Ir al contenido
SGSI.online

ISO 27701:2025 Control A.3.6: Etiquetado de la información

El control A.3.6 exige que las organizaciones desarrollen e implementen procedimientos para el etiquetado de la información que tengan en cuenta la información de identificación personal (IIP), de acuerdo con su esquema de clasificación. Un etiquetado eficaz hace que la clasificación sea visible y práctica.

Autor
Max Edwards
Actualizado en marzo 27, 2026
Estrellas 4 / 5

¿Qué requiere el control A.3.6?

Se deberá desarrollar e implementar un conjunto apropiado de procedimientos para el etiquetado de la información que tenga en cuenta la información de identificación personal, de conformidad con el esquema de clasificación de la información adoptado por la organización.

Este control se encuentra dentro del controles de seguridad compartidos (Cuadro A.3) y trabaja directamente con A.3.5 (Clasificación)La clasificación asigna un nivel de sensibilidad; el etiquetado hace que ese nivel sea visible para cualquier persona que maneje la información.

¿Qué dicen las directrices de implementación?

El Anexo B (sección B.3.6) proporciona orientación específica:

  • Asegúrese de que las personas bajo el control de la organización estén Consciente de la definición de PII y cómo reconocer la información que es información de identificación personal (PII)
  • Los procedimientos de etiquetado deben abarcar todos los formatos: archivos digitales, documentos físicos, correos electrónicos, bases de datos, soportes de almacenamiento e interfaces de sistemas.
  • Las etiquetas deben ser claras, consistentes y estar alineadas con el esquema de clasificación definido en A.3.5 Clasificación de la información
  • Cuando se utilicen herramientas de etiquetado automatizado, deberán configurarse para identificar y etiquetar adecuadamente la información de identificación personal (PII).
  • Vea también A.3.20: Medios de almacenamiento para requisitos relacionados
  • Vea también A.3.21: Eliminación segura o reutilización de equipos para requisitos relacionados

Las directrices son deliberadamente concisas porque el principal desafío no es técnico, sino conductual: las personas necesitan saber qué es la información de identificación personal (PII) y cómo etiquetarla correctamente. Sin este conocimiento, ni siquiera el mejor sistema de clasificación se aplicará de forma coherente.

¿Cómo se relaciona esto con el RGPD?

El control A.3.6 se asigna a GDPR Artículo 5(1)(f) (integridad y confidencialidad). GDPR No prescribe requisitos de etiquetado específicos, pero el principio de medidas técnicas y organizativas adecuadas abarca la visibilización de la información sensible para que pueda gestionarse correctamente. El etiquetado respalda la aplicación práctica de la protección de datos desde el diseño y por defecto (Artículo 25).

¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?

Como control de seguridad compartido, A.3.6 respalda el enfoque más amplio. ISO 29100, El etiquetado coherente de los activos que contienen información de identificación personal es una aplicación práctica del principio de seguridad de la información, que garantiza que cualquier persona que maneje información pueda identificar su sensibilidad de un vistazo y aplicar los procedimientos de manejo correctos.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Solicitar demostración


¿Qué tipo de evidencia esperan los auditores?

Al evaluar el cumplimiento de A.3.6, los auditores generalmente buscarán lo siguiente:

  • Procedimientos de etiquetado — Procedimientos documentados que describen cómo se debe etiquetar la información (incluida la información de identificación personal) en todos los formatos.
  • Coherencia con la clasificación — Evidencia de que el etiquetado se ajusta al esquema de clasificación definido en A.3.5 Clasificación de la información
  • Formación y sensibilización. — Evidencia de que el personal sabe qué es la información de identificación personal (PII), cómo reconocerla y cómo etiquetarla correctamente.
  • Controles sobre el terreno — Ejemplos de etiquetado en la práctica: documentos con marcas de clasificación correctas, bases de datos con indicadores de información personal identificable (PII), correos electrónicos con etiquetas de confidencialidad.
  • Etiquetado automatizado — Cuando se utilicen herramientas, evidencia de configuración y validación periódica de que las etiquetas automatizadas son precisas.

¿Cuáles son los controles relacionados?

