30 días de prueba de riesgos de IA generativa -Empezar ahora
Solicitar una demo
ActiveInternationalStandardEn vigor: 2023-12-18

ISO/IEC 42001, Norma de sistema de gestión de IA

La primera norma internacional de sistema de gestión para la IA, que ofrece un marco para establecer, implementar y mejorar la gobernanza de la IA.

Resumen

ISO/IEC 42001:2023 es la primera norma internacional del mundo que especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de inteligencia artificial (AIMS) dentro de las organizaciones. Publicada el 18 de diciembre de 2023 por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional, proporciona un marco estructurado para gestionar los riesgos y las oportunidades relacionados con la IA.

La norma sigue la Estructura Armonizada (HS) común a todas las normas de sistemas de gestión ISO (como ISO 27001, ISO 9001), lo que la hace familiar para las organizaciones ya certificadas según otras normas ISO y permite una integración sencilla en los sistemas de gestión existentes.

ISO 42001 está diseñada para ser aplicable a cualquier organización que proporcione o utilice productos o servicios basados en IA, con independencia de su tamaño, tipo o sector de actividad. Aborda los retos específicos de los sistemas de IA, incluidas las consideraciones éticas, la transparencia, la rendición de cuentas y la naturaleza dinámica de la tecnología de IA.

La norma exige que las organizaciones tengan en cuenta el contexto específico de la IA de sus operaciones, incluido el impacto social de los sistemas de IA, los requisitos reglamentarios y las expectativas de las partes interesadas. Impone un enfoque sistemático de la gestión de riesgos de la IA que va más allá de los marcos tradicionales de riesgo de TI para abarcar la equidad, la transparencia, la explicabilidad y la supervisión humana.

Entre los principales elementos estructurales se incluyen el compromiso de la dirección con una IA responsable, una política de IA, procesos de evaluación y tratamiento de riesgos de la IA, objetivos y planificación para la gestión de la IA, requisitos de apoyo (recursos, competencia, concienciación, comunicación), planificación y control operacionales, evaluación del desempeño y mejora continua.

ISO 42001 es especialmente valiosa como herramienta de cumplimiento porque proporciona un marco certificable que puede demostrar la diligencia debida en múltiples regímenes reglamentarios. Las organizaciones que buscan cumplir con el EU AI Act, por ejemplo, pueden utilizar la certificación ISO 42001 como prueba de un marco sólido de gobernanza de la IA, aunque la certificación por sí sola no garantiza el cumplimiento normativo.

La norma también aborda el ciclo de vida del sistema de IA, desde la concepción y el diseño hasta el desarrollo, las pruebas, el despliegue, la operación y la retirada. Este enfoque de ciclo de vida garantiza que la gobernanza de la IA no sea una ocurrencia tardía, sino que esté integrada en cada etapa del desarrollo y el uso del sistema de IA.

Los anexos de la norma proporcionan orientación detallada sobre los controles específicos de la IA, incluidos los controles para la gestión de datos, la evaluación del impacto de los sistemas de IA, los procesos de desarrollo de los sistemas de IA, las relaciones con terceros y con los clientes, y la supervisión de la operación del sistema. Estos controles pueden seleccionarse y adaptarse en función de la evaluación de riesgos de la IA específica de la organización.

Requisitos clave

1

Establecer un sistema de gestión de IA con un alcance y unos límites definidos

2

Desarrollar una política de IA aprobada por la alta dirección

3

Realizar evaluaciones de riesgos de la IA que abarquen la seguridad, la equidad, la transparencia y la rendición de cuentas

4

Implementar planes de tratamiento de riesgos de la IA con los controles adecuados del anexo A

5

Definir funciones, responsabilidades y autoridades para la gobernanza de la IA

6

Garantizar la competencia y la concienciación del personal involucrado en los sistemas de IA

7

Mantener la información documentada del AIMS

8

Planificar y controlar los procesos del ciclo de vida del sistema de IA

9

Realizar evaluaciones de impacto de los sistemas de IA

10

Supervisar, medir, analizar y evaluar el desempeño del AIMS

11

Realizar auditorías internas del AIMS

12

Llevar a cabo revisiones por la dirección

13

Abordar las no conformidades e impulsar la mejora continua

14

Gestionar los proveedores de IA externos y los riesgos de la cadena de suministro de IA

Fechas clave y cronograma

18 December 2023
Publicación de ISO/IEC 42001:2023
Q1 2024
Los organismos de certificación acreditados comienzan a ofrecer auditorías
2024–2025
Las organizaciones pioneras obtienen la certificación
2025–2026
Adopción generalizada prevista, impulsada por las necesidades de cumplimiento del EU AI Act

A quién afecta

  • Cualquier organización que desarrolle sistemas o productos de IA
  • Organizaciones que despliegan o utilizan servicios basados en IA
  • Proveedores de servicios de IA y operadores de plataformas de IA en la nube
  • Organizaciones que buscan demostrar una gobernanza responsable de la IA
  • Empresas que necesitan demostrar el cumplimiento de las normativas de IA (por ejemplo, el EU AI Act)
  • Organizaciones del sector público que utilizan IA en la prestación de servicios

Preguntas frecuentes

¿Es obligatoria la certificación ISO 42001?

No, la certificación ISO 42001 es voluntaria. No obstante, proporciona un marco estructurado para la gobernanza de la IA que puede ayudar a demostrar el cumplimiento de las normativas de IA emergentes como el EU AI Act. Algunos procesos de adquisición y sectores de actividad podrían exigir o preferir cada vez más la certificación ISO 42001.

¿Qué relación tiene ISO 42001 con el EU AI Act?

ISO 42001 proporciona un marco de sistema de gestión que puede respaldar el cumplimiento del EU AI Act. Mientras que el EU AI Act establece requisitos legales, ISO 42001 ofrece un enfoque sistemático para cumplir muchos de esos requisitos. La Comisión Europea puede reconocer determinadas normas como base de una presunción de conformidad.

¿Puede integrarse ISO 42001 con otros sistemas de gestión?

Sí. ISO 42001 sigue la Estructura Armonizada de ISO, lo que la hace directamente integrable con ISO 27001 (seguridad de la información), ISO 9001 (calidad), ISO 14001 (medio ambiente) y otras normas de sistemas de gestión.

Regulation Updates

Stay Ahead of AI Regulations

Get notified when new AI regulations are introduced or updated. Join 500+ compliance professionals.