ISO 27001 e ISO 27002 se confunden con frecuencia. Una es certificable y establece requisitos; la otra es una guía de implementación de controles. Te explicamos cómo se diferencian y cómo usarlas juntas.
ISO 27001: la norma certificable
ISO/IEC 27001:2022 es la norma internacional que establece los requisitos para implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Es una norma de requisitos auditables, lo que significa que una organización puede certificarse contra ella.
Su estructura incluye cláusulas obligatorias (4 a 10) que definen el marco del SGSI, y un Anexo A que lista los controles de referencia. La versión 2022 organiza 93 controles en 4 categorías: organizacionales, de personas, físicos y tecnológicos.
ISO 27002: la guía de implementación
ISO/IEC 27002:2022 no es certificable. Es una guía de buenas prácticas que explica cómo implementar cada uno de los controles referenciados en el Anexo A de ISO 27001.
Mientras ISO 27001 dice "qué controles aplicar", ISO 27002 dice "cómo implementarlos en la práctica". Proporciona orientación detallada, propósito, atributos y ejemplos para cada uno de los 93 controles.
Comparación directa: ISO 27001 vs ISO 27002
| Criterio | ISO 27001 | ISO 27002 |
|---|---|---|
| Tipo de norma | Requisitos (certificable) | Guía (no certificable) |
| Propósito | Establecer un SGSI | Implementar controles de seguridad |
| Estructura | Cláusulas 4-10 + Anexo A | 93 controles con guía detallada |
| Auditoría externa | Sí, auditable por terceros | No aplica |
| Obligatoriedad | Define qué controles aplican (SoA) | Explica cómo implementar cada control |
| Versión actual | ISO/IEC 27001:2022 | ISO/IEC 27002:2022 |
| Uso principal | Certificación y cumplimiento | Referencia técnica de implementación |
Anexo A de ISO 27001 vs controles de ISO 27002
El Anexo A de ISO 27001 lista los 93 controles como referencia. La organización debe evaluar cuáles aplican y documentar la Declaración de Aplicabilidad (SoA). ISO 27002 toma esos mismos 93 controles y los desarrolla en profundidad.
Para cada control, ISO 27002 incluye: propósito, atributos (tipo de control, propiedades de seguridad, conceptos de ciberseguridad, capacidades operativas y dominios de seguridad), guía de implementación y otra información relevante.
- 4 categorías en ambas normas: organizacionales (37), personas (8), físicos (14), tecnológicos (34).
- 11 controles nuevos en la versión 2022, incluyendo inteligencia de amenazas y seguridad en la nube.
- ISO 27002 asigna atributos a cada control para facilitar el filtrado y la priorización.
- La SoA (Declaración de Aplicabilidad) conecta ambas normas en la práctica.
Cómo usar ISO 27001 e ISO 27002 juntas
En la práctica, ambas normas se usan de forma complementaria. ISO 27001 define el marco de gestión y determina qué controles aplican. ISO 27002 proporciona la guía para implementar esos controles de manera efectiva.
- Usá ISO 27001 como base del SGSI y para la certificación.
- Consultá ISO 27002 cuando necesites orientación sobre cómo implementar un control específico.
- La SoA (Statement of Applicability) es el puente entre ambas normas.
- En auditoría, el auditor evalúa contra ISO 27001, no contra ISO 27002.
- ISO 27002 también sirve como benchmark para evaluar la madurez de los controles existentes.
Preguntas frecuentes
Para certificar, necesitás ISO 27001 obligatoriamente. ISO 27002 es altamente recomendable como guía de implementación, pero no es requisito formal. Si estás implementando el SGSI, tener ambas te ahorra tiempo y errores.
No. ISO 27002 es una norma de guía, no de requisitos. Solo ISO 27001 es certificable. Ningún organismo de certificación acreditado emite certificados contra ISO 27002.
ISO 27002 se actualizó en febrero 2022 y ISO 27001 en octubre 2022. Los controles del Anexo A de ISO 27001:2022 están alineados con la estructura de ISO 27002:2022.
El auditor evalúa contra los requisitos de ISO 27001 y los controles del Anexo A declarados en la SoA. Puede usar ISO 27002 como referencia técnica, pero la auditoría se certifica contra ISO 27001.