¿Cuáles son los controles de seguridad compartidos en la norma ISO 27701:2025?
Tabla A.3 de ISO 27701:2025 Anexo A Define 29 controles de seguridad de la información que se aplican a cualquier organización que procese información de identificación personal, ya sea como responsable del tratamiento, encargado del tratamiento o ambos.
Estos controles reemplazaron las más de 90 subcláusulas de la Cláusula 6 de la edición de 2019. La edición de 2025 conservó solo aquellos controles que requieren una guía de implementación específica para PII, consolidándolos en un conjunto enfocado. Consulte la Tabla de correspondencias del Anexo F para el mapeo completo de 2019 a 2025.
Las directrices de implementación para cada control se encuentran en el Anexo B, sección B.3 (por ejemplo, directrices para A.3.3 Políticas de seguridad de la información está en B.3.3).
Lista completa de controles de la Tabla A.3
| Control | Título | Resumen |
|---|---|---|
| A.3.3 Políticas de seguridad de la información | Políticas de seguridad de la información. | Definir, aprobar y comunicar las políticas de seguridad de la información relacionadas con el procesamiento de información de identificación personal (PII). |
| A.3.4 Roles de seguridad | Funciones y responsabilidades de seguridad de la información | Definir y asignar roles y responsabilidades de seguridad para el procesamiento de información de identificación personal (PII). |
| A.3.5 Clasificación de la información | Clasificación de la información | Clasifique la información considerando la información de identificación personal (PII) en función de la confidencialidad, la integridad y la disponibilidad. |
| A.3.6 Etiquetado de la información | Etiquetado de información | Desarrollar procedimientos de etiquetado que tengan en cuenta la clasificación de la información de identificación personal (PII). |
| A.3.7 Transferencia de información | Transferencia de información | Establecer normas, procedimientos y acuerdos de transferencia para la información de identificación personal (PII). |
| A.3.8 Gestión de identidades | Gestión de identidad | Gestionar el ciclo de vida completo de las identidades relacionadas con el procesamiento de información de identificación personal (PII). |
| A.3.9 Derechos de acceso | Derechos de acceso | Proporcionar, revisar, modificar y eliminar derechos de acceso a la información de identificación personal (PII). |
| A.3.10 Acuerdos con proveedores | Abordar la seguridad de la información en los acuerdos con proveedores | Establecer requisitos de seguridad para el procesamiento de información de identificación personal con cada proveedor. |
| A.3.11 Gestión de incidentes | Planificación y preparación de la gestión de incidentes | Planificar y prepararse para gestionar incidentes de seguridad relacionados con información de identificación personal (PII). |
| A.3.12 Respuesta ante incidentes de seguridad | Respuesta a incidentes de seguridad de la información | Responder a los incidentes de seguridad relacionados con la información de identificación personal según los procedimientos documentados. |
| A.3.13 Requisitos legales y reglamentarios | Requisitos legales, estatutarios, reglamentarios y contractuales | Documentar los requisitos legales y reglamentarios relevantes para la seguridad del procesamiento de información de identificación personal (PII). |
| A.3.14 Protección de registros | Protección de registros | Proteja los registros de procesamiento de información personal identificable contra pérdidas, destrucción y acceso no autorizado. |
| A.3.15 Revisión independiente | Revisión independiente de la seguridad de la información. | Revisar de forma independiente el enfoque para gestionar la seguridad relacionada con la información de identificación personal (PII). |
| A.3.16 Cumplimiento de las políticas | Cumplimiento de políticas, reglas y estándares | Revise periódicamente el cumplimiento de las políticas de seguridad para el procesamiento de información de identificación personal (PII). |
| A.3.17 Concienciación y formación en seguridad | Concientización, educación y capacitación sobre seguridad de la información. | Proporcionar capacitación adecuada sobre concienciación en materia de seguridad relacionada con el procesamiento de información de identificación personal (PII). |
| A.3.18 Acuerdos de confidencialidad | Acuerdos de confidencialidad o no divulgación | Identificar, documentar y revisar los acuerdos de confidencialidad para la protección de la información de identificación personal. |
| A.3.19 Escritorio despejado y pantalla despejada | Escritorio claro y pantalla clara | Definir y hacer cumplir las normas de escritorio y pantalla despejados para las instalaciones de información personal identificable (PII). |
| A.3.20 Medios de almacenamiento | Medios de almacenamiento | Gestionar los medios de almacenamiento con información de identificación personal (PII) a lo largo de todo su ciclo de vida. |
| A.3.21 Eliminación segura de equipos | Eliminación segura o reutilización del equipo | Verifique que la información de identificación personal (PII) se elimine del equipo antes de desecharlo o reutilizarlo. |
| A.3.22 Dispositivos de punto final del usuario | Dispositivos terminales de usuario | Proteja la información de identificación personal en los dispositivos de punto final del usuario. |
| A.3.23 Autenticación segura | Autenticación segura | Implementar autenticación segura para sistemas de procesamiento de información de identificación personal (PII) |
| A.3.24 Copia de seguridad de la información | Copia de seguridad de la información | Mantener y probar copias de seguridad de la información de identificación personal (PII) y sistemas relacionados. |
| A.3.25 Registro de actividad | Inicio de sesión | Producir, almacenar, proteger y analizar registros de actividades de procesamiento de información de identificación personal (PII). |
| A.3.26 Uso de criptografía | Uso de criptografía | Definir e implementar reglas criptográficas para el procesamiento de información de identificación personal (PII). |
| A.3.27 Ciclo de vida de desarrollo seguro | Ciclo de vida de desarrollo seguro | Establecer normas para el desarrollo seguro de sistemas de procesamiento de información de identificación personal (PII). |
| A.3.28 Seguridad de las aplicaciones | Requisitos de seguridad de la aplicación | Identificar los requisitos de seguridad para la información de identificación personal (PII) al desarrollar o adquirir aplicaciones. |
| A.3.29 Arquitectura de sistema seguro | Principios de ingeniería y arquitectura de sistemas seguros | Establecer principios para el diseño de sistemas seguros de procesamiento de información personal identificable (PII, por sus siglas en inglés). |
| A.3.30 Desarrollo subcontratado | Desarrollo subcontratado | Dirigir, supervisar y revisar el desarrollo de sistemas de procesamiento de información de identificación personal (PII) subcontratados. |
| A.3.31 Información de prueba | Información de prueba | Seleccionar, proteger y gestionar adecuadamente la información de prueba para el procesamiento de información de identificación personal (PII). |
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Cómo se relacionan estos controles con la edición de 2019?
