ISO/IEC 42001:2023
Norma internacional para Sistemas de Gestión de la Inteligencia Artificial (AIMS). Establece requisitos para desarrollar, desplegar y usar sistemas de IA de forma responsable, gestionando riesgos e impactos.
23 requisitos
4.1Comprensión de la organización y su contexto
Determinar el rol de la organización (desarrollador, proveedor o usuario de IA) y su contexto.
4.2Necesidades de las partes interesadas
Identificar partes interesadas y requisitos relativos a la IA.
4.3Alcance del SGIA
Determinar los límites y aplicabilidad del sistema de gestión de IA.
4.4Sistema de gestión de IA
Establecer, implementar, mantener y mejorar el AIMS.
5.1Liderazgo y compromiso
La alta dirección lidera la gobernanza de la IA.
5.2Política de IA
Establecer una política de IA alineada con la estrategia.
5.3Roles, responsabilidades y autoridades
Asignar responsabilidades para la gobernanza de la IA.
6.1Acciones para tratar riesgos y oportunidades
Apreciación de riesgos de IA y evaluación de impactos del sistema de IA.
6.2Objetivos de IA y planificación
Establecer objetivos de IA medibles.
7.1Recursos
Proporcionar recursos para el SGIA.
7.2Competencia
Asegurar la competencia del personal involucrado en la IA.
7.3Concienciación
Concienciar sobre la política y los riesgos de la IA.
7.4Comunicación
Definir las comunicaciones internas y externas sobre la IA.
7.5Información documentada
Controlar la documentación del SGIA.
8.1Planificación y control operacional
Controlar los procesos para cumplir requisitos y tratar riesgos de IA.
8.2Apreciación de riesgos de IA
Realizar apreciaciones de riesgo de la IA a intervalos planificados.
8.3Tratamiento de riesgos de IA
Implementar el plan de tratamiento de riesgos de IA.
8.4Evaluación de impacto del sistema de IA
Realizar evaluaciones de impacto de los sistemas de IA.
9.1Seguimiento, medición, análisis y evaluación
Evaluar el desempeño del SGIA.
9.2Auditoría interna
Realizar auditorías internas del SGIA.
9.3Revisión por la dirección
Revisar el SGIA por la dirección.
10.1Mejora continua
Mejorar continuamente el SGIA.
10.2No conformidad y acción correctiva
Gestionar no conformidades y acciones correctivas.
3 requisitos
A.2.2Política de IA
Documentar una política de IA aprobada por la dirección.
A.2.3Alineación con otras políticas de la organización
Asegurar la coherencia de la política de IA con otras políticas.
A.2.4Revisión de la política de IA
Revisar la política de IA a intervalos planificados.
2 requisitos
A.3.2Roles y responsabilidades de la IA
Definir y asignar roles y responsabilidades para la IA.
A.3.3Comunicación de preocupaciones
Habilitar mecanismos para comunicar preocupaciones sobre la IA.
5 requisitos
A.4.2Documentación de recursos
Identificar y documentar los recursos necesarios para los sistemas de IA.
A.4.3Recursos de datos
Documentar los recursos de datos utilizados por los sistemas de IA.
4 requisitos
A.5.2Proceso de evaluación de impacto del sistema de IA
Establecer un proceso para evaluar los impactos de los sistemas de IA.
A.5.3Documentación de las evaluaciones de impacto
Documentar los resultados de las evaluaciones de impacto de IA.
A.5.4Impacto en individuos o grupos de individuos
Evaluar el impacto de la IA sobre individuos o grupos.
9 requisitos
A.6.1.2Objetivos para el desarrollo responsable de la IA
Definir objetivos para el desarrollo responsable de los sistemas de IA.
A.6.1.3Procesos para el diseño y desarrollo responsable
Definir procesos de diseño y desarrollo responsable de la IA.
A.6.2.2Requisitos y especificación del sistema de IA
Especificar requisitos para los sistemas de IA.
A.6.2.3Documentación del diseño y desarrollo
5 requisitos
A.7.2Datos para el desarrollo y mejora de la IA
Definir los datos para el desarrollo y la mejora de los sistemas de IA.
A.7.3Adquisición de datos
Gestionar la adquisición de datos para la IA.
A.7.4Calidad de los datos
Asegurar la calidad de los datos para los sistemas de IA.
4 requisitos
A.8.2Documentación e información para usuarios
Proporcionar documentación e información a los usuarios del sistema de IA.
A.8.3Reporte externo
Habilitar el reporte externo de impactos de la IA.
A.8.4Comunicación de incidentes
Comunicar incidentes relacionados con la IA a las partes interesadas.
3 requisitos
A.9.2Procesos para el uso responsable de la IA
Definir procesos para el uso responsable de los sistemas de IA.
A.9.3Objetivos para el uso responsable
Establecer objetivos para el uso responsable de la IA.
A.9.4Uso previsto del sistema de IA
Asegurar que la IA se usa conforme a su uso previsto.
3 requisitos
A.10.2Asignación de responsabilidades
Asignar responsabilidades en la cadena de valor de la IA.
A.10.3Proveedores
Gestionar la seguridad y responsabilidad de los proveedores de IA.
A.10.4Clientes
Gestionar las obligaciones frente a clientes de sistemas de IA.
A.4.4Recursos de herramientas (tooling)
Documentar las herramientas utilizadas en el ciclo de vida de la IA.
A.4.5Recursos de sistema y computación
Documentar los recursos de sistema y computación.
A.4.6Recursos humanos
Documentar las competencias y recursos humanos para la IA.
A.5.5Impactos sociales
Evaluar los impactos sociales de los sistemas de IA.
Documentar el diseño y desarrollo del sistema de IA.
A.6.2.4Verificación y validación del sistema de IA
Verificar y validar los sistemas de IA antes del despliegue.
A.6.2.5Despliegue del sistema de IA
Desplegar los sistemas de IA de forma controlada.
A.6.2.6Operación y monitorización del sistema de IA
Operar y monitorizar los sistemas de IA en producción.
A.6.2.7Documentación técnica del sistema de IA
Mantener documentación técnica de los sistemas de IA.
A.6.2.8Registro de eventos (event logs)
Registrar automáticamente eventos durante la operación de la IA.
A.7.5Procedencia de los datos
Documentar la procedencia (provenance) de los datos.
A.7.6Preparación de los datos
Definir los criterios de preparación de los datos.
A.8.5Información para las partes interesadas
Proporcionar la información necesaria a las partes interesadas.