ISO 27001:2022 : guide complet du SMSI pour les entreprises
Conseil independant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y Leon) pour toute l'Espagne.
Conseil indépendant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y León) pour toute l'Espagne.
ISO 27001:2022 est la norme internationale des Systèmes de Management de la Sécurité de l'Information (SMSI), avec 93 contrôles de l'Annexe A.
ISO 27001:2022 est la norme internationale de Systèmes de Management de la Sécurité de l'Information (SMSI), avec 93 contrôles du Annexe A.
La ISO 27001 est le standard international de referencia pour la sécurité de l'information. En un entorno ou les cyberattaques a entreprises se multiplican chaque an, ou le RGPD exige mesures techniques et organisationnelles de protection de données, et ou le Schéma National de Sécurité (ENS espagnol) oblige a les fournisseurs du secteur public, la certification ISO 27001 a ete convertido en un activo stratégique de premier orden pour les entreprises espagnoles. Dans ce guide pillar cubro la version en vigueur (ISO 27001:2022) avec exigences, coûts, FAQ, cas réel et checklist pour que tomes la décision avec criterio.
- Qu'est-ce que est un SMSI et par que necesitas un?
- Novedades de ISO 27001:2022
- Le analyse de risques: corazon du SMSI
- La Declaracion de Aplicabilidad (SOA)
Qu'est-ce que est un SMSI et par que necesitas un?
Un Système de Management de la Sécurité de l'Information (SMSI) est le ensemble de politiques, procédures, contrôles tecnicos et processus de gestion que une organisation etablit pour proteger la confidentialité, intégrité et disponibilité de sont information. Non se trata seulement de technologie: un SMSI abarca personnes, processus et technologie de facon intégrée.
La ISO 27001 fournit le cadre pour etablir, mettre en oeuvre, mantener et améliorer continuamente un SMSI. Sont approche se basa en la gestion des risques: identificas les risques que amenazan tu information, evaluas sont probabilité et impact, seleccionas les contrôles adequats pour reduire le risque a un niveau aceptable et monitorizas que tout funcione.
Novedades de ISO 27001:2022
La version 2022 actualizo le Annexe A de contrôles, pasando de 114 contrôles organizados en 14 dominios a 93 contrôles organizados en 4 temas:
- Contrôles organisationnels (37 contrôles): politiques, roles, gestion des risques, tiers, conformité.
- Contrôles de personnes (8 contrôles): selection, formation, disciplinaria, sortie.
- Contrôles physiques (14 contrôles): sécurité de instalaciones, equipes, suministros, residuos.
- Contrôles technologiques (34 contrôles): contrôle de accès, cifrado, redes, copias, gestion de vulnerabilites.
Les contrôles nouveaux respecto a la version 2013 incluent:
- Inteligencia de menaces.
- Sécurité de la information pour le uso de services en la nube.
- Preparacion de les TIC pour la continuité du activité.
- Monitorizacion de la sécurité physique.
- Gestion de la configuracion.
- Eliminacion de la information.
- Enmascaramiento de données.
- Prevention de fuga de données (DLP).
- Actividades de surveillance.
- Filtrado web.
- Codificacion segura.
Le analyse de risques: corazon du SMSI
Le analyse de risques est le exercice central de ISO 27001. A diferencia du ENS, que referencia especificamente MAGERIT, ISO 27001 permet usar cualquier méthodologie reconocida. Les plus utilizadas sont:
- ISO 27005: guide especifica pour risques de sécurité de l'information.
- ISO 31000: cadre général de gestion des risques.
- MAGERIT: especialmente util si egalement necesitas respecter le ENS.
- OCTAVE.
Le processus inclut la identification de activos de information, la identification de menaces et vulnerabilites, la évaluation du impact et la probabilité, le calculo du niveau de risque, la selection du traitement du risque (mitigar, transferir, accepter ou evitar) et la determinacion du risque residual.
La Declaracion de Aplicabilidad (SOA)
La Declaracion de Aplicabilidad est un document obligatoire que relaciona les 93 contrôles du Annexe A avec sont état de mise en oeuvre en la organisation. Pour chaque contrôle, debes indicar:
- Si applique ou non applique avec justificacion documentee.
- État de mise en oeuvre (non implementado, parcial, complet).
- Evidencias disponibles.
Est le document puente entre le analyse de risques et la mise en oeuvre de contrôles, et est un de les primeros documents que examinent les auditores. Une SOA mal hecha est la causa #1 de problèmes en la audit externe.
