La versión 2022 reorganizó los 114 controles del Anexo A 2013 en 93 controles agrupados en 4 cláusulas. Te explicamos la nueva estructura, los 11 controles nuevos y cómo implementarlos sin morir en el intento.
El Anexo A de ISO/IEC 27001 es el catálogo normativo de controles de seguridad de la información que la organización puede aplicar para tratar los riesgos identificados en su SGSI. NO es una checklist obligatoria — es un menú de controles entre los cuales elegir y justificar la aplicabilidad en la Declaración de Aplicabilidad (SoA).
La versión 2022 (publicada en octubre 2022) trajo el cambio estructural más profundo desde 2005: reorganizó los 114 controles del Anexo A 2013 distribuidos en 14 dominios, agrupándolos en 93 controles repartidos en solo 4 cláusulas. Es una refactorización moderna que elimina duplicados, fusiona controles relacionados y agrega 11 controles nuevos para abordar riesgos emergentes (cloud, threat intelligence, gestión de configuración).
Si tu organización tenía ISO 27001:2013 certificada, tuvo hasta el 31 de octubre de 2025 para migrar a la versión 2022. Después de esa fecha, los certificados 2013 perdieron validez. Las recertificaciones desde 2024 ya se hacen contra la versión 2022.
Los controles ahora se agrupan por la naturaleza de quien los implementa, en lugar del dominio funcional. Esta es la nueva taxonomía:
A.5 — Controles Organizacionales (37 controles). Políticas, roles, gestión de activos, contratos con proveedores, gestión de incidentes, continuidad. Son los controles que vive el cumplimiento.
A.6 — Controles de Personas (8 controles). Selección, capacitación, conciencia, responsabilidades disciplinarias, terminación de empleo. Son los controles humanos.
A.7 — Controles Físicos (14 controles). Perímetro, oficinas, control de acceso físico, equipos, seguridad de cableado, mantenimiento, almacenamiento de medios. Son los controles del entorno.
A.8 — Controles Tecnológicos (34 controles). Dispositivos endpoint, privilegios, autenticación, cifrado, redes, seguridad en desarrollo, gestión de vulnerabilidades, registro y monitoreo. Son los controles técnicos puros.
La gran ventaja: cuando vas a asignar responsables a controles, ya están agrupados por área natural. Los A.5 a TI / Cumplimiento / Legal; los A.6 a RRHH; los A.7 a Servicios Generales / Seguridad Física; los A.8 a TI / DevOps. Antes en 2013, los 14 dominios cruzaban áreas y generaban duplicación.
La versión 2022 agregó 11 controles totalmente nuevos para responder a riesgos que en 2013 eran emergentes y hoy son críticos:
A.5.7 — Inteligencia de amenazas. Suscripción y uso de feeds de threat intelligence para anticipar ataques.
A.5.23 — Seguridad de la información para uso de servicios en la nube. Política específica para SaaS/IaaS/PaaS.
A.5.30 — Preparación de las TIC para la continuidad de negocio. Antes vivía en cláusula 17; ahora es control formal.
A.7.4 — Monitoreo de la seguridad física. CCTV, sensores, control perimetral activo.
A.8.9 — Gestión de la configuración. Baseline de configuración + control de cambios (era implícito antes).
A.8.10 — Eliminación de la información. Borrado seguro al fin del ciclo de vida (relevante GDPR / Habeas Data).
A.8.11 — Enmascaramiento de datos. Anonimización / pseudonimización para entornos no productivos.
A.8.12 — Prevención de fuga de datos (DLP). Control técnico y administrativo.
A.8.16 — Actividades de monitoreo. SIEM, alertas, detección de anomalías.
A.8.23 — Filtrado web. Bloqueo de sitios maliciosos en navegación corporativa.
A.8.28 — Codificación segura. Estándar de desarrollo seguro (OWASP, SAST, DAST).
Además de los 11 nuevos, 24 controles del Anexo A 2013 se fusionaron en 11 controles más amplios del 2022. Por ejemplo, los controles de "gestión de claves criptográficas" y "uso de criptografía" se unificaron en A.8.24. Esto reduce duplicación pero exige actualizar cualquier mapeo de controles existente.
Si tenías una matriz de cumplimiento construida sobre el Anexo A 2013, hay que reconstruirla con la nueva nomenclatura. El cross-walk oficial (provisto por ISO) muestra cómo cada control 2013 mapea al 2022 — es lectura obligada para empresas que migran.
Cada control del Anexo A 2022 ahora viene con 5 atributos (etiquetas) que ayudan a filtrar y reportar. Es un cambio enorme para implementaciones grandes: te permite consultar "todos los controles preventivos relacionados con confidencialidad" en una query.
Tipo de control — Preventivo / Detectivo / Correctivo.
Propiedades de seguridad — Confidencialidad / Integridad / Disponibilidad.
Conceptos de ciberseguridad — Identificar / Proteger / Detectar / Responder / Recuperar (alineado con NIST CSF).
Capacidades operativas — Gobernanza / Gestión de activos / Protección de información / Seguridad de RRHH / Seguridad física / Seguridad de sistemas y redes / Seguridad de aplicaciones / Configuración segura / Gestión de identidad y acceso / Detección y respuesta a amenazas / Continuidad / Seguridad de proveedores / Legal y cumplimiento / Gestión de eventos / Garantía de seguridad.