Los 29 controles de la Tabla A.3 son descendientes directos de la Cláusula 6 de la edición de 2019. Sin embargo, la edición de 2019 Cláusula 6 Contenía más de 90 subcláusulas, la mayoría de las cuales hacían referencia a los controles de la norma ISO 27002. La edición de 2025 eliminó las subcláusulas que no ofrecían directrices específicas sobre información de identificación personal (seguridad física, seguridad de la red, protección contra malware, continuidad del negocio, etc.) y consolidó los controles restantes.
Para ver el mapa completo, consulte la Tabla de correspondencias del Anexo F.
¿Quién necesita implementar la Tabla A.3?
Toda organización que aspire a la certificación ISO 27701:2025 debe considerar la Tabla A.3, independientemente de si actúa como responsable o encargado del tratamiento de datos personales. Estos controles constituyen la base de la seguridad de la información de su Sistema de Gestión de la Información de Privacidad.
Si también posee la certificación ISO 27001, muchos de estos controles ya le resultarán familiares. La diferencia clave es que la Tabla A.3 agrega requisitos específicos para la información de identificación personal (PII) a cada control; por ejemplo, A.3.25 Registro de actividad El registro de datos requiere específicamente registrar quién accedió a los datos de qué titular de información personal identificable y qué cambios se realizaron.
¿Por qué elegir SGSI.online ¿Para controles de seguridad compartidos?
SGSI.online Le ayuda a implementar la Tabla A.3 junto con sus demás requisitos de cumplimiento:
- Integrado con la norma ISO 27001. — Si ya cuenta con controles ISO 27001, consulte la Tabla A.3, donde se agregan requisitos específicos para la información de identificación personal sin duplicar el trabajo.
- Gestión de políticas — Redactar, aprobar, distribuir y realizar el seguimiento de la confirmación de recepción de las políticas de seguridad relacionadas con la información de identificación personal.
- Administracion de incidentes — Registrar, evaluar y responder a incidentes de seguridad relacionados con información de identificación personal (PII) con seguimiento de notificaciones.
- Administración de suministros — Seguimiento de los acuerdos con proveedores, los requisitos de seguridad y el estado de cumplimiento.
- Herramientas de auditoría — Planificar revisiones independientes y controles de cumplimiento según los requisitos de la Tabla A.3
- Vinculación de evidencias — Adjunte las políticas, los procedimientos y los resultados de la auditoría directamente a cada control.
Preguntas Frecuentes
¿Por qué solo hay 29 controles cuando la edición de 2019 tenía más de 90 subcláusulas?
La edición de 2019 hacía referencia a todos los controles de la norma ISO 27002 con añadidos relacionados con la información de identificación personal (PII). Muchas subcláusulas simplemente indicaban «sin orientación adicional». La edición de 2025 eliminó estas subcláusulas y conservó únicamente los 29 controles que requieren una guía específica para la implementación de la PII, lo que permite un alcance más preciso y auditable.
¿Necesito la Tabla A.3 si ya tengo la norma ISO 27001?
Sí. Los controles de la Tabla A.3 son requisitos específicos de la norma ISO 27701, no de la ISO 27001. Añaden requisitos centrados en la información de identificación personal (PII) a los controles del SGSI ya existentes. Sin embargo, gran parte de la evidencia y la implementación de la ISO 27001 serán directamente relevantes.
¿Qué pasó con controles como la seguridad física y la protección contra malware?
Se eliminaron de la norma ISO 27701:2025 porque no requerían una guía de implementación específica para la información de identificación personal (PII). Si cuenta con la certificación ISO 27001, estas medidas siguen estando contempladas en dicha norma. No han desaparecido de su programa de seguridad; simplemente ya no se incluyen en el alcance de la norma ISO 27701.
Registre sus selecciones de control compartido en un Declaración de aplicabilidad junto con los controles de su controlador o procesador.
Los CISO que gestionan el conjunto de control compartido deben leer nuestra Guía del CISO sobre la norma ISO 27701:2025.
Nuestro Guía de requisitos de evidencia de auditoría Describe lo que los auditores buscan en estos controles compartidos.
