Cómo utilizar esta lista de verificación ISO 42001
ISO 42001, (formalmente ISO/IEC 42001:2023) es la norma internacional para sistemas de gestión de IA (AIMS). Proporciona un marco estructurado para que las organizaciones que desarrollan, proporcionan o utilizan sistemas de IA lo hagan de forma responsable y en consonancia con las normativas vigentes.
Esta lista de verificación se divide en dos partes. La primera cubre la requisitos del sistema de gestión en las cláusulas 4 a 10, que definen cómo su organización planifica, apoya, opera y mejora sus OBJETIVOS. La segunda cubre la 38 Objetivos de control del Anexo Aque abordan riesgos y responsabilidades específicos a lo largo del ciclo de vida del sistema de IA.
Trabaje con cada elemento en orden. Utilice el Estado Columna para realizar un seguimiento del progreso: marque los elementos como No iniciado, En progreso o Completado. Donde identifique brechas, haga una referencia cruzada con nuestra análisis de las deficiencias guía y Guía de implementación para los próximos pasos prácticos.
Requisitos del sistema de gestión (Cláusulas 4-10)
Estas cláusulas siguen la estructura de alto nivel del Anexo SL, común a las normas ISO 27001, ISO 9001 y otras normas de sistemas de gestión. Si su organización ya cuenta con una de estas certificaciones, reconocerá el patrón; sin embargo, preste especial atención a los requisitos específicos de la IA, como la evaluación de riesgos de la IA (6.1.2), la evaluación del impacto del sistema de IA (6.1.4) y los controles operativos para sistemas de IA (8.2-8.4).
| Cláusula | Requisito | Acciones Clave | Estado |
|---|---|---|---|
| 4.1 | Comprender la organización y su contexto. | Identifique los problemas externos e internos relevantes para sus actividades de IA y el propósito de AIMS. | ☐ |
| 4.2 | Comprender las necesidades y expectativas de las partes interesadas. | Enumere a las partes interesadas (reguladores, clientes, personas afectadas) y sus requisitos para la gobernanza de la IA. | ☐ |
| 4.3 | Determinación del alcance de los OBJETIVOS | Definir los límites: qué sistemas de IA, unidades de negocio y ubicaciones están incluidos en el alcance. | ☐ |
| 4.4 | Sistema de gestión de IA | Establecer, implementar, mantener y mejorar continuamente el AIMS de acuerdo con el estándar. | ☐ |
| 5.1 | Liderazgo y compromiso | La alta dirección demuestra su compromiso estableciendo políticas de IA, asignando recursos e integrando AIMS en los procesos de negocio. | ☐ |
| 5.2 | política de IA | Redactar y aprobar un política de IA que incluye compromisos para IA responsable uso, cumplimiento legal y mejora continua | ☐ |
| 5.3 | Funciones, responsabilidades y autoridades organizativas | Asignar roles de AIMS (líder de gobernanza de IA, responsable de riesgos, propietario del sistema) y comunicar las responsabilidades. | ☐ |
| 6.1.1 | Medidas para abordar riesgos y oportunidades (General) | Determinar los riesgos y las oportunidades que podrían afectar los resultados de AIMS. | ☐ |
| 6.1.2 | Evaluación de riesgos de IA | Definir y aplicar un proceso de evaluación de riesgos de IA que abarque la probabilidad, la gravedad y el impacto en individuos y grupos. | ☐ |
| 6.1.3 | Tratamiento de riesgos de la IA | Seleccione las opciones de tratamiento de riesgos y asócielas a los controles del Anexo A; elabore un Declaración de aplicabilidad | ☐ |
| 6.1.4 | Evaluación del impacto de los sistemas de IA | Evaluar los posibles impactos de los sistemas de IA en individuos, grupos y sociedades antes de su implementación. | ☐ |
| 6.2 | Objetivos de la IA y planes para alcanzarlos. | Establezca objetivos de IA medibles en las funciones y niveles pertinentes; planifique los recursos, las responsabilidades y los plazos. | ☐ |
| 6.3 | Planificación de cambios | Asegúrese de que los cambios en AIMS estén planificados, que se evalúen sus consecuencias y que se asignen los recursos necesarios. | ☐ |
| 7.1 | Recursos | Determinar y proporcionar los recursos necesarios para los objetivos. | ☐ |
| 7.2 | Competencia | Asegúrese de que el personal tenga la gobernanza de IA y la competencia técnica necesarias; proporcione capacitación cuando sea necesario. | ☐ |
| 7.3 | Concienciación | Asegúrese de que todo el personal pertinente comprenda la política de IA, sus responsabilidades en materia de gestión de IA y las implicaciones del incumplimiento. | ☐ |
