¿Cuál es el cronograma de transición a la norma ISO 27701:2025?
La norma ISO/IEC 27701:2025 se publicó en octubre de 2025. Las organizaciones certificadas según la edición de 2019 tienen una período de transición de tres años que finaliza en octubre de 2028.
| Milestone | Fecha | Qué significa |
|---|---|---|
| Edición de 2025 publicada | Octubre 2025 | Se pueden emitir nuevas certificaciones para cualquiera de las dos ediciones. |
| Periodo de transicion | 2025 de octubre - 2028 de octubre | Las organizaciones pueden planificar y ejecutar la transición a 2025. |
| Plazo de transición | Octubre 2028 | Todos los certificados de 2019 caducan; solo los certificados de 2025 son válidos. |
Si su próxima auditoría de vigilancia o recertificación cae dentro del período de transición, vale la pena discutirlo con su organismo de certificación si combinar la transición con la auditoría programada.
Elegir al auditor adecuado es fundamental; consulte nuestra guía sobre Cómo elegir un organismo de certificación ISO 27701:2025.
¿Cuáles son los plazos clave para la transición y los períodos de gracia?
El período de transición de tres años brinda flexibilidad a las organizaciones, pero los diferentes hitos requieren acciones en distintos momentos. A continuación, se presenta un desglose práctico de lo que debe hacer y cuándo:
| Fecha | Lo que sucede | Acción requerida |
|---|---|---|
| Octubre 2025 | Se ha publicado la norma ISO 27701:2025. Se pueden emitir nuevas certificaciones conforme a cualquiera de las dos ediciones. | Empiece a planificar su transición. Realice un análisis de brechas con respecto a los requisitos de 2025. |
| Octubre de 2025 – Octubre de 2026 (Año 1) | Período de transición inicial. Los organismos de certificación actualizan sus esquemas de auditoría. | Confirme que su organismo de certificación esté preparado para realizar la auditoría conforme a los requisitos de 2025. Si su auditoría de vigilancia se encuentra dentro de este período, considere combinarla con la transición. |
| Octubre de 2026 – Octubre de 2027 (Año 2) | En plena transición. La mayoría de los organismos de certificación están plenamente operativos con la edición de 2025. | Complete las actualizaciones de su documentación y la auditoría interna conforme a la estructura de 2025. Programe su auditoría de transición. |
| Octubre de 2027 – Octubre de 2028 (Año 3) | Año final de transición. Aumenta la urgencia para las organizaciones que aún no han completado la transición. | Complete su auditoría de transición antes de octubre de 2028. La disponibilidad de organismos de certificación podría reducirse a medida que se acerque la fecha límite. |
| Octubre 2028 | Fecha tope. Todos los certificados ISO 27701:2019 caducan. Solo son válidos los certificados de la edición 2025. | Si no ha completado la transición, su certificación caduca. Deberá certificarse como nuevo solicitante, lo que podría requerir una auditoría completa de la Etapa 1 y la Etapa 2. |
¿Qué pasa si pierdes la fecha límite?
Si su certificado ISO 27701:2019 caduca en octubre de 2028 sin haber realizado la transición:
- Su certificado ya no es válido. — Los clientes, los organismos reguladores y los equipos de compras que dependen de su certificación la considerarán caducada.
- No puedes simplemente renovar — La edición de 2019 será retirada. No existe la opción de volver a certificarla.
- Comienzas como un nuevo solicitante. — Su organismo certificador lo tratará como un solicitante nuevo para la edición de 2025, lo que generalmente implica una auditoría completa de Etapa 1 y Etapa 2 en lugar de una auditoría de transición. Esto tiene un costo mayor y lleva más tiempo.
- Impacto comercial — Cualquier contrato, licitación o acuerdo con clientes que haga referencia a su certificación ISO 27701 podría verse afectado.
Consejos prácticos sobre la sincronización
El enfoque más rentable consiste en alinear la transición con una auditoría programada:
- Si su próxima auditoría de vigilancia es antes de octubre de 2027 — Combine la transición con esa visita de vigilancia. Esto evita un cargo adicional por auditoría de transición.
- Si su recertificación vence antes de octubre de 2028 — Transición en la recertificación. Ya está pagando por una auditoría completa; agregar los requisitos de la edición 2025 es un proceso gradual.