Tableau comparative: ISO 27001 vs ENS vs RGPD
| Criterio | ISO 27001 | ENS (Esquema Nacional Sécurité) | RGPD |
|---|---|---|---|
| Périmètre | Internacional, volontaire | Espagne, obligatoire secteur public et ses fournisseurs | UE, obligatoire si tratas données personnelles |
| Foco | Sécurité de toute la information | Information du secteur public | Données personnelles especificamente |
| Certificable | Si, par organisme accredite ENAC | Si, par organisme accredite ENAC | Non certifiable (si mecanismos comme Esquema BCR) |
| Analyse de risques | Méthodologie libre (ISO 27005/31000/MAGERIT) | MAGERIT obligatoire | Implicito (PIA / DPIA en cas especificos) |
| Contrôles | 93 (Annexe A 2022) | Medidas selon catégorie Basique/Media/Elevee | Medidas tecnicas et organisationnelles (Art. 32) |
| Coût d'implantation PME | 12.000-30.000 € | 8.000-25.000 € | Variable |
| Reconocimiento marché | Trois eleve, global | Imprescindible secteur public Espagne | Mandatorio, non diferenciador |
| Sanction par non-conformité | Perdida certifié et contrats | Imposibilidad de contratar avec secteur public | Jusqu'à 4% facturacion global / 20M€ |
Relacion avec ENS, RGPD et NIS2
ISO 27001 se complète avec trois marcos regulatorios especialmente relevantes en Espagne:
ENS
Comparte nombreux contrôles avec ISO 27001 mais difiere en périmètre (internacional vs nacional) et en la méthodologie de analyse de risques. La implantation simultanea peut generar ahorros du 30-40% respecto a implantarlas par separado.
RGPD
ISO 27001 fournit le cadre de mesures techniques et organisationnelles que le Reglement exige pour proteger données personnelles. La certification ISO 27001 est la meilleur evidencia de conformité du principe de responsabilité proactiva du RGPD.
NIS2
NIS2 est la Directive europea de sécurité de redes et systèmes de information, transpuesta au ordenamiento espagnol au moyen de le correspondiente Decret Royal-loi. ISO 27001 couvre la mayoria de les exigences de gestion des risques et notification de incidents exigidos a operadores essentiels et importantes.
consultez notre guide connexe Consulta mon article comparatif ENS vs ISO 27001 pour comprendre les diferencias et lorsque necesitas les deux certifications.
Coûts de certification ISO 27001
Les coûts sont superiores a les de ISO 9001 debido a la complejidad tecnica du SMSI:
- PME de 10 a 50 salariés: coût total de conseil plus certification entre 12.000 et 30.000 euros.
- Entreprises de 50 a 250 salariés: entre 25.000 et 60.000 euros.
- Entreprises superieurs: peut superar les 40.000 euros seulement en conseil.
Financement avec Kit Consulting
Le Kit Consulting peut financiar jusqu'à 18.000 euros du conseil en cybersécurité pour entreprises de 10 a 249 salariés, cubriendo les trois catégories (de base, avanzado et preparacion pour certification) que se alinean directement avec un projet de ISO 27001.
consultez notre guide connexe Consulta mon guide du Kit Consulting cybersécurité et ISO 27001 pour financiar votre certification.
Processus de implantation: 6 phases en 9-14 mois
- Diagnostico inicial et gap analysis (4-6 semanas): inventario de activos, évaluation face a les 93 contrôles.
- Analyse de risques (6-10 semanas): méthodologie choisie, identification de menaces et vulnerabilites, valoracion, traitement.
- Conception SMSI et SOA (4-6 semanas): politiques, procédures, SOA avec justificacion de chaque contrôle.
- Mise en oeuvre de contrôles tecnicos et organisationnels (12-20 semanas): la phase plus larga et costosa, especialmente pour les contrôles technologiques.
- Audit interne et revue par la direction (3-4 semanas).
- Audit de certification (4-6 semanas): phase 1 documental + phase 2 presencial avec organisme accredite par ENAC.
Cas real: une entreprise de software de 22 salariés
Une entreprise de développement de software a mesure (22 salariés, Les Palmas) decidio se certifier en ISO 27001 par presion de trois clients corporativos que comenzaron a exigirla en renovaciones contractuales.
Processus:
- Diagnostico inicial: 38% de conformité de les 93 contrôles avant du projet.
- Analyse de risques: 64 risques identifies, 12 en zona roja.
- Inversiones tecnicas adicionales: MFA corporativo, DLP en correo, segmentacion de red, EDR, gestion de logs centralizada (12.500 € adicionales a la conseil).
- Duracion total: 11 mois.
- Coût total an 1: 26.800 € (conseil 15.000 € + technologie 8.500 € + certificadora 3.300 €).
- Kit Consulting recuperado: 14.
Resultat:
- Mantuvieron les trois clients (volumen annuel ensemble 280.000 €).
- Ganaron deux nouveaux clients corporativos en sectores regulados.
- Incident de phishing en le mes 8 contenu avec exito grace a contrôles implantados (sans perte de données).
