Plantilla Declaración de Aplicabilidad ISO 27001

1930 views

98% helpful

In this guide

Qué es realmente la DdALas 4 categorías del Anexo A (revisión 2022)Controles nuevos añadidos en 2022Cómo redactar justificaciones defendiblesDescargue y personalice la plantilla

Qué es realmente la DdA

La Declaración de Aplicabilidad (DdA) es el documento más escrutado en cualquier auditoría ISO 27001. Es un entregable de la cláusula 6.1.3(d) que enumera cada control del Anexo A, indica si lo implementa, la justificación de inclusión o exclusión y el estado de implementación. Los auditores dedican aproximadamente el 40% del tiempo de auditoría etapa 1 solo a la DdA.

Exigida por la cláusula 6.1.3(d) de ISO/IEC 27001:2022
Enumera los 93 controles del Anexo A (frente a 114 en la versión 2013)
Debe indicar decisión incluir/excluir por control
Las justificaciones deben ser específicas — "no aplica" solo no supera la auditoría

Las 4 categorías del Anexo A (revisión 2022)

La revisión 2022 reestructuró los controles en cuatro temas. El total bajó de 114 a 93 por consolidación, más 11 controles nuevos añadidos.

Controles organizativos (37) — A.5.1 a A.5.37: políticas, gobierno, relaciones con proveedores
Controles de personas (8) — A.6.1 a A.6.8: selección, términos, concienciación, disciplinario
Controles físicos (14) — A.7.1 a A.7.14: áreas seguras, equipos, mesa despejada
Controles tecnológicos (34) — A.8.1 a A.8.34: control de acceso, criptografía, desarrollo seguro, monitorización

Controles nuevos añadidos en 2022

Once controles son totalmente nuevos en la revisión 2022. Si migra desde una DdA de la era 2013, estos son los que los auditores comprobarán primero porque son omisiones evidentes.

A.5.7 Inteligencia de amenazas
A.5.23 Seguridad de la información para uso de servicios cloud
A.5.30 Preparación TIC para continuidad de negocio
A.7.4 Monitorización de seguridad física
A.8.9 Gestión de configuración
A.8.10 Eliminación de información
A.8.11 Enmascaramiento de datos
A.8.12 Prevención de fugas de datos
A.8.16 Actividades de monitorización
A.8.23 Filtrado web
A.8.28 Codificación segura

Cómo redactar justificaciones defendibles

Una justificación "no aplica — sin uso de cloud" será rechazada si los auditores ven que su equipo usa Microsoft 365. Las justificaciones deben estar respaldadas por evidencia, datadas y revisadas anualmente.

Formato: "<Referencia del control> está <incluido/excluido> porque <razón de negocio específica respaldada por evidencia>. Responsable de implementación: <rol nombrado>. Última revisión: <fecha>."
Incluya referencias cruzadas a políticas, procedimientos y registros que implementan el control
Marque estado: Implementado / Parcial / Planificado / No aplica
Documente ubicaciones de evidencia (rutas de archivo, IDs de ticket, versiones de política)

Descargue y personalice la plantilla

Nuestra plantilla DdA es un XLSX estructurado con los 93 controles del Anexo A, guía de implementación precargada para stacks PYME típicos (Microsoft 365 + Bitdefender + Azure AD) y mapeo a frameworks relacionados (NIS2, RGPD, SOC 2). Reduce la preparación de DdA de 80 horas a unas 16 horas.

Formato: XLSX con formato condicional y validación
Justificaciones precargadas para 60+ escenarios PYME comunes
Mapeo cruzado a NIS2 Artículo 21, RGPD Artículos 5/32, serie SOC 2 CC
Descarga libre — usado en 40+ implementaciones ISMS PYME certificadas

¿Necesita ayuda?

Contáctenos para obtener asistencia personalizada con este problema.

Volver a Recursos Contactar