Declaración de Aplicabilidad (SoA) en ISO 27001: qué es y cómo redactarla, con ejemplo

Última actualización: julio de 2026 · Por Marcos Díaz Rojas — Auditor Líder de SGSI (ISO 27001), Consultor Senior en Sistemas de Gestión ISO

Respuesta directa: la Declaración de Aplicabilidad (SoA, Statement of Applicability) es un documento obligatorio de ISO 27001 que lista los 93 controles del Anexo A e indica, para cada uno: si aplica o no, la justificación de esa decisión y su estado de implementación. Se deriva de la evaluación y el tratamiento de riesgos, y es uno de los primeros documentos que revisa el auditor: conecta los riesgos con los controles.

Qué es la SoA y por qué es obligatoria

La SoA es el puente entre la evaluación de riesgos y los controles del Anexo A. ISO 27001 la exige explícitamente porque demuestra que la selección de controles no es arbitraria: cada inclusión o exclusión está justificada frente al riesgo. Sin una SoA coherente, no hay certificación.

Qué debe contener (por cada control)

Cómo se construye

La SoA no se redacta primero: se deriva del tratamiento de riesgos. La secuencia es: identificas y evalúas los riesgos, decides cómo tratarlos, seleccionas los controles del Anexo A que los mitigan, y registras esa selección justificada en la SoA. Si actualizas la versión 2022, revisa nuestra guía de transición a ISO 27001:2022.

Ejemplo

Control (Anexo A)¿Aplica?JustificaciónEstado
A.5.7 Inteligencia de amenazasRiesgo de amenazas externas emergentesParcial
A.8.12 Prevención de fuga de datosDatos de clientes en la nubeImplementado
A.7.4 Monitoreo de seguridad físicaNoSin instalaciones propias (100% teletrabajo)N/A

Errores comunes

Evalúa la madurez de tu SGSI: Pre-Evaluación gratuita

Preguntas frecuentes

¿La SoA es obligatoria en ISO 27001?
Sí. Es un documento requerido explícitamente por la norma y uno de los primeros que revisa el auditor.
¿Cuántos controles debe listar la SoA?
Los 93 controles del Anexo A de ISO 27001:2022, indicando para cada uno su aplicabilidad, justificación y estado.
¿La SoA se hace antes o después de la evaluación de riesgos?
Después: se deriva del tratamiento de riesgos, que determina qué controles se seleccionan.
¿Puedo excluir controles?
Sí, siempre que la exclusión esté justificada frente al alcance y al riesgo.

Sobre el autor

Marcos Díaz Rojas es Ingeniero Civil Industrial (Magíster en Gestión de Activos), Consultor Senior con más de 20 años de trayectoria en Sistemas de Gestión ISO, Auditor IRCA/ICQ (SGEn) e Implementador y Auditor Líder certificado. Es Auditor Líder de SGSI (ISO/IEC 27001) con experiencia directa implementando la norma. Perfil en LinkedIn.

Contenido elaborado por Normexus. Información de referencia; los requisitos formales se rigen por la norma ISO/IEC 27001:2022 vigente.