¿Cuál es la finalidad del Anexo F?
El Anexo F se introdujo en la edición de 2025 específicamente para ayudar a las organizaciones en la transición desde la norma ISO 27701:2019. Proporciona compatibilidad con versiones anteriores al mapear cada control en ambas direcciones:
- Tabla F.1 — Asigna cada control de 2025 a su(s) equivalente(s) de 2019.
- Tabla F.2 — Asigna a cada control de 2019 su equivalente de 2025 (o lo marca como N/A si se ha eliminado).
Esta es la referencia definitiva para su análisis de brechas de transiciónUtilice la Tabla F.2 para comprobar qué sucedió con cada uno de sus controles existentes y la Tabla F.1 para comprender de dónde proviene cada nuevo control de 2025.
¿Cómo se corresponden los controles de seguridad compartidos de 2025 con los de 2019?
La función 29 controles de seguridad compartidos en la Tabla A.3 Se sustituyeron las más de 90 subcláusulas de la Cláusula 6 de la edición de 2019. Muchos controles de 2019 se consolidaron o eliminaron porque no contenían directrices específicas sobre información de identificación personal (PII).
| 2025 de control | Equivalente(s) de 2019 | Nombre de control |
|---|---|---|
| A.3.3 Políticas de seguridad de la información | 6.2.1.1, 6.2.1.2 | Políticas de seguridad de la información. |
| A.3.4 Roles de seguridad | 6.3.1.1 | Funciones y responsabilidades de seguridad de la información |
| A.3.5 Clasificación de la información | 6.5.2.1 | Clasificación de la información |
| A.3.6 Etiquetado de la información | 6.5.2.2 | Etiquetado de información |
| A.3.7 Transferencia de información | 6.10.2.1, 6.10.2.2, 6.10.2.3 | Transferencia de información |
| A.3.8 Gestión de identidades | 6.6.2.1 | Gestión de identidad |
| A.3.9 Derechos de acceso | 6.6.2.2, 6.6.2.5, 6.6.2.6 | Derechos de acceso |
| A.3.10 Acuerdos con proveedores | 6.12.1.1, 6.12.1.2 | Acuerdos con proveedores |
| A.3.11 Gestión de incidentes | 6.13.1.4 | Planificación de la gestión de incidentes |
| A.3.12 Respuesta ante incidentes de seguridad | 6.13.1.5 | Respuesta ante incidentes de seguridad |
| A.3.13 Requisitos legales y reglamentarios | 6.15.1.1, 6.15.1.5 | Requisitos legales y reglamentarios |
| A.3.14 Protección de registros | 6.15.1.3 | Protección de registros |
| A.3.15 Revisión independiente | 6.15.2.1 | Revision independiente |
| A.3.16 Cumplimiento de las políticas | 6.15.2.2, 6.15.2.3 | Cumplimiento de políticas y normas |
| A.3.17 Concienciación y formación en seguridad | 6.4.2.2 | Sensibilización, educación y formación |
| A.3.18 Acuerdos de confidencialidad | 6.10.2.4 | Acuerdos de confidencialidad |
| A.3.19 Escritorio despejado y pantalla despejada | 6.8.2.9 | Escritorio claro y pantalla clara |
| A.3.20 Medios de almacenamiento | 6.5.3.1, 6.5.3.2, 6.5.3.3, 6.8.2.5 | Medios de almacenamiento |
| A.3.21 Eliminación segura de equipos | 6.8.2.7 | Eliminación segura o reutilización |
| A.3.22 Dispositivos de punto final del usuario | 6.3.2.1, 6.8.2.8 | Dispositivos terminales de usuario |
| A.3.23 Autenticación segura | 6.6.4.2 | Autenticación segura |
| A.3.24 Copia de seguridad de la información | 6.9.3.1 | Copia de seguridad de la información |
| A.3.25 Registro de actividad | 6.9.4.1, 6.9.4.2, 6.9.4.3 | Inicio de sesión |
| A.3.26 Uso de criptografía | 6.7.1.1, 6.7.1.2 | Uso de criptografía |
| A.3.27 Ciclo de vida de desarrollo seguro | 6.11.2.1 | Ciclo de vida de desarrollo seguro |
| A.3.28 Seguridad de las aplicaciones | 6.11.1.2, 6.11.1.3 | Requisitos de seguridad de la aplicación |
| A.3.29 Arquitectura de sistema seguro | 6.11.2.5 | Arquitectura de sistema segura |
| A.3.30 Desarrollo subcontratado | 6.11.2.7 | Desarrollo subcontratado |
| A.3.31 Información de prueba | 6.11.3.1 | Información de prueba |
Comienza tu prueba gratuita
¿Quieres explorar?
Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer
¿Qué controles de 2019 se eliminaron?
Un número significativo de 2019 Cláusula 6 Los controles no tienen un equivalente directo en 2025. Se trata de controles que, si bien la edición de 2019 hacía referencia a la norma ISO 27002, no incluía directrices específicas sobre información de identificación personal (PII). La edición de 2025 optó por incluir únicamente controles que tienen una relevancia específica en materia de privacidad.