Dominios de seguridad — Gobernanza y ecosistema / Protección / Defensa / Resiliencia.
Implementar los 93 controles de golpe es imposible para PYMEs. El SGSI maduro implementa por prioridad de riesgo: primero los controles que tratan los riesgos más críticos identificados en el análisis. Estos son los típicos primeros 30-40 controles que se implementan:
Mes 1-2: A.5.1 (políticas), A.5.2 (roles), A.5.10 (uso aceptable de activos), A.5.36 (cumplimiento políticas).
Mes 2-3: A.6.3 (concienciación), A.6.4 (proceso disciplinario), A.7.2 (entrada de áreas seguras), A.8.2 (privilegios), A.8.5 (autenticación segura).
Mes 3-4: A.5.12 (clasificación información), A.5.34 (privacidad y PII), A.8.24 (criptografía), A.8.32 (gestión de cambios).
Mes 4-5: A.5.7 (threat intelligence), A.5.23 (cloud), A.8.16 (monitoreo), A.8.34 (auditoría sistemas).
Mes 5-6: A.5.24 a A.5.27 (gestión de incidentes), A.5.29 (continuidad), A.5.30 (TIC continuidad).
Mes 6+: el resto, priorizado por riesgo residual y exigencias de auditoría externa.
En Excel + Drive, mapear 93 controles a evidencias documentales, responsables, plazos y verificación de eficacia se vuelve inmanejable cuando la organización tiene más de 30-40 personas. Un software dedicado al SGSI hace varias cosas que Excel no puede:
Catálogo completo de los 93 controles con descripción, propósito, atributos (CIA, NIST, capacidades) y guía de implementación.
Plantillas de evidencia por control — qué documento subir, qué configuración mostrar, qué log capturar.
Mapeo automático: cuando agregas un riesgo en el análisis, el sistema sugiere qué controles del Anexo A lo tratarían.
Cross-walk 2013 ↔ 2022 si vienes migrando de la versión anterior.
Filtros por atributos: "muéstrame todos los controles preventivos no implementados" o "todos los controles que cubren confidencialidad de PII".
Tablero de cobertura: qué porcentaje de los 93 controles aplicables tienes implementados, con evidencia vigente.
Generación automática del SoA (Declaración de Aplicabilidad) con justificación de exclusiones — entregable obligatorio que exige ISO 27001.
HoldingSoft+ centraliza la matriz IPER, COPASST, indicadores y reportes Resolución 0312. Reduce 60-80% el tiempo de gestión SGI.
Cumple Decreto 1072 + Resolución 0312
Estándares mínimos SG-SST + ISO 9001/14001/45001IA SOFÍA con citas verificables
RAG sobre tus documentos, sin alucinacionesDesde USD 30/mes · +40 apps incluidas
Sin penalización por cambiar de planNo. La organización aplica los controles que tratan los riesgos identificados en su análisis. Los demás se excluyen con justificación documentada en la Declaración de Aplicabilidad (SoA). Una PYME típica implementa 50-70 controles; una empresa grande 80-90. Aplicar los 93 sin justificación riesgo-controlada es señal de implementación inmadura.
No. El plazo de transición venció el 31 de octubre de 2025. Toda organización certificada debió migrar a ISO 27001:2022. Las recertificaciones desde 2024 se hacen contra la versión 2022. Si tu certificado dice 2013 después de noviembre 2025, comercialmente equivale a no estar certificado.
Depende del estado del SGSI actual. Bien implementado: 3-4 meses (cross-walk + actualización SoA + ajuste plan de tratamiento). Implementación cosmética: 6-8 meses (requiere fortalecer controles que en 2013 eran light). El software con cross-walk integrado reduce 50% el tiempo vs Excel manual.
Son informativos pero útiles. La norma no obliga a documentarlos explícitamente — pero los auditores de certificación pueden preguntar cómo usaste los atributos para priorizar. Empresas maduras los usan para reportes ejecutivos y para mapeo cruzado con NIST CSF o ISO 22301 (continuidad).
Por experiencia de proyectos reales 2023-2026: (1) A.5.36 — Cumplimiento de políticas, procedimientos y reglas (auditor verifica evidencia de revisiones periódicas); (2) A.8.16 — Monitoreo de actividades (logs centralizados, retención, análisis); (3) A.5.24-A.5.27 — Gestión de incidentes (procedimiento documentado + simulacros + lecciones aprendidas).
Más moderno y exigente en áreas que en 2013 eran opcionales: monitoreo (A.8.16), threat intelligence (A.5.7), cloud (A.5.23), DLP (A.8.12), gestión de configuración (A.8.9). En general, el listón de "qué es un SGSI aceptable" subió. Implementaciones 2013 minimalistas no pasan recertificación 2022 sin trabajo adicional.
ISO 27002:2022 es la "guía de implementación" detallada del Anexo A. Mientras el Anexo A solo lista los 93 controles con título y propósito (1-2 líneas cada uno), ISO 27002 dedica 1-3 páginas por control con guía detallada de implementación, consideraciones, ejemplos. Son normas hermanas: 27001 es certificable, 27002 es referencia técnica.
HoldingSoft+ automatiza la gestión documental, los indicadores y los reportes que aquí se mencionan. Ahorras semanas de trabajo administrativo y reduces el riesgo de hallazgos en auditoría.