultats d'auditoria, pla de tractament de riscos i revisió per la direcció.

Gestió de proveïdors i tercers (Annex A.5.19–5.22)

Controls de seguretat en la cadena de subministrament: avaluació de proveïdors que accedeixen a sistemes o dades, clàusules de seguretat en contractes i seguiment del compliment.

Suport complet a auditories ISO 27001

Tant per a auditories internes com per a visites d'organismes de certificació, IgeraIndustria proporciona el suport que l'equip de seguretat necessita en cada fase del cicle d'auditoria.

Anàlisi de llacunes vs ISO 27001:2022

Identificació de clàusules i controls de l'Annex A parcialment implementats. Especialment útil per a empreses que migren de la versió 2013 (114 controls) a la 2022 (93 controls reorganitzats).

Revisió de la Declaració d'Aplicabilitat (SoA)

Verificació que la SoA cobreix els 93 controls, que les justificacions d'exclusió son defensables i que els controls implementats tenen evidència documental suficient.

Simulacre d'auditoria de seguretat

Preguntes habituals dels auditors de certificació ISO 27001: metodologia de riscos, controls implementats vs SoA, gestió d'incidències i proves de penetració. Prepara el CISO o responsable de seguretat.

Pla de tractament de riscos (6.1.3)

Com estructurar el pla que vincula cada risc acceptat o tractat amb els controls de l'Annex A seleccionats, el responsable, el termini i el cost estimat. Format que satisfà els auditors de certificació.

Tancament de NCs de seguretat

Suport a l'anàlisi de causa arrel de no conformitats del SGSI, definició d'accions correctives adequades als controls de l'Annex A i verificació d'eficàcia.

Revisió per la direcció (9.3) — entrades SGSI

Entrades obligatòries del SGSI: resultats auditors, estat del pla de tractament de riscos, incidents de seguretat, canvis en el context, recursos i oportunitats de millora.

Les 4 clàusules clau d'ISO 27001:2022

Aquestes clàusules concentren la major part de les no conformitats en auditories de certificació i seguiment. IgeraIndustria les explica amb els requisits exactes, exemples pràctics i els errors més habituals.

6.1.2 — Anàlisi i avaluació de riscos

La clàusula central del SGSI. L'organització ha de definir i aplicar un procés d'anàlisi de riscos que identifiqui els riscos associats a la pèrdua de confidencialitat, integritat i disponibilitat de la informació. El procés ha de ser reproduïïble (mateixa metodologia, mateixos resultats quan l'apliquen persones diferents), documentat i que produeixi resultats comparables. La norma no prescriu cap metodologia específica (MAGERIT, OCTAVE, FAIR, etc.) però sí exigeix evidència del procés i els seus resultats.

6.1.3 — Tractament de riscos i SoA

A partir dels riscos identificats, l'organització selecciona els controls de l'Annex A que apliquen i elabora la Declaració d'Aplicabilitat (SoA). La SoA ha d'incloure: tots els controls de l'Annex A (inclosos els exclosos), justificació de cada control (aplicable o exclòs i per quina raó), i si estan implementats o en fase d'implementació. La SoA és el document que l'auditor de certificació revisa amb més detall i ha d'estar perfectament sincronitzada amb el pla de tractament de riscos.

Annex A — Controls (ISO 27001:2022)

La versió 2022 reorganitza els controls en 4 categories (Organitzacionals: 37, Persones: 8, Físics: 14, Tecnològics: 34) i n'afegeix 11 de nous no existents a la versió 2013. Entre els nous: A.5.7 Threat intelligence, A.5.23 Seguretat per a l'ús de serveis cloud, A.5.30 Preparació de les TIC per a la continuïtat del negoci, A.8.9 Gestió de la configuració, A.8.12 Prevenció de la fuga de dades (DLP). La transició des de ISO 27001:2013 havia de completar-se abans d'octubre 2025.

9.2 / 9.3 — Auditoria interna i revisió per la direcció

El programa d'auditories internes ha de cobrir el SGSI complet en el cicle de certificació (3 anys). L'auditor intern ha de ser independent de les àrees auditades. La revisió per la direcció ha de tenir entrades documentades sobre incidents, riscos, auditories i objectius, i ha de produir sortides amb decisions sobre millores, recursos i canvis en l'abast del SGSI. Ambdues han de tenir registres que l'auditor de certificació pot sol·licitar en qualsevol auditoria de seguiment.

Com funciona IgeraIndustria per a ISO 27001

Cinc passos des de la càrrega del sistema de gestió de la seguretat fins a la resposta amb clàusula exacta i evidència requerida.

