Declaración de Aplicabilidad (SoA) en ISO 27001: qué es y cómo redactarla, con ejemplo
Respuesta directa: la Declaración de Aplicabilidad (SoA, Statement of Applicability) es un documento obligatorio de ISO 27001 que lista los 93 controles del Anexo A e indica, para cada uno: si aplica o no, la justificación de esa decisión y su estado de implementación. Se deriva de la evaluación y el tratamiento de riesgos, y es uno de los primeros documentos que revisa el auditor: conecta los riesgos con los controles.
Qué es la SoA y por qué es obligatoria
La SoA es el puente entre la evaluación de riesgos y los controles del Anexo A. ISO 27001 la exige explícitamente porque demuestra que la selección de controles no es arbitraria: cada inclusión o exclusión está justificada frente al riesgo. Sin una SoA coherente, no hay certificación.
Qué debe contener (por cada control)
- Aplicabilidad: si el control aplica o no al alcance del SGSI.
- Justificación: por qué se incluye (riesgo, requisito legal o contractual) o por qué se excluye.
- Estado de implementación: implementado, parcial o pendiente, y cómo (referencia al procedimiento o evidencia).
Cómo se construye
La SoA no se redacta primero: se deriva del tratamiento de riesgos. La secuencia es: identificas y evalúas los riesgos, decides cómo tratarlos, seleccionas los controles del Anexo A que los mitigan, y registras esa selección justificada en la SoA. Si actualizas la versión 2022, revisa nuestra guía de transición a ISO 27001:2022.
Ejemplo
| Control (Anexo A) | ¿Aplica? | Justificación | Estado |
|---|---|---|---|
| A.5.7 Inteligencia de amenazas | Sí | Riesgo de amenazas externas emergentes | Parcial |
| A.8.12 Prevención de fuga de datos | Sí | Datos de clientes en la nube | Implementado |
| A.7.4 Monitoreo de seguridad física | No | Sin instalaciones propias (100% teletrabajo) | N/A |
Errores comunes
- Marcar todos los controles como aplicables "por si acaso", sin justificar frente al riesgo.
- Excluir controles sin una razón sólida (el auditor lo cuestionará).
- Desalinear la SoA de la evaluación de riesgos o dejarla desactualizada.
Preguntas frecuentes
- ¿La SoA es obligatoria en ISO 27001?
- Sí. Es un documento requerido explícitamente por la norma y uno de los primeros que revisa el auditor.
- ¿Cuántos controles debe listar la SoA?
- Los 93 controles del Anexo A de ISO 27001:2022, indicando para cada uno su aplicabilidad, justificación y estado.
- ¿La SoA se hace antes o después de la evaluación de riesgos?
- Después: se deriva del tratamiento de riesgos, que determina qué controles se seleccionan.
- ¿Puedo excluir controles?
- Sí, siempre que la exclusión esté justificada frente al alcance y al riesgo.
Contenido elaborado por Normexus. Información de referencia; los requisitos formales se rigen por la norma ISO/IEC 27001:2022 vigente.