# Gap analysis — ISO/IEC 27001:2022 — SGSI (Anexo A + cláusulas de gestión)

**Aplicabilidad:** Obligatoria implícita
**Versión:** 2022

> Exportado desde la plataforma psc-audit-web. Total: 117 controles.

---

| Control ID | Tema | Requisito | Aplicabilidad | Estado | Brecha | Severidad | Owner | Evidencia | WP |
|---|---|---|---|---|---|---|---|---|---|
| 27001 §4.1 | T01 | Determinar el contexto de la organización | Obligatoria | TBD | — | TBD | — | — | — |
| 27001 §4.2 | T01 | Identificar partes interesadas y sus requisitos | Obligatoria | TBD | — | TBD | — | — | — |
| 27001 §4.3 | T01 | Definir el alcance del SGSI documentado | Obligatoria | TBD | — | TBD | — | — | — |
| 27001 §4.4 | T01 | Establecer, implementar, mantener y mejorar el SGSI | Obligatoria | TBD | — | TBD | — | — | — |
| 27001 §5.1 | T01 | Liderazgo y compromiso de la alta dirección | Obligatoria | TBD | — | TBD | — | — | — |
| 27001 §5.2 | T01 | Política de seguridad de la información aprobada | Obligatoria | TBD | — | TBD | — | — | — |
| 27001 §5.3 | T01 | Roles y responsabilidades asignadas y comunicadas | Obligatoria | TBD | — | TBD | — | — | — |
| 27001 §6.1.2 | T01 | Proceso de evaluación de riesgos definido | Obligatoria | TBD | — | TBD | — | — | — |
| 27001 §6.1.3 | T01 | Proceso de tratamiento de riesgos + Declaración de Aplicabilidad (SoA) | Obligatoria | TBD | — | TBD | — | — | — |
| 27001 §6.2 | T01 | Objetivos de seguridad de la información medibles | Obligatoria | TBD | — | TBD | — | — | — |
| 27001 §6.3 | T01 | Planificación de cambios al SGSI | Obligatoria | TBD | — | TBD | — | — | — |
| 27001 §7.1 | T01 | Recursos asignados al SGSI | Obligatoria | TBD | — | TBD | — | — | — |
| 27001 §7.2 | T01 | Competencia (formación + evidencia) | Obligatoria | TBD | — | TBD | — | — | — |
| 27001 §7.3 | T01 | Sensibilización del personal | Obligatoria | TBD | — | TBD | — | — | — |
| 27001 §7.4 | T01 | Comunicación interna y externa | Obligatoria | TBD | — | TBD | — | — | — |
| 27001 §7.5 | T01 | Información documentada controlada | Obligatoria | TBD | — | TBD | — | — | — |
| 27001 §8.1 | T01 | Planificación y control operacional | Obligatoria | TBD | — | TBD | — | — | — |
| 27001 §8.2 | T01 | Evaluación de riesgos periódica | Obligatoria | TBD | — | TBD | — | — | — |
| 27001 §8.3 | T01 | Tratamiento de riesgos ejecutado | Obligatoria | TBD | — | TBD | — | — | — |
| 27001 §9.1 | T01 | Seguimiento, medición, análisis y evaluación | Obligatoria | TBD | — | TBD | — | — | — |
| 27001 §9.2 | T01 | Auditoría interna programada y ejecutada | Obligatoria | TBD | — | TBD | — | — | — |
| 27001 §9.3 | T01 | Revisión por la dirección periódica | Obligatoria | TBD | — | TBD | — | — | — |
| 27001 §10.1 | T01 | Mejora continua | Obligatoria | TBD | — | TBD | — | — | — |
| 27001 §10.2 | T01 | No conformidad y acción correctiva | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.1 | T01 | Políticas para la seguridad de la información | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.2 | T01 | Roles y responsabilidades | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.3 | T01 | Segregación de funciones | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.4 | T01 | Responsabilidades de la dirección | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.5 | T01 | Contacto con autoridades | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.6 | T01 | Contacto con grupos de interés especial | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.7 | T01 | Inteligencia de amenazas (NUEVO 2022) | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.8 | T01 | Seguridad de la información en gestión de proyectos | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.9 | T03 | Inventario de información y otros activos asociados | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.10 | T03 | Uso aceptable de la información y otros activos | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.11 | T03 | Devolución de activos | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.12 | T03 | Clasificación de la información | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.13 | T03 | Etiquetado de la información | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.14 | T03 | Transferencia de información | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.15 | T03 | Control de acceso | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.16 | T03 | Gestión de identidades | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.17 | T03 | Información de autenticación | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.18 | T03 | Derechos de acceso | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.19 | T11 | Seguridad de la información en relaciones con proveedores | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.20 | T11 | Abordar la seguridad en acuerdos con proveedores | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.21 | T11 | Gestión seguridad cadena de suministro de TIC (NUEVO 2022) | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.22 | T11 | Monitorización, revisión y gestión de cambios de servicios de proveedores | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.23 | T11 | Seguridad para el uso de servicios cloud (NUEVO 2022) | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.24 | T10 | Planificación y preparación de la gestión de incidentes | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.25 | T10 | Evaluación y decisión sobre eventos de seguridad | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.26 | T10 | Respuesta a incidentes de seguridad | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.27 | T10 | Aprendizaje de los incidentes | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.28 | T10 | Recopilación de evidencias | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.29 | T10 | Seguridad de la información durante interrupción | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.30 | T10 | Preparación de TIC para continuidad del negocio (NUEVO 2022) | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.31 | T11 | Requisitos legales, estatutarios, reglamentarios y contractuales | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.32 | T11 | Derechos de propiedad intelectual | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.33 | T11 | Protección de registros | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.34 | T11 | Privacidad y protección de datos personales | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.35 | T11 | Revisión independiente de la seguridad de la información | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.36 | T11 | Cumplimiento con políticas, reglas y normas para seguridad información | Obligatoria | TBD | — | TBD | — | — | — |
