La norma ISO/IEC 42001, Sistema de Gestión de la Inteligencia Artificial, establece los requisitos para establecer, implantar, mantener y mejorar continuamente un sistema de gestión de la IA, por lo que su objetivo es garantizar que los sistemas se desarrollan y utilizan de forma responsable.
Para implementar este Sistema de Gestión de la Inteligencia Artificial la organización ha de cumplir objetivos y abordar riesgos relacionados con el diseño y el funcionamiento de los sistemas de IA. Razón por la cual se detallan varios controles en el Anexo A de la norma ISO/IEC 42001:
Anexo A: Objetivos y controles de control
Su objetivo es proporcionar dirección de gestión y soporte a los sistemas de IA de acuerdo con los requisitos del negocio.
| Anexo | Tema | Control |
|---|---|---|
| A.2.2 | Política de IA | La organización deberá documentar una política para el desarrollo o uso de sistemas de IA. |
| A.2.3 | Alineamiento con otras políticas organizacionales | La organización debe determinar dónde otras políticas pueden verse afectadas o aplicarse a los objetivos de la organización con respecto a los sistemas de IA. |
| A.2.4 | Revisión de la política de IA | La política de IA se revisará a intervalos planificados o adicionalmente según sea necesario para garantizar su idoneidad, adecuación y eficacia continuas. |
Su objetivo es establecer la rendición de cuentas dentro de la organización para mantener su enfoque responsable de la implementación, operación y gestión de los sistemas de IA.
| Anexo | Tema | Control |
|---|---|---|
| A.3.2 | Funciones y responsabilidades de la IA | Las funciones y responsabilidades de la IA se definirán y asignarán en función de las necesidades de la organización. |
| A.3.3 | Notificación de inquietudes | La organización debe definir y poner en marcha un proceso para informar sobre las preocupaciones sobre el papel de la organización con respecto a un sistema de IA a lo largo de su ciclo de vida. |
Su objetivo es garantizar que la organización contabilice los recursos (incluidos los componentes y activos del sistema de IA) del sistema de IA para comprender y abordar plenamente los riesgos y los impactos.
| Anexo | Tema | Control |
|---|---|---|
| A.4.2 | Documentación de recursos | La organización identificará y documentará los recursos pertinentes necesarios para las actividades en determinadas etapas del ciclo de vida del sistema de IA y otras actividades relacionadas con la IA relevantes para la organización. |
| A.4.3 | Recursos de datos | Como parte de la identificación de recursos, la organización documentará información sobre los recursos de datos utilizados para el sistema de IA. |
| A.4.4 | Recursos de herramientas | Como parte de la identificación de recursos, la organización documentará información sobre los recursos de herramientas utilizados para el sistema de IA. |
| A.4.5 | Sistemas y recursos informáticos | Como parte de la identificación de recursos, la organización documentará la información sobre el sistema y los recursos informáticos utilizados para el sistema de IA. |
| A.4.6 | Recursos humanos | Como parte de la identificación de los recursos, la organización documentará la información sobre los recursos humanos y sus competencias utilizadas para el desarrollo, el despliegue, la operación, la gestión del cambio, el mantenimiento, la transferencia y el desmantelamiento, así como para la verificación e integración del sistema de IA. |
Su objetivo es evaluar los impactos de los sistemas de IA en individuos o grupos de individuos, o ambos, y en las sociedades afectadas por el sistema de IA a lo largo de su ciclo de vida.
| Anexo | Tema | Control |
|---|---|---|
| A.5.2 | Proceso de evaluación del impacto del sistema de IA | La organización establecerá un proceso para evaluar las posibles consecuencias para los individuos o grupos de individuos, o ambos, y las sociedades que puedan derivarse del sistema de IA a lo largo de su ciclo de vida. |
| A.5.3 | Documentación de las evaluaciones del impacto de los sistemas de IA | La organización documentará los resultados de las evaluaciones de impacto del sistema de IA y conservará los resultados durante un período definido. |
| A.5.4 | Evaluación del impacto del sistema de IA en individuos o grupos de individuos | La organización evaluará y documentará los posibles impactos de los sistemas de IA en individuos o grupos de individuos a lo largo del ciclo de vida del sistema. |
| A.5.5 | Evaluación del impacto social de los sistemas de IA | La organización evaluará y documentará los posibles impactos sociales de sus sistemas de IA a lo largo de su ciclo de vida. |
Su primer objetivo es orientar a la dirección para el desarrollo de sistemas de IA.
| Anexo | Tema | Control |
|---|---|---|
| A.6.1.2 | Objetivos para el desarrollo responsable de un sistema de IA | La organización identificará y documentará los objetivos para guiar los sistemas de IA de desarrollo responsable, y tendrá en cuenta esos objetivos e integrará medidas para alcanzarlos en el ciclo de vida del desarrollo. |
| A.6.1.3 | Procesos para el diseño y desarrollo responsable de sistemas de IA | La organización definirá y documentará los procesos específicos para el diseño y desarrollo responsable del sistema de IA. |
Otro de sus objetivos es definir los criterios y requisitos para cada etapa del ciclo de vida del sistema de IA.
