¿El inventario de activos es obligatorio para certificarse en ISO 27001?

En la práctica, sí. Los controles del Anexo A se aplican según la Declaración de Aplicabilidad, pero excluir el inventario de activos es prácticamente imposible de justificar: la evaluación de riesgos —núcleo obligatorio de la norma (cláusulas 6 y 8)— necesita saber sobre qué activos se evalúan los riesgos. Sin inventario no hay análisis de riesgos creíble, y el auditor de la entidad de certificación lo revisa con muestreo físico.

¿Qué activos deben incluirse en el inventario de ISO 27001?

No solo el hardware: la norma habla de información y otros activos asociados. Eso incluye la propia información (bases de datos, repositorios, documentación), el software y las licencias, el hardware físico (servidores, puestos de trabajo, móviles, electrónica de red), los servicios (incluidos los de proveedores y nube) y, según el enfoque de la organización, las instalaciones y las personas con conocimiento crítico.

¿Quién debe ser el propietario (owner) de un activo?

Una persona o función con responsabilidad de gestión sobre el activo durante todo su ciclo de vida: clasificarlo, definir quién accede, revisarlo periódicamente y decidir su baja segura. No tiene por qué ser el usuario del equipo ni el propietario legal: es el responsable ante el SGSI. El control A.5.9 exige que cada activo del inventario tenga propietario asignado.

¿Con qué frecuencia hay que actualizar el inventario de activos?

La norma exige que esté actualizado, sin fijar plazos: la frecuencia se define en función del riesgo y del ritmo de cambio del parque. La práctica habitual que los auditores ven con buenos ojos combina actualización continua ligada a los procesos de alta/traslado/baja con verificaciones físicas periódicas (inventario rotativo o anual) que prueben que el registro coincide con la realidad.

¿Qué relación hay entre ISO 27001 y el ENS en el inventario de activos?

Son marcos distintos con una exigencia equivalente. El ENS (RD 311/2022), obligatorio para el sector público español y para los proveedores privados que le prestan servicios, incluye la medida op.exp.1 "Inventario de activos": mantener un inventario actualizado del sistema con identificación de su responsable. En las categorías MEDIA y ALTA la conformidad se acredita mediante auditoría formal de certificación, donde ese inventario es evidencia central. Un mismo inventario físico bien construido sirve de base para ambos marcos.

ISO 27001 y el control A.5.9: el inventario de activos

Pregunta a cualquier auditor de ISO 27001 por dónde empieza su trabajo de campo y la respuesta es casi siempre la misma: por el inventario de activos. Es el control que sostiene a todos los demás — no se puede proteger, clasificar ni asignar responsables a lo que no se sabe que existe. En la versión 2022 de la norma ese requisito vive en el control A.5.9 del Anexo A, «Inventario de información y otros activos asociados», y es también una de las no conformidades más repetidas: inventarios desactualizados, sin propietario, o que no coinciden con lo que el auditor encuentra al recorrer las instalaciones. En esta guía vemos qué exige exactamente la norma, qué debe contener el inventario, qué evidencias se piden en la auditoría de certificación y de seguimiento, y el paralelo con el ENS para quien presta servicios al sector público español.

¿Tu auditoría se acerca y el inventario es una hoja de cálculo de 2022? CPCON ejecuta el inventario físico de activos de TI — descubrimiento in situ, etiquetado y conciliación con el CMDB — y entrega la evidencia de campo que tu certificación necesita. 30 años y 4.500+ proyectos de inventario y auditoría de activos.

Qué pide ISO 27001: el inventario en el Anexo A

ISO/IEC 27001 es la norma internacional de los sistemas de gestión de seguridad de la información (SGSI). Su cuerpo principal (cláusulas 4 a 10) define el sistema de gestión — contexto, liderazgo, evaluación y tratamiento de riesgos, mejora — y su Anexo A lista los controles de referencia que la organización aplica según su análisis de riesgos y documenta en la Declaración de Aplicabilidad (SoA).

El control A.5.9 — Inventario de información y otros activos asociados — establece que la organización debe elaborar y mantener un inventario de la información y de los demás activos asociados, con sus propietarios identificados. La guía de implantación de ISO/IEC 27002:2022 lo desarrolla: el inventario debe ser exacto, estar actualizado, ser coherente y estar alineado con otros inventarios de la organización. Tres ideas concentran lo que el auditor va a verificar:

1Completitud: el inventario cubre la información y los activos asociados dentro del alcance del SGSI — no solo los servidores del CPD, también los portátiles, los móviles, el software, los servicios en la nube y los soportes.
2Propiedad: cada activo tiene un propietario (owner) asignado, responsable de su clasificación, su protección y su ciclo de vida — del alta a la baja segura.
3Actualidad: el inventario refleja la realidad hoy. Un registro perfecto de hace tres años es, a ojos del auditor, un hallazgo — no una evidencia.

