DivisionCero
Políticas, Procesos y Procedimientos

Declaración de Aplicabilidad (SoA)

Declaración de aplicabilidad de controles.

Quieres aprender más?

Descarga el Kit de Ciberseguridad.

📋 Información General

Documento: Declaración de Aplicabilidad (Statement of Applicability - SoA)
Versión: 1.0.0
Fecha: Enero 2025
Clasificación: Confidencial
Audiencia: CISO, Equipo de Seguridad, Auditores, Alta Dirección

🎯 Propósito

Documentar los controles de seguridad seleccionados para el Sistema de Gestión de Seguridad de la Información (SGSI) de DivisionCero, incluyendo la justificación de su aplicabilidad y el estado de implementación conforme a ISO 27001:2022.

🏢 Alcance

Esta declaración aplica a:

  • Todos los controles de seguridad del Anexo A de ISO 27001:2022
  • Controles adicionales específicos para el contexto de DivisionCero
  • Sistemas, procesos y activos incluidos en el alcance del SGSI
  • Evaluaciones de aplicabilidad para entornos multi-nube

📚 Definiciones

  • Control Aplicable: Control relevante para los riesgos identificados que debe implementarse
  • Control No Aplicable: Control que no es relevante para el contexto organizacional
  • Estado de Implementación: Nivel de madurez actual del control (No implementado, En progreso, Implementado)
  • Justificación: Razonamiento documentado para la decisión de aplicabilidad

🛡️ Política

Proceso de Evaluación

  • Se evaluará cada control del Anexo A de ISO 27001 para determinar su aplicabilidad
  • La evaluación considerará riesgos identificados, contexto organizacional y requisitos legales
  • Se documentará la justificación para cada decisión de aplicabilidad
  • Se revisará anualmente o cuando cambien las condiciones del negocio

Criterios de Aplicabilidad

Controles Aplicables cuando:

  • Mitigan riesgos identificados en el análisis de riesgos
  • Son requeridos por obligaciones legales o contractuales
  • Son necesarios para mantener la confianza de clientes y partes interesadas
  • Apoyan objetivos estratégicos de seguridad

Controles No Aplicables cuando:

  • No existe el riesgo que pretenden mitigar
  • La organización no tiene los activos o procesos relevantes
  • Otros controles proporcionan protección equivalente
  • El costo excede significativamente el beneficio

Categorías de Controles

A.5 Políticas de Seguridad de la Información

  • A.5.1 Políticas para la seguridad de la información: Aplicable - Fundamental para el SGSI

A.6 Organización de la Seguridad de la Información

  • A.6.1 Organización interna: Aplicable - Estructura organizacional definida
  • A.6.2 Dispositivos móviles y teletrabajo: Aplicable - Fuerza laboral remota

A.7 Seguridad de los Recursos Humanos

  • A.7.1 Antes del empleo: Aplicable - Verificación de antecedentes
  • A.7.2 Durante el empleo: Aplicable - Capacitación y concienciación
  • A.7.3 Terminación y cambio del empleo: Aplicable - Proceso de offboarding

A.8 Gestión de Activos

  • A.8.1 Responsabilidad por los activos: Aplicable - Inventario y propiedad
  • A.8.2 Clasificación de la información: Aplicable - Múltiples niveles de sensibilidad
  • A.8.3 Manipulación de medios: Aplicable - Gestión de medios removibles

Estado de Implementación

ControlDescripciónAplicabilidadEstadoJustificación
A.5.1Políticas de seguridadAplicableImplementadoPolítica general aprobada
A.6.1Organización internaAplicableImplementadoCISO y equipo establecidos
A.6.2Dispositivos móvilesAplicableEn progresoPolítica BYOD en desarrollo
A.7.1Selección de personalAplicableImplementadoVerificaciones de antecedentes
A.8.1Inventario de activosAplicableEn progresoSistema CMDB en implementación

👥 Roles y Responsabilidades

  • CISO: Aprobar la declaración de aplicabilidad y sus actualizaciones
  • Equipo GRC: Evaluar aplicabilidad y mantener documentación actualizada
  • Propietarios de Procesos: Proporcionar información sobre aplicabilidad de controles
  • Auditores Internos: Verificar la coherencia entre SoA y implementación real

📊 Cumplimiento y Medición

  • Revisión anual completa de la declaración de aplicabilidad
  • Actualización cuando se identifiquen nuevos riesgos o cambios organizacionales
  • Seguimiento del progreso de implementación de controles aplicables
  • Reporte trimestral del estado de implementación a la alta dirección

🚨 Incumplimiento

  • Controles marcados como aplicables deben ser implementados según cronograma
  • Desviaciones requieren justificación formal y aprobación del CISO
  • Auditorías pueden identificar discrepancias entre SoA y realidad
  • Incumplimiento puede afectar certificación ISO 27001

📖 Referencias

  • ISO 27001:2022 - Anexo A Controles de Seguridad
  • ISO 27002:2022 - Código de Práctica para Controles de Seguridad
  • Política de Seguridad de la Información
  • Análisis de Riesgos de Seguridad
  • Plan de Tratamiento de Riesgos

📝 Control de Versiones

VersiónFechaCambiosAutor
1.0.0Enero 2025Versión inicialEquipo GRC

¿Te ha resultado útil esta página?

Última modificación: 25 de agosto de 2025

Correlación de Eventos y SIEM

Uso de plataformas SIEM para análisis y alertas de seguridad.

Diligencia Debida a Proveedores Críticos

Evaluación de riesgos de proveedores con acceso a información sensible.