La confusión habitual

ISO 27001 e ISO 27002 son dos normas distintas con funciones complementarias que se confunden con frecuencia. No es infrecuente encontrar organizaciones que dicen estar "certificadas en ISO 27002" (lo cual no existe como tal) o que tratan ambas normas como intercambiables.

Entender la diferencia es útil no solo por rigor terminológico, sino porque determina cómo abordar un proyecto de seguridad y qué recursos se necesitan en cada fase.

ISO 27001: la norma de requisitos

ISO 27001 es la norma de requisitos. Define qué debe hacer una organización para establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Es la norma que puede ser auditada y frente a la que se emite un certificado.

En su Anexo A, ISO 27001 incluye una lista de 93 controles de seguridad distribuidos en cuatro categorías. Sin embargo, el Anexo A no explica cómo implementarlos: solo los enumera y los vincula a los objetivos de control correspondientes.

Cuando una organización se certifica, lo hace frente a ISO 27001. El certificado acredita que el SGSI cumple los requisitos del estándar, no que se hayan implementado todos y cada uno de los controles del Anexo A.

ISO 27002: la guía de implementación

ISO 27002 es la guía de implementación de controles. Explica cómo implementar cada uno de los 93 controles del Anexo A de ISO 27001, con orientación práctica, atributos de clasificación y consideraciones para distintos contextos organizativos.

No es una norma certificable. No existe ningún organismo que emita certificados ISO 27002, porque la norma no define requisitos de sistema de gestión: define orientación sobre controles.

Su utilidad es principalmente operativa: cuando el equipo que implanta el SGSI necesita saber cómo implementar un control concreto (por ejemplo, la gestión de claves criptográficas o el control de acceso a la red), ISO 27002 proporciona la guía estructurada para hacerlo.

La relación entre ambas

La relación puede resumirse así:

  • ISO 27001 define qué controles puede ser necesario implementar (a través del Anexo A).
  • ISO 27002 explica cómo implementar cada uno de esos controles.
  • El análisis de riesgos del SGSI determina cuáles de esos controles son necesarios para la organización concreta.

En la práctica, un proyecto ISO 27001 bien ejecutado usa ISO 27002 como referencia técnica durante la fase de implantación de controles. No es un requisito citarlo explícitamente, pero ignorarlo suele traducirse en controles implementados de forma superficial o inconsistente.

Errores habituales en proyectos de certificación

Los errores más frecuentes relacionados con esta distinción son:

  • Implementar todos los controles del Anexo A sin análisis previo. La norma no lo exige. Lo que exige es justificar cuáles aplican y cuáles no, en base al análisis de riesgos. Implementar controles sin justificación añade burocracia sin valor real.
  • Confundir adecuación técnica con certificación. Tener los controles implementados no equivale a tener el SGSI certificado. La certificación requiere una auditoría externa por un organismo acreditado.
  • Ignorar ISO 27002 durante la implantación. El resultado suele ser controles documentados pero no operativos, lo que genera no conformidades en las auditorías de seguimiento.
  • Creer que la certificación ISO 27001 cubre automáticamente el RGPD. Hay solapamientos, pero son marcos distintos con objetivos y alcances diferentes.

Cuándo necesitas cada una

Si el objetivo es certificar el SGSI: trabajas con ISO 27001 como norma de referencia principal. ISO 27002 es un recurso de apoyo durante la implantación.

Si el objetivo es mejorar el nivel de seguridad sin buscar certificación: ISO 27002 puede usarse como catálogo estructurado de controles para guiar la mejora, aunque sin el marco de gestión de ISO 27001 los resultados tienden a ser fragmentados.

Para organizaciones que abordan seguridad de forma seria por primera vez, lo más sensato es iniciar con ISO 27001 como marco de referencia, usando ISO 27002 como guía de implementación. No como documentos paralelos, sino como partes complementarias de un mismo enfoque estructurado.

Actualización 2022

En 2022 se publicaron nuevas versiones de ambas normas. La actualización de ISO 27001:2022 reorganizó el Anexo A: los controles pasaron de 114 a 93, agrupados en cuatro categorías (organizativos, de personas, físicos y tecnológicos) en lugar de los 14 dominios anteriores. Se incorporaron 11 controles nuevos, entre ellos la inteligencia sobre amenazas, la seguridad en la nube y la preparación de las TIC para la continuidad del negocio.

Las organizaciones certificadas bajo ISO 27001:2013 tuvieron hasta octubre de 2025 para transicionar a la versión 2022. Si has iniciado recientemente un proyecto de certificación, ya debes trabajar con la versión vigente.