Saltar al contenido principal

ISO 42001 - 3. Términos y Definiciones

Para los fines de este documento, se aplican los términos y definiciones dados en ISO/IEC 22989 y los siguientes.

ISO y IEC mantienen bases de datos terminológicas para su uso en normalización en las siguientes direcciones:

— Plataforma de navegación en línea de ISO: disponible en https://www.iso.org/obp — Electropedia de la IEC: disponible en https://www.electropedia.org/

3.1. Organización

Persona o grupo de personas que tienen sus propias funciones con responsabilidades, autoridades y relaciones para lograr sus objetivos (3.6).

Nota 1 a la entrada: El concepto de organización incluye, entre otros, a un autónomo, empresa, corporación, firma, empresa, autoridad, asociación, organización benéfica o institución o parte o combinación de los mismos, ya sea incorporada o no, pública o privada.

Nota 2 a la entrada: Si la organización es parte de una entidad más grande, el término “organización” se refiere solo a la parte de la entidad más grande que está dentro del alcance del sistema de gestión de IA (3.4).

3.2. Partes interesadas

Persona u organización (3.1) que puede afectar, ser afectada o percibirse a sí misma como afectada por una decisión o actividad.

Nota 1 a la entrada: Se proporciona una visión general de las partes interesadas en IA en ISO/IEC 22989:2022, 5.19.

3.3. Alta dirección

Persona o grupo de personas que dirige y controla una organización (3.1) en el nivel más alto.

Nota 1 a la entrada: La alta dirección tiene el poder de delegar autoridad y proporcionar recursos dentro de la organización.

Nota 2 a la entrada: Si el alcance del sistema de gestión (3.4) cubre solo parte de una organización, entonces la alta dirección se refiere a aquellos que dirigen y controlan esa parte de la organización.

3.4. Sistema de gestión

Conjunto de elementos interrelacionados o que interactúan de una organización (3.1) para establecer políticas (3.5) y objetivos (3.6), así como procesos (3.8) para alcanzar esos objetivos.

Nota 1 a la entrada: Un sistema de gestión puede abordar una sola disciplina o varias disciplinas.

Nota 2 a la entrada: Los elementos del sistema de gestión incluyen la estructura de la organización, roles y responsabilidades, planificación y operación.

3.5. Política

Intenciones y dirección de una organización (3.1) expresadas formalmente por su alta dirección (3.3).

3.6. Objetivo

Resultado a alcanzar.

Nota 1 a la entrada: Un objetivo puede ser estratégico, táctico u operativo.

Nota 2 a la entrada: Los objetivos pueden relacionarse con diferentes disciplinas (como finanzas, salud y seguridad, y medio ambiente). Pueden ser, por ejemplo, de alcance organizacional o específicos de un proyecto, producto o proceso (3.8).

Nota 3 a la entrada: Un objetivo puede expresarse de otras formas, por ejemplo, como un resultado previsto, como un propósito, como un criterio operativo, como un objetivo de IA o mediante el uso de otras palabras con un significado similar (por ejemplo, meta, objetivo o blanco).

Nota 4 a la entrada: En el contexto de los sistemas de gestión de IA (3.4), los objetivos de IA son establecidos por la organización (3.1), de manera consistente con la política de IA (3.5), para lograr resultados específicos.

3.7. Riesgo

Efecto de la incertidumbre.

Nota 1 a la entrada: Un efecto es una desviación de lo esperado, ya sea positiva o negativa.

Nota 2 a la entrada: La incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con, comprensión o conocimiento de un evento, su consecuencia o probabilidad.

Nota 3 a la entrada: El riesgo a menudo se caracteriza haciendo referencia a eventos potenciales (según se define en la Guía ISO 73) y consecuencias (según se define en la Guía ISO 73), o una combinación de estos.

Nota 4 a la entrada: El riesgo a menudo se expresa en términos de una combinación de las consecuencias de un evento (incluidos cambios en las circunstancias) y la probabilidad asociada (según se define en la Guía ISO 73) de ocurrencia.

3.8. Proceso

Conjunto de actividades interrelacionadas o que interactúan que utiliza o transforma entradas para entregar un resultado.

Nota 1 a la entrada: Si el resultado de un proceso se llama salida, producto o servicio depende del contexto de referencia.

3.9. Competencia

Habilidad para aplicar conocimientos y habilidades para lograr resultados previstos.

3.10. Información documentada

Información que debe ser controlada y mantenida por una organización (3.1) y el medio en el que está contenida.

Nota 1 a la entrada: La información documentada puede estar en cualquier formato y medio y de cualquier origen.

Nota 2 a la entrada: La información documentada puede referirse a:

— el sistema de gestión (3.4), incluidos los procesos relacionados (3.8);

— información creada para que la organización funcione (documentación);

— evidencia de resultados alcanzados (registros).