| 7.4 | Comunicación | Determinar los requisitos de comunicación interna y externa para AIMS. | ☐ |
| 7.5 | Información documentada | Crear, actualizar y controlar todo requisitos de documentación exigido por el estándar | ☐ |
| 8.1 | Planificación y control operativo | Planificar, implementar y controlar los procesos necesarios para cumplir con los requisitos de AIMS y alcanzar los objetivos de IA. | ☐ |
| 8.2 | Evaluación de riesgos de IA | Realizar evaluaciones de riesgos de IA a intervalos planificados o cuando se produzcan cambios significativos; conservar los resultados documentados. | ☐ |
| 8.3 | Tratamiento de riesgos de la IA | Implementar el plan de tratamiento de riesgos de IA y conservar la evidencia de los resultados. | ☐ |
| 8.4 | Evaluación del impacto de los sistemas de IA | Realizar evaluaciones de impacto para los sistemas de IA incluidos en el alcance y documentar los resultados. | ☐ |
| 9.1 | Seguimiento, medición, análisis y evaluación | Definir qué monitorear, los métodos de medición y con qué frecuencia; evaluar el desempeño de AIMS. | ☐ |
| 9.2 | Internal audit | Realice auditorías internas planificadas para confirmar que el AIMS cumple con el estándar y se implementa de manera efectiva. Consulte nuestra Auditoría ISO 42001 guía | ☐ |
| 9.3 | Revisión de gestión | La alta dirección revisa el desempeño de AIMS, los resultados de las auditorías, el estado de los riesgos y las oportunidades de mejora a intervalos planificados. | ☐ |
| 10.1 | Mejora continua | Mejorar continuamente la idoneidad, la adecuación y la eficacia de los OBJETIVOS. | ☐ |
| 10.2 | No conformidad y acción correctiva | Reaccionar ante las no conformidades, evaluar las causas fundamentales, implementar acciones correctivas y revisar su eficacia. | ☐ |
Una vez que hayas analizado cada cláusula, deberías tener una idea clara de dónde está tu Sistema de gestión de IA posiciones. El siguiente paso es evaluar su posición con respecto a los controles del Anexo A.
Todo lo que necesitas para ISO 42001
Contenido estructurado, riesgos mapeados y flujos de trabajo integrados para ayudarlo a gobernar la IA de manera responsable y con confianza.
Lista de verificación de objetivos de control del Anexo A
El Anexo A de la norma ISO 42001 contiene 38 controles organizados en nueve áreas. No todos estos controles son obligatorios; Declaración de aplicabilidad determina cuáles se aplican en función de su evaluación de riesgos de IA. Sin embargo, debe justificar cualquier exclusión. Utilice esta lista de verificación junto con nuestra guía detallada. Controles del anexo A Guía para obtener detalles de implementación.
| Referencia de control | Nombre de control | Pruebas clave requeridas | Estado |
|---|---|---|---|
| A.2 — Políticas relacionadas con la IA | |||
| A.2.2 | política de IA | Documento de política de IA aprobado, registros de comunicación | ☐ |
| A.2.3 | Alineación con otras políticas | Matriz de referencias cruzadas de políticas que muestra la alineación con las políticas de seguridad de la información, privacidad de datos y ética. | ☐ |
| A.2.4 | Revisión de la política de IA | Registros de revisión programados, historial de versiones, aprobación de la gerencia. | ☐ |
| A.3 — Organización interna | |||
| A.3.2 | Funciones y responsabilidades de la IA | Matriz RACI o descripciones de roles que abarquen la gobernanza, el desarrollo y las operaciones de IA. | ☐ |
| A.3.3 | Informar sobre sus inquietudes | Canal de denuncia documentado, procedimientos de escalamiento, registros de las inquietudes planteadas. | ☐ |
| A.4 — Recursos para sistemas de IA | |||
| A.4.2 | Documentación de recursos | Inventario de recursos del sistema de IA (datos, capacidad de procesamiento, herramientas, personal) | ☐ |
| A.4.3 | Recursos de datos | Inventarios de datos, diagramas de flujo de datos, controles de acceso | ☐ |
| A.4.4 | Recursos de herramientas | Registro de herramientas de desarrollo e implementación de IA, controles de versiones | ☐ |
| A.4.5 | Recursos del sistema y de computación | Documentación de infraestructura, planes de capacidad, controles de acceso | ☐ |
| A.4.6 | Recursos humanos | Registros de competencias, planes de formación, justificantes de cualificación | ☐ |
| A.5 — Evaluación del impacto de los sistemas de IA | |||
