¿Controles obligatorios?

Respuesta: Disculpa, pero no estoy seguro si he entendido bien tu pregunta, porque la lógica de la ISO 27001 es identificar riesgos, y tratarlos, implementando los controles de seguridad que sean necesarios. Por tanto, básicamente los controles que pueden no ser obligatorios son aquellos que no necesitas para tratar los riesgos identificados, por ejemplo porque no son aplicables. Por ejemplo, si en tu organización no exise el teletrabajo, el control relacionado con el teletrabajo no será aplicable, y por tanto no será obligatorio implementarlo. Este artículo te puede resultar interesante “La lógica básica de ISO 27001: ¿cómo funciona la seguridad de la información?” https://advisera.com/27001academy/es/knowledgebase/la-logica-basica-de-iso-27001-como-funciona-la-seguridad-de-la-informacion/

Por cierto, en algunos controles es obligatorio tener un documento con información documentada, aquí puedes encontrar una lista completa de los documentos que son obligatorios “Lista de documentos obligatorios exigidos por la norma ISO 27001 (revisión 2013)” https://advisera.com/27001academy/es/knowledgebase/lista-de-documentos-obligatorios-exigidos-por-la-norma-iso-27001-revision-2013/