ISO 27001 y destrucción física: ¿qué exige cada control?
Quien quiere obtener la certificación ISO 27001 o mantenerla se topa tarde o temprano con la cuestión de cómo se elimina la información confidencial al final de su vida útil. La norma exige expresamente el control del media disposal como parte del Sistema de Gestión de Seguridad de la Información (SGSI). Este artículo desglosa los controles relevantes del Anexo A y muestra qué quiere ver un auditor en concreto.
¿Qué controles afectan a la destrucción?
El Anexo A de ISO 27001:2022 menciona expresamente, bajo «A.7 Physical controls» y «A.8 Technological controls»:
- A.7.10 Storage media: gestión de los soportes de almacenamiento durante su vida útil, incluida la eliminación.
- A.8.10 Information deletion: eliminación de la información cuando deja de ser necesaria.
- A.8.12 Data leakage prevention: evitar la difusión no deseada de información confidencial, también durante la eliminación.
- A.5.34 Privacy and protection of PII: protección de los datos personales (afecta a la destrucción por la vía del RGPD).
En la versión antigua de la norma (ISO 27001:2013) esto estaba repartido entre A.8.3 (Media handling) y A.11.2.7 (Secure disposal or re-use of equipment). El contenido se ha mantenido materialmente igual. La estructura se simplificó en 2022.
¿Qué espera ver un auditor en concreto?
Documentación
- Disposal Policy: política escrita que indica qué métodos se usan para cada clase de información.
- Procedimiento por tipo de soporte: papel, HDD, SSD, óptico, tarjetas de plástico.
- Contrato de encargado del tratamiento con el proveedor externo de destrucción, lee la checklist.
- Vínculo con la clase de información: ¿qué clasificación (Public, Internal, Confidential, Strictly Confidential) recibe qué método de destrucción?
Prueba de ejecución
- Certificados de destrucción por encargo, lee el certificado de destrucción.
- Registro de soportes retirados (etiqueta de activo, fecha, método).
- Revisión periódica del proveedor.
- Justificantes de formación del personal que trabaja con soportes confidenciales.
Controles operativos
- Consolas cerradas en la oficina, lee consolas cerradas frente a contenedores abiertos.
- Documentación de la cadena de custodia, lee la cadena de custodia del archivo a la trituradora.
- Análisis de riesgo de la cadena de eliminación.
Clasificación de la información: vínculo con el método de destrucción
Una clasificación habitual conforme al Anexo A se ve así:
| Clase | Ejemplo | Método de destrucción |
|---|---|---|
| Public | Material promocional | Flujo de residuos normal |
| Internal | Procedimientos internos | DIN P-3 |
| Confidential | Administración de clientes, RR. HH. | DIN P-4 / P-5 |
| Strictly Confidential | Datos personales especiales, datos sujetos a secreto profesional | DIN P-5 / P-6, para hardware H-5 / H-6 |
El auditor quiere ver que la clasificación y el método de destrucción están vinculados de forma lógica. Un genérico «todo a P-5» funciona, pero sobreespecificar es caro e ilógico.
NIST 800-88 como fuente técnica
ISO 27001 no remite expresamente a NIST 800-88, pero esa norma es la referencia técnica implícita. En los informes de auditoría se usa a menudo el Clear / Purge / Destroy de NIST como clase técnica junto a las clasificaciones DIN. Lee nuestro artículo NIST 800-88 vs DIN 66399 para la tabla de equivalencias.
La evaluación del proveedor
La certificación ISO 27001 exige demostrar periódicamente que los proveedores externos cumplen tus requisitos de seguridad. A un proveedor de destrucción le pides, entre otras cosas:
- Certificación ISO 27001 propia (no es obligatoria, pero ahorra due diligence).
- Descripción de los procesos operativos.
- Clasificación DIN de los equipos y del proceso.
- Plantilla de certificado por encargo.
- Contrato de encargado del tratamiento bajo el RGPD.
- Procedimiento ante incidentes (¿qué pasa si se pierde material?).
Móvil frente a offsite en contexto ISO
Los auditores preguntan a menudo por la cadena de custodia. La destrucción móvil (in situ) acorta esa cadena de forma considerable y por eso, en contexto ISO, suele ser la vía recomendada. Para el análisis más amplio, lee destrucción móvil frente a offsite. Con la opción offsite hace falta documentación adicional sobre la seguridad del transporte y el tiempo de procesamiento en la planta de triturado.
Hallazgos de auditoría habituales (NC)
- «Falta la disposal policy o está desactualizada.» Créala y revísala cada año.
- «No hay contrato de encargado del tratamiento con el proveedor de destrucción.» Solicítalo al proveedor.
- «Certificados incompletos (sin clasificación DIN).» Pide un certificado más explícito.
- «No hay vínculo entre la clasificación y el método de eliminación.» Incluye una tabla en la política.
- «No hay evaluación del proveedor.» Prográmala cada año o por encargo.
Nuestro papel en tu proceso ISO
Entregamos de serie:
- Contrato de encargado del tratamiento bajo el art. 28 del RGPD.
- Certificado por encargo con la clasificación DIN y el método.
- A petición, una declaración del proveedor con nuestras medidas de seguridad.
- Etiqueta de activo o lista de números de serie para la destrucción de hardware.
Para los IT-MSP que gestionan entornos ISO de clientes esto es relevante. Lee nuestro artículo específico del sector.
Prueba de destrucción conforme a ISO 27001.
Entregamos contrato de encargado, certificado y, a petición, una declaración del proveedor. Lista para añadir a tu expediente ISO.
Solicita un presupuesto¿En proceso de certificación ISO? Escríbenos a través de desnipperaar.nl sobre las pruebas de auditoría concretas que espera tu auditor.