| A.5.2 | Proceso de evaluación del impacto del sistema de IA | Metodología documentada de evaluación de impacto, plantillas de evaluación | ☐ |
| A.5.3 | Documentación de las evaluaciones | Registros de evaluación de impacto completos para cada sistema de IA incluido en el alcance. | ☐ |
| A.5.4 | Impacto en las personas | Análisis de los efectos sobre los derechos individuales, la seguridad y el bienestar; medidas de mitigación. | ☐ |
| A.5.5 | Impactos sociales | Evaluación de los efectos sociales más amplios, incluidos los sesgos, la equidad y el impacto ambiental. | ☐ |
| A.6 — Ciclo de vida del sistema de IA | |||
| A.6.1.2 | Objetivos para un desarrollo responsable | Objetivos documentados que abarcan la equidad, la transparencia, la rendición de cuentas y la seguridad. | ☐ |
| A.6.1.3 | Procesos para el diseño responsable | Documentación del proceso de diseño que incorpora principios de IA responsable en cada etapa. | ☐ |
| A.6.2.2 | Especificación de requisitos | Requisitos funcionales y no funcionales, incluidas las restricciones éticas y legales. | ☐ |
| A.6.2.3 | Documentación del diseño | Documentos de arquitectura del sistema, decisiones de diseño, registros de compensaciones | ☐ |
| A.6.2.4 | Verificación y validación | Planes de prueba, resultados de las pruebas, criterios de aceptación, sesgos y registros de pruebas de rendimiento. | ☐ |
| A.6.2.5 | Despliegue | Procedimientos de despliegue, listas de verificación para la puesta en marcha, planes de reversión | ☐ |
| A.6.2.6 | Operación y monitoreo | Paneles de control, métricas de rendimiento, registros de detección de desviaciones. | ☐ |
| A.6.2.7 | Documentación técnica | Fichas de modelos, descripciones de sistemas, documentación de algoritmos | ☐ |
| A.6.2.8 | Registros de eventos | Procedimientos de registro, políticas de retención de registros, evidencia de la pista de auditoría | ☐ |
| A.7 — Datos para sistemas de IA | |||
| A.7.2 | Datos para el desarrollo | Criterios de selección de datos, análisis de representatividad, evaluación de sesgos. | ☐ |
| A.7.3 | Adquisición de datos | Registros de obtención de datos, documentación de consentimiento/licencia, base legal | ☐ |
| A.7.4 | Calidad de los datos | Métricas de calidad de datos, procedimientos de validación, registros de manejo de errores | ☐ |
| A.7.5 | Procedencia de datos | Documentación del linaje de datos, registros de la cadena de custodia | ☐ |
| A.7.6 | Preparación de datos | Pipelines de preprocesamiento, registros de transformación, procedimientos de etiquetado | ☐ |
| A.8 — Información para las partes interesadas | |||
| A.8.2 | Documentación del sistema para usuarios | Guías de usuario, declaraciones de capacidades, limitaciones conocidas | ☐ |
| A.8.3 | Informes externos | Informes de transparencia publicados, presentaciones regulatorias | ☐ |
| A.8.4 | Comunicación de incidentes | Procedimientos de notificación de incidentes, plantillas de comunicación, registros de notificación | ☐ |
| A.8.5 | Información para las partes interesadas | Registros de comunicación con las partes interesadas, políticas de divulgación | ☐ |
| A.9 — Uso de sistemas de IA | |||
| A.9.2 | Procesos para un uso responsable | Procedimientos de uso aceptable, mecanismos de supervisión humana, vías de escalamiento. | ☐ |
| A.9.3 | Objetivos para un uso responsable | Objetivos medibles para el uso responsable de la IA, criterios de seguimiento | ☐ |
| A.9.4 | Uso previsto | Declaraciones documentadas sobre el uso previsto, condiciones límite y usos prohibidos. | ☐ |
| A.10 — Relaciones con terceros y clientes | |||
| A.10.2 | Asignación de responsabilidades | Documentos de asignación de responsabilidades, cláusulas contractuales para obligaciones de IA | ☐ |
| A.10.3 | Proveedores | Registros de evaluación de proveedores, informes de diligencia debida, requisitos contractuales de IA | ☐ |
| A.10.4 | Clientes | Registros de comunicación con el cliente, guía de uso, mecanismos de retroalimentación | ☐ |
Una vez que haya evaluado cada control, recopile sus justificaciones en un Declaración de aplicabilidadEste documento es un entregable obligatorio de la auditoría y relaciona cada control con sus decisiones de tratamiento de riesgos.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Por qué elegir ISMS.online para el cumplimiento de la norma ISO 42001?