| Anexo | Tema | Control |
|---|---|---|
| A.6.2.2 | Requisitos y especificaciones del sistema de IA | La organización especificará y documentará los requisitos para nuevos sistemas de IA o mejoras materiales de los sistemas existentes. |
| A.6.2.3 | Documentación del diseño y desarrollo de sistemas de IA | La organización documentará el diseño y desarrollo del sistema de IA en función de los objetivos de la organización, los requisitos documentados y los criterios de especificación. |
| A.6.2.4 | Verificación y validación del sistema de IA | La organización definirá y documentará las medidas de verificación y validación del sistema de IA y especificará los criterios para su uso. |
| A.6.2.5 | Implementación de sistemas de IA | La organización debe documentar un plan de despliegue y asegurarse de que se cumplen los requisitos adecuados antes del despliegue. |
| A.6.2.6 | Funcionamiento y supervisión del sistema de IA | La organización definirá y documentará los elementos necesarios para el funcionamiento continuo del sistema de IA. Como mínimo, esto debe incluir la supervisión del sistema y el rendimiento, las reparaciones, las actualizaciones y el soporte. |
| A.6.2.7 | Documentación técnica del sistema de IA | La organización determinará qué documentación técnica del sistema de IA es necesaria para cada categoría pertinente de partes interesadas, como usuarios, socios, autoridades de supervisión, y les proporcionará la documentación técnica en la forma adecuada. |
| A.6.2.8 | Registro de registros de eventos por parte del sistema de IA | La organización determinará en qué fases del ciclo de vida del sistema de IA se debe habilitar el mantenimiento de registros de eventos, pero como mínimo cuando el sistema de IA esté en uso. |
Su objetivo es garantizar que la organización comprenda el papel y los impactos de los datos en los sistemas de IA en la aplicación y el desarrollo, la provisión o el uso de sistemas de IA a lo largo de sus ciclos de vida.
| Anexo | Tema | Control |
|---|---|---|
| A.7.2 | Datos para el desarrollo y la mejora del sistema de IA | La organización definirá, documentará e implementará procesos de gestión de datos relacionados con el desarrollo de sistemas de IA. |
| A.7.3 | Adquisición de datos | La organización determinará y documentará los detalles sobre la adquisición y selección de los datos utilizados en los sistemas de IA. |
| A.7.4 | Calidad de los datos para los sistemas de IA | La organización definirá y documentará los requisitos de calidad de los datos y se asegurará de que los datos utilizados para desarrollar y operar el sistema de IA cumplan con esos requisitos. |
| A.7.5 | Procedencia de los datos | La organización definirá y documentará un proceso para registrar la procedencia de los datos utilizados en sus sistemas de IA a lo largo de los ciclos de vida de los datos y del sistema de IA. |
| A.7.6 | Preparación de los datos | La organización debe definir y documentar sus criterios para seleccionar las preparaciones de datos y los métodos de preparación de datos que se utilizarán. |
Su objetivo es asegurar que las partes interesadas pertinentes dispongan de la información necesaria para comprender y evaluar los riesgos y sus impactos (tanto positivos como negativos).
| Anexo | Tema | Control |
|---|---|---|
| A.8.2 | Documentación del sistema e información para los usuarios | La organización determinará y proporcionará la información necesaria a los usuarios del sistema de IA. |
| A.8.3 | Informes externos | La organización proporcionará capacidades para que las partes interesadas informen sobre los impactos adversos del sistema de IA. |
| A.8.4 | Comunicación de incidencias | La organización determinará y documentará un plan para comunicar incidentes a los usuarios del sistema de IA. |
| A.8.5 | Información para las partes interesadas | La organización determinará y documentará sus obligaciones de comunicar información sobre el sistema de IA a las partes interesadas. |
Su objetivo es garantizar que la organización utilice los sistemas de IA de manera responsable y según las políticas de la organización.
| Anexo | Tema | Control |
|---|---|---|
| A.9.2 | Procesos para el uso responsable de los sistemas de IA | La organización definirá y documentará los procesos para el uso responsable de los sistemas de IA. |
| A.9.3 | Objetivos para el uso responsable del sistema de IA | La organización identificará y documentará los objetivos para guiar el uso responsable de los sistemas de IA. |
| A.9.4 | Uso previsto del sistema de IA | La organización se asegurará de que el sistema de IA se utilice de acuerdo con los usos previstos del sistema de IA y la documentación que lo acompaña. |
Su objetivo es garantizar que la organización comprenda sus responsabilidades y siga rindiendo cuentas, y que los riesgos se distribuyan adecuadamente cuando intervengan terceros en cualquier etapa del ciclo de vida del sistema de IA.
| Anexo | Tema | Control |
|---|---|---|
| A.10.2 | Asignación de responsabilidades | La organización se asegurará de que las responsabilidades dentro del ciclo de vida de su sistema de IA se distribuyan entre la organización, sus socios, proveedores, clientes y terceros. |
| A.10.3 | Proveedores | La organización debe establecer un proceso para garantizar que el uso de los servicios, productos o materiales proporcionados por los proveedores se alinee con el enfoque de la organización para el desarrollo y uso responsable de los sistemas de IA. |
| A.10.4 | Clientela | La organización se asegurará de que su enfoque responsable del desarrollo y uso de sistemas de IA tenga en cuenta las expectativas y necesidades de sus clientes. |
Anexo B: Guía de implementación para controles de IA
En el Anexo B de la norma ISO/IEC 42001, Sistema de Gestión de la Inteligencia Artificial, se establece una guía de implementación en la declaración de aplicabilidad, es decir una orientación para la aplicación de los controles del Anexo A.
Esta guía puede considerarse como un punto de partida para desarrollar la aplicación de controles específicos de la organización y además, puede ser modificada según los requisitos y necesidades de tratamiento de riesgos de cada organización.
¿Quieres certificarte en ISO 42001 de Inteligencia Artificial?
El equipo de consultores expertos en Ciberseguridad y Seguridad de la Información de Grupo Ingertec, te ayudará a certificarte en ISO 42001. Sistema de Gestión de Inteligencia Artificial (IA) según los controles del Anexo A y la guía de implementación del Anexo B marcados por la norma.
Con más de 20 años en el mercado, contamos con la experiencia y el mejor equipo consultor, quienes te apoyarán en todo momento.
¡No lo dudes más y contáctanos!
