¿Qué abarcan las normas ISO 27018 e ISO 29151?
ISO / IEC 27018 Proporciona directrices para la protección de la información de identificación personal en entornos de computación en la nube pública, específicamente para organizaciones que actúan como procesadores de información de identificación personal. Los proveedores de servicios en la nube lo utilizan ampliamente para demostrar su compromiso con la protección de la privacidad.
ISO / IEC 29151 Proporciona un código de buenas prácticas para la protección de datos personales, ofreciendo controles y orientación adicionales a los contemplados en la norma ISO 27002. Está dirigido principalmente a los responsables del tratamiento de datos personales y ofrece consejos prácticos para su implementación.
El Anexo E de la norma ISO 27701:2025 proporciona un esquema orientativo que muestra la relación entre estas tres normas. Esto resulta especialmente útil para las organizaciones que ya cumplen con las normas ISO 27018 o ISO 29151 y desean comprender en qué medida su trabajo actual se aplica a la norma ISO 27701:2025.
Para ver la estructura de control completa, consulte la Resumen del Anexo APara la alineación con el RGPD, consulte el Anexo D Mapeo del RGPDPara conocer los principios de privacidad de la norma ISO 29100, consulte anexo CPara conocer las equivalencias de 2019, consulte la Tabla de correspondencias del Anexo FPara obtener una descripción general de todos los cambios, consulte Novedades de la norma ISO 27701:2025.
¿Cómo se corresponden las cláusulas del sistema de gestión?
Los requisitos del sistema de gestión en Cláusulas 4 a 10 Las directrices de la norma ISO 27701:2025 no tienen equivalentes directos ni en la ISO 27018 ni en la ISO 29151, ya que ninguna de esas normas define un sistema de gestión. Esto significa que:
- Las organizaciones que ya cumplen con las normas ISO 27018 o ISO 29151 deberán seguir implementando los requisitos del sistema de gestión PIMS (cláusulas 4-10) para obtener la certificación ISO 27701:2025.
- El valor del mapeo reside principalmente en la superposición a nivel de control, no en el nivel del sistema de gestión.
¿Cómo se implementan los controles de seguridad compartidos?
La función controles de seguridad compartidos (Tabla A.3) Presentan la mayor superposición con las normas ISO 27018 e ISO 29151. Estos controles abarcan los fundamentos de la seguridad de la información que abordan las tres normas. Cada referencia B.3 que aparece a continuación proporciona orientación para la implementación del control A.3 correspondiente.
| Orientación del Anexo B | Controles del Anexo A | ISO 27018, | ISO 29151, | Tema |
|---|---|---|---|---|
| B.3.3-B.3.16 | A.3.3 atravesar A.3.16 | 5.1, 5.2, 5.12-36, A.10-A.11 | 5.1, 5.2, 5.12 36- | Políticas de seguridad, roles, clasificación, acceso, incidentes, cumplimiento |
| B.3.17-B.3.18 | A.3.17, A.3.18 | 6.3, 6.6, A.11.1 | 6.3, 6.6 | Sensibilización, formación y acuerdos de confidencialidad |
| B.3.19-B.3.21 | A.3.19, A.3.20, A.3.21 | 7.7, 7.10, 7.14, A.11.2-13 | 7.1-7.14 | Seguridad física, medios de comunicación, eliminación |
| B.3.22-B.3.31 | A.3.22 atravesar A.3.31 | 8.1, 8.5, 8.13-33, A.11.6 | 8.1, 8.13-33 | Dispositivos de punto final, autenticación, copia de seguridad, registro, criptografía, desarrollo |
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Cómo se asignan los controles del controlador PII?
Controles del controlador PII Las directrices de ISO 27701:2025 se corresponden principalmente con ISO 29151, que ofrece un código de buenas prácticas centrado en el controlador de información de identificación personal (PII). ISO 27018 tiene una cobertura limitada en este ámbito, ya que se centra en los procesadores. Cada referencia B.1 proporciona orientación para la implementación del control A.1 correspondiente.
| Orientación del Anexo B | Controles del Anexo A | ISO 27018, | ISO 29151, | Tema |
|---|---|---|---|---|
| B.1.2.2-3 | A.1.2.2, A.1.2.3 | N/A | A.4, A.4.1 | Especificación de la finalidad, base jurídica |
| B.1.2.4-5 | A.1.2.4, A.1.2.5 | N/A | A.3.1 | Consentimiento y elección |
| Nacido en 1.2.6 | A.1.2.6 Evaluación del impacto en la privacidad | N/A | A.11.2 | Requisitos de PIA |
| B.1.3.2-10 | A.1.3.2 atravesar A.1.3.10 | N/A | A.9, A.9.2, A.10 | Participación individual, acceso, transparencia |
| B.1.4.2-10 | A.1.4.2 atravesar A.1.4.10 | N/A | A.5-A.8 | Limitación de la recopilación, minimización de datos, precisión, limitación del uso |
| B.1.5.2-5 | A.1.5.2 atravesar A.1.5.5 | N/A | A.7.4, A.13.2 | Salvaguardias de transferencia, registros de divulgación |
¿Cómo se asignan los controles del procesador PII?