01

Indexes el teu Sistema de Gestió de la Seguretat de la Informació

Puges la teva anàlisi de riscos, SoA, pla de tractament, procediments de seguretat i registres d'incidències. IgeraIndustria els processa juntament amb la norma ISO 27001:2022 i tots els controls de l'Annex A.

02

Connectes l'assistent al CISO o responsable de seguretat

Embed al portal de seguretat, Teams o com a bot restringit per al comitè de seguretat. Accés controlat per rols (no tothom ha de poder consultar la SoA).

03

El responsable de seguretat pregunta en llenguatge natural

«Quins controls de l'Annex A apliquen per al nou servei cloud?», «Com justifiquem l'exclusió del control A.8.12 (DLP) a la SoA?», «Quina evidència necessita l'auditor per a la clàusula 6.1.2?»

04

IgeraIndustria cerca en 2 capes de coneixement

Primer a la teva documentació interna (anàlisi de riscos, SoA, procediments de seguretat, registres d'incidents), després a la norma ISO 27001:2022 i els 93 controls de l'Annex A indexats.

05

Resposta amb clàusula, control i evidència requerida

La resposta cita la clàusula o control de l'Annex A aplicable, indica quin nivell d'implementació és suficient i adverteix dels errors més freqüents en auditories de certificació ISO 27001.

IgeraIndustria en acció — SoA i Annex A ISO 27001

Consulta sobre com justificar l'exclusió d'un control de l'Annex A a la Declaració d'Aplicabilitat.

IgeraIndustria — Widget ISO 27001 Ciberseguretat

CISO / Responsable de Seguretat

El control A.5.7 (Threat intelligence) és nou a ISO 27001:2022. Hem d'implementar-lo obligatòriament o podem excloure'l a la SoA?

IgeraIndustria

ISO 27001:2022 — Annex A.5.7 Threat intelligence (control nou vs 2013)

OBLIGACIÓ: La SoA ha de mencionar A.5.7 sempre — inclós si s'exclou (clàusula 6.1.3.c)

  • • EXCLOURE és possible si: la justificació és defensable (ej: «cost desproporcionat per la mida de l'organització»)
  • • IMPLEMENTACIÓ mínima acceptable: subscripció a un feed gratuït (INCIBE-CERT, ENISA) + revisió mensual documentada

⚠️ Tendència 2024: els auditors demanen evidència activa d'A.5.7. Exclusió sense justificació sòlida genera NC

✓ ISO 27001:2022 Annex A.5.7 · Confiança: 99,4%

180

empleats empresa tecnologia industrial

6 set.

SoA 93 controls completada

0 NCs

majors a la primera auditoria

Teníem ISO 27001:2013 i vam haver de migrar a la versió 2022 amb els 11 controls nous. El nostre CISO no sabia com justificar els controls nous a la SoA — especialment threat intelligence i seguretat cloud. Amb IgeraIndustria, va poder respondre qualsevol pregunta de l'auditor en temps real durant la mateixa visita. Primera auditoria de la nova versió sense cap no conformitat major.

CISO / Empresa tecnologia industrial

Empresa tecnologia industrial — 180 empleats — Barcelona

*Testimoni representatiu basat en resultats de clients reals

Preguntes freqüents — ISO 27001:2022

Quina diferència hi ha entre ISO 27001:2013 i ISO 27001:2022?

La versió 2022 reorganitza els 114 controls de l'Annex A en 4 categories (en lloc de 14 dominis) i redueix el nombre total a 93, fusionant alguns controls similars. Els canvis principals: s'afegeixen 11 controls completament nous (threat intelligence, seguretat cloud, DLP, preparació TIC per a la continuïtat, etc.), 57 controls existents s'actualitzen (alguns amb canvis substancials de contingut) i 24 controls es fusionen en 11. El cos principal de la norma (clàusules 4-10) té canvis menors d'aclariment. Les empreses certificades en ISO 27001:2013 havien de completar la transició a la versió 2022 abans d'octubre de 2025.

¿Es obligatorio definir el alcance del SGSI antes de la certificación?

Sí. La cláusula 4.3 exige que la organización determine los límites y la aplicabilidad del SGSI y que documente el alcance. Definir el alcance correctamente es estratégico: un alcance demasiado amplio hace la certificación más compleja y costosa; un alcance demasiado estrecho puede no cubrir los activos de información críticos o puede ser cuestionado por clientes que requieren la certificación. El alcance debe especificar las ubicaciones físicas incluidas, los departamentos y las actividades cubiertas. Los organismos de certificación verifican que el alcance definido en el certificado coincide con lo que auditaron.

Cal fer una prova de penetració (pentest) per certificar-se en ISO 27001?

