Análisis de riesgos
Por activo. Identificación, valoración, tratamiento.
ISO 27001:2022 con análisis de riesgos por activo, controles del Anexo A documentados y revisión continua. Coordinamos la auditoría técnica con Summum Sistemas.
La 27001 es ya la norma estándar que pide cualquier cliente enterprise antes de firmar contrato, y el regulatorio empieza a apoyarse en ella (NIS2, DORA, ENS). Sin ella, hay sectores enteros — banca, sanidad privada, defensa, sector público — que no son accesibles.
Implantamos con la revisión 2022 (vigente) y los 93 controles del Anexo A: análisis de riesgos por activo, declaración de aplicabilidad explícita, política firmada, procedimientos operativos, auditoría interna previa y plan de continuidad.
La parte regulatoria y procedimental la cubre Calidad; la parte técnica — auditoría del estado del sistema, SOC, evidencia de controles — la cubre Summum Sistemas. Una sola implantación, dos disciplinas coordinadas.
Por activo. Identificación, valoración, tratamiento.
93 controles del Anexo A justificados uno a uno.
Política, procedimientos, controles técnicos con Sistemas.
Interna, externa, mantenimiento anual.
El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.
Análisis de riesgos por activo
Inventario, amenazas, tratamiento documentado.
Declaración de aplicabilidad
93 controles. Aplica/no aplica/por qué.
Política y procedimientos
Firmada por dirección, por dominio.
Controles técnicos (con Sistemas)
EDR, SIEM, vulnerabilidades, copias.
Auditoría interna
Antes de la externa.
Plan de continuidad
Coordina con 22301.
27001 es la norma. NIS2 y DORA la usan como referente.
27001 sin SOC es papel.
Nunca es obligatoria por ley con carácter general. Clientes enterprise la piden como requisito habitual, y la directiva europea NIS2, en fase de transposición en España, la vuelve prácticamente imprescindible para muchos sectores.
El Anexo A de la versión 2022 tiene 93 controles agrupados en cuatro dominios: 37 organizativos, 8 de personas, 14 físicos y 34 tecnológicos, frente a los 114 controles de la versión 2013.
Es imprescindible en proyectos con alcance técnico amplio. La parte de implantación técnica —hardening, monitorización, cifrado— la ejecuta Summum Sistemas; nosotros llevamos el sistema de gestión y la documentación normativa.