BG Beter Geregeld ICT
Compliance · 2 min leestijd · 03 octubre 2025

¿Qué es un ISMS y por dónde empezar?

Information Security Management System — suena más complicado de lo que es. Para una pyme es un conjunto de documentos y rutinas, no una plataforma que instalas en ningún sitio.

ISMS = Information Security Management System. En esencia: tu forma de trabajar la seguridad de la información, documentada y mantenida. No es un software. Es cómo piensas y actúas.

Los cinco pilares

  1. Alcance. ¿Qué abarca tu ISMS? ¿Toda la empresa, una unidad de negocio concreta, solo ciertos datos? Esto se define antes de hacer cualquier otra cosa.
  2. Capa de políticas. 8-12 documentos (política de seguridad, control de accesos, respuesta a incidentes, uso aceptable, …). En total ~40-80 páginas.
  3. Gestión de riesgos. Registro de riesgos con el riesgo, el responsable, la medida y el riesgo residual. Ver gestión de riesgos.
  4. Controles. El subconjunto del Anexo A que implementas. La Declaración de Aplicabilidad (SoA) es el documento de referencia.
  5. Ciclo PDCA. Plan, Do, Check, Act. Suena muy formal, pero en la práctica son: revisiones, auditorías, revisión por la dirección y lecciones aprendidas.

¿Por dónde empezar?

  1. Definir el alcance (1 día).
  2. Análisis de brechas frente al Anexo A (1-3 días).
  3. Primera versión del registro de riesgos (2 días).
  4. Política de control de accesos + A.9 (1 semana hasta tener evidencias).
  5. Resto de políticas (2-4 semanas, en paralelo con la recopilación de evidencias).

El error más común: buscar la perfección

Tu ISMS no tiene que ser perfecto. Tiene que funcionar y poder demostrarse. La versión 1 de tus políticas puede estar al 80%. Mejorar es parte del ciclo PDCA — es completamente normal actualizarlas cada año.

Ver también: pilar ISO 27001, el ciclo PDCA explicado.

Onderwerpen

#governance #iso-27001 #isms

Volledige gids: ISO 27001 para pymes sin gastar €50k en consultores

Dit artikel is onderdeel van onze uitgebreide Compliance-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Compliance

ISO 27001 para pymes sin gastar €50k en consultores

ISO 27001 es perfectamente alcanzable si entiendes su estructura. Aquí encontrarás el trabajo mínimo que necesita una pyme de 30 personas para superar una auditoría Stage 2, cuánto cuesta y dónde los consultores sí aportan valor.

2 min
Compliance

Costes de ISO 27001: del primer análisis de brechas al certificado

Presupuesto realista para una pyme de 30 personas. Horas internas, auditoría externa, consultoría (la mínima imprescindible) y mantenimiento anual. Sin humo.

2 min
Compliance

¿ISO 27001 o SOC 2? ¿Cuál encaja con tu pyme neerlandesa?

ISO 27001 está orientado al mercado europeo; SOC 2, al americano. ¿Cuál exigen tus clientes? ¿Y pueden combinarse? Aquí tienes las diferencias prácticas para una pyme.

2 min
Compliance

NEN 7510 para empresas del sector salud: un paso más allá del ISO 27001

¿Trabajas en el sector salud o con él? NEN 7510 es una realidad junto a (o en lugar de) ISO 27001. La superposición es amplia; las diferencias están en los datos de pacientes y controles específicos del Anexo.

2 min
Compliance

La revisión por la dirección: ¿qué debe incluir y quién participa?

Uno de los requisitos de la sección 9 de ISO 27001. Anual, con la dirección, 2 horas. Aquí tienes la agenda que acepta un auditor y que además te sirve como ejercicio de preparación.

2 min
Compliance

El ciclo PDCA explicado para directivos

Plan-Do-Check-Act suena burocrático. En la práctica es: escribe lo que haces, hazlo, comprueba si funciona, ajústalo. Aquí la explicación más breve y útil.

2 min
← Alle artikelen in "Compliance"