ISO 42001 - Anexo A. Objetivos de control y controles de referencia
A.1 Generalidades
Los controles detallados en la Tabla A.1 proporcionan a la organización una referencia para cumplir con los objetivos organizacionales y abordar los riesgos relacionados con el diseño y operación de sistemas de IA. No todos los objetivos de control y controles enumerados en la Tabla A.1 son requeridos para ser utilizados, y la organización puede diseñar e implementar sus propios controles (ver 6.1.3).
El Anexo B proporciona orientación de implementación para todos los controles enumerados en la Tabla A.1.
Tabla A.1 — Objetivos de control y controles
A.2 Políticas relacionadas con la IA
Objetivo: Proporcionar dirección y apoyo de la gerencia para los sistemas de IA de acuerdo con los requisitos comerciales.
| A.2.2 | Política de IA | La organización deberá documentar una política para el desarrollo o uso de sistemas de IA. |
| A.2.3 | Alineación con otras políticas organizacionales | La organización deberá determinar dónde otras políticas pueden ser afectadas por o aplicables a los objetivos de la organización con respecto a los sistemas de IA. |
| A.2.4 | Revisión de la política de IA | La política de IA deberá revisarse en intervalos planificados o, según sea necesario, para garantizar su idoneidad, adecuación y efectividad continua. |
A.3 Organización interna
Objetivo: Establecer responsabilidad dentro de la organización para mantener su enfoque responsable en la implementación, operación y gestión de sistemas de IA.
| Tema | Control | |
| A.3.2 | Roles y responsabilidades de IA | Los roles y responsabilidades para la IA deberán ser definidos y asignados según las necesidades de la organización. |
| A.3.3 | Reporte de preocupaciones | La organización deberá definir e implementar un proceso para reportar preocupaciones sobre el rol de la organización con respecto a un sistema de IA a lo largo de su ciclo de vida. |
A.4 Recursos para sistemas de IA
Objetivo: Asegurar que la organización contemple los recursos (incluidos los componentes y activos del sistema de IA) del sistema de IA para comprender y abordar plenamente los riesgos e impactos.
| Tema | Control | |
| A.4.2 | Documentación de recursos | La organización deberá identificar y documentar los recursos relevantes requeridos para las actividades en las etapas del ciclo de vida del sistema de IA y otras actividades relacionadas con la IA relevantes para la organización. |
| A.4.3 | Recursos de datos | Como parte de la identificación de recursos, la organización deberá documentar información sobre los recursos de datos utilizados para el sistema de IA. |
| A.4.4 | Recursos de herramientas | Como parte de la identificación de recursos, la organización deberá documentar información sobre los recursos de herramientas utilizados para el sistema de IA.
|
| A.4.5 | Recursos del sistema y computación | Como parte de la identificación de recursos, la organización deberá documentar información sobre los recursos del sistema y computación utilizados para el sistema de IA. |
| A.4.6 | Recursos humanos | Como parte de la identificación de recursos, la organización deberá documentar información sobre los recursos humanos y sus competencias utilizados para el desarrollo, despliegue, operación, gestión del cambio, mantenimiento, transferencia y desmantelamiento, así como la verificación e integración del sistema de IA. |
A.5 Evaluación de los impactos de los sistemas de IA
Objetivo: Evaluar los impactos de los sistemas de IA en individuos o grupos de individuos, o ambos, y en las sociedades afectadas por el sistema de IA a lo largo de su ciclo de vida.
| Tema | Control | |
| A.5.2 | Proceso de evaluación del impacto del sistema de IA | La organización deberá establecer un proceso para evaluar las posibles consecuencias para individuos o grupos de individuos, o ambos, y sociedades que pueden resultar del sistema de IA a lo largo de su ciclo de vida. |
| A.5.3 | Documentación de evaluaciones del impacto del sistema de IA | La organización deberá documentar los resultados de las evaluaciones del impacto del sistema de IA y conservar los resultados durante un período definido. |
| A.5.4 | Evaluación del impacto del sistema de IA en individuos o grupos de individuos | La organización deberá evaluar y documentar los impactos potenciales de los sistemas de IA en individuos o grupos de individuos a lo largo del ciclo de vida del sistema. |
| A.5.5 | Evaluación de los impactos sociales de los sistemas de IA | La organización deberá evaluar y documentar los impactos sociales potenciales de sus sistemas de IA a lo largo de su ciclo de vida. |
A.6 Ciclo de vida del sistema de IA
A.6.1 Orientación de gestión para el desarrollo del sistema de IA
Objetivo: Asegurar que la organización identifique y documente objetivos e implemente procesos para el diseño y desarrollo responsables de sistemas de IA.
| Tema | Control | |
| A.6.1.2 | Objetivos para el desarrollo responsable del sistema de IA | La organización deberá identificar y documentar objetivos para guiar el desarrollo responsable de sistemas de IA, y tener en cuenta esos objetivos e integrar medidas para alcanzarlos en el ciclo de vida del desarrollo. |
| A.6.1.3 | Procesos para el diseño y desarrollo responsable del sistema de IA | La organización deberá definir y documentar los procesos específicos para el diseño y desarrollo responsable del sistema de IA. |
A.6.2 Ciclo de vida del sistema de IA
Objetivo: Definir los criterios y requisitos para cada etapa del ciclo de vida del sistema de IA.
