42K
Guía de referencia

ISO/IEC 42001

La norma internacional para los sistemas de gestión de IA, explicada con claridad, estructurada de forma lógica y útil para las organizaciones que quieren desarrollar, adquirir o desplegar IA de forma responsable.

Proveedores de IADesarrolladores de IAImplementadores de IAUsuarios de IA

Lo que no se incluye: la propia norma ISO/IEC 42001

Este paquete contiene únicamente plantillas y herramientas de implementación. La norma ISO/IEC 42001 está protegida por los derechos de autor de ISO/IEC y debe adquirirse por separado bajo licencia de ISO o de su organismo nacional de normalización (en Bélgica: NBN). Nuestros documentos hacen referencia a la norma solo por número de cláusula y de control del Anexo A — no reproducen su texto.

Qué hace esta norma

La norma ISO/IEC 42001 define los requisitos de un sistema de gestión de IA (SGIA). Ayuda a las organizaciones a diseñar, desplegar y mantener sistemas de IA de forma responsable, transparente y controlable, de manera similar a como lo hace ISO 27001 para la seguridad de la información.

El objetivo es claro:

  • Gestionar los riesgos y el impacto de los sistemas de IA en las personas y la sociedad.
  • Garantizar un uso responsable, transparente y explicable de la IA en toda la organización.
  • Generar confianza con clientes, reguladores y partes interesadas internas.
  • Alinearse con normativas como el Reglamento de IA de la UE y los sistemas de gestión existentes.

Principios de la IA

Cuatro principios fundamentales para hacer debatible la IA responsable.

Principio

Responsabilidad

Responsabilidades claras para los sistemas de IA, desde la gobernanza hasta los roles operativos y las vías de escalado.

Principio

Transparencia

Información comprensible sobre el funcionamiento, las limitaciones y las decisiones de los sistemas de IA para las partes interesadas pertinentes.

Principio

Equidad

Protección frente a sesgos no intencionados, resultados injustos y efectos discriminatorios en las aplicaciones de IA.

Principio

Seguridad y protección

Control de los riesgos de daños físicos, digitales y organizativos a lo largo de todo el ciclo de vida.

Cláusulas del sistema de gestión

Las siete cláusulas principales del SGIA

La norma ISO/IEC 42001 sigue la Estructura Armonizada (HLS). Estas cláusulas conectan el contexto, el liderazgo, la planificación y la operación con el seguimiento y la mejora de las actividades de IA.

Cl. 4

Contexto de la organización

Determinar las cuestiones internas y externas, las partes interesadas y el alcance del sistema de gestión de IA (SGIA).

Cl. 5

Liderazgo

La alta dirección demuestra su compromiso, establece la política de IA y asigna roles, responsabilidades y autoridades.

Cl. 6

Planificación

Identificar riesgos y oportunidades, evaluar el impacto de la IA y fijar objetivos medibles para un uso responsable de la IA.

Cl. 7

Apoyo

Proporcionar recursos, competencias, concienciación, comunicación e información documentada en torno a las actividades de IA.

Cl. 8

Operación

Planificar, implementar y controlar los procesos operativos de IA, incluidas las evaluaciones de impacto y la gestión del ciclo de vida.

Cl. 9

Evaluación del desempeño

Realizar seguimiento, medir, analizar y evaluar el desempeño del SGIA mediante auditorías internas y revisiones por la dirección.

Cl. 10

Mejora

Gestionar las no conformidades e impulsar de forma estructurada la mejora continua del sistema de gestión de IA.

Controles del Anexo A

Los controles que hacen concreto el SGIA.

El Anexo A agrupa los controles en dominios que, en conjunto, permiten demostrar una gestión responsable de la IA, desde la política y la gobernanza hasta los datos, el ciclo de vida y el uso.