Controles del procesador PII Las referencias de la norma ISO 27701:2025 presentan una gran superposición con la norma ISO 27018, diseñada específicamente para procesadores de información personal identificable (PII) basados en la nube. Cada referencia B.2 proporciona orientación para la implementación del control A.2 correspondiente.
| Orientación del Anexo B | Anexo A Control | ISO 27018, | ISO 29151, | Tema |
|---|---|---|---|---|
| Nacido en 2.2.3 | A.2.2.3 Fines de la organización | A.3.1 | N/A | Procesamiento bajo autoridad |
| Nacido en 2.2.4 | A.2.2.4 Marketing y publicidad | A.3.2 | N/A | Restricciones de comercialización |
| Nacido en 2.3.2 | A.2.3.2 Obligaciones con los directivos de PII | A.2.1 | N/A | Asistencia de cumplimiento |
| B.2.4.2-4 | A.2.4.2, A.2.4.3, A.2.4.4 | A.5.1, A.10.3, A.12.2 | A.7.2, A.11.3 | Archivos temporales, devolución de información personal identificable, transmisión |
| B.2.5.2-9 | A.2.5.2 atravesar A.2.5.9 | A.6.1-2, A.8.1, A.12.1 | A.4.1, A.7.3-5, A.13.2 | Divulgación, subcontratistas, transferencias internacionales |
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Quiénes son los que más se benefician de este mapeo?
- Proveedores de servicios en la nube Las empresas que ya cuentan con la certificación ISO 27018 pueden utilizar este mapeo para acelerar la implementación de la norma ISO 27701:2025, ya que muchos controles de procesador se superponen.
- Organizaciones certificadas según la norma ISO 29151 pueden asignar sus controles de controlador PII existentes a la nueva estructura ISO 27701:2025 (ver el guía de transición)
- Entornos multiestándar Se puede utilizar el mapeo para identificar evidencia compartida y evitar duplicar los esfuerzos de cumplimiento en diferentes estándares.
¿Por qué elegir SGSI.online ¿Para el cumplimiento de múltiples estándares?
SGSI.online Permite a las organizaciones ejecutar múltiples estándares de privacidad y seguridad en paralelo:
- Perspectivas entre marcos — Vea cómo una implementación de control satisface los requisitos de ISO 27701, ISO 27018, ISO 29151 y más.
- Evidencia compartida — Vincular políticas, procedimientos y registros a múltiples requisitos del marco sin duplicación.
- Preparación unificada de auditorías — Generar paquetes de evidencia que abarquen múltiples estándares en una sola exportación.
- Identificación de brechas — Identificar dónde las certificaciones existentes ya cubren los requisitos de la norma ISO 27701:2025 y dónde se necesita realizar nuevo trabajo.
- Sistema de manejo integrado — Gestione las normas ISO 27001, ISO 27701 y normas relacionadas en una única plataforma.
Preguntas Frecuentes
Si estoy certificado según la norma ISO 27018, ¿aún necesito la ISO 27701?
Las normas ISO 27018 e ISO 27701 cumplen propósitos diferentes. La ISO 27018 proporciona directrices específicas para el procesamiento de información personal identificable (PII) en la nube, pero no es una norma de sistema de gestión certificable por sí misma (extiende la ISO 27001). La ISO 27701:2025 proporciona un sistema de gestión de información de privacidad completo e independiente. Ambas se complementan, y el mapeo del Anexo E muestra dónde se superponen. Véase también la Guía de cumplimiento del RGPD para la asignación específica del RGPD.
¿La norma ISO 27701:2025 sustituye a la ISO 27018 o a la ISO 29151?
No. Las normas ISO 27018 e ISO 29151 siguen siendo normas independientes y vigentes. La norma ISO 27701:2025 puede implementarse junto con ellas. El mapa del Anexo E simplemente muestra dónde se superponen las normas, lo que ayuda a las organizaciones que implementan varias normas a reducir la duplicación.
¿Qué relación existe entre el Anexo A y el Anexo B?
anexo A El Anexo A define los controles de privacidad (lo que debe hacer) y el Anexo B proporciona la guía de implementación correspondiente (cómo hacerlo). Comparten la misma numeración: A.1.2.2 es el control y B.1.2.2 es su guía. Ambos anexos son normativos en la edición de 2025. Las tablas de esta página hacen referencia a la numeración B porque el Anexo E relaciona la guía de implementación con las normas ISO 27018 e ISO 29151, pero cada control B tiene una contraparte A directa que se muestra en la segunda columna.
¿Por qué algunos controles muestran N/A en el mapeo?
N/A indica que el control ISO 27701:2025 no tiene un equivalente directo en esa norma en particular. Por ejemplo, los controles de controladores PII muestran N/A para ISO 27018 porque esta norma solo abarca los procesadores PII. De manera similar, algunos controles de procesadores muestran N/A para ISO 29151 porque esa norma se centra en los controladores PII.
Vea las reseñas de nuestros Guía de declaración de aplicabilidad para documentar cómo estas asignaciones influyen en la selección de controles.
Las organizaciones SaaS pueden encontrar orientación personalizada en nuestra ISO 27701:2025 para plataformas SaaS guía.
