Transición de ISO 27001:2013 a 2022: qué cambió y cómo migrar

Última actualización: julio de 2026 · Por Marcos Díaz Rojas — Consultor Senior en Sistemas de Gestión ISO, Auditor Líder de SGSI (ISO 27001)

Respuesta directa: ISO/IEC 27001:2022 reestructuró el Anexo A: de 114 controles en 14 dominios a 93 controles en 4 temas (organizacional, personas, físico y tecnológico), con 11 controles nuevos y varios fusionados o renombrados. Las cláusulas 4–10 tuvieron cambios menores. Las organizaciones certificadas bajo la versión 2013 debían completar la transición dentro del plazo definido por el IAF. Migrar implica un análisis de brechas, actualizar la Declaración de Aplicabilidad (SoA), implementar los controles nuevos y aprobar una auditoría de transición.

Qué cambió

El cambio principal está en el Anexo A, alineado ahora con ISO/IEC 27002:2022: los controles pasaron de 114 (en 14 dominios) a 93 (en 4 temas). No es que "sobren" controles: muchos se fusionaron, se renombraron y se reorganizaron, y se añadieron 11 nuevos que reflejan riesgos actuales (nube, monitoreo, fuga de datos, código seguro). El cuerpo de la norma (cláusulas 4 a 10) tuvo ajustes de redacción menores.

Los 11 controles nuevos

Plazo de transición

El IAF (International Accreditation Forum) fijó un período de transición para migrar de la versión 2013 a la 2022 desde la publicación de esta última. Las organizaciones certificadas debían transicionar dentro de ese plazo, normalmente en una auditoría de seguimiento o recertificación; pasado el plazo, los certificados 2013 dejan de ser válidos.

Cómo migrar

  1. Análisis de brechas entre tu SGSI actual y los cambios de 2022.
  2. Actualiza la Declaración de Aplicabilidad (SoA) al nuevo conjunto de 93 controles.
  3. Implementa y evidencia los 11 controles nuevos que apliquen.
  4. Actualiza documentación, riesgos y registros; capacita al equipo.
  5. Coordina la auditoría de transición con tu organismo certificador.
Evalúa tu brecha hacia ISO 27001:2022: Pre-Evaluación gratuita

Preguntas frecuentes

¿Cuántos controles tiene ISO 27001:2022?
93 controles organizados en 4 temas (organizacional, personas, físico y tecnológico), frente a los 114 en 14 dominios de la versión 2013.
¿Cuántos controles nuevos hay?
11 controles nuevos, más varios fusionados y renombrados.
¿Qué pasa si no transiciono a tiempo?
Pasado el plazo de transición del IAF, el certificado bajo la versión 2013 deja de ser válido.
¿Cómo empiezo la migración?
Con un análisis de brechas y la actualización de la Declaración de Aplicabilidad. Ver la guía de certificación ISO 27001.

Sobre el autor

Marcos Díaz Rojas es Ingeniero Civil Industrial (Magíster en Gestión de Activos), Consultor Senior con más de 20 años de trayectoria en Sistemas de Gestión ISO, Auditor IRCA/ICQ (SGEn) e Implementador y Auditor Líder certificado. Es Auditor Líder de SGSI (ISO/IEC 27001) con experiencia directa implementando la norma. Perfil en LinkedIn.

Contenido elaborado por Normexus. Información de referencia; los requisitos y plazos formales se rigen por la norma ISO/IEC 27001:2022, ISO/IEC 27002:2022 y las reglas del IAF vigentes.