Consultoría · ISO 27001:2022 · evaluación ENS

Consultoría ISO 27001
y adecuación ENS

La implantación de un Sistema de Gestión de Seguridad de la Información ISO 27001:2022 va mucho más allá de redactar políticas: requiere un análisis de riesgos riguroso, una Declaración de Aplicabilidad coherente con la realidad operativa y los 93 controles del Anexo A desplegados con criterio de proporcionalidad. Step Quality opera con la cualificación de Auditora Líder ISO 27001, experiencia práctica en SGSI corporativos multi-norma y una trayectoria de más de 20 años en sistemas de gestión, diseñando el SGSI para que cubra simultáneamente ISO 27001 y, cuando aplica, la evaluación previa al Esquema Nacional de Seguridad (RD 311/2022), sin duplicar la carga documental.

¿Para quién es este servicio?

La consultoría ISO 27001 y ENS encaja en cualquiera de estos escenarios:

¿Qué incluye el servicio?

Entregables documentados, alineados con todos los requisitos de ISO/IEC 27001:2022:

Los 93 controles del Anexo A

ISO/IEC 27001:2022 sustituyó la estructura del Anexo A respecto a la versión 2013: los 114 controles de la versión anterior se reorganizaron en 93 controles distribuidos en cuatro categorías temáticas. La nueva estructura facilita el mapeo con marcos como el ENS y simplifica la trazabilidad para el auditor externo.

A.5 · Organizativos · 37 controles
Controles organizativos
Políticas de seguridad, gobernanza, roles y responsabilidades, gestión de proveedores, contratos, relación con autoridades, gestión de incidentes, continuidad del negocio y cumplimiento legal y contractual. Es la categoría más amplia y la que más impacto tiene en la estructura del SGSI.
A.6 · Personas · 8 controles
Controles de personas
Selección de personal, condiciones de empleo, concienciación y formación en seguridad de la información, gestión de incidentes disciplinarios, procesos de baja y trabajo remoto. Cubre el factor humano como vector de riesgo.
A.7 · Físicos · 14 controles
Controles físicos
Perímetros de seguridad, control de acceso físico, protección de áreas seguras, seguridad del equipamiento, cableado y comunicaciones, mantenimiento de equipos y eliminación segura de información. Aplica en oficinas, CPDs y emplazamientos del SGSI.
A.8 · Tecnológicos · 34 controles
Controles tecnológicos
Gestión de identidades y accesos, autenticación, criptografía, gestión de vulnerabilidades, protección contra malware, copias de seguridad, registro y monitorización, gestión del cambio, seguridad en el desarrollo, redes y comunicaciones, gestión de incidentes técnicos.
Sección dedicada · ENS

Evaluación previa de adecuación al Esquema Nacional de Seguridad

El Esquema Nacional de Seguridad regulado por el Real Decreto 311/2022, de 3 de mayo, es de obligado cumplimiento para Administraciones Públicas y, por extensión, para empresas privadas que les prestan servicios con acceso, gestión o tratamiento de información del sector público. La categorización del sistema sobre las cinco dimensiones de seguridad —disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad— determina si el régimen aplicable es BÁSICA, MEDIA o ALTA, y con ello el formato de la evaluación regular bienal.

Alcance del servicio ENS de Step Quality:

  • Evaluación previa de adecuación: diagnóstico de gap entre la situación actual de la organización y los requisitos aplicables del RD 311/2022 según la categoría del sistema. Resultado: informe formal con hallazgos y plan de acción priorizado.
  • Categorización del sistema conforme al Anexo I del RD 311/2022, evaluando el impacto sobre las cinco dimensiones de seguridad.
  • Preparación documental de los pilares ENS: Política de Seguridad de la Información conforme al Artículo 11, identificación de los responsables (Responsable de la Información, del Servicio, de Seguridad y del Sistema) y trazabilidad con las medidas del Anexo II aplicables.
  • Aprovechamiento de la sinergia con ISO 27001:2022, donde Step Quality opera con cualificación de Auditora Líder. Aproximadamente el 70% de los controles del ENS tienen equivalente directo o parcial en el Anexo A de ISO/IEC 27001:2022 según la Guía CCN-STIC 825 del CCN-CERT; ese solapamiento permite reaprovechar documentación y reducir el esfuerzo combinado.
  • Apoyo en la coordinación con la entidad de auditoría acreditada por ENAC, que es quien realiza la auditoría regular en categorías MEDIA y ALTA. Step Quality no actúa como entidad de certificación ENS.

