Flujo de implementación

ISO/IEC 42001 — del fundamento a la mejora continua

Una secuencia práctica de 10 pasos para implementar un sistema de gestión de IA: construir el fundamento, evaluar el riesgo y el impacto, seleccionar controles, implementar los controles guiados por el Anexo B y, después, hacer seguimiento y mejorar.

Plan 1

Fundamento del SGIA y base de gobernanza

1Cláusulas 4.1-4.4

Comprender el contexto, los roles de IA y el alcance

Key output: Alcance del SGIA, roles de IA, partes interesadas, supuestos legales/de contexto y mapa de procesos.

2Cláusulas 5.1-5.3; Anexo B.2-B.3

Establecer el liderazgo, la política y la autoridad

Key output: Política de IA, RACI, autoridad de aprobación, notificación de inquietudes y modelo de responsabilidad.

3Cláusula 6.2; Cláusulas 7.1-7.5

Fijar objetivos, apoyo y control documental

Key output: Objetivos de IA, recursos, competencia, concienciación, comunicación y documentación controlada.

Plan 2

Diseño basado en el riesgo y selección de controles

4Cláusulas 4.4 y 8.1; Anexo B.4/B.9

Inventariar los sistemas de IA y los usos previstos

Key output: Registro de sistemas de IA, registro de herramientas, etapa del ciclo de vida, uso aprobado y propiedad.

5Cláusulas 6.1.1-6.1.4; 8.2; 8.4; Anexo B.5

Evaluar los riesgos, oportunidades e impactos de la IA

Key output: Criterios de riesgo, evaluación de riesgos/impacto, registro de oportunidades y análisis de partes afectadas.

6Cláusula 6.1.3; Cláusula 8.3; Anexos A+B

Seleccionar controles, DdA y plan de tratamiento

Key output: Declaración de aplicabilidad, plan de tratamiento, decisión sobre el riesgo residual y plan de evidencias.

Implementar y operar los controles seleccionados

7Cláusula 8.1; Anexo B.6-B.7

Implementar los controles de ciclo de vida y datos

Key output: Requisitos, diseño, V&V, despliegue, seguimiento, registros de eventos y evidencias de conjuntos de datos.

8Cláusula 8.1; Anexo B.8-B.10

Implementar los controles de uso, transparencia y terceros

Key output: Información a los usuarios, supervisión humana, registros de uso previsto y responsabilidades del proveedor/cliente.

Check / Act

Bucle de aseguramiento y mejora continua

9Cláusulas 9.1-9.3; Cláusulas 8.2-8.4

Hacer seguimiento, auditar y revisar la eficacia

Key output: Evidencias de seguimiento, hallazgos de auditoría, decisiones de la revisión por la dirección y evidencias de riesgo actualizadas.

10Cláusulas 10.1-10.2

Corregir, mejorar y actualizar el SGIA

Key output: CAPA, lecciones aprendidas, controles mejorados y registros actualizados de alcance, política, riesgo, DdA y ciclo de vida.

Annex B

Columna vertebral de orientación de controles del Anexo B

Usa el Anexo B para traducir los controles seleccionados del Anexo A en acciones de implementación prácticas. Adáptalo al alcance de la organización, al rol de IA, al perfil de riesgo y al caso de uso.

Las salidas se convierten en información documentada controlada y evidencias de auditoría.

B.2Políticas de IA
B.3Organización interna
B.4Recursos para la IA
B.5Evaluación de impacto
B.6Ciclo de vida del sistema de IA
B.7Datos para los sistemas de IA
B.8Información para las partes interesadas
B.9Uso de los sistemas de IA
B.10Relaciones con terceros/clientes

Desencadenante basado en eventos

Nuevo caso de uso de IA, cambio significativo, incidente, incumplimiento de seguimiento, cambio de proveedor o nuevo requisito legal/del cliente: vuelve a los pasos de riesgo, impacto, DdA e implementación de controles.

Este visual resume el flujo de implementación usando solo referencias de cláusulas/controles. No reproduce el texto protegido de los requisitos de la norma ISO/IEC 42001.

¿Quieres implementar este flujo con plantillas listas para usar?

Cada salida anterior se corresponde con una política de Word o una hoja de Excel del paquete.

Ver el paquete