Aunque formalmente los controles del Anexo A se aplican «según el riesgo», en la práctica el inventario es ineludible: la propia evaluación de riesgos exigida por las cláusulas 6 y 8 necesita un universo de activos sobre el que identificar amenazas y vulnerabilidades. Sin inventario fiable, el análisis de riesgos — el corazón obligatorio de la norma — se construye sobre arena.

De A.8.1.1 (2013) a A.5.9 (2022): qué cambió

Si tu SGSI viene de la versión 2013 de la norma, conocías este requisito como A.8.1.1 «Inventario de activos» y A.8.1.2 «Propiedad de los activos». La revisión de 2022 reorganizó el Anexo A (de 114 controles en 14 dominios a 93 controles en 4 temas) y fusionó ambos en el A.5.9, dentro de los controles organizativos:

ISO 27001:2013	ISO 27001:2022	Qué supone
A.8.1.1 Inventario de activos	A.5.9 Inventario de información y otros activos asociados	Un único control: el inventario y la asignación de propietario son inseparables. El foco se desplaza del «activo» genérico a la información y a todo lo que la soporta.
A.8.1.2 Propiedad de los activos	A.5.9 Inventario de información y otros activos asociados
A.8.1.3 Uso aceptable / A.8.1.4 Devolución	A.5.10 Uso aceptable · A.5.11 Devolución de activos	Controles hermanos: el uso aceptable y la devolución al cesar la relación laboral se apoyan en el inventario y en los documentos de responsabilidad firmados.

El matiz de 2022 importa: «inventario de información y otros activos asociados» deja claro que la lista no es solo de cajas con número de serie. Incluye la propia información (bases de datos, repositorios documentales), el software, los servicios — incluidos los contratados a terceros y la nube — y el hardware físico que lo soporta todo. Para la dimensión operativa de ese parque (HAM, SAM, CMDB), mira nuestra guía de ITAM y CMDB.

Qué debe contener el inventario de activos

La norma no impone un formato, pero la práctica de auditoría sí ha consolidado un contenido mínimo por elemento. Esta es la ficha que un inventario defendible suele registrar:

Campo	Para qué lo pide el auditor
Identificador único (etiqueta)	Trazar el activo del registro al mundo físico: la etiqueta (código de barras, QR o RFID) es lo que permite el muestreo en campo.
Tipo y descripción	Saber qué es: servidor, portátil, switch, base de datos, servicio en la nube, soporte extraíble.
Propietario	Exigencia literal del A.5.9: una función responsable del activo durante todo su ciclo de vida.
Ubicación y usuario	Localizar el activo para verificarlo y aplicar los controles físicos; en teletrabajo, el documento de responsabilidad firmado.
Clasificación de la información	Enlaza con A.5.12 (clasificación) y A.5.13 (etiquetado): el nivel de protección depende de lo que el activo trata.
Estado y ciclo de vida	En uso, en reserva, en reparación, pendiente de baja: la baja segura (borrado certificado) cierra el ciclo.
Fecha de última verificación	La prueba de que el inventario está «actualizado»: cuándo se comprobó físicamente por última vez.

Nótese el último campo: la verificación física es lo que separa un inventario de una declaración de intenciones. Las herramientas de descubrimiento automático (discovery) alimentan el inventario, pero solo ven lo que está encendido y conectado; el portátil en un cajón, el servidor apagado o el disco extraíble no aparecen. Por eso los inventarios que resisten auditorías combinan la base lógica con un levantamiento físico etiquetado y una conciliación entre ambos.

Las evidencias que pide el auditor de tu certificación

Conviene decirlo con claridad: quien certifica a tu empresa es su entidad de certificación, no su proveedor de inventario. Lo que un buen proveedor hace es generar la evidencia que ese auditor va a pedir. En el control A.5.9, las peticiones típicas de la auditoría — inicial y de seguimiento — son:

El inventario completo y fechado, coherente con el alcance del SGSI declarado y con la Declaración de Aplicabilidad.
Muestreo físico: el auditor elige elementos del registro y pide verlos (y al revés: señala equipos en las instalaciones y pide localizarlos en el inventario). Aquí mueren las hojas de cálculo desactualizadas.
Propietarios y responsabilidades: que cada activo muestreado tenga owner asignado y que esa persona sepa que lo es.
El proceso de actualización: cómo entran las altas, cómo se registran traslados y bajas, y la evidencia de la última verificación física (informe de inventario, conciliación de divergencias).
La baja segura: certificados de borrado o destrucción de los equipos retirados — el final del ciclo de vida documentado (lo tratamos en detalle en la guía del ciclo de vida de los activos de TI).