- Si no tiene ninguna auditoría programada hasta finales de 2028 — No espere. Reserve su auditoría de transición con anticipación para evitar las prisas a medida que se acerca la fecha límite. La disponibilidad de organismos de certificación se reducirá en los últimos seis meses.
Cualquiera que sea el momento que elija, comience su análisis de las deficiencias y actualizaciones de la documentación al menos seis meses antes de su fecha prevista. auditoría de transiciónLos cambios en la documentación son manejables, pero requieren minuciosidad; apresurarlos aumenta el riesgo de no conformidades.
Nuestro paso a paso guía de análisis de brechas Te guía a través del proceso de evaluación para la edición de 2025.
¿Cuáles son los cambios estructurales que necesitas comprender?
La edición de 2025 no es una revisión menor. La arquitectura del estándar ha cambiado radicalmente. Comprender estos cambios estructurales es el primer paso para planificar la transición.
Los requisitos del sistema de gestión ahora son autónomos.
La edición de 2019 amplió las cláusulas de la ISO 27001 con adiciones específicas sobre privacidad. La edición de 2025 tiene sus propios requisitos completos del sistema de gestión en las cláusulas 4 a 10, siguiendo la Estructura Armonizada de la ISO. Si también tiene la certificación ISO 27001, aún puede integrar ambos sistemas, pero ISO 27701, Ya no depende de ello.
Los controles han pasado de estar incluidos en las cláusulas a estar en los anexos.
Este es el cambio que más afecta a su documentación y declaración de aplicabilidad:
| Ubicación 2019 | Ubicación 2025 | Descripción |
|---|---|---|
| Cláusula 6 (Más de 90 subcláusulas) | Cuadro A.3 (29 controles) | Controles de seguridad de la información compartida para la información de identificación personal (PII) |
| Cláusula 7 | Cuadro A.1 (31 controles) | Controles del controlador PII |
| Cláusula 8 | Cuadro A.2 (18 controles) | Controles del procesador PII |
| Incrustado en las cláusulas 6-8 | anexo B | Guía de implementación (espejos) anexo A) |
La función Tabla de correspondencias del Anexo F Este sistema relaciona cada control de 2019 con su equivalente de 2025, lo que hace que el análisis de brechas sea práctico.
Comienza tu prueba gratuita
¿Quieres explorar?
Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer
¿Cómo se debe realizar un análisis de brechas?
Un análisis de brechas estructurado es la base de una transición exitosa. He aquí un enfoque práctico:
Paso 1: Mapea tus controles actuales a 2025.
Use el Tabla de correspondencias del Anexo F para identificar a qué parte de la estructura de 2025 corresponde cada uno de sus controles existentes de 2019. Muchos controles tienen equivalentes directos, pero algunos se han consolidado y otros se han eliminado por completo.
Preste atención a los controles marcados como “N/A” en Anexo f — Estos son controles de 2019 que no tienen un equivalente directo en 2025. Debe determinar si la intención ya está cubierta por un control diferente de 2025 o si puede retirar la documentación sin problemas.
Paso 2: Identificar nuevos requisitos
Revise los requisitos del sistema de gestión de 2025 (cláusulas 4 a 10) comparándolos con su documentación PIMS actual. Áreas clave a verificar:
- Cláusulas 4.1 y 4.2 — El cambio climático es ahora una consideración obligatoria en su análisis de contexto y evaluación de las partes interesadas.
- Cláusula 5.2 — Los requisitos de la política de privacidad ahora son independientes (no una extensión de su política de SGSI).
- Cláusula 6.1.2 / 6.1.3 — Los requisitos de evaluación y tratamiento de riesgos de privacidad son autónomos.
- Cláusula 6.3 — La planificación de los cambios es explícitamente necesaria.
Paso 3: Reconstruya su declaración de aplicabilidad.
Su declaración de aplicabilidad existente hace referencia a los controles de las cláusulas 6, 7 y 8. La edición de 2025 requiere una nueva declaración de aplicabilidad basada en los controles. 78 Controles del Anexo A, con justificaciones para cualquier exclusión [véase la cláusula 6.1.3 e)].