3.11. Desempeño

Resultado medible.

Nota 1 a la entrada: El desempeño puede relacionarse tanto con hallazgos cuantitativos como cualitativos.

Nota 2 a la entrada: El desempeño puede relacionarse con la gestión de actividades, procesos (3.8), productos, servicios, sistemas u organizaciones (3.1).

Nota 3 a la entrada: En el contexto de este documento, el desempeño se refiere tanto a los resultados logrados mediante el uso de sistemas de IA como a los resultados relacionados con el sistema de gestión de IA (3.4). La interpretación correcta del término es clara a partir del contexto de su uso.

3.12. Mejora continua

Actividad recurrente para mejorar el desempeño (3.11).

3.13. Efectividad

Grado en que se realizan las actividades planificadas y se logran los resultados planificados.

3.14. Requisito

Necesidad o expectativa que está establecida, generalmente implícita u obligatoria.

Nota 1 a la entrada: “Generalmente implícita” significa que es una costumbre o práctica común para la organización (3.1) y las partes interesadas (3.2) que la necesidad o expectativa bajo consideración está implícita.

Nota 2 a la entrada: Un requisito especificado es aquel que está establecido, por ejemplo, en información documentada (3.10).

3.15. Conformidad

Cumplimiento de un requisito (3.14).

3.16. No conformidad

Incumplimiento de un requisito (3.14).

3.17. Acción correctiva

Acción para eliminar la(s) causa(s) de una no conformidad (3.16) y prevenir su recurrencia.

3.18. Auditoría

Proceso sistemático e independiente (3.8) para obtener evidencia y evaluarla objetivamente para determinar en qué medida se cumplen los criterios de auditoría.

Nota 1 a la entrada: Una auditoría puede ser una auditoría interna (primera parte) o una auditoría externa (segunda parte o tercera parte), y puede ser una auditoría combinada (que combina dos o más disciplinas).

Nota 2 a la entrada: Una auditoría interna es realizada por la propia organización (3.1) o por un tercero en su nombre.

Nota 3 a la entrada: “Evidencia de auditoría” y “criterios de auditoría” están definidos en ISO 19011.

3.19 Medición

Proceso (3.8) para determinar un valor.

3.20. Monitoreo

Determinación del estado de un sistema, un proceso (3.8) o una actividad.

Nota 1 a la entrada: Para determinar el estado, puede ser necesario verificar, supervisar u observar críticamente.

3.21. Control

<riesgo> medida que mantiene y/o modifica el riesgo (3.7).

Nota 1 a la entrada: Los controles incluyen, pero no se limitan a, cualquier proceso, política, dispositivo, práctica u otras condiciones y/o acciones que mantienen y/o modifican el riesgo.

Nota 2 a la entrada: Los controles no siempre ejercen el efecto modificador previsto o asumido.

[FUENTE: ISO 31000:2018, 3.8, modificado — Agregado <riesgo> como dominio de aplicación].

3.22. Órgano de gobierno

Persona o grupo de personas que son responsables del desempeño y la conformidad de la organización.

Nota 1 a la entrada: No todas las organizaciones, especialmente las pequeñas organizaciones, tendrán un órgano de gobierno separado de la alta dirección.

Nota 2 a la entrada: Un órgano de gobierno puede incluir, pero no se limita a, junta directiva, comités de la junta, consejo de supervisión, fideicomisarios o supervisores.

[FUENTE: ISO/IEC 38500:2015, 2.9, modificado — Se agregaron Notas a la entrada.]

3.23. Seguridad de la información

Preservación de la confidencialidad, integridad y disponibilidad de la información.

Nota 1 a la entrada: Otras propiedades como autenticidad, responsabilidad, no repudio y confiabilidad también pueden estar involucradas.

[FUENTE: ISO/IEC 27000:2018, 3.28].

3.24. Evaluación del impacto del sistema de IA

Proceso formal y documentado mediante el cual se identifican, evalúan y abordan los impactos en individuos, grupos de individuos o ambos, y en sociedades, por una organización que desarrolla, proporciona o utiliza productos o servicios que utilizan inteligencia artificial.

3.25. Calidad de los datos

Característica de los datos que cumplen con los requisitos de datos de la organización para un contexto específico.

3.26. Declaración de aplicabilidad

Documentación de todos los controles necesarios y justificación de la inclusión o exclusión de controles.

Las organizaciones pueden no requerir todos los controles enumerados en el Anexo A o incluso exceder la lista en el Anexo A con controles adicionales establecidos por la organización misma.

Todos los riesgos identificados deben ser documentados por la organización de acuerdo con los requisitos de este documento. Todos los riesgos identificados y las medidas de gestión de riesgos (controles) establecidos para abordarlos deben reflejarse en la declaración de aplicabilidad.

Volver arriba