| Tema | Control | |
| A.6.2.2 | Requisitos y especificaciones del sistema de IA | La organización deberá especificar y documentar los requisitos para nuevos sistemas de IA o mejoras materiales a los sistemas existentes. |
| A.6.2.3 | Documentación del diseño y desarrollo del sistema de IA | La organización deberá documentar el diseño y desarrollo del sistema de IA basado en los objetivos organizacionales, los requisitos documentados y los criterios de especificación. |
| A.6.2.4 | Verificación y validación del sistema de IA | La organización deberá definir y documentar medidas de verificación y validación para el sistema de IA y especificar criterios para su uso. |
| A.6.2.5 | Implementación del sistema de IA | La organización deberá documentar un plan de implementación y asegurarse de que se cumplan los requisitos apropiados antes de la implementación. |
| A.6.2.6 | Operación y monitoreo del sistema de IA | La organización deberá definir y documentar los elementos necesarios para la operación continua del sistema de IA. Como mínimo, esto debería incluir monitoreo del sistema y del rendimiento, reparaciones, actualizaciones y soporte. |
| A.6.2.7 | Documentación técnica del sistema de IA | La organización deberá determinar qué documentación técnica del sistema de IA se necesita para cada categoría relevante de partes interesadas, como usuarios, socios, autoridades supervisoras, y proporcionarles la documentación técnica en la forma apropiada. |
| A.6.2.8 | Registro de eventos del sistema de IA | La organización deberá determinar en qué fases del ciclo de vida del sistema de IA se debe habilitar el registro de eventos, pero como mínimo cuando el sistema de IA esté en uso. |
A.7 Datos para sistemas de IA
Objetivo: Asegurar que la organización comprenda el papel e impacto de los datos en los sistemas de IA en la aplicación y desarrollo, provisión o uso de sistemas de IA a lo largo de sus ciclos de vida.
| Tema | Control | |
| A.7.2 | Datos para el desarrollo y mejora del sistema de IA | La organización deberá definir, documentar e implementar procesos de gestión de datos relacionados con el desarrollo de sistemas de IA. |
| A.7.3 | Adquisición de datos | La organización deberá determinar y documentar detalles sobre la adquisición y selección de los datos utilizados en los sistemas de IA. |
| A.7.4 | Calidad de los datos para sistemas de IA | La organización deberá definir y documentar requisitos para la calidad de los datos y asegurarse de que los datos utilizados para desarrollar y operar el sistema de IA cumplan con esos requisitos. |
| A.7.5 | Procedencia de los datos | La organización deberá definir y documentar un proceso para registrar la procedencia de los datos utilizados en sus sistemas de IA a lo largo de los ciclos de vida de los datos y del sistema de IA. |
| A.7.6 | Preparación de datos
| La organización deberá definir y documentar sus criterios para seleccionar preparaciones de datos y los métodos de preparación de datos a utilizar. |
A.8 Información para las partes interesadas de los sistemas de IA
Objetivo: Asegurar que las partes interesadas relevantes tengan la información necesaria para comprender y evaluar los riesgos y sus impactos (tanto positivos como negativos).
| Tema | Control | |
| A.8.2 | Documentación del sistema e información para los usuarios | La organización deberá determinar y proporcionar la información necesaria a los usuarios del sistema de IA. |
| A.8.3 | Informe externo | La organización deberá proporcionar capacidades para que las partes interesadas informen sobre los impactos adversos del sistema de IA. |
| A.8.4 | Comunicación de incidentes | La organización deberá determinar y documentar un plan para comunicar incidentes a los usuarios del sistema de IA. |
| A.8.5 | Información para las partes interesadas | La organización deberá determinar y documentar sus obligaciones de informar sobre el sistema de IA a las partes interesadas. |
A.9 Uso de sistemas de IA
Objetivo: Asegurar que la organización utilice los sistemas de IA de manera responsable y de acuerdo con las políticas organizacionales.
| Tema | Control | |
| A.9.2 | Procesos para el uso responsable de sistemas de IA | La organización deberá definir y documentar los procesos para el uso responsable de sistemas de IA. |
| A.9.3 | Objetivos para el uso responsable de sistemas de IA | La organización deberá identificar y documentar objetivos para guiar el uso responsable de sistemas de IA. |
| A.9.4 | Uso previsto del sistema de IA | La organización deberá asegurarse de que el sistema de IA se utilice de acuerdo con los usos previstos del sistema de IA y su documentación asociada. |
A.10 Relaciones con terceros y clientes
Objetivo: Asegurar que la organización comprenda sus responsabilidades y siga siendo responsable, y que los riesgos se asignen adecuadamente cuando intervengan terceros en cualquier etapa del ciclo de vida del sistema de IA.
| Tema | Control | |
| A.10.2 | Asignación de responsabilidades | La organización deberá asegurar que las responsabilidades dentro de su ciclo de vida del sistema de IA se asignen entre la organización, sus socios, proveedores, clientes y terceros. |
| A.10.3 | Proveedores | La organización deberá establecer un proceso para garantizar que su uso de servicios, productos o materiales proporcionados por proveedores se alinee con el enfoque de la organización para el desarrollo y uso responsable de sistemas de IA. |
| A.10.4 | Clientes | La organización deberá asegurarse de que su enfoque responsable para el desarrollo y uso de sistemas de IA tenga en cuenta las expectativas y necesidades de sus clientes. |