ISO 27001:2022 no exigeix explícitament un pentest com a requisit de certificació, però el control A.8.8 (Gestió de vulnerabilitats tècniques) i el control A.8.29 (Proves de seguretat en el desenvolupament) poden fer que sigui difícil demostrar-ne el compliment sense proves de penetració o escaneig de vulnerabilitats. En la pràctica, la majoria d'organismes de certificació esperen evidència d'algun tipus de proves tècniques de seguretat, especialment per a organizaciones amb sistemes exposats a Internet. La freqüència i profunditat del pentest (intern vs extern, caixa negra vs blanca) depèn de l'abast del SGSI i el perfil de risc de l'organització.

¿Qué tiene que incluir obligatoriamente la Declaración de Aplicabilidad (SoA)?

La cláusula 6.1.3 exige que la SoA incluya: todos los controles del Anexo A (los 93 de ISO 27001:2022), para cada control si está incluido o excluido, la justificación de la inclusión (por qué aplica al riesgo identificado) o exclusión (por qué no aplica — razones válidas: fuera de alcance, no aplica al tipo de negocio, compensado por otro control), y si los controles incluidos están implementados o en fase de implementación. La SoA no puede omitir controles — incluso los excluidos deben estar mencionados con justificación. Este es el documento que el auditor de certificación revisa con más detalle durante la auditoría de fase 2.

Com afecta el RGPD a ISO 27001?

ISO 27001 i el RGPD (Reglament General de Protecció de Dades) són complementaris però independents. Un SGSI ISO 27001 ben implementat cobreix molts dels requisits de seguretat del RGPD (Art.32: mesures tècniques i organitzatives), especialment els controls de l'Annex A relacionats amb protecció de dades personals. No obstant, tenir ISO 27001 no implica compliment automàtic del RGPD: calen dades específiques com la base legal del tractament, els drets dels interessats, els registres d'activitats de tractament (RAT) i les DPIA per a tractaments d'alt risc. El control A.5.34 (Privacitat i protecció de la informació personal) de l'ISO 27001:2022 és el pont entre els dos marcs.

¿Cuánto tiempo se tarda en certificar en ISO 27001 por primera vez?

El tiempo típico para una primera certificación ISO 27001 en una empresa de 50-200 empleados es 9-18 meses, dependiendo de la madurez del sistema de seguridad existente. Las fases principales son: diagnóstico y análisis de brechas (1-2 meses), diseño del SGSI y documentación incluyendo análisis de riesgos y SoA (3-6 meses), implementación de controles y formación (3-6 meses), auditoría interna previa (1 mes) y certificación (auditoría fase 1 + fase 2, 1-2 meses). IgeraIndustria reduce significativamente el tiempo de la fase de documentación porque el equipo puede consultar qué requiere cada cláusula y control sin necesidad de consultora externa.

Plans IgeraIndustria ISO 27001

Sense permanència. Cancel·la quan vulguis.

Starter

149/mes

Per a pimes industrials que inicien la certificació ISO 27001 i necessiten consultar clàusules i controls de l'Annex A sense depèndre de consultora externa.

  • ISO 27001:2022 + Annex A preindexats
  • Consultes per clàusula i control
  • Checklist SoA 93 controls
  • 1.000 consultes/mes
  • Widget per al CISO o responsable de seguretat
  • Suport per email
Comen&#231;ar Starter
MÉS POPULAR

Professional

299/mes

Per a empreses amb SGSI actiu, auditories periòdiques i necessitat de suport continu a l'equip de seguretat per a la gestió de riscos i controls.

  • ISO 27001 + documentació interna indexada
  • Gestió SoA i pla de tractament assistida
  • Simulacre d'auditoria per clàusula
  • 5.000 consultes/mes
  • Alertes renovació norma i controls nous
  • Suport prioritari
Comen&#231;ar Professional

Enterprise

599/mes

Per a grups industrials amb ISO 27001 integrada amb ISO 9001 i ISO 27701, múltiples seus i equips d'auditoria interns.

  • Multi-seu i multi-norma
  • ISO 27001 + 27701 + 9001 integrades
  • Gestió canvis de context (4.1) assistida
  • Consultes il·limitades
  • SLA 99,9% uptime
  • Customer success dedicat
Contactar vendes

Gestiona ISO 27001 clàusula a clàusula. Comença avui.

  • Prova gratuïta 14 dies — sense targeta de crèdit
  • ISO 27001:2022 completa + 93 controls de l'Annex A preindexats des del dia 1
  • Puja la teva anàlisi de riscos, SoA i procediments de seguretat interns
  • Checklist de controls per clàusula llest per a auditories de certificació
Començar prova gracuïta