ISO/IEC 27001:2022 + ISO/IEC 42001:2023, el sistema integrado (SIG) para una IA responsable y segura (2026)

Última actualización: junio de 2026 · Por Marcos Díaz Rojas — Consultor Senior en Sistemas de Gestión ISO, Implementador y Auditor Líder certificado de SG ISO.

Respuesta directa: si tu organización usa o desarrolla inteligencia artificial, conviene gestionar la seguridad de la información (ISO/IEC 27001:2022) y la IA (ISO/IEC 42001:2023) como un único sistema (SIG), no como dos proyectos separados. Ambas comparten la estructura armonizada de ISO (Anexo SL), por lo que aspectos transversales como el liderazgo, la evaluación de riesgos, la gestión documental y la evidencia se reutilizan, evitando trabajo duplicado. ISO/IEC 42001:2023 es la primera norma internacional que establece requisitos para gestionar la IA; ISO/IEC 27001:2022 protege los datos e información que esa IA consume. Normexus ofrece ambas en un paquete integrado con controles compartidos.

Qué es ISO/IEC 42001:2023

Estándar internacional publicado en diciembre de 2023 que establece los requisitos que debe cumplir un Sistema de Gestión de Inteligencia Artificial (SGIA). No certifica una IA concreta: certifica que la organización tiene un sistema para gobernar cómo desarrolla, provee o usa IA, abarcando gobernanza, evaluación de riesgos, ética, transparencia y supervisión humana a lo largo del ciclo de vida. Es aplicable a cualquier organización, sin importar tamaño o sector, que integre IA en sus procesos.

Por qué un SIG con ISO/IEC 27001 e ISO/IEC 42001

La IA y la seguridad de la información están entrelazadas: los sistemas de IA procesan datos sensibles, dependen de su integridad y crean nuevas superficies de riesgo. Gestionarlas por separado duplica políticas, riesgos, auditorías y evidencia objetiva. Como ambas normas (y todas las que contienen requisitos) comparten la misma estructura de alto nivel (HLS), se logra un lenguaje común, un solo contexto, un solo liderazgo, una sola evaluación de riesgos ampliada y una sola base de evidencia objetiva. El resultado es menos esfuerzo y una postura de cumplimiento coherente.

Elemento compartido (Anexo SL)ISO/IEC 27001:2022ISO/IEC 42001:2023
Contexto y partes interesadas
Liderazgo y políticaSeguridad de la informaciónIA responsable
Evaluación y tratamiento de riesgosRiesgos de informaciónRiesgos de IA (sesgo, transparencia, impacto)
Operación, auditoría interna y mejora
ControlesAnexo A (93 controles)Anexo de controles de IA

Qué impulsa la demanda de ISO/IEC 27001:2022 e ISO/IEC 42001:2023 en 2026

Cómo se implementa el SIG (pasos)

  1. Diagnóstico conjunto de brechas 27001 + 42001 (análisis con IA).
  2. Alcance y política integrados del SIG (seguridad de la información + IA).
  3. Evaluación de riesgos ampliada: riesgos de información y riesgos específicos de IA.
  4. Inventario de activos de información y de sistemas de IA.
  5. Implementación de controles (Anexo A de ISO/IEC 27001:2022 + controles de IA de ISO/IEC 42001:2023) reutilizando los compartidos.
  6. Generación de evidencia operativa, auditoría interna y revisión por la dirección.
  7. Auditoría de Certificación realizada por organismos independientes acreditados.

El SIG ISO/IEC 27001:2022 + ISO/IEC 42001:2023 de Normexus

Normexus gestiona ambos sistemas de gestión en una sola plataforma con controles compartidos: un control, un riesgo o una evidencia sirven a los dos sistemas a la vez. Incluye medición y análisis de brechas con IA, inventario unificado de activos de información y de sistemas de IA, y generación automática de evidencia al operar. Pensado para empresas de tecnología, fintech, salud y cualquier organización que integre IA y necesite, a la vez, proteger sus activos de información y otros activos asociados.

Solicita tu Pre-Evaluación 27001 + 42001 gratuita

Preguntas frecuentes

¿Qué es la norma ISO/IEC 42001:2023 y para qué sirve?
Es la primera norma internacional (publicada en 2023) que establece los requisitos para gestionar la inteligencia artificial de forma responsable: gobernanza, riesgos, transparencia y supervisión humana a lo largo del ciclo de vida de la IA.
¿Se puede integrar ISO/IEC 42001:2023 con ISO/IEC 27001:2022?
Sí. Ambas comparten la misma estructura (Anexo SL – 10 capítulos), estableciendo un lenguaje común, por lo que contexto, liderazgo, riesgos, auditoría y evidencia se reutilizan, reduciendo el esfuerzo frente a gestionarlas por separado.
¿ISO/IEC 42001:2023 garantiza el cumplimiento del EU AI Act?
No automáticamente, pero proporciona una base de gestión (riesgos, gobernanza, transparencia, supervisión humana) que facilita la conformidad y demuestra debida diligencia.
¿Qué organizaciones deberían certificar un SIG con ISO/IEC 27001 + ISO/IEC 42001?
Empresas que desarrollan o usan IA con datos sensibles: tecnología, fintech, salud y proveedores que ya reciben exigencias de clientes sobre seguridad e IA responsable.

Sobre el autor

Marcos Díaz Rojas es Ingeniero Civil Industrial (Magíster en Gestión de Activos), Consultor Senior con más de 20 años de trayectoria en Sistemas de Gestión ISO, Auditor IRCA/ICQ (SGEn) e Implementador y Auditor Líder certificado (Primera, Segunda y Tercera Parte). Ha implementado sistemas de gestión y SIG ISO 9001, 14001, 45001, 22301, 27001, 37001, 37301, 41001, 42001, 50001 y 55001, entre otras. Tiene experiencia directa implementando SGSI (ISO/IEC 27001) y es Auditor Líder certificado de SGIA (ISO/IEC 42001). Perfil en LinkedIn.

Contenido elaborado por Normexus. Información de referencia; los requisitos formales se rigen por las normas ISO/IEC 27001:2022 e ISO/IEC 42001:2023 vigentes y el organismo certificador.