ISO 42001 - Anexo D. Uso del sistema de gestión de IA en diversos sectores o ámbitos
D.1 Generalidades
Este sistema de gestión es aplicable a cualquier organización que desarrolle, proporcione o utilice productos o servicios que empleen un sistema de IA. Por lo tanto, es potencialmente aplicable a varios productos y servicios, en diferentes sectores, sujetos a obligaciones, buenas prácticas, expectativas o compromisos contractuales hacia partes interesadas. Ejemplos de sectores son:
- salud;
- defensa;
- transporte;
- finanzas;
- empleo;
- energía.
Se pueden considerar varios objetivos organizacionales (consulte el Anexo C para posibles objetivos) para el desarrollo y uso responsable de un sistema de IA. Este documento proporciona requisitos y orientación desde un punto de vista específico de la tecnología de IA. Para varios de los objetivos potenciales, existen normas de sistemas de gestión genéricas o específicas del sector. Estas normas de sistemas de gestión consideran el objetivo generalmente desde un punto de vista tecnológicamente neutral, mientras que el sistema de gestión de IA proporciona consideraciones específicas de la tecnología de IA.
Los sistemas de IA no consisten solo en componentes que utilizan tecnología de IA, sino que pueden utilizar una variedad de tecnologías y componentes. Por lo tanto, el desarrollo y uso responsable de un sistema de IA requiere considerar consideraciones específicas de la IA y el sistema con todas las tecnologías y componentes utilizados. Incluso para la parte específica de la tecnología de IA, se deben tener en cuenta otros aspectos además de las consideraciones específicas de la IA. Por ejemplo, como la IA es una tecnología de procesamiento de información, la seguridad de la información se aplica generalmente a ella. Los objetivos como la seguridad, la privacidad, el impacto ambiental deben gestionarse de manera integral y no por separado para la IA y los otros componentes del sistema. La integración del sistema de gestión de IA con normas de sistemas de gestión genéricas o específicas del sector para temas relevantes es, por lo tanto, esencial para el desarrollo y uso responsable de un sistema de IA.
D.2 Integración del sistema de gestión de IA con otras normas de sistemas de gestión
Al proporcionar o utilizar sistemas de IA, la organización puede tener objetivos u obligaciones relacionadas con aspectos que son temas de otras normas de sistemas de gestión. Estos pueden incluir, por ejemplo, seguridad, privacidad, calidad, respectivamente, temas cubiertos en ISO/IEC 27001, ISO/IEC 27701 e ISO 9001.
Al proporcionar, utilizar o desarrollar sistemas de IA, las posibles normas de sistemas de gestión genéricas relevantes, pero no limitadas a eso, son:
- ISO/IEC 27001: En la mayoría de los contextos, la seguridad es clave para alcanzar los objetivos de la organización con el sistema de IA. La forma en que una organización persigue los objetivos de seguridad depende de su contexto y sus propias políticas. Si una organización identifica la necesidad de implementar un sistema de gestión de IA y abordar los objetivos de seguridad de manera similar, exhaustiva y sistemática, puede implementar un sistema de gestión de seguridad de la información conforme a ISO/IEC 27001. Dado que tanto ISO/IEC 27001 como los sistemas de gestión de IA utilizan la estructura de alto nivel, su uso integrado se facilita y es de gran beneficio para la organización. En este caso, la forma de implementar controles que (parcialmente) se relacionan con la seguridad de la información en este documento (consulte B.6.1.2) puede integrarse con la implementación de ISO/IEC 27001 de la organización.
- ISO/IEC 27701: En muchos contextos y dominios de aplicación, la información personal identificable (PII) es procesada por sistemas de IA. La organización puede entonces cumplir con las obligaciones aplicables de privacidad y con sus propias políticas y objetivos. De manera similar a ISO/IEC 27001, la organización puede beneficiarse de la integración de ISO/IEC 27701 con el sistema de gestión de IA. Los objetivos y controles relacionados con la privacidad del sistema de gestión de IA (consulte B.2.3 y B.5.4) pueden integrarse con la implementación de ISO/IEC 27701 de la organización.
- ISO 9001: Para muchas organizaciones, la conformidad con ISO 9001 es un indicativo clave de que están orientadas al cliente y genuinamente preocupadas por la eficacia interna. La evaluación independiente de conformidad con ISO 9001 facilita los negocios entre organizaciones e inspira confianza del cliente en productos o servicios. El nivel de confianza del cliente en una organización o sistema de IA puede reforzarse mucho cuando se implementa un sistema de gestión de IA junto con ISO 9001 si están involucradas tecnologías de IA. El sistema de gestión de IA puede complementar los requisitos de ISO 9001 (gestión de riesgos, desarrollo de software, coherencia de la cadena de suministro, etc.) para ayudar a la organización a alcanzar sus objetivos.
Además de las normas genéricas de sistemas de gestión mencionadas anteriormente, un sistema de gestión de IA también puede utilizarse juntamente con un sistema de gestión dedicado a un sector. Por ejemplo, tanto ISO 22000 como un sistema de gestión de IA son relevantes para un sistema de IA que se utiliza en la producción, preparación y logística de alimentos. Otro ejemplo es ISO 13485. La implementación de un sistema de gestión de IA puede respaldar los requisitos relacionados con el software de dispositivos médicos en ISO 13485 o los requisitos de otras normas internacionales del sector médico, como la IEC 62304.