| A.5.37 | T11 | Procedimientos operativos documentados | Obligatoria | TBD | — | TBD | — | — | — |
| A.6.1 | T02 | Investigación de antecedentes | Obligatoria | TBD | — | TBD | — | — | — |
| A.6.2 | T02 | Términos y condiciones de empleo | Obligatoria | TBD | — | TBD | — | — | — |
| A.6.3 | T02 | Sensibilización, formación y entrenamiento en seguridad | Obligatoria | TBD | — | TBD | — | — | — |
| A.6.4 | T02 | Proceso disciplinario | Obligatoria | TBD | — | TBD | — | — | — |
| A.6.5 | T02 | Responsabilidades tras finalización o cambio de empleo | Obligatoria | TBD | — | TBD | — | — | — |
| A.6.6 | T02 | Acuerdos de confidencialidad o no divulgación | Obligatoria | TBD | — | TBD | — | — | — |
| A.6.7 | T02 | Trabajo remoto | Obligatoria | TBD | — | TBD | — | — | — |
| A.6.8 | T02 | Notificación de eventos de seguridad de la información | Obligatoria | TBD | — | TBD | — | — | — |
| A.7.1 | T05 | Perímetros de seguridad física | Obligatoria | TBD | — | TBD | — | — | — |
| A.7.2 | T05 | Entrada física | Obligatoria | TBD | — | TBD | — | — | — |
| A.7.3 | T05 | Seguridad de oficinas, despachos y recursos | Obligatoria | TBD | — | TBD | — | — | — |
| A.7.4 | T05 | Monitorización de la seguridad física (NUEVO 2022) | Obligatoria | TBD | — | TBD | — | — | — |
| A.7.5 | T05 | Protección frente a amenazas físicas y ambientales | Obligatoria | TBD | — | TBD | — | — | — |
| A.7.6 | T05 | Trabajo en áreas seguras | Obligatoria | TBD | — | TBD | — | — | — |
| A.7.7 | T05 | Mesa limpia y pantalla limpia | Obligatoria | TBD | — | TBD | — | — | — |
| A.7.8 | T05 | Ubicación y protección de equipos | Obligatoria | TBD | — | TBD | — | — | — |
| A.7.9 | T05 | Seguridad de los activos fuera de las instalaciones | Obligatoria | TBD | — | TBD | — | — | — |
| A.7.10 | T05 | Soportes de almacenamiento | Obligatoria | TBD | — | TBD | — | — | — |
| A.7.11 | T05 | Servicios de soporte | Obligatoria | TBD | — | TBD | — | — | — |
| A.7.12 | T05 | Seguridad del cableado | Obligatoria | TBD | — | TBD | — | — | — |
| A.7.13 | T05 | Mantenimiento de equipos | Obligatoria | TBD | — | TBD | — | — | — |
| A.7.14 | T05 | Eliminación segura o reutilización de equipos | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.1 | T06 | Dispositivos de punto final del usuario | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.2 | T03 | Privilegios de acceso | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.3 | T03 | Restricción de acceso a la información | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.4 | T03 | Acceso al código fuente | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.5 | T03 | Autenticación segura | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.6 | T06 | Gestión de capacidad | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.7 | T06 | Protección frente a malware | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.8 | T06 | Gestión de vulnerabilidades técnicas | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.9 | T06 | Gestión de la configuración (NUEVO 2022) | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.10 | T06 | Eliminación de información (NUEVO 2022) | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.11 | T06 | Enmascaramiento de datos (NUEVO 2022) | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.12 | T06 | Prevención de fugas de datos (NUEVO 2022) | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.13 | T06 | Copia de seguridad de la información | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.14 | T06 | Redundancia de los recursos de tratamiento de la información | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.15 | T06 | Registro de eventos | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.16 | T06 | Actividades de monitorización (NUEVO 2022) | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.17 | T06 | Sincronización del reloj | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.18 | T06 | Uso de programas utilitarios privilegiados | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.19 | T06 | Instalación de software en sistemas operativos | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.20 | T06 | Seguridad de redes | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.21 | T06 | Seguridad de servicios de red | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.22 | T06 | Segregación en redes | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.23 | T06 | Filtrado web (NUEVO 2022) | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.24 | T04 | Uso de criptografía | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.25 | T06 | Ciclo de vida de desarrollo seguro | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.26 | T06 | Requisitos de seguridad de las aplicaciones | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.27 | T06 | Principios de ingeniería y arquitectura segura | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.28 | T06 | Codificación segura (NUEVO 2022) | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.29 | T06 | Pruebas de seguridad en desarrollo y aceptación | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.30 | T11 | Desarrollo subcontratado | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.31 | T06 | Separación de entornos de desarrollo, prueba y producción | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.32 | T06 | Gestión de cambios | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.33 | T06 | Información para pruebas | Obligatoria | TBD | — | TBD | — | — | — |
| A.8.34 | T06 | Protección de los sistemas de información durante auditorías | Obligatoria | TBD | — | TBD | — | — | — |