Ir al contenido
SGSI.online

Control A.3.11 de la norma ISO 27701:2025: Planificación y preparación para la gestión de incidentes de seguridad de la información.

El control A.3.11 exige que las organizaciones planifiquen y se preparen para gestionar los incidentes de seguridad de la información relacionados con el procesamiento de información de identificación personal (PII). Una planificación eficaz de los incidentes es fundamental para cumplir con los plazos de notificación de violaciones de seguridad establecidos en la norma ISO 27701:2025.

Autor
Max Edwards
Actualizado en marzo 27, 2026
Estrellas 4 / 5

¿Qué requiere el control A.3.11?

La organización deberá planificar y prepararse para gestionar los incidentes de seguridad de la información relacionados con el tratamiento de datos personales, definiendo, estableciendo y comunicando los procesos, funciones y responsabilidades de gestión de incidentes.

Este control se encuentra dentro del Controles de seguridad compartidos El anexo (A.3) contiene las obligaciones tanto para los responsables del tratamiento como para los encargados del tratamiento de datos personales. Se centra específicamente en la fase de planificación y preparación, garantizando que su organización esté preparada para responder antes de que se produzca un incidente, en lugar de tener que actuar con urgencia tras una violación de seguridad.

¿Qué dice la guía de implementación del Anexo B?

El Anexo B (sección B.3.11) proporciona la siguiente orientación:

  • Establecer procedimientos de identificación y registro — Definir responsabilidades y procedimientos claros para identificar y registrar las violaciones de datos personales, incluyendo cómo clasificar la gravedad de un incidente.
  • Establecer procedimientos de notificación — Crear procedimientos documentados para notificar a las partes pertinentes sobre las violaciones de datos personales, incluyendo el momento de las notificaciones.
  • Tener en cuenta los requisitos legales — Tenga en cuenta los requisitos legales y reglamentarios aplicables para la notificación de violaciones de seguridad, que varían según la jurisdicción.
  • Conocimiento jurisdiccional — Algunas jurisdicciones imponen regulaciones específicas de respuesta ante violaciones de seguridad, con plazos definidos y requisitos de contenido para las notificaciones.

Las directrices destacan que la planificación de incidentes no puede ser genérica. Los procedimientos deben tener en cuenta los tipos específicos de información personal identificable que maneja su organización, las jurisdicciones en las que opera y los requisitos de notificación que se aplican a sus circunstancias.

¿Cómo se relaciona esto con el RGPD?

El control A.3.11 se asigna a varios GDPR artículos:

  • Artículo 5(1)(f) — Integridad y confidencialidad, incluida la capacidad de responder ante infracciones.
  • Artículo 33 (1) — Los responsables del tratamiento deben notificar a la autoridad supervisora ​​en un plazo de 72 horas desde que tengan conocimiento de una infracción.
  • Artículo 33(3)(ad) — Las notificaciones deben incluir la naturaleza de la infracción, el punto de contacto, las posibles consecuencias y las medidas adoptadas.
  • Artículo 33(4-5) — La información podrá proporcionarse por fases; el responsable del tratamiento deberá documentar todas las infracciones.
  • Artículo 34(1-4) — Comunicación de las violaciones de seguridad a los interesados ​​cuando exista un alto riesgo para sus derechos y libertades.

La hora xnumx GDPR El plazo de notificación hace que la planificación anticipada sea esencial. Sin procesos preestablecidos, cumplir con este plazo es extremadamente difícil.

¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?

Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.

En la edición de 2019, este requisito estaba cubierto por la cláusula 6.13.1.4, que abordaba las responsabilidades y los procedimientos para la gestión de incidentes. La edición de 2025 mantiene los requisitos principales como A.3.11, pero proporciona una separación más clara entre la declaración de control y la guía de implementación en B.3.11. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Reserva tu demostración


¿Qué tipo de evidencia esperan los auditores?

Al evaluar el cumplimiento de A.3.11, los auditores generalmente buscarán lo siguiente:

  • Política y procedimientos de gestión de incidentes — Un plan documentado que abarque la identificación, clasificación, escalamiento y notificación de violaciones de información personal identificable (PII).
  • Roles y responsabilidades definidos — Asignación clara de quién hace qué durante un incidente, incluyendo un responsable del incidente y un coordinador de notificaciones designados.
  • Plantillas de notificación — Plantillas preelaboradas para notificar a las autoridades de supervisión, a las personas afectadas y a los socios comerciales, en consonancia con los requisitos legales.
  • registro de requisitos legales — Una lista documentada de las obligaciones de notificación de incumplimientos por jurisdicción, incluidos los plazos y los requisitos de contenido.
  • Registros de entrenamiento y ejercicio — Evidencia de que los equipos de respuesta a incidentes han sido capacitados y que el plan ha sido probado mediante ejercicios de mesa o simulaciones.

¿Cuáles son los controles relacionados?

Control Relación
A.3.12 Respuesta a incidentes A.3.11 abarca la planificación; A.3.12 Respuesta ante incidentes de seguridad cubre la respuesta real cuando ocurre un incidente.
A.3.13 Requisitos legales y contractuales Los plazos y las obligaciones de notificación de violaciones de seguridad dependen de los requisitos legales aplicables.
A.3.17 Concienciación y formación El personal debe saber cómo reconocer y reportar posibles incidentes de información personal identificable (PII).
A.3.14 Protección de registros Los registros de incidentes deben protegerse contra pérdidas, destrucción o acceso no autorizado.
A.3.10 Acuerdos con proveedores Los contratos con los proveedores deben incluir obligaciones de notificación de incumplimiento y plazos de respuesta.

¿A quién se aplica este control?

A.3.11 es un control compartido Esto se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento de datos personales. Los responsables del tratamiento tienen la obligación principal de notificar a las autoridades de supervisión y a las personas afectadas, mientras que los encargados del tratamiento deben contar con procedimientos para detectar y notificar las infracciones a sus responsables sin demora indebida. Ambos roles requieren planes de gestión de incidentes documentados y probados.



Encuentre su confianza en cumplimiento con ISMS.online

Comience fácilmente con una demostración personal del producto

Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.

Reserva tu demostración


¿Por qué elegir SGSI.online ¿Para la planificación de la gestión de incidentes?

SGSI.online Proporciona herramientas prácticas para desarrollar y mantener su capacidad de respuesta ante incidentes de información de identificación personal (PII):

  • Flujos de trabajo de gestión de incidentes — Flujos de trabajo predefinidos y configurables que guían a su equipo a través de los pasos de identificación, clasificación, escalamiento y notificación.
  • Asignación de roles — Defina las funciones y responsabilidades en caso de incidentes, con rutas de escalamiento claras, para que todos sepan cuál es su papel antes de que ocurra un incidente.
  • Seguimiento de notificaciones — Realizar un seguimiento de las notificaciones de la autoridad supervisora ​​y de los interesados ​​en relación con los plazos reglamentarios, con alertas automáticas a medida que se acercan los límites de tiempo.
  • Registro de infracciones — Mantener un registro completo de todos los incidentes de información personal identificable (PII) con clasificaciones de gravedad, acciones de respuesta y resultados, cumpliendo con el requisito de documentación del artículo 33(5) del RGPD.
  • Gestión del ejercicio — Programar y registrar ejercicios de simulación y revisiones de planes para demostrar una preparación continua.

Preguntas Frecuentes

¿Qué grado de detalle deben tener los procedimientos de respuesta ante incidentes?

Los procedimientos deben ser lo suficientemente específicos para que un miembro del equipo pueda seguirlos sin ambigüedad, incluso bajo presión. Esto implica definir roles (no solo cargos), proporcionar información de contacto específica, establecer rutas de escalamiento paso a paso y utilizar plantillas de notificación predefinidas. Los procedimientos genéricos que no contemplan los requisitos específicos de la información de identificación personal ni los plazos de notificación jurisdiccionales no serán suficientes para los auditores.

¿Qué factores jurisdiccionales afectan la planificación de la notificación de violaciones de seguridad?

Los requisitos de notificación varían significativamente según la jurisdicción. El RGPD establece un plazo de 72 horas para notificar a las autoridades de control. Otras jurisdicciones pueden tener plazos, umbrales y requisitos diferentes para el contenido de las notificaciones. Su plan de gestión de incidentes debe contemplar todas las jurisdicciones en las que procese información personal identificable (PII).

¿Con qué frecuencia deben ponerse a prueba los planes de respuesta ante incidentes?

La mejor práctica consiste en realizar al menos un ejercicio de simulación al año, con revisiones adicionales siempre que se produzca un cambio significativo en las actividades de procesamiento, la infraestructura de TI o la estructura organizativa. La norma exige que los planes se revisen a intervalos preestablecidos o cuando se produzcan cambios significativos. Documentar los resultados de cada ejercicio y las mejoras realizadas es fundamental para la auditoría.

Comprenda las implicaciones de costos totales de los incidentes de privacidad en nuestro Costo del incumplimiento frente a la certificación análisis.

Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría para la documentación de incidentes que esperan los auditores.

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Primavera 2026
Empresa de alto rendimiento - Primavera de 2026 (Pequeñas empresas del Reino Unido)
Líder regional - Primavera de 2026 UE
Líder regional - Primavera de 2026 EMEA
Líder regional - Primavera de 2026 Reino Unido
Alto rendimiento - Primavera de 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.