Las principales categorías de controles eliminados incluyen:
| Categoría: | Controles de 2019 eliminados | Razón |
|---|---|---|
| Segregación de deberes | 6.3.1.2 | No se necesita orientación específica sobre la información de identificación personal. |
| Contacto con las autoridades / grupos de interés especial | 6.3.1.3, 6.3.1.4 | Cubierto por las cláusulas del sistema de gestión. |
| Inventario y propiedad de activos | 6.5.1.1-6.5.1.4 | No se necesitan añadidos específicos para PII |
| Política de control de acceso | 6.6.1.1, 6.6.1.2 | Cubierto por A.3.9 Derechos de acceso (Derechos de acceso) |
| Seguridad física | 6.8.1.1-6.8.1.6, 6.8.2.1-6.8.2.6 | No hay directrices específicas sobre información de identificación personal más allá de los medios de almacenamiento y su eliminación. |
| Protección de malware | 6.9.2.1 | No se necesita orientación específica sobre la información de identificación personal. |
| Seguridad de la red | 6.10.1.1-6.10.1.3 | No se necesita orientación específica sobre la información de identificación personal. |
| Gestión de vulnerabilidades | 6.9.6.1, 6.9.6.2 | No se necesita orientación específica sobre la información de identificación personal. |
| Continuidad del negocio | 6.14.1.1-6.14.2.1 | No se necesita orientación específica sobre la información de identificación personal. |
Importante: La exclusión de la norma ISO 27701 no implica que estos controles sean irrelevantes. Si su organización también cuenta con la certificación ISO 27001, estos controles siguen siendo pertinentes según dicha norma. Simplemente se han excluido de la ISO 27701:2025 porque no requieren una guía de implementación específica para la información de identificación personal (PII).
¿Cómo debería utilizar el Anexo F para su transición?
- Comience con la Tabla F.2. — Enumera todos tus controles actuales de 2019 y busca cada uno. Indica si se corresponde con un control de 2025 o si aparece N/A.
- Para controles mapeados — Verifique que su implementación actual cumpla con la redacción de 2025. La mayoría se mantendrá con cambios mínimos.
- Para controles N/A — Decida si retirar la documentación o conservarla bajo un marco diferente (por ejemplo, ISO 27001).
- Consulte la tabla F.1 para ver los nuevos controles. — Cualquier control de 2025 marcado como “Nuevo” en la columna de 2019 necesita una nueva implementación.
- Actualiza tu declaración de aplicabilidad — Reconstruirlo usando el 2025 anexo A estructura con las referencias de control correctas
Para obtener una descripción completa del proceso de transición, consulte nuestra Guía de transición a la norma ISO 27701.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
¿Por qué elegir SGSI.online ¿Para tu transición?
SGSI.online Proporciona las herramientas necesarias para que su transición sea estructurada y auditable:
- Mapeo de correspondencias integrado — Vea cómo sus controles existentes de 2019 se adaptan a la estructura de 2025 sin necesidad de trabajar manualmente con hojas de cálculo.
- Seguimiento del análisis de brechas — Marque cada control como asignado, necesita actualización o es nuevo, y realice un seguimiento del progreso hasta su finalización.
- Generador de declaraciones de aplicabilidad — Genere su nuevo SoA basándose en los 78 controles del Anexo A con justificaciones para las exclusiones.
- Documentación controlada por versiones — Mantenga su documentación de 2019 y 2025 durante el período de transición.
- Registro de auditoría — Demuestra a tu organismo de certificación exactamente qué cambió y cuándo durante la transición.
Preguntas Frecuentes
¿Están incluidos todos los controles de 2019 en la edición de 2025?
No. Muchos controles de la Cláusula 6 de 2019 (en particular, los relacionados con la seguridad física, la seguridad de la red, la protección contra malware y la continuidad del negocio) no tienen un equivalente directo en 2025 porque no contenían directrices específicas sobre información de identificación personal. Estos se marcan como N/A en la tabla de correspondencia.
¿Habrá controles totalmente nuevos en 2025?
Los controles de la edición de 2025 se han reorganizado en gran medida a partir del contenido de 2019, en lugar de ser completamente nuevos. Sin embargo, los requisitos del sistema de gestión en las cláusulas 4 a 10 ahora son independientes (no extensiones de la norma ISO 27001), lo que significa que algunos requisitos, como la política de privacidad independiente y el proceso de evaluación de riesgos de privacidad independiente, pueden ser nuevos para las organizaciones que anteriormente dependían de su documentación del SGSI.
¿Puedo usar ambas ediciones durante el período de transición?
Sí. Durante el período de transición (de octubre de 2025 a octubre de 2028), ambas ediciones son válidas. Su certificación actual de 2019 sigue siendo válida hasta su fecha de vencimiento prevista o hasta octubre de 2028, lo que ocurra primero. Se pueden emitir nuevas certificaciones para cualquiera de las dos ediciones.
Utilice esta tabla de correspondencia junto con nuestro paso a paso. guía de análisis de brechas para identificar qué ha cambiado en su PIMS.