No conformidades típicas del A.5.9: inventario sin propietarios; equipos encontrados en planta que no constan en el registro (shadow IT); activos «en uso» que llevan años achatarrados; teletrabajo sin documentos de responsabilidad; y ausencia de verificación física desde la certificación inicial.

ENS: el inventario de activos en el sector público (op.exp.1)

En España hay un segundo marco donde el inventario de activos es exigencia literal: el Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022. Aplica a todo el sector público — y, punto clave, a los proveedores privados que prestan servicios o suministran soluciones a las Administraciones: los pliegos exigen cada vez más la conformidad ENS como condición para contratar.

Entre las medidas del Anexo II, el marco operacional incluye la op.exp.1 «Inventario de activos»: mantener un inventario actualizado de todos los elementos del sistema, detallando su naturaleza e identificando a su responsable. La medida aplica desde la categoría BÁSICA; y en las categorías MEDIA y ALTA la conformidad ya no se declara — se acredita mediante auditoría formal de certificación, renovada con auditorías periódicas, donde el inventario de activos es una de las evidencias centrales que el auditor revisa.

La buena noticia: un mismo inventario físico bien construido — etiquetado, con responsable por elemento y conciliado con el CMDB — sirve de base tanto para el A.5.9 de ISO 27001 como para la op.exp.1 del ENS. Si tu organización vende al sector público y además se certifica en ISO 27001, el trabajo de campo es uno solo.

Cómo construir y mantener el inventario: físico + lógico + conciliación

El método que resiste auditorías combina tres fuentes y las concilia:

1Levantamiento físico in situ: recorrido sala a sala (CPD incluido) con etiquetado único — destructible en portátiles, on-metal en servidores —, fotografía, ubicación, estado y usuario. Es lo único que prueba existencia.
2Base lógica: export del discovery, del directorio, del MDM y del CMDB — lo que la red ve, con su detalle de software y configuración.
3Conciliación y gobierno: cruce física × lógica × contabilidad con divergencias clasificadas (faltantes, sobrantes, traslados), asignación de propietarios y una rutina de inventario rotativo que mantiene viva la base entre auditorías.

Es exactamente el alcance de nuestro servicio de inventario de activos de TI: descubrimiento físico, etiquetado y conciliación física × lógica × CMDB, con el resultado listo para cargar en tus sistemas — y para enseñar al auditor. Y como el activo de TI también es inmovilizado, el mismo levantamiento alimenta la conciliación contable del inmovilizado material.

Preguntas frecuentes sobre ISO 27001 y el inventario de activos

¿Qué exige el control A.5.9 de ISO 27001?

Elaborar y mantener un inventario de la información y de los demás activos asociados (hardware, software, servicios, instalaciones), con sus propietarios identificados. Debe ser exacto, estar actualizado y ser coherente con el alcance del SGSI.

¿El inventario es obligatorio para certificarse?

En la práctica, sí: la evaluación de riesgos exigida por las cláusulas 6 y 8 necesita un universo de activos fiable, y excluir el A.5.9 de la Declaración de Aplicabilidad es prácticamente injustificable. El auditor lo verifica con muestreo físico.

¿Qué activos deben incluirse?

La información (bases de datos, repositorios), el software y las licencias, el hardware (servidores, puestos, móviles, red), los servicios — incluida la nube — y, según el enfoque, instalaciones y personas con conocimiento crítico.

¿Quién debe ser el propietario de un activo?

Una función con responsabilidad de gestión sobre el activo durante su ciclo de vida: clasificarlo, decidir accesos, revisarlo y aprobar su baja segura. No es necesariamente el usuario ni el propietario legal.

¿Cada cuánto hay que actualizar el inventario?

La norma exige que esté actualizado sin fijar plazo: la práctica defendible combina actualización continua (altas, traslados, bajas) con verificación física periódica — inventario rotativo o anual — documentada.

¿Qué relación hay con el ENS?

El ENS (RD 311/2022) exige la medida op.exp.1 — inventario de activos actualizado con responsable — desde categoría básica, y en MEDIA y ALTA la conformidad se acredita con auditoría formal de certificación. Un mismo inventario físico sirve para ambos marcos.

Fuentes y normativa

ISO/IEC 27001:2022 — Seguridad de la información, ciberseguridad y protección de la privacidad. Requisitos; Anexo A, control 5.9.
ISO/IEC 27002:2022 — Controles de seguridad de la información (guía de implantación del control 5.9).
Real Decreto 311/2022, por el que se regula el Esquema Nacional de Seguridad — Anexo II, medida op.exp.1 (inventario de activos) y régimen de certificación por categorías.
CCN — Centro Criptológico Nacional — guías CCN-STIC de la serie 800 sobre implantación del ENS.