Importante — qué incluye y qué no: el servicio cubre la evaluación previa, el diagnóstico técnico y la preparación documental. La implantación completa de los controles ENS y la auditoría regular formal de certificación se realizan en coordinación con un implantador especializado o directamente con la entidad acreditada por ENAC en categorías MEDIA y ALTA. La consultoría ENS de Step Quality se apoya en formación específica acreditada del portal Ángeles del CCN-CERT.

Marco regulatorio adyacente: NIS2

La Directiva (UE) 2022/2555, conocida como NIS2, sustituye a la NIS original ampliando significativamente su ámbito de aplicación. Está pendiente de transposición formal al ordenamiento español a través de la futura Ley NIS2. Afecta a entidades esenciales (energía, transporte, banca, sanidad, infraestructura digital, administración pública, entre otros) y a entidades importantes (servicios postales, gestión de residuos, fabricación, proveedores digitales, investigación), así como a su cadena de suministro.

En el análisis de contexto del SGSI (cláusula 4 de ISO 27001) se identifica si la organización está sujeta a NIS2 y, en ese caso, se documentan los requisitos aplicables como parte integrada del sistema, en coordinación con el área jurídica de la organización. La especificación detallada de los requisitos NIS2 y su transposición legal es responsabilidad del asesor jurídico de la organización; Step Quality colabora desde la perspectiva del SGSI para asegurar que los controles técnicos y organizativos del Anexo A respondan a esa exposición regulatoria.

Metodología en 5 fases

Plazo orientativo para una organización IT de complejidad media: 6 a 12 meses según madurez técnica de partida. Cuando ya existen controles técnicos maduros (gestión de identidades, copias de seguridad, monitorización), el plazo puede reducirse:

Mes 1
Diagnóstico y alcance
Análisis del nivel de madurez en seguridad de la información, definición del alcance del SGSI, identificación de partes interesadas y requisitos legales, contractuales y regulatorios aplicables (ISO 27001, ENS si aplica; NIS2 documentada como marco regulatorio adyacente). Propuesta económica cerrada.
Meses 2-4
Análisis de riesgos y SoA
Inventario de activos de información, análisis de riesgos con metodología documentada (MAGERIT cuando aplica ENS), Declaración de Aplicabilidad de los 93 controles del Anexo A con justificación documentada, plan de tratamiento de riesgos.
Meses 4-8
Implantación de controles
Despliegue de los controles organizativos, de personas, físicos y tecnológicos según el plan de tratamiento. Procedimientos operativos, formación al equipo, generación de evidencia continua. Coordinación con las áreas técnicas y de operaciones.
Meses 8-10
Validación interna
Auditoría interna previa (cláusula 9.2) con criterio externo, revisión por la dirección (cláusula 9.3), cierre de no conformidades y consolidación del SGSI antes de la auditoría externa.
Meses 10-12
Certificación
Apoyo en la selección del organismo de certificación acreditado por ENAC, preparación del Stage 1 (revisión documental) y el Stage 2 (auditoría completa), acompañamiento presencial durante la auditoría externa y cierre de no conformidades antes de la emisión del certificado.

Marcos integrados

El SGSI se diseña para cubrir simultáneamente los requisitos de los marcos aplicables, sin duplicar documentación:

ISO/IEC 27001:2022 ISO/IEC 27002:2022 · Código de prácticas ENS · RD 311/2022 NIS2 · marco regulatorio adyacente RGPD · LOPDGDD ISO/IEC 27017 · Cloud ISO/IEC 27018 · Datos personales en cloud MAGERIT v3 · Análisis de riesgos

Preguntas frecuentes sobre consultoría ISO 27001 y evaluación ENS

¿Cuánto tiempo lleva implantar ISO 27001 desde cero? +
Entre 6 y 12 meses según la madurez técnica de partida y el alcance del SGSI. Organizaciones con controles técnicos ya implantados (gestión de identidades, copias de seguridad, monitorización) pueden reducir el plazo. Los hitos más exigentes en tiempo de elaboración son el análisis de riesgos y la Declaración de Aplicabilidad (SoA).
¿Es obligatorio el ENS para empresas privadas? +
El Esquema Nacional de Seguridad regulado por el Real Decreto 311/2022 es de obligado cumplimiento para Administraciones Públicas y, por extensión, para las empresas privadas que les prestan servicios que impliquen acceso, gestión o tratamiento de información del sector público. La adecuación es exigible por el órgano contratante y, según la categoría de seguridad (básica, media o alta), determina el tipo de evaluación: autoevaluación o auditoría por entidad acreditada por ENAC.
¿ISO 27001 cubre el ENS automáticamente? +
No automáticamente, pero sí con alta compatibilidad. Aproximadamente el 70% de los controles del ENS tienen equivalente directo o parcial en el Anexo A de ISO 27001:2022. La Guía CCN-STIC 825 publicada por el CCN-CERT contiene el mapeo oficial entre ambos marcos. Una implantación bien diseñada aprovecha esa compatibilidad para cubrir ambos requisitos sin duplicar la documentación, pero requiere análisis técnico de las brechas específicas según la categoría ENS aplicable.
¿Cuál es el alcance del servicio ENS que se ofrece? +
El servicio ENS de Step Quality cubre evaluación previa de adecuación, diagnóstico de gap, categorización del sistema según el Anexo I del RD 311/2022 y preparación documental antes de la auditoría externa. La consultoría se apoya en formación específica acreditada del portal Ángeles del CCN-CERT y en la sinergia documental con ISO 27001:2022, donde Step Quality opera con cualificación de Auditora Líder. Para la auditoría regular formal de certificación ENS, que debe realizarla una entidad acreditada por ENAC en categorías media y alta, Step Quality remite al organismo correspondiente.
¿Cuáles son los entregables del proyecto? +
Política de seguridad, alcance del SGSI, inventario y categorización de activos, análisis de riesgos con metodología MAGERIT cuando aplica ENS, Declaración de Aplicabilidad (SoA), procedimientos de los 93 controles del Anexo A aplicables, plan de tratamiento de riesgos, programa de concienciación, plan de continuidad de negocio y plan de respuesta a incidentes. Toda la documentación se entrega editable y proporcionada al tamaño de la organización.
¿La cobertura es solo en Madrid o también nacional? +
Base operativa en Madrid, con presencia presencial en radio de 60 km sin coste de desplazamiento. Para el resto del territorio nacional se combina visita presencial con trabajo remoto, especialmente eficaz en implantaciones de SGSI donde gran parte del trabajo es documental y de configuración técnica.

¿Necesitas consultoría ISO 27001 o evaluación ENS?

Primera hora de diagnóstico gratuita. Respuesta en menos de 24 horas con un plan de acción concreto, calendario realista y una propuesta económica acotada por alcance y marcos aplicables.

Solicitar diagnóstico gratuito → WhatsApp

¿Licitación pública o auditoría ENS inminente?

Para licitaciones con requisito de evaluación ENS, auditorías externas previstas en menos de 30 días o renovaciones contractuales urgentes, respuesta a la solicitud en menos de 48 horas con propuesta de diagnóstico exprés, según disponibilidad de agenda. Evaluación del gap real entre la situación actual y los controles exigidos, con plan de acción priorizado antes del plazo. Sin permanencia.

Teléfono: 641 473 776 · Email: martamendoza@stepquality.com

Servicios relacionados

Una vez implantado el SGSI, el ciclo continúa con auditoría interna obligatoria (cláusula 9.2), formación en concienciación de seguridad y mantenimiento del sistema:

Hub de implantaciones → Auditoría interna ISO 27001 y ENS → Implantación ISO 9001 → Implantación IATF 16949 → Formación en seguridad de la información →