ISO 42001 - 6. Planificación
6.1. Acciones para abordar riesgos y oportunidades
6.1.1. Generalidades
Al planificar el sistema de gestión de IA, la organización deberá considerar los problemas mencionados en 4.1 y los requisitos mencionados en 4.2 y determinar los riesgos y oportunidades que deben abordarse para:
— dar garantía de que el sistema de gestión de IA pueda alcanzar su(s) resultado(s) previsto(s);
— prevenir o reducir efectos no deseados;
— lograr la mejora continua.
La organización deberá establecer y mantener criterios de riesgo de IA que respalden:
— distinguir entre riesgos aceptables y no aceptables;
— realizar evaluaciones de riesgos de IA;
— llevar a cabo el tratamiento de riesgos de IA;
— evaluar los impactos de riesgos de IA.
NOTA 1 Se proporcionan consideraciones para determinar la cantidad y tipo de riesgo que una organización está dispuesta a asumir o retener en ISO/IEC 38507 e ISO/IEC 23894.
La organización deberá determinar los riesgos y oportunidades de acuerdo con:
— el contexto de dominio y aplicación de un sistema de IA;
— el uso previsto;
— el contexto externo e interno descrito en 4.1.
NOTA 2 Más de un sistema de IA puede considerarse dentro del alcance del sistema de gestión de IA. En este caso, la determinación de oportunidades y usos se realiza para cada sistema de IA o agrupaciones de sistemas de IA.
La organización deberá planificar:
a) acciones para abordar estos riesgos y oportunidades;
b) cómo:
integrar e implementar las acciones en sus procesos del sistema de gestión de IA;
evaluar la efectividad de estas acciones.
La organización deberá conservar información documentada sobre las acciones tomadas para identificar y abordar los riesgos y oportunidades de IA.
NOTA 3 Se proporciona orientación sobre cómo implementar la gestión de riesgos para organizaciones que desarrollan, proporcionan o utilizan productos, sistemas y servicios de IA en ISO/IEC 23894.
NOTA 4 El contexto de la organización y sus actividades puede tener un impacto en las actividades de gestión de riesgos de la organización.
NOTA 5 La forma de definir el riesgo y, por lo tanto, de concebir la gestión de riesgos, puede variar según los sectores e industrias. La definición de riesgo en 3.7 permite una visión amplia del riesgo adaptable a cualquier sector, como los sectores mencionados en el Anexo D. En cualquier caso, es responsabilidad de la organización, como parte de la evaluación de riesgos, adoptar primero una visión del riesgo adaptada a su contexto. Esto puede incluir abordar el riesgo a través de definiciones utilizadas en sectores donde se desarrolla y utiliza el sistema de IA, como la definición de ISO/IEC Guide 51.
6.1.2 Evaluación de riesgos de IA
La organización deberá definir y establecer un proceso de evaluación de riesgos de IA que:
a) esté informado y alineado con la política de IA (ver 5.2) y los objetivos de IA (ver 6.2);
NOTA Cuando se evalúen las consecuencias como parte de 6.1.2 d) 1), la organización puede utilizar una evaluación de impacto del sistema de IA como se indica en 6.1.4.
b) esté diseñado de manera que las evaluaciones repetidas de riesgos de IA puedan producir resultados consistentes, válidos y comparables;
c) identifique los riesgos que ayuden o eviten lograr sus objetivos de IA;
d) analice los riesgos de IA para:
evaluar las posibles consecuencias para la organización, individuos y sociedades que resultarían si los riesgos identificados se materializaran;
evaluar, cuando corresponda, la probabilidad realista de los riesgos identificados;
determinar los niveles de riesgo;
e) evalúe los riesgos de IA para:
comparar los resultados del análisis de riesgos con los criterios de riesgo (ver 6.1.1);
priorizar los riesgos evaluados para el tratamiento de riesgos.
La organización deberá conservar información documentada sobre el proceso de evaluación de riesgos de IA.