Paso 4: Actualizar la documentación
Como mínimo, será necesario actualizar los siguientes documentos:
- Declaración del alcance de PIMS (ahora independiente, sin hacer referencia al alcance de ISMS)
- Política de privacidad (independiente, según la cláusula 5.2)
- Metodología de evaluación de riesgos de privacidad (según la cláusula 6.1.2)
- Declaración de aplicabilidad (nueva estructura del Anexo A)
- Programa de auditoría interna (que abarca las cláusulas 4 a 10, además de los controles aplicables del Anexo A)
- Entradas y salidas de la revisión de la dirección (según la cláusula 9.3)
Paso 5: Realizar una auditoría interna con respecto a 2025.
Antes de la auditoría de transición, realice una auditoría interna completa conforme a los requisitos de 2025. Esto valida su análisis de brechas, pone a prueba su documentación actualizada y proporciona a la gerencia información valiosa sobre la preparación para la transición.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Qué controles se eliminaron o consolidaron?
La cláusula 6 de la edición de 2019 hacía referencia a más de 90 subcláusulas de ISO 27002 con orientación específica sobre PII. La edición de 2025 consolida estas en 29 controles enfocados en Cuadro A.3Se han eliminado muchas subcláusulas de 2019 que simplemente decían "no se requiere orientación adicional".
Los controles que no contaban con directrices específicas para la información de identificación personal (seguridad física, cableado, servicios públicos, protección contra malware, etc.) ya no se enumeran por separado. Esto no significa que sean irrelevantes, sino que la norma ahora se centra específicamente en los controles que requieren directrices de implementación relacionadas con la información de identificación personal.
Las tablas F.1 y F.2 del Anexo F proporcionan la asignación completa en ambas direcciones, para que pueda verificar exactamente cuáles de sus controles existentes necesitan ser reasignados y cuáles pueden ser retirados del alcance de su PIMS.
¿Por qué elegir SGSI.online ¿Para su transición a la norma ISO 27701?
SGSI.online Esto hace que la transición sea práctica y realiza un seguimiento:
- Marco de trabajo predefinido — Controles, requisitos y evidencias de la norma ISO 27701:2025 mapeados y listos para usar.
- Soporte para análisis de brechas — Compare su PIMS actual con la estructura de 2025 y haga un seguimiento de lo que necesita actualizarse.
- Generador de declaraciones de aplicabilidad — Genere su nuevo SoA basado en los 78 controles del Anexo A con justificaciones.
- Gestión de documentos — Controla las versiones de tus políticas, procedimientos y registros actualizados en un solo lugar.
- Herramientas de auditoría interna — Planifique y ejecute su auditoría previa a la transición con seguimiento de acciones correctivas.
- Compatibilidad con doble marco de trabajo — Ejecutar ISO 27701 e ISO 27001 en paralelo sin duplicar el trabajo.
Preguntas Frecuentes
¿Puedo realizar la transición a la norma ISO 27701:2025 de forma anticipada?
Sí. Se podrán emitir nuevas certificaciones conforme a la edición de 2025 a partir de octubre de 2025. Si su próxima auditoría está programada, consulte con su organismo de certificación si conviene combinarla con la transición.
¿Tengo que empezar desde cero?
No. Gran parte de su trabajo actual se mantiene. Los controles se han reorganizado, no reescrito por completo. Utilice el Anexo F para adaptar sus controles actuales a la nueva estructura, actualice su documentación para reflejar la nueva numeración y complete las deficiencias detectadas en su análisis de brechas.
¿Qué sucede si no cumplo con el plazo de octubre de 2028?
Su certificación ISO 27701:2019 dejará de ser válida después de octubre de 2028. Deberá certificarse según la edición de 2025 como una nueva certificación, en lugar de una transición, lo que podría requerir una auditoría completa de Etapa 1 y Etapa 2.
¿Aún necesito la certificación ISO 27001 para realizar la transición?
No. Dado que la norma ISO 27701:2025 es independiente, puede realizar la transición sin necesidad de contar con la ISO 27001. Si actualmente posee ambas, puede optar por mantenerlas de forma independiente o continuar utilizando un sistema de gestión integrado.
¿Cuánto tiempo suele durar la transición?
Esto depende de la madurez de su PIMS actual y del alcance de los cambios necesarios en la documentación. Las organizaciones con sistemas bien mantenidos pueden necesitar algunas semanas para el análisis de brechas y la actualización de la documentación, seguidas de un ciclo de auditoría interna. La auditoría de transición suele combinarse con una visita de vigilancia o recertificación.
Para las organizaciones que buscan actuar con rapidez, nosotros cubrimos El camino más rápido hacia la certificación ISO 27701:2025.
