Los controles de ISO 42001: qué incluye el Anexo A de gestión de IA
Qué es el Anexo A de ISO 42001
El Anexo A es el conjunto de controles de referencia de la norma: un catálogo del que la organización elige, justificadamente, cuáles aplica en su Sistema de Gestión de IA (SGIA). No es una lista obligatoria en bloque; la selección se basa en la evaluación de riesgos y en la evaluación de impacto de los sistemas de IA. Es el mismo principio del Anexo A de ISO 27001, aplicado a la inteligencia artificial.
Los objetivos de control (dominios)
| Área | De qué trata |
|---|---|
| Políticas de IA | Política de IA responsable aprobada por la dirección y alineada al negocio. |
| Organización interna | Roles, responsabilidades y autoridades para la gobernanza de la IA. |
| Recursos para la IA | Datos, herramientas, recursos de cómputo y capacidades humanas necesarios. |
| Evaluación de impacto | Analizar el impacto de los sistemas de IA en individuos, grupos y la sociedad. |
| Ciclo de vida del sistema de IA | Desarrollo responsable: diseño, verificación, despliegue, operación y retiro. |
| Datos para la IA | Gestión, calidad, procedencia y adecuación de los datos que alimentan la IA. |
| Información a las partes interesadas | Transparencia y comunicación a usuarios y afectados por el sistema. |
| Uso de los sistemas de IA | Uso responsable y conforme al propósito previsto. |
| Proveedores y terceros | Requisitos y controles sobre proveedores de IA y componentes de terceros. |
Cómo se seleccionan los controles
La selección se documenta a partir de la evaluación de riesgos y de la evaluación de impacto de los sistemas de IA (AIIA). Se justifica qué controles aplican y cuáles no, y se registran las decisiones. El Anexo B de la norma ofrece orientación de implementación para cada control, y anexos adicionales describen fuentes de riesgo y consideraciones por dominio de aplicación.
Relación con ISO 27001
ISO 42001 e ISO 27001 comparten la estructura armonizada (Anexo SL), de modo que muchos elementos —contexto, liderazgo, evaluación de riesgos, auditoría interna, mejora— se reutilizan. Al gestionarlas como un sistema integrado, un control o una evidencia pueden servir a las dos normas a la vez, reduciendo el esfuerzo.
Evalúa tus controles de gobernanza de IA: Pre-Evaluación gratuitaPreguntas frecuentes
- ¿Cuántos controles tiene ISO 42001?
- El Anexo A reúne un conjunto de controles agrupados en objetivos de control (políticas, roles, recursos, impacto, ciclo de vida, datos, transparencia, uso y proveedores). La organización aplica los relevantes según su evaluación de riesgos e impacto.
- ¿Son obligatorios todos los controles del Anexo A?
- No. Se seleccionan de forma justificada según el riesgo, igual que en la Declaración de Aplicabilidad de ISO 27001.
- ¿Dónde está la guía de implementación?
- En el Anexo B de ISO 42001, que orienta la aplicación de cada control.
- ¿Se pueden integrar con los controles de ISO 27001?
- Sí. Ambas comparten el Anexo SL, por lo que controles y evidencia se reutilizan en un sistema integrado.