Mini-glosario
- SMSI: Système de Management de la Sécurité de l'Information.
- CID: Confidentialité, Intégrité, Disponibilité. Piliers de la sécurité de l'information.
- SOA: Statement of Applicability, Declaracion de Aplicabilidad de les contrôles.
- Annexe A: lista de contrôles de sécurité de ISO 27001 (93 en la version 2022).
- MAGERIT: méthodologie de analyse de risques du Centro Criptologico Nacional espagnol.
- NIS2: Directive (UE) 2022/2555 sur mesures pour un eleve niveau comun de cybersécurité.
- DLP: Data Loss Prevention, technologies de prevention de fuga de données.
- MFA: Multi-Factor Authentication, autenticacion multifactor.
- EDR: Endpoint Detection and Response, detection et réponse en puestos finales.
- Risque residual: risque que queda après appliquer les contrôles.
Questions fréquentes
Necesito ISO 27001 si déjà cumplo le RGPD?
Si, sont complementaires. Le RGPD est une obligation legal que afecta seulement a données personnelles. ISO 27001 protege toute la information de votre entreprise (données personnelles, propiedad intelectual, information comercial, codigo fuente). En outre, la certification ISO 27001 est la meilleur evidencia de conformité du principe de responsabilité proactiva du RGPD.
Combien tarda la certification?
Entre 9 et 14 mois pour une premiere certification, dependiendo du punto de partida. Entreprises avec une madurez tecnica bonne (contrôles déjà implantados, gestion de IT estructurada) peuvent descendre a 6-8 mois; entreprises que parten de cero peuvent alargar a 14-18 mois.
Qu'est-ce que pasa si suspendo la audit externe?
Les NC superieurs requieren plan de action et audit complémentaire en 90 jours. NO suele significar perdre tout le projet: la certificadora te da délai pour subsanar. Coût adicional tipico: 1.500-3.500 € par la audit complémentaire.
Puedo appliquer a ISO 27001 sans être entreprise technologique?
Si, et chaque vez plus sectores la implantan: services profesionales (despachos de abogados, asesorias), sanidad privada, formation, fabricacion avec propiedad intelectual sensible, organismes de investigacion. Cualquier entreprise que maneje information valiosa peut beneficiarse.
Comment se relaciona avec NIS2?
NIS2 (transpuesta en Espagne en 2025) oblige a "operadores essentiels" et "importantes" a mettre en oeuvre mesures de gestion des risques de cybersécurité. ISO 27001 couvre la mayoria de ces mesures. Si votre entreprise est en le périmètre NIS2 (energia, transporte, sanidad, infraestructuras digitales, banca, agua, residuos, alimentacion, quimica, espacio, certains services postales et de gestion de residuos, fabricacion de dispositivos medicos critiques, etc.), ISO 27001 est practicamente obligatoire en la pratique.
Est valida la certification en autres paises?
Si. ISO 27001 est une norme internationale et le certifié emitido par une organisme accredite ENAC est reconocido en tous les paises firmantes de IAF MLA (mutual recognition agreement). Ceci inclut practicamente tous les paises OCDE. Lie: Certification ISO Espagne: Organismes et Coûts Comparados.
Combien coute mantener le certifié annuellement?
Coût recurrent tipico:
- Audit de suivi annuel: 1.500-4.000 €.
- Conseil de maintenance (opcional): 200-600 €/mes.
- Renovaciones tecnicas, actualizaciones, formation continua: variable selon tamano.
Total tipico PME: 4.000-10.000 €/an.
Checklist: 10 pasos pour implanter ISO 27001
- Define périmètre du SMSI (que information, que processus, que ubicaciones).
- Inventario complet de activos de information.
- Elige méthodologie de analyse de risques (ISO 27005 ou MAGERIT si compartes avec ENS).
- Realiza analyse de risques complet avec valoraciones objetivas.
- Selecciona contrôles aplicables et elabora SOA.
- Implanta contrôles organisationnels, de personnes, physiques et technologiques.
- Facon a tous les salariés en ses responsabilités de sécurité.
- Mide indicateurs de sécurité pendant au moins 3 mois avant la audit externe.
- Realiza une audit interne complète et resout hallazgos.
- Supera phase 1 et phase 2 avec organisme accredite par ENAC.
Necesitas implanter ISO 27001 en votre entreprise? Hablamos et te ofrezco un diagnostico de sécurité de l'information sans engagement, avec la stratégie plus efficient pour tu organisation.
Auteur : Angel Ortega Castro · consultant independant en stratégie, qualité et numerisation pour PME. Lie: Audit Interne ISO: Guide Complet avec Valeur Real.
Besoin d'aide sur ce sujet?
Trabaja conmigo en Implantation et certification ISO
Conseil a mesure en implantation et certification ISO. Premiere session sans frais.
Reserver une session →El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro