¿Cómo se obtiene la certificación ISO/IEC 27001?

Obtener la certificación ISO 27001 abarca dos procesos distintos: certificar una organización (su SGSI recibe un certificado de un organismo acreditado) y certificar a una persona (un profesional obtiene una credencial PECB que acredita su competencia).

Para certificar una organización, el recorrido habitual tiene siete etapas: definir el alcance del SGSI; realizar una evaluación de riesgos (ISO 27005, EBIOS RM u otro método); elaborar la Declaración de Aplicabilidad (SoA) con los controles de ISO 27002:2022 que se conservan; operar el SGSI durante al menos tres a seis meses; encargar una auditoría interna de prueba; someterse a la evaluación de un organismo de certificación acreditado (una revisión documental seguida de una auditoría in situ); y, por último, cerrar las no conformidades mayores y recibir el certificado.

El certificado de la organización tiene una validez de tres años, con auditorías de seguimiento anuales y una auditoría de recertificación completa al final del ciclo. El coste y la duración totales dependen del tamaño del alcance: conviene prever entre 6 y 18 meses aproximadamente entre el arranque del proyecto y el primer certificado.

Para que una persona obtenga la certificación, la vía estándar es: asistir a una formación oficial (Foundation, Lead Implementer o Lead Auditor según el nivel); presentarse al examen PECB; reunir un expediente de experiencia profesional; y abonar las tasas de solicitud y de mantenimiento anual.

Los dos procesos se refuerzan mutuamente. Contar con un Lead Implementer certificado en plantilla acelera notablemente la certificación de la organización, mientras que un certificado de organización facilita poner en práctica las competencias individuales ya certificadas.

Related Information

  • Certificación de la organización: de 6 a 18 meses según el alcance
  • Auditoría de certificación: organismo acreditado, dos fases (revisión documental y auditoría in situ)
  • Validez del certificado de la organización: tres años, con auditorías de seguimiento anuales
  • Certificación individual PECB: Foundation, Lead Implementer, Lead Auditor
  • Métodos de evaluación de riesgos reconocidos: ISO 27005, EBIOS RM

Expert Insight

Las organizaciones suelen preguntar 'cuánto cuesta' antes que 'qué alcance'. Invierta el orden: un alcance bien definido y defendible es la mayor palanca sobre el coste y el plazo. Certificar toda la empresa de golpe rara vez compensa; certificar el SGSI que protege sus servicios más críticos casi siempre sí.

Todas las preguntas frecuentes →

Base de conocimiento completa

Usamos cookies para mejorar su experiencia

Las cookies necesarias siempre están activas. Puede aceptar, rechazar cookies no esenciales o personalizar sus preferencias.