Ir al contenido
SGSI.online

ISO 27701:2025 Control A.3.16: Cumplimiento de las políticas, reglas y estándares para la seguridad de la información

El control A.3.16 exige que las organizaciones revisen periódicamente el cumplimiento de sus políticas, normas y estándares de seguridad de la información en lo que respecta al tratamiento de datos personales. La verificación continua garantiza que los controles sigan siendo eficaces conforme a la norma ISO 27701:2025.

Autor
Max Edwards
Actualizado en marzo 27, 2026
Estrellas 4 / 5

¿Qué requiere el control A.3.16?

Se revisará periódicamente el cumplimiento de la política de seguridad de la información de la organización, así como las políticas, normas y estándares específicos relacionados con el tratamiento de datos de identificación personal (PII).

Este control se encuentra dentro del Controles de seguridad compartidos Anexo (A.3) y se centra en la verificación operativa: comprobar que los controles que ha documentado se siguen realmente en la práctica. A.3.15 Revisión independiente Aborda la revisión independiente a nivel estratégico, y el apartado A.3.16 garantiza que se supervise el cumplimiento diario.

Comprenda el proceso de auditoría completo en nuestra guía: Qué esperar durante su auditoría ISO 27701:2025.

¿Qué dice la guía de implementación del Anexo B?

El Anexo B (sección B.3.16) proporciona la siguiente orientación:

  • Herramientas y componentes de revisión — Incluir métodos para revisar las herramientas y los componentes relacionados con el procesamiento de información de identificación personal, no solo las políticas y los procedimientos.
  • Monitoreo continuo — Esto puede incluir un monitoreo continuo o periódico para verificar que solo se esté realizando el procesamiento permitido.
  • Pruebas de penetración y vulnerabilidad — Pruebas específicas como las pruebas de penetración o las evaluaciones de vulnerabilidad pueden formar parte del programa de revisión de cumplimiento.
  • Pruebas de intrusos motivados — La guía menciona específicamente las pruebas de intrusión motivada en conjuntos de datos anonimizados para verificar que las medidas de anonimización o pseudonimización sean efectivas.
  • Vea también A.3.3: Políticas de seguridad de la información para requisitos relacionados
  • Vea también A.3.4: Funciones y responsabilidades en materia de seguridad de la información para requisitos relacionados

Las directrices dejan claro que la revisión del cumplimiento no es solo un trámite burocrático. Las pruebas técnicas, incluidos los intentos de reidentificar los datos anonimizados, son una parte importante para verificar que los controles de privacidad funcionen según lo previsto.

¿Cómo se relaciona esto con el RGPD?

El control A.3.16 se asigna a GDPR Artículo 32(1)(d), que exige un proceso para probar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento, y artículo 32(2), que exige considerar los riesgos que el tratamiento presenta para los interesados.

Para ver la correspondencia completa entre el RGPD y la norma ISO 27701, consulte Guía de cumplimiento del RGPD.

¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?

Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.

En la edición de 2019, este requisito estaba cubierto por las cláusulas 6.15.2.2 (cumplimiento de las políticas y estándares de seguridad) y 6.15.2.3 (revisión de cumplimiento técnico). La edición de 2025 consolida estos en un único control (A.3.16), combinando las revisiones de cumplimiento de políticas con las pruebas de cumplimiento técnico bajo un solo requisito. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.



El potente panel de control de ISMS.online

Comienza tu prueba gratuita

¿Quieres explorar?

Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer

Empezar


¿Qué tipo de evidencia esperan los auditores?

Al evaluar el cumplimiento de A.3.16, los auditores generalmente buscarán lo siguiente:

  • Calendario de revisión de cumplimiento — Un programa documentado de controles de cumplimiento periódicos que abarquen todas las políticas y estándares relacionados con la información de identificación personal.
  • Revisar registros — Evidencia de revisiones completadas, incluyendo lo evaluado, los hallazgos y cualquier no conformidad identificada.
  • Informes de pruebas técnicas — Resultados de pruebas de penetración, escaneos de vulnerabilidades u otras evaluaciones técnicas que evalúen la eficacia de los controles de seguridad de la información de identificación personal (PII).
  • Evidencia de seguimiento — Registros o informes de sistemas de monitoreo continuo que verifiquen que solo se está procesando información de identificación personal (PII) permitida.
  • Seguimiento de acciones correctivas — Evidencia de que las no conformidades identificadas durante las revisiones se registran, asignan y resuelven con un seguimiento documentado.

¿Cuáles son los controles relacionados?

Control Relación
A.3.15 Revisión independiente A.3.15 Revisión independiente proporciona garantía estratégica independiente; A.3.16 cubre la verificación del cumplimiento operativo
A.3.9 Derechos de acceso Las revisiones de cumplimiento deben verificar que se estén siguiendo las políticas de control de acceso.
A.3.13 Requisitos legales y contractuales Las revisiones de cumplimiento deben abarcar el cumplimiento de las obligaciones legales.
A.3.17 Concienciación y formación Los casos de incumplimiento suelen indicar deficiencias en la formación que deben abordarse.
A.3.14 Protección de registros Los registros de revisión y los informes de pruebas deben protegerse como evidencia de cumplimiento.

¿A quién se aplica este control?

A.3.16 es un control compartido Esto se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento de datos personales. Ambos deben verificar que se cumplan sus políticas documentadas y controles técnicos. En el caso de los encargados del tratamiento, esto incluye verificar que el tratamiento se limite a las instrucciones del responsable del tratamiento y que las medidas técnicas, como el cifrado y los controles de acceso, funcionen según lo previsto.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Solicitar demostración


¿Por qué elegir SGSI.online ¿Para revisiones de cumplimiento continuas?

SGSI.online Proporciona herramientas prácticas para supervisar y verificar el cumplimiento de su programa de privacidad:

  • Planificador de revisión de cumplimiento — Planifique y programe controles de cumplimiento periódicos con recordatorios automatizados, asignación de tareas y seguimiento de fechas límite.
  • Seguimiento de la confirmación de la política — Verificar que el personal haya leído y aceptado las versiones actuales de las políticas relacionadas con la información de identificación personal (PII), con recordatorios automáticos para aquellos que no lo hayan hecho.
  • Gestión de no conformidades — Registrar los hallazgos de las revisiones de cumplimiento, asignar acciones correctivas, realizar un seguimiento del progreso y verificar el cierre.
  • Monitoreo de la efectividad del control — Realizar un seguimiento del rendimiento de los controles individuales a lo largo del tiempo, identificando tendencias y problemas recurrentes.
  • Informes del tablero — Paneles de control de cumplimiento en tiempo real que muestran el estado de la revisión, los hallazgos pendientes y el estado general del programa.

Preguntas Frecuentes

¿Con qué frecuencia deben realizarse las revisiones de cumplimiento?

La norma exige revisiones periódicas, pero no especifica la frecuencia. La mejor práctica consiste en establecer un programa de revisión continua que abarque todas las políticas y controles relacionados con la información de identificación personal (IIP) dentro de un ciclo definido, generalmente anual para áreas de bajo riesgo y trimestral para actividades de procesamiento de alto riesgo. Las pruebas técnicas, como los análisis de vulnerabilidades, pueden realizarse con mayor frecuencia, a menudo mensualmente o después de cambios significativos en el sistema.

¿Qué es una prueba de intruso motivado y cuándo es necesaria?

Una prueba de intrusión motivada evalúa si un adversario decidido, con acceso a información pública, podría reidentificar a personas a partir de conjuntos de datos anonimizados o pseudonimizados. La guía de implementación recomienda este tipo de prueba cuando las organizaciones utilizan la anonimización o la pseudonimización como medida de privacidad. Si la prueba revela que la reidentificación es factible, el método de anonimización es insuficiente y debe reforzarse.

¿En qué se diferencia esto de la revisión independiente en A.3.15 Revisión independiente?

A.3.15 Revisión independiente Se centra en revisiones estratégicas periódicas realizadas por terceros independientes (auditores internos u organismos de certificación externos) que evalúan el enfoque general para la gestión de la seguridad de la información. A.3.16 se centra en la verificación periódica del cumplimiento operativo, comprobando que se siguen políticas, reglas y estándares técnicos específicos en las operaciones diarias. Ambos son necesarios: A.3.15 Revisión independiente proporciona garantías a nivel del sistema, mientras que A.3.16 detecta desviaciones operativas entre auditorías formales.

Nuestro Guía de requisitos de evidencia de auditoría Detalla qué tipo de evidencia de cumplimiento buscan los auditores.

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Primavera 2026
Empresa de alto rendimiento - Primavera de 2026 (Pequeñas empresas del Reino Unido)
Líder regional - Primavera de 2026 UE
Líder regional - Primavera de 2026 EMEA
Líder regional - Primavera de 2026 Reino Unido
Alto rendimiento - Primavera de 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.