ISO/IEC 42001:2023, el primer estándar internacional para Sistemas de Gestión de Inteligencia Artificial (SGAI), fue publicado en diciembre de 2023 por el comité técnico ISO/IEC JTC 1/SC 42. Su estructura y enfoque presentan una oportunidad concreta de integración con ISO/IEC 27001:2022, sustentada en la Harmonized Level Structure (HLS) que ambos estándares comparten.
Este artículo analiza los fundamentos de esta sinergia, identifica los controles con mayor nivel de reutilización entre ambos estándares, señala los elementos genuinamente nuevos que ISO/IEC 42001:2023 introduce, y propone un marco de integración práctico. Todo el análisis se basa directamente en los textos normativos de ISO/IEC 27001:2022, ISO/IEC 27002:2022 e ISO/IEC 42001:2023.
Fundamentos de Ambos Estándares
ISO/IEC 27001:2022 — Sistema de Gestión de Seguridad de la Información
ISO/IEC 27001:2022 especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un SGSI. Su objetivo central es la preservación de la confidencialidad, integridad y disponibilidad de la información mediante un proceso sistemático de gestión de riesgos.
El Anexo A del estándar, alineado con ISO/IEC 27002:2022, agrupa 93 controles en cuatro categorías:
▪️Organizacionales (cláusula 5): 37 controles
▪️Personas (cláusula 6): 8 controles
▪️Físicos (cláusula 7): 14 controles
▪️Tecnológicos (cláusula 8): 34 controles
ISO/IEC 42001:2023 — Sistema de Gestión de Inteligencia Artificial
ISO/IEC 42001:2023 proporciona requisitos para establecer, implementar, mantener y mejorar continuamente un SGAI. Es aplicable a cualquier organización que provea, desarrolle, despliegue o utilice sistemas de IA, independientemente de su tamaño o sector (cláusula 1).
Su Anexo A define los controles de referencia, agrupados en nueve secciones:
▪️A.2 Políticas relacionadas con IA (3 controles)
▪️A.3 Organización interna (2 controles)
▪️A.4 Recursos para sistemas de IA (5 controles)
▪️A.5 Evaluación de impactos de sistemas de IA (4 controles)
▪️A.6 Ciclo de vida del sistema de IA (8 controles)
▪️A.7 Datos para sistemas de IA (5 controles)
▪️A.8 Información para partes interesadas (4 controles)
▪️A.9 Uso de sistemas de IA (3 controles)
▪️A.10 Relaciones con terceros y clientes (3 controles)
El Anexo B de ISO/IEC 42001:2023, de carácter normativo, provee la guía de implementación para cada control del Anexo A, en un rol análogo al que cumple ISO/IEC 27002:2022 respecto al Anexo A de ISO/IEC 27001:2022.
La Harmonized Level Structure como Base de la Integración
Tanto ISO/IEC 27001:2022 como ISO/IEC 42001:2023 adoptan la Harmonized Level Structure (HLS), estructura común que ISO exige a todos los estándares modernos de sistemas de gestión. Esta estructura comprende las cláusulas 4 a 10 con títulos, texto e intención idénticos, lo que facilita la implementación integrada.
En la siguiente tabla se presentan las cláusulas de la ISO/IEC 27001:2022 en paralelo con las cláusulas de la ISO/IEC 42001:2023, indicado los puntos de diferencia donde es necesario trabajar para poder hacer una reutilización de la documentación existente de un SGSI, en la última columna se presenta un valor estimado del grado de alineación.
| § | ISO /IEC 27001:2022 - SGSI | ISO/IEC 42001:2023 | Grado de alineación |
| 4 | Contexto de la organización, partes interesadas, alcance | Contexto + determinación de roles IA (proveedor, usuario, desarrollador) | ~80 % |
| 5 | Política de SI, roles y responsabilidades de SI | Política de IA (A.2.2), roles IA y cuerpo de gobierno (A.3.2) | ~80 % |
| 6 | Evaluación y tratamiento de riesgos de SI, objetivos de SI | Evaluación y tratamiento de riesgos de IA + evaluación de impacto IA (6.1.4) | ~75 % |
| 7 | Recursos, competencia, concienciación, información documentada | Mismos requisitos, con extensión a competencias en IA | ~85 % |
| 8 | Control operacional, evaluación y tratamiento de riesgos | Controles del ciclo de vida de IA, evaluaciones de impacto en operación | ~65 % |
| 9 | Auditoría interna, revisión por la dirección, métricas | Auditoría interna y revisión gerencial del SGAI | ~80 % |
| 10 | Mejora continua, no conformidades y acciones correctivas | Mejora continua del SGAI, no conformidades de IA | ~80 % |
Como podemos ver, la cláusula 8 presenta el menor grado de alineación estructural, dado que ISO/IEC 42001:2023 introduce en esta sección la ejecución de controles específicos del ciclo de vida de los sistemas de IA (sección A.6) y las evaluaciones de impacto sobre personas y sociedad (sección A.5), elementos sin equivalente directo en el estándar de seguridad de la información.