Políticas de IA

  • Política de IA
  • Alineación con la organización
  • Revisión periódica

Organización interna

  • Roles y responsabilidades
  • Gobernanza de la IA
  • Notificación de inquietudes

Recursos para la IA

  • Recursos de datos
  • Herramientas y capacidad de cómputo
  • Experiencia humana

Evaluación de impacto

  • Impacto del sistema de IA
  • Efectos en las personas
  • Efectos en la sociedad

Ciclo de vida del sistema de IA

  • Diseño y desarrollo
  • Verificación y validación
  • Despliegue y mantenimiento

Datos para los sistemas de IA

  • Calidad de los datos
  • Procedencia de los datos
  • Preparación de los datos

Información para las partes interesadas

  • Documentación para los usuarios
  • Comunicación de incidentes
  • Transparencia

Uso de los sistemas de IA

  • Uso responsable
  • Uso previsto
  • Gestión de la IA de terceros

Actores de la IA

La norma se concreta según el tipo de actor de la IA.

Cada rol de la cadena de IA tiene sus propias responsabilidades. La guía muestra dónde debes registrar la política, los controles y las evidencias, según tu posición.

Proveedores de IA

  • Desarrollo de modelos
  • Documentación y fichas técnicas
  • Declaraciones de conformidad

Desarrolladores de IA

  • Prácticas de ingeniería
  • Pruebas de sesgo y robustez
  • Versionado de modelos

Implementadores de IA

  • Controles operativos
  • Seguimiento en producción
  • Instrucciones de uso

Usuarios y personas afectadas por la IA

  • Concienciación y formación
  • Canales de retroalimentación
  • Protección de derechos

Principios clave

Principios que mantienen la norma ISO/IEC 42001 práctica en tu organización.

Enfoque basado en el riesgo

Las medidas son proporcionales al riesgo de la IA, con evaluaciones explícitas de impacto y de riesgo.

Supervisión humana

Las personas mantienen el control de las decisiones críticas de IA y pueden intervenir o corregir cuando sea necesario.

Gestión del ciclo de vida

Gestionar los sistemas de IA desde el concepto y los datos hasta el despliegue, el seguimiento y la retirada.

Mejora continua

Las lecciones aprendidas, las auditorías y el seguimiento alimentan mejoras estructurales en la política y los controles.

Nuevo

Habilidad para asistente de IA: implementa el kit con IA, según las reglas

Una habilidad instalable para asistentes de IA (como Claude). Mantiene tu implementación según lo previsto: sigue la secuencia de pasos del kit, usa la plantilla correcta para cada paso, completa los detalles del control documental, completa la declaración de aplicabilidad de los 38 controles del Anexo A y, lo más importante, nunca inventa evidencias de auditoría. Incluye una autocomprobación que señala los marcadores de posición sin rellenar, una declaración de aplicabilidad incompleta y las referencias cruzadas rotas, y hace referencia a la norma ISO/IEC 42001 solo por número de cláusula y de control (nunca el texto de la norma).

De las plantillas a la certificación

La Fase 1 documenta tu sistema. La Fase 2 demuestra que funciona.

El paquete documenta tu sistema de gestión de IA (preparación para la Fase 1). La Fase 2 de la certificación también requiere evidencias de que el sistema funciona: evaluación de riesgos completada, auditoría interna y revisión por la dirección. El Manual Principal explica con exactitud qué esperan la Fase 1 y la Fase 2, para que sepas qué hacer una vez rellenadas las plantillas.

De la guía a la evidencia

Haz que la norma ISO/IEC 42001 sea directamente aplicable con plantillas.

Usa el paquete para recoger la política de IA, los procedimientos, las evaluaciones de riesgo e impacto, el ciclo de vida y las autoevaluaciones en documentos que tu equipo puede usar de inmediato. Incluye una correspondencia con el Reglamento de IA de la UE para conectar tu trabajo de ISO/IEC 42001 con las obligaciones del Reglamento de IA de la UE.

Pedir el paquete