Trabajar con una lista de verificación en papel es un comienzo, pero gestionar de forma continua Cumplimiento de la norma ISO 42001 La integración en todos los equipos, sistemas de IA y ciclos de auditoría requiere una plataforma diseñada específicamente para ello. SGSI.online Se asigna directamente a cada elemento de esta lista de verificación:
- Conjuntos de control ISO 42001 prefabricados — Cada control del Anexo A viene con instrucciones predefinidas, para que su equipo sepa exactamente qué pruebas recopilar y dónde almacenarlas.
- Registro de riesgos de IA — Realizar y documentar evaluaciones de riesgos de IA (Cláusula 6.1.2) y evaluaciones de impacto de sistemas de IA (Cláusula 6.1.4) en un registro estructurado y auditable.
- Gestión de políticas y documentos — Redacte, revise, apruebe y distribuya su política de IA y todos los que apoyan documentación desde un único espacio de trabajo.
- Generador de declaraciones de aplicabilidad — Genere automáticamente su Declaración de Análisis (SoA) a partir de sus decisiones de tratamiento de riesgos, con un seguimiento completo de la justificación de los controles incluidos y excluidos.
- Gestión de auditoría — Planificar auditorías internas (Cláusula 9.2), asignar hallazgos, realizar seguimiento de acciones correctivas (Cláusula 10.2) y exportar paquetes de evidencia para auditores externos. Consulte nuestra Auditoría ISO 42001 Guía para más información.
- Recopilación y vinculación de pruebas — Adjunte la evidencia directamente a los controles y cláusulas. Cuando su auditor solicite pruebas, estas ya estarán organizadas y listas.
- Soporte para sistemas de gestión integrados — Si ya utiliza ISO 27001 o ISO 27701, SGSI.online Le permite gestionar todos los estándares desde una única plataforma con controles compartidos y una menor duplicación de esfuerzos.
¿Listo para pasar de la lista de tareas a la acción? Agendar demo para ver como SGSI.online acelera tu camino hacia Certificación ISO 42001.
Preguntas Frecuentes
¿Cuántos requisitos contiene la norma ISO 42001?
La norma ISO 42001 contiene requisitos del sistema de gestión distribuidos en siete cláusulas (de la cláusula 4 a la cláusula 10), además de 38 objetivos de control del Anexo A agrupados en nueve áreas de control. Las cláusulas definen cómo se establece, opera y mejora el sistema de gestión de IA, mientras que los controles del Anexo A abordan aspectos específicos. Gobernanza de la IA responsabilidades como la calidad de los datos, la evaluación del impacto y la gestión de terceros.
¿Necesito implementar los 38 controles del Anexo A?
No necesariamente. Los controles que implemente dependen de su evaluación de riesgos de IA y del alcance de sus sistemas de IA. Debe documentar sus decisiones en un Declaración de aplicabilidadJustificando tanto los controles seleccionados como los excluidos. Los auditores revisarán estas justificaciones, por lo que cada exclusión debe contar con una justificación clara basada en el riesgo.
¿Cuál es la diferencia entre los requisitos de la cláusula y los controles del Anexo A?
Los requisitos de las cláusulas (4-10) son obligatorios para toda organización que busque la certificación. Definen el marco del sistema de gestión: contexto, liderazgo, planificación, apoyo, operaciones, evaluación del desempeño y mejora. Los controles del Anexo A constituyen un conjunto de objetivos de referencia que se aplican selectivamente según el plan de tratamiento de riesgos. Considere las cláusulas como el motor de su AIMS y el Anexo A como los controles específicos que se incorporan para abordar los riesgos identificados.
¿Cuánto tiempo se tarda en completar esta lista de verificación y obtener la certificación?
Los plazos varían según el tamaño y la madurez de la organización. Una organización con un sistema de gestión ISO 27001 existente generalmente puede obtener la certificación ISO 42001 en 3 a 6 meses extendiendo sus procesos existentes. Las organizaciones que comienzan desde cero deben planificar de 6 a 12 meses. Utilizando una plataforma como SGSI.online Con plantillas prediseñadas y flujos de trabajo guiados se puede reducir significativamente este plazo. Guía de implementación Proporciona un desglose detallado.
¿Puedo utilizar esta lista de verificación para una auditoría interna?
Sí. Esta lista de verificación se alinea directamente con los requisitos que evaluará un auditor externo. Úsela como base para su programa de auditoría interna (Cláusula 9.2) para identificar no conformidades antes de su auditoría de certificación. Para cada elemento marcado como incompleto, genere un hallazgo y asigne una acción correctiva con una fecha límite. Auditoría ISO 42001 Esta guía abarca todo el proceso de auditoría interna.
