loader image

RaulG

ISO 42001

Norma ISO 42001:2023

01

La ISO/IEC 42001 es la norma que especifica los requisitos para poner en marcha un sistema de gestión de inteligencia artificial (IA). Esta norma está diseñada para organizaciones que ofrecen o utilizan productos o servicios basados en la inteligencia artificial.

02

Es importante porque es la primera norma a nivel mundial que ofrece indicaciones sobre sistemas de gestión de inteligencia artificial (IA) y supone para las organizaciones una forma organizada de gestionar los riesgos y oportunidades que supone el uso de la inteligencia artificial.

03

La norma ISO-42001 es un estándar certificable por una tercera parte independiente.

Puede aportar a las organizaciones los siguientes beneficios:

  • Establecer un marco regulatorio, que garantice la correcta gestión, funcionamiento y control de un ambiente basado en IA.
  • Mejorar la confianza de las partes interesadas.
  • Mejorar la competitividad.

 

Los beneficios que tiene para clientes de cualquier sector son:

  • Garantizar la responsabilidad en el desarrollo y uso de la IA.
  • Reducir los riesgos asociados a la IA.

 

Los proveedores las siguientes ventajas: 

  • Demuestra a los clientes y stakeholders un compromiso con el desarrollo y uso responsable de la IA.
  • Aumenta la confianza en la calidad, seguridad y confiabilidad de los productos y servicios de IA.
  • Fortalece la reputación de la empresa como proveedor líder en IA ética y responsable.
  • Optimiza los procesos de desarrollo y gestión de la IA mediante la implementación de un sistema de gestión estructurado.
  • Mejora la eficiencia y la productividad al evitar errores, retrabajos y costes adicionales.
  • Permite un uso más eficaz de los recursos y la inversión en IA.

ISO/IEC 42001:2023 Sistema de Gestión de Inteligencia Artificial

La inteligencia artificial (IA) se refiere a la capacidad de las máquinas o sistemas informáticos para realizar tareas que normalmente requieren inteligencia humana. Esto incluye la capacidad de aprender de la experiencia “aprendizaje automático”, razonar, entender el lenguaje natural, reconocer patrones y adaptarse a nuevas situaciones. El desconocimiento y desconfianza hacía las aplicaciones y capacidades de estas mismas ha generado la necesidad de administrar los riesgos sobre las lA y sus aplicaciones.

Es por ello que la International Organization for Standardization (ISO) y la International Electrotechnical
Commission (IEC). han publicado la norma ISO/IEC 42001:2023 Information technology – Artificial intelligence-Management system. Siendo esta la primera norma internacional para el desarrollo e implantación de sistemas de gestión fiables de lA, equilibrando la innovación con la gobernanza.

Previamente ISO contaba con estándares como lo es ISO/IEC 22989 donde se establece la terminología de lA y el campo de esta, la ISO/IEC 23053 que establece un marco de lA y aprendizaje automático ML (Machine Learning), así como la ISO/IEC 23894 que orienta sobre la gestión de riesgos relacionados con la lA para organizaciones.

Implementar este estándar significa poner en marcha políticas y procedimientos para la buena gobernanza de una organización en relación con la lA, utilizando la metodología PHVA, en lugar de observar los detalles de aplicaciones específicas de lA, proporciona una forma práctica de gestionar los riesgos y oportunidades
relacionados con la lA en toda una organización.

Los objetivos de la norma ISO/IEC 42001:2023 son los siguientes:

  • Ahorro de costos y aumento de la eficiencia.
  • Promover el desarrollo y el uso de sistemas de inteligencia artificial fiables, transparentes y responsables.
  • Uso de análisis de datos. conocimientos y aprendizaie automático.
  •  Marco para la gestión de riesgos y oportunidades.
  • Fomentar confianza en la gestión de la inteligencia artificial al alentar a las organizaciones a dar prioridad al bienestar humano, la seguridad y la experiencia del usuario durante el proceso de diseño e implementación
    de la lA

Y los beneficios de la implementación de la norma ISO/IEC 42001:2023 son los siguientes:

  • lA responsable: garantiza el uso ético y responsable de la inteligencia artificial.
  • Gestión de la reputación: meiora la confianza en las aplicaciones de lA.
  • Gobernanza de la lA: respalda el cumplimiento de los estándares legales y regulatorios.
  • Orientación práctica: gestiona eficazmente los riesgos específicos de la lA.
  • Identificar oportunidades: Fomenta la innovación dentro de un marco estructurado.

Sistema de Gestión de Inteligencia Artificial (AIMS)

Por su parte la norma ISO/IEC 42001:2023 específica los requisitos para establecer, implementar, mantener y
mejorar continuamente un Sistema de Gestión de Inteligencia Artificial (AIMS) dentro de las organizaciones.


Al igual que otros estándares ISO, la norma puede ser implementada en empresas y organizaciones de cualquier tipo, sin importar su tamaño, giro, sector, etc. El sistema de gestión de lA proporciona requisitos
específicos para gestionar los problemas y riesgos derivados del uso de lA en una organización. Este enfoque común facilita la implementación y la consistencia con otras normas de sistemas de gestión, por ejemplo, relacionadas con la Calidad (ISO 9001:2015) y/o Seguridad y Privacidad (ISO 27001:2022).

Como todo estándar de cualquier norma ISO, la ISO/IEC 42001:2023 no es la excepción y cuenta con una estructura de alto nivel, esto quiere decir es un modelo normalizado establecido por parte del Comité ISO, para que todas las nuevas normas de gestión respeten y compartan un objetivo común: la uniformización de las normas de gestión que nos apoya a sincronizar diferentes normas, adoptar un lenguaje común para facilitar que las organizaciones integren diferentes Sistemas de Gestión y puedan disfrutar de algunas ventajas añadidas, como puede ser, la eliminación de la duplicidad documental.

Cómo se mencionó previamente, se cuenta con un modelo establecido, aunque dependiendo del esquema que se presente, es el enfoque que se le dará para dicha estructura. 

  • 0. Introducción

    Proporciona una visión general de la norma y su propósito, así como cualquier información relevante sobre su alcance y campo de aplicación.

  • 1. Alcance

    Establece los límites del sistema de gestión de la inteligencia artificial (IA) que se está desarrollando e implementando. Incluye qué aspectos del ciclo de vida de la IA estarán cubiertos por el sistema de gestión, así como qué procesos, productos o servicios específicos serán abordados por el sistema. Este incluye información sobre las partes interesadas, los requisitos legales y reglamentarios, y cualquier consideración que defina el contexto en el que operará el sistema de gestión de la IA.

  • 2. Referencias Normativas

    Incluye todas las normas y documentos de referencia pertinentes que se utilizan en la implementación y aplicación de la norma ISO/IEC 42001, una de ellas es la ISO/IEC 22989:2022, Tecnología de la información — Inteligencia artificial — Conceptos y terminología de inteligencia artificial.

  • 3. Términos y Definiciones

    Proporciona definiciones clave y terminología utilizada en la norma, lo que ayuda a garantizar una comprensión común de los conceptos utilizados en el contexto de la gestión de la inteligencia artificial (IA).

  • 4. Contexto de la Organización

    Aborda la comprensión de la organización y su contexto, incluyendo la determinación de los problemas externos e internos relevantes, así como los roles y responsabilidades dentro del contexto de la IA.

  • 5. Liderazgo

    Se centra en el compromiso de la alta dirección y el establecimiento de políticas y objetivos de IA, así como en la asignación de recursos y responsabilidades para la implementación y mantenimiento del sistema de gestión de IA.

  • 6. Planificación

    Se describen los requisitos relacionados con la planificación de acciones para abordar los riesgos y oportunidades asociados con la IA, incluyendo la identificación de riesgos, la evaluación y tratamiento de los mismos, así como la definición de objetivos y planes de acción.

  • 7. Soporte

    Se detallan los requisitos relacionados con los recursos necesarios para la implementación y mantenimiento del sistema de gestión de IA, incluyendo recursos humanos, infraestructura, comunicación, y conocimiento.

  • 8. Operación

    Describe los requisitos para la implementación efectiva de los procesos y controles relacionados con la gestión de la IA, incluyendo la adquisición de datos, desarrollo de algoritmos, pruebas, despliegue, operación y mantenimiento de sistemas de IA.

  • 9. Evaluación del Desempeño

    Se detallan los requisitos para el monitoreo, medición, análisis y evaluación del desempeño del sistema de gestión de IA, así como la revisión por la dirección.

  • 10. Mejora

    Se abordan los requisitos para la mejora continua del sistema de gestión de IA, incluyendo la toma de acciones correctivas, preventivas y de mejora basadas en los resultados de la evaluación del desempeño y las revisiones por la dirección.

Esta norma a su vez cuenta con cuatro anexos, de los que se dividen en dos Normativos y dos Informativos:

Normativos (Anexo A y B)

  • Anexo A

    Proporciona una referencia para cumplir con los objetivos organizacionales y abordar los riesgos relacionados con el diseño y la operación de los sistemas de IA.

  • Anexo B

    Proporciona orientación para la implementación de los controles

Informativos (Anexo C y D)

  • Anexo C

    Describe los posibles objetivos organizacionales, fuentes de riesgo y descripciones que se pueden considerar para gestionar riesgos, este anexo no pretende ser exhaustivo ni aplicable para todas las organizaciones.

  • Anexo C

    Menciona que el sistema de gestión es aplicable a cualquier organización que desarrolle, proporcione o utilice productos o servicios que utilicen un sistema de lA

Pasos para el cumplimiento de la norma ISO 42001:2023

Las organizaciones que deseen cumplir con las normas ISO 42001 deben:

  1. Realizar un análisis de brechas : evaluar los procedimientos existentes en relación con las normas ISO 42001 para identificar áreas que requieren ajustes.
  2. Desarrollar un marco de sistema de gestión de IA (AIMS) : basándose en el análisis de brechas, desarrolle un marco AIMS personalizado que refleje las metas y los objetivos de su organización.
  3. Realizar evaluaciones de riesgos e impacto : según la norma ISO 42001, las organizaciones deben cumplir con lo siguiente:
    • Realice evaluaciones exhaustivas de riesgos de IA para identificar peligros potenciales para los usuarios y la sociedad.
    • Realizar evaluaciones del impacto de la IA para comprender las implicaciones más amplias de la implementación de la IA en las personas y las comunidades.
    • Desarrollar e implementar estrategias para abordar los riesgos identificados y reducir los efectos adversos.
  4. Implementar prácticas éticas de IA : garantizar que las consideraciones éticas se integren en el diseño, desarrollo e implementación de sistemas de IA.
  5. Establecer medidas de protección de datos : la norma ISO 42001 pone especial énfasis en:
    • Garantizar que los sistemas de IA cumplan con las leyes y regulaciones de protección de datos pertinentes
    • Implementar fuertes medidas de seguridad para proteger los sistemas de IA contra accesos no autorizados, violaciones de datos y amenazas cibernéticas.
    • Garantizar la transparencia en los procesos de toma de decisiones sobre IA, que es crucial para generar confianza y responsabilidad
  6. Prepararse para la certificación : una vez implementados los cambios necesarios, las organizaciones pueden someterse a una auditoría para recibir la certificación ISO 42001.
  7. Monitoreo y mejora continuos : el monitoreo y la mejora constantes del AIMS son cruciales para mantener el cumplimiento de la norma ISO 42001 y garantizar el uso responsable de la IA.

 

Otras normas ISO relacionadas con la IA:

ISO/IEC TS 4213, Information technology — Artificial intelligence — Assessment of machine learning classification performance

ISO/IEC 5259 (all parts), Data quality for analytics and machine learning (ML)

ISO/IEC 5338, Information technology — Artificial intelligence — AI system life cycle process

ISO/IEC 22989, Information technology — Artificial intelligence — AI concepts and terminology

ISO/IEC 23053, Framework for Artificial Intelligence (AI) Systems Using Machine Learning (ML)

ISO/IEC 23894, Information technology — Artificial intelligence — Guidance on risk management

ISO/IEC TR 24027, Information technology — Artificial intelligence (AI) — Bias in AI systems and AI aided decision making

ISO/IEC TR 24029-1, Artificial Intelligence (AI) — Assessment of the robustness of neural networks — Part 1: Overview

ISO/IEC TR 24368, Information technology — Artificial intelligence — Overview of ethical and societal concerns

ISO/IEC 25059, Software engineering — Systems and software Quality Requirements and Evaluation (SQuaRE) — Quality model for AI systems

Otras ISO relacionadas:

ISO/IEC 27701, Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines

ISO/IEC 27001, Information security, cybersecurity and privacy protection — Information security management systems — Requirements

ISO/IEC 29100, Information technology — Security techniques — Privacy framework

ISO 31000:2018, Risk management — Guidelines

ISO 31022, Guidelines for the management of the legal risk

ISO 37002, Whistleblowing management systems — Guidelines

ISO/IEC 38500:2015, Information technology — Governance of IT for the organization

ISO/IEC 38507, Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations

Solo con fines didácticos, aquí están algunos documentos las normas ISO 42001

Algunos documentos sobre normas ISO 42001