Control Relación
A.3.5 Clasificación de la información El etiquetado implementa el esquema de clasificación haciendo visibles los niveles de sensibilidad.
A.3.7 Transferencia de información Las etiquetas ayudan a hacer cumplir las normas de transferencia al dejar claro qué información requiere medidas de seguridad adicionales durante la transferencia.
A.3.3 Políticas de seguridad de la información Los procedimientos de etiquetado deben estar referenciados en la política de seguridad de la información o derivarse de ella.
A.3.8 Gestión de identidad La información etiquetada se puede utilizar para aplicar restricciones de acceso a través de sistemas de gestión de identidades.
A.3.4 Funciones y responsabilidades Los propietarios de la información son responsables de garantizar que sus activos estén correctamente etiquetados.

¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?

Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.

En la edición de 2019, este requisito estaba cubierto por la cláusula 6.5.2.2. El contenido no ha cambiado. La reestructuración de 2025 sitúa el etiquetado junto con la clasificación en los controles de seguridad compartidos, reforzando que ambos funcionan conjuntamente. La guía de implementación en B.3.6 mantiene el mensaje central: garantizar que las personas puedan reconocer la información de identificación personal y sepan cómo etiquetarla. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.



El potente panel de control de ISMS.online

Comience fácilmente con una demostración personal del producto

Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.

Reserva tu demostración


¿Por qué elegir SGSI.online ¿Para el etiquetado de la información?

SGSI.online Le ayuda a implementar y mantener un etiquetado coherente en toda su organización:

  • Etiquetado de activos — Etiquete cada activo de información en el registro con su nivel de clasificación y estado de PII, creando una única fuente de verdad.
  • Plantillas de procedimientos de etiquetado — Utilice plantillas de procedimientos predefinidas que abarquen el etiquetado digital, físico y por correo electrónico, y luego personalícelas para su entorno.
  • Campañas de formación y sensibilización — Distribuir las instrucciones de etiquetado a todo el personal y hacer un seguimiento de quién ha completado la formación.
  • Verificaciones de cumplimiento — Registrar los resultados de las verificaciones y revisiones aleatorias del etiquetado, vinculando los hallazgos con las acciones correctivas cuando sea necesario.
  • Integración con la clasificación — Los niveles de clasificación y las etiquetas se gestionan conjuntamente, lo que garantiza la coherencia entre lo que establece el esquema y las etiquetas que se aplican realmente.

Preguntas Frecuentes

¿Qué métodos de etiquetado son aceptables?

Cualquier método que permita visualizar y gestionar el nivel de clasificación. En el caso de documentos digitales, esto podría incluir marcas en el encabezado o pie de página, etiquetas de metadatos o etiquetas de confidencialidad en herramientas de correo electrónico y colaboración (por ejemplo, Microsoft Purview Information Protection). Para documentos físicos, las marcas de clasificación impresas o las carpetas con códigos de color son una buena opción. En bases de datos y sistemas, las etiquetas se pueden aplicar mediante campos de metadatos o etiquetas de control de acceso.

¿Cómo podemos garantizar que la gente reconozca la información de identificación personal?

Proporcione definiciones y ejemplos claros en sus materiales de capacitación. La información de identificación personal (IIP) incluye identificadores obvios como nombres, direcciones de correo electrónico y números de identificación nacional, pero también datos menos evidentes que, en conjunto, pueden identificar a una persona, como el cargo, el departamento y la ubicación. Utilice ejemplos reales de sus propios sistemas (anonimizados) para ayudar a las personas a reconocer la IIP en contexto. La capacitación de actualización periódica mantiene la concientización al día.

¿Debería el etiquetado automatizado sustituir al etiquetado manual?

Las herramientas de etiquetado automatizado pueden mejorar significativamente la coherencia y reducir la carga de trabajo de los usuarios, especialmente en el etiquetado de correos electrónicos y documentos. Sin embargo, deben complementar, no reemplazar, el criterio humano. Es posible que las herramientas automatizadas no identifiquen correctamente toda la información personal identificable (PII), sobre todo en contenido no estructurado. La combinación de etiquetado automático por defecto con la posibilidad de anulación manual y validación periódica es el enfoque más práctico.

Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría para lo que esperan los auditores.

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Primavera 2026
Empresa de alto rendimiento - Primavera de 2026 (Pequeñas empresas del Reino Unido)
Líder regional - Primavera de 2026 UE
Líder regional - Primavera de 2026 EMEA
Líder regional - Primavera de 2026 Reino Unido
Alto rendimiento - Primavera de 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.