Saltar al contenido principal

ISO 42001 - 4. Contexto de la Organización

4.1. Comprensión de la organización y su contexto

La organización deberá determinar problemas externos e internos relevantes para su propósito y que afecten su capacidad para lograr el(los) resultado(s) previsto(s) de su sistema de gestión de IA.

La organización deberá determinar si el cambio climático es un problema relevante.

La organización deberá considerar el propósito previsto de los sistemas de IA que son desarrollados, proporcionados o utilizados por la organización. La organización deberá determinar sus roles con respecto a estos sistemas de IA.

NOTA 1. Para comprender la organización y su contexto, puede ser útil para la organización determinar su rol con respecto al sistema de IA. Estos roles pueden incluir, entre otros, uno o más de los siguientes:

— Proveedores de IA, incluidos proveedores de plataformas de IA, proveedores de productos o servicios de IA;

— Productores de IA, incluidos desarrolladores de IA, diseñadores de IA, operadores de IA, evaluadores y probadores de IA, desplegadores de IA, profesionales de factor humano de IA, expertos en dominios, evaluadores de impacto de IA, adquisidores, gobernadores de IA y profesionales de supervisión de IA;

— Clientes de IA, incluidos usuarios de IA;

— Socios de IA, incluidos integradores de sistemas de IA y proveedores de datos;

— Sujetos de IA, incluidos sujetos de datos y otros sujetos;

— Autoridades relevantes, incluidos responsables de políticas y reguladores.

Una descripción detallada de estos roles se proporciona en ISO/IEC 22989. Además, los tipos de roles y su relación con el ciclo de vida del sistema de IA también se describen en el marco de gestión de riesgos de IA del NIST. Los roles de la organización pueden determinar la aplicabilidad y el alcance de aplicabilidad de los requisitos y controles en este documento.

NOTA 2. Los problemas externos e internos que deben abordarse bajo esta cláusula pueden variar según los roles y la jurisdicción de la organización y su impacto en su capacidad para lograr el(los) resultado(s) previsto(s) de su sistema de gestión de IA. Estos pueden incluir, entre otros:

a) Consideraciones relacionadas con el contexto externo, tales como:

Requisitos legales aplicables, incluidos los usos prohibidos de la IA;

Políticas, directrices y decisiones de reguladores que tengan un impacto en la interpretación o aplicación de los requisitos legales en el desarrollo y uso de sistemas de IA;

Incentivos o consecuencias asociadas con el propósito previsto y el uso de sistemas de IA;

Cultura, tradiciones, valores, normas y ética con respecto al desarrollo y uso de la IA;

Paisaje competitivo y tendencias para nuevos productos y servicios que utilizan sistemas de IA;

b) Consideraciones relacionadas con el contexto interno, como:

Contexto organizativo, gobernanza, objetivos (ver 6.2), políticas y procedimientos;

Obligaciones contractuales;

Propósito previsto del sistema de IA a desarrollar o utilizar.

NOTA 3 La determinación del rol puede formarse por obligaciones relacionadas con categorías de datos que la organización procesa (por ejemplo, procesador de información personal identificable (PII) o controlador de PII al procesar PII). Consulte ISO/IEC 29100 para PII y roles relacionados. Los roles también pueden estar informados por requisitos legales específicos para sistemas de IA.

4.2 Comprensión de las necesidades y expectativas de las partes interesadas

La organización deberá determinar:

— Las partes interesadas que son relevantes para el sistema de gestión de IA;

— Los requisitos relevantes de estas partes interesadas;

— Cuáles de estos requisitos se abordarán a través del sistema de gestión de IA.

NOTA Las partes interesadas relevantes pueden tener requisitos relacionados con el cambio climático.

4.3 Determinación del alcance del sistema de gestión de IA

La organización deberá determinar los límites y la aplicabilidad del sistema de gestión de IA para establecer su alcance.

Al determinar este alcance, la organización deberá considerar:

— Los problemas externos e internos mencionados en el punto 4.1;

— Los requisitos mencionados en el punto 4.2.

El alcance deberá estar disponible como información documentada.

El alcance del sistema de gestión de IA determinará las actividades de la organización con respecto a los requisitos de este documento sobre el sistema de gestión de IA, liderazgo, planificación, apoyo, operación, desempeño, evaluación, mejora, controles y objetivos.

4.4 Sistema de gestión de IA

La organización deberá establecer, implementar, mantener, mejorar continuamente y documentar un sistema de gestión de IA, incluidos los procesos necesarios y sus interacciones, de acuerdo con los requisitos de este documento.

LinkedIn
Volver arriba