6.1.3 Tratamiento de riesgos de IA
Teniendo en cuenta los resultados de la evaluación de riesgos, la organización deberá definir un proceso de tratamiento de riesgos de IA para:
a) seleccionar opciones de tratamiento de riesgos de IA apropiadas;
b) determinar todos los controles necesarios para implementar las opciones de tratamiento de riesgos de IA elegidas y comparar los controles con los de Anexo A para verificar que no se hayan omitido controles necesarios;
NOTA 1 El Anexo A proporciona controles de referencia para cumplir con los objetivos organizacionales y abordar los riesgos relacionados con el diseño y uso de sistemas de IA.
c) considerar los controles de Anexo A que sean relevantes para la implementación de las opciones de tratamiento de riesgos de IA;
d) identificar si se necesitan controles adicionales más allá de los de Anexo A para implementar todas las opciones de tratamiento de riesgos;
e) Considera la guía en el Anexo B para la implementación de controles determinados en b) y c);
NOTA 2 Los objetivos de control están implícitamente incluidos en los controles elegidos. La organización puede seleccionar un conjunto apropiado de objetivos de control y controles del Anexo A. Los controles del Anexo A no son exhaustivos y pueden ser necesarios objetivos de control y controles adicionales. Si son necesarios controles diferentes o adicionales más allá de los del Anexo A, la organización puede diseñar dichos controles o tomarlos de fuentes existentes. La gestión del riesgo de IA puede integrarse en otros sistemas de gestión, si corresponde.
f) Elabora una declaración de aplicabilidad que contenga los controles necesarios [ver b), c) y d)] y proporciona justificación para la inclusión y exclusión de controles. La justificación para la exclusión puede incluir dónde los controles no se consideran necesarios por la evaluación de riesgos y dónde no son requeridos por (o están sujetos a excepciones bajo) requisitos externos aplicables.
NOTA 3 La organización puede proporcionar justificaciones documentadas para excluir cualquier objetivo de control en general o para sistemas de IA específicos, ya sea aquellos enumerados en el Anexo A o establecidos por la organización misma.
g) Formula un plan de tratamiento del riesgo de IA.
La organización deberá obtener la aprobación de la dirección designada para el plan de tratamiento del riesgo de IA y para la aceptación de los riesgos residuales de IA. Los controles necesarios deberán ser:
— alineados con los objetivos en 6.2;
— disponibles como información documentada;
— comunicados dentro de la organización;
— disponibles para las partes interesadas, según corresponda. La organización deberá conservar información documentada sobre el proceso de tratamiento del riesgo de IA.
6.1.4 Evaluación del impacto del sistema de IA
La organización deberá definir un proceso para evaluar las posibles consecuencias para individuos o grupos de individuos, o ambos, y sociedades que pueden resultar del desarrollo, provisión o uso de sistemas de IA.
La evaluación del impacto del sistema de IA determinará las posibles consecuencias que el despliegue, uso previsto y uso previsible indebido de un sistema de IA pueden tener en individuos o grupos de individuos, o ambos, y sociedades.
La evaluación del impacto del sistema de IA deberá tener en cuenta el contexto técnico y social específico donde se despliega el sistema de IA y las jurisdicciones aplicables. El resultado de la evaluación del impacto del sistema de IA deberá documentarse.
Cuando sea apropiado, el resultado de la evaluación del impacto del sistema puede estar disponible para las partes interesadas relevantes según lo definido por la organización.
La organización deberá considerar los resultados de la evaluación del impacto del sistema de IA en la evaluación de riesgos (ver 6.1.2). A.5 en la Tabla A.1 proporciona controles para evaluar los impactos de los sistemas de IA.
NOTA En algunos contextos (como sistemas de IA críticos para la seguridad o la privacidad), la organización puede requerir que se realicen evaluaciones del impacto del sistema de IA específicas de disciplina (por ejemplo, impacto en la seguridad, privacidad o seguridad) como parte de las actividades generales de gestión de riesgos de una organización.
6.2 Objetivos de IA y planificación para alcanzarlos
La organización deberá establecer objetivos de IA en funciones y niveles relevantes.
Los objetivos de IA deberán:
a) ser coherentes con la política de IA (ver 5.2);
b) ser medibles (si es practicable);
c) tener en cuenta los requisitos aplicables;
d) ser monitoreados;
e) ser comunicados;
f) ser actualizados según corresponda;
g) estar disponibles como información documentada.
Al planificar cómo alcanzar sus objetivos de IA, la organización deberá determinar:
— qué se hará;
— qué recursos serán necesarios;
— quién será responsable;
— cuándo se completará;
— cómo se evaluarán los resultados.
NOTA Se proporciona una lista no exhaustiva de objetivos de IA relacionados con la gestión de riesgos en el Anexo C. Se proporcionan objetivos de control y controles para identificar objetivos para el desarrollo y uso responsable de sistemas de IA y medidas para lograrlos en A.6.1 y A.9.3 en la Tabla A.1. Se proporciona orientación de implementación para estos controles en B.6.1 y B.9.3.
6.3 Planificación de cambios
Cuando la organización determine la necesidad de cambios en el sistema de gestión de IA, los cambios se harán planificadamente.