Declaración de aplicabilidad

/ Certificación ISO, Consultoría ISO / Por

declaración de aplicabilidad, SOA

¿Qué es la Declaración de aplicabilidad?

La Declaración de Aplicabilidad (DdA) es un documento clave en un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO/IEC 27001. Identifica los controles de seguridad aplicables a la organización, justifica su inclusión o exclusión y refleja su estado de implementación. Sirve como referencia para auditores, clientes y partes interesadas, demostrando cómo la organización gestiona y protege la información según los riesgos identificados.

Declaración de aplicabilidad en ISO 27001

Los controles que se incluyen en la Declaración de Aplicabilidad (DdA) provienen del Anexo A de la norma ISO 27001, que contiene un total de 93 controles, agrupados en 4 grandes temas:

  • Controles organizativos (37 controles). Políticas, roles, responsabilidades, gestión de recursos, protección contra amenazas, etc.
  • Controles de personas (8 controles). Formación, concienciación, responsabilidades del personal, seguridad en relaciones laborales.
  • Controles físicos (14 controles). Seguridad de accesos físicos, protección de equipos, seguridad en oficinas y entornos críticos.
  • Controles tecnológicos (34 controles). Gestión de accesos, cifrado, protección contra malware, backup, monitorización, gestión de vulnerabilidades.

Cada organización selecciona los controles aplicables en función de su análisis de riesgos y requisitos legales, contractuales o de partes interesadas.

Declaración de aplicabilidad en ENS

En el Esquema Nacional de Seguridad (ENS), la «Declaración de Aplicabilidad (DdA)» es el documento que recoge las medidas de seguridad aplicables a un sistema en función de su categoría (BÁSICA, MEDIA o ALTA).

Estas medidas están establecidas en el «Anexo II» del ENS (Real Decreto 311/2022) y se agrupan en tres bloques principales:

  • Marco Organizativo (15 medidas). Hace referencia a medidas relacionadas con la gestión, la organización y la normativa interna, como: Política de seguridad, Función de seguridad, Normativa de seguridad, Gestión de riesgos, Formación y concienciación, Gestión de personal, Seguridad en la contratación externa, Gestión de la continuidad, Auditoría de seguridad.
  • Marco Operacional (34 medidas). Tiene en cuenta las medidas técnicas y procedimentales para la operación diaria segura, incluyendo: Planificación y control de cambios, Protección frente a código dañino, Gestión de soportes, Registro de actividad, Monitorización continua, Gestión de incidentes, Copias de seguridad, Control de acceso físico y lógico.
  • Medidas de Protección (18 medidas). Controles para proteger la información y los servicios frente a amenazas, como: Protección de comunicaciones; Protección de servicios externos; Protección frente a denegación de servicio; Protección criptográfica; Gestión de vulnerabilidades; Protección contra suplantación y manipulación; Aislamiento de servicios

La Declaración de Aplicabilidad del ENS incluye:

  • Relación de las medidas aplicables según la categoría del sistema (Básica, Media o Alta).
  • Justificación de su aplicación, adaptación o no aplicación.
  • Estado de implantación de cada medida.