Análisis de Sinergias: Controles con Alta Reutilización
El siguiente análisis compara los controles del Anexo A de ISO/IEC 42001:2023 con los controles del Anexo A de ISO/IEC 27001:2022, tomando como guía de implementación ISO/IEC 27002:2022 para el primer estándar y el Anexo B de ISO/IEC 42001:2023 para el segundo.
El análisis en la tabla que se presenta a continuación tiene una estructura similar a la tabla anterior, pero en un orden inverso: se presenta el número del control de la ISO/IEC 42001:2023, las tareas necesarias para completar la alineación partiendo de uno o varios controles del anexo de la ISO/IEC 27001:2022 (que se encuentran en la siguiente columna, y, finalmente el nivel estimado de sinergia entre los controles.
| Control ISO 42001 | Descripción | Control ISO 27001 | Sinergia |
| A.2.2 | Documentar política para desarrollo y uso de sistemas de IA | A.5.1 Políticas de seguridad de la información: marco, aprobación y revisión periódica | Alta |
| A.2.3 | Determinar intersección con otras políticas organizacionales | A.5.1 Alineación entre políticas corporativas | Alta |
| A.2.4 | Revisar la política de IA a intervalos planificados o ante cambios significativos | A.5.1 Revisión periódica de políticas | Alta |
| A.3.2 | Definir y asignar roles y responsabilidades de IA | A.5.2 Roles y responsabilidades de seguridad de la información | Alta |
| A.3.3 | Proceso para reportar preocupaciones sobre el rol de la organización respecto a sistemas de IA | A.6.8 Reporte de eventos de SI A.5.24 Planificación y preparación de gestión de incidentes |
Media |
| A.4.2 | Identificar y documentar los recursos requeridos para las actividades del ciclo de vida del sistema de IA | A.5.9 Inventario de información y activos asociados | Media |
| A.4.3 | Documentar información sobre los recursos de datos utilizados para el sistema de IA | A.5.9 Inventario de información y activos asociados | Media |
| A.4.4 | Documentar información sobre los recursos de herramientas utilizados para el sistema de IA | A.8.25 Ciclo de vida de desarrollo seguro | Media |
| A.4.5 | Documentar información sobre los recursos de sistema y computación utilizados para el sistema de IA | A.5.9 Inventario de activos A.7.1 Recursos |
Media |
| A.4.6 | Documentar información sobre los recursos humanos y sus competencias para el desarrollo, despliegue, operación y mantenimiento del sistema de IA | A.6.1 Selección de personal A.6.3 Concienciación y formación en seguridad de la información |
Media |
| A.6.1.2 | Objetivos para el desarrollo responsable de sistemas de IA | A.6.2 (Objetivos de seguridad de la información) | Media |
| A.6.1.3 | Procesos para el diseño y desarrollo responsable del sistema de IA | A.8.25 Ciclo de vida de desarrollo seguro A.8.27 Principios de arquitectura segura |
Media |
| A.6.2.2 | Requisitos y especificaciones del sistema de IA | A.8.26 Requisitos de seguridad en aplicaciones | Alta |
| A.6.2.3 | Documentar diseño y desarrollo del sistema de IA | A.8.25 Ciclo de vida de desarrollo seguro A.8.27 Principios de arquitectura segura |
Alta |
| A.6.2.4 | Definir medidas de verificación y validación (V&V) y criterios de uso | A.8.29 Pruebas de seguridad en desarrollo y aceptación A.8.26 Requisitos de SI en aplicaciones |
Alta |
| A.6.2.5 | Documentar plan de despliegue y requisitos previos al lanzamiento | A.8.19 Instalación de software en sistemas operativos A.8.32 Gestión de cambios |
Media |
| A.6.2.6 | Monitoreo continuo, reparaciones y actualizaciones del sistema de IA | A.8.16 Actividades de monitoreo A.8.8 Gestión de vulnerabilidades técnicas |
Media |
| A.6.2.7 | Documentación técnica del sistema de IA para partes interesadas | A.5.37 Procedimientos operativos documentados A.7.5 Control de información documentada |
Media |
| A.6.2.8 | Registro de eventos del sistema de IA durante su operación | A.8.15 Logging — registro de actividades, excepciones y eventos | Alta |
| A.9.2 | Definir procesos para el uso responsable de sistemas de IA | A.5.37 Procedimientos operativos documentados A.8.1 Planificación y control operacional |
Alta |
| A.9.3 | Identificar objetivos para el uso responsable de sistemas de IA | A.6.2 Objetivos de seguridad de la información — misma estructura de definición y seguimiento | Alta |
| A.9.4 | Asegurar que el sistema de IA se usa conforme a su uso previsto y documentación | A.5.10 Uso aceptable de información y activos | Media |
| A.10.2 | Asegurar asignación de responsabilidades entre organización, socios y terceros en el ciclo de vida de IA | A.5.19 SI en relaciones con proveedores A.5.20 Requisitos de SI en acuerdos con proveedores |
Alta |
| A.10.3 | Proceso para que el uso de servicios de proveedores de IA se alinee con la política de IA | A.5.19 SI en relaciones con proveedores / 5.21 Gestión de SI en cadena de suministro TIC | Alta |
| A.10.4 | Considerar expectativas y necesidades de los clientes en el enfoque responsable de IA | A.5.20 Requisitos de SI en acuerdos con proveedores (perspectiva cliente) A.5.22 Monitoreo y revisión de servicios de proveedores |
Media |
Divergencias: Elementos Genuinamente Nuevos en ISO 42001
Las siguientes secciones del Anexo A de la ISO/IEC 42001:2023 no tienen equivalente estructural en ISO/IEC 27001:2022 y requieren el desarrollo de procesos nuevos en la organización.Evaluación de Impacto del Sistema de IA (A.5)
Los controles A.5.2 a A.5.5 definen un proceso formal para identificar, evaluar y tratar las consecuencias que un sistema de IA puede generar sobre individuos, grupos de individuos y sociedades a lo largo de su ciclo de vida (ISO/IEC 42001:2023, cláusula 6.1.4). El proceso incluye:
▪️A.5.2: Establecimiento del proceso de evaluación de impacto IA.
▪️A.5.3: Documentación y retención de los resultados de las evaluaciones.
▪️A.5.4: Evaluación de impacto sobre individuos y grupos (equidad o imparcialidad
(fairness), responsabilidad (accountability), transparencia, seguridad, privacidad,
derechos humanos).
▪️A.5.5: Evaluación de impactos societales (sostenibilidad ambiental, economía,
gobierno, salud).
ISO/IEC 27001:2022 no contempla una evaluación de impacto con este alcance. El concepto más próximo en el ecosistema de seguridad de la información es la Evaluación de Impacto sobre la Protección de Datos (DPIA) bajo ISO/IEC 27701:2025, pero el ámbito de A.5 excede significativamente al de privacidad.
Es importante recalcar que la evaluación de impacto no se puede reemplazar con el análisis de riesgos y que su objetivo es totalmente diferente. Cada modelo de IA que se produce en la organización requiere una evaluación de impacto antes de ser liberado, de modo que la organización pueda hacerlo de manera responsable teniendo en cuenta las posibles consecuencias que se puedan generar en el entorno debido a las características o capacidades
Gestión de Datos para Sistemas de IA (A.7)
ISO/IEC 27001:2022 trata los datos como activos de información a proteger desde la perspectiva de confidencialidad, integridad y disponibilidad. ISO/IEC 42001:2023 introduce un nivel de gestión más granular, orientado a la validez y representatividad de los datos utilizados en el ciclo de vida del modelo:
▪️A.7.2: Definir, documentar e implementar procesos de gestión de datos para el
desarrollo de sistemas de IA, cubriendo implicaciones de privacidad, seguridad,
transparencia y representatividad de los datos de entrenamiento, que puede tener
algún nivel de correspondencia con A.5.34 Privacidad y protección de PII
dependiendo del contexto.
▪️A.7.3: Adquisición y selección de datos — categorías, fuentes, sesgos potenciales,
derechos sobre los datos.
▪️A.7.4: Calidad de los datos de entrenamiento, validación y producción, con gestión
explícita de sesgos.
▪️A.7.5: Procedencia de los datos a lo largo del ciclo de vida del sistema de IA
▪️A.7.6: Criterios de preparación de datos (limpieza, normalización, etiquetado,
codificación).
Un modelo entrenado con datos sesgados o de procedencia no documentada genera riesgos operacionales y legales que ISO/IEC 27001:2022 no contempla. La gestión de A.7 es un requisito nativo de la gobernanza de IA que requiere un esfuerzo en términos de que son temas que no se han tratado en otras instancias del gobierno de los datos en las organizaciones y puede implicar retos importantes para estas.
Información para Partes Interesadas de Sistemas de IA (A.8)
Este conjunto de controles introduce obligaciones de transparencia y comunicación específicas para sistemas de IA que van más allá del alcance del control 5.37 de la ISO/IEC 27001:2022 (procedimientos operativos documentados):
▪️A.8.2: Informar al usuario que está interactuando con un sistema de IA, incluyendo
propósito, limitaciones, necesidades de supervisión humana e información
relevante sobre impactos.
▪️A.8.3: Proveer mecanismos para que partes externas reporten impactos adversos
del sistema de IA.
▪️A.8.4: Plan documentado de comunicación de incidentes del sistema de IA,
considerando obligaciones legales y tipos de incidente.
▪️A.8.5: Determinación de obligaciones de reporte a autoridades e interesados
(documentación técnica, resultados de evaluaciones de impacto, riesgos).
Síntesis: Nivel de Sinergia por Sección
La siguiente tabla resume el nivel de reutilización estimado de cada sección del Anexo A de ISO/IEC 42001:2023 respecto a los controles existentes de ISO/IEC 27001:2022 y ISO/IEC 27002:2022 ordenado por nivel de sinergias:
| Sección ISO 42001 | Controles ISO 27001 más relevantes | Nivel de Sinergia |
| A.2— Políticas de IA | 5.1 Políticas de SI | Alta (~90 %) |
| A.3— Organización interna | 5.2 Roles y responsabilidades de SI | Alta (~80 %) |
| A.9— Uso de sistemas de IA | 5.37 Procedimientos operativos / 6.2 Objetivos de SI | Alta (~80 %) |
| A.10— Terceros y clientes | 5.19, 5.20, 5.21, 5.22 Gestión de proveedores | Alta (~80 %) |
| A.6— Ciclo de vida del sistema de IA | 8.25, 8.26, 8.27, 8.29, 8.32 Desarrollo seguro / monitoreo | Media (~65 %) |
| A.4A.4 — Recursos para IA | 5.9 Inventario de activos / 6.1, 6.3 Personal y formación | Media (~55 %) |
| A.8— Información para partes interesadas | 5.37 Procedimientos / 5.24–5.26 Gestión de incidentes | Baja (~15 %) |
| A.5 — Evaluación de impacto IA | Sin equivalente estructural directo | Baja (~15 %) |
| A.7— Datos para IA | Sin equivalente estructural directo | Baja (~15 %) |
Estrategias de Integración
Con base en el análisis anterior, una organización con un SGSI ISO/IEC 27001:2022 vigente puede adoptar una de tres estrategias para implementar ISO/IEC 42001:2023:
Sistema Integrado Completo
Un único sistema de gestión que satisface simultáneamente los requisitos de ambos estándares: una sola política, un único análisis de contexto, un ciclo de auditoría integrado y una revisión por la dirección conjunta. Esta estrategia maximiza la eficiencia operacional y minimiza la duplicidad documental, pero requiere un SGSI maduro (mínimo tres años de operación) y que el alcance de ambos sistemas sea compatible.
Sistemas Separados Coordinados
El SGSI y el SGAI operan con documentación independiente, pero comparten interfaces definidas en procesos clave: gestión de riesgos, gestión de proveedores, auditoría interna y revisión por la dirección. Esta opción ofrece menor riesgo durante la implementación y permite ajustar el alcance del SGAI de forma independiente.
Extensión del SGSI (ISO 27001+)
ISO/IEC 42001:2023 se implementa como un módulo de extensión del SGSI existente, reutilizando al máximo la infraestructura documental y de procesos disponible. Es la opción de menor inversión inicial y permite una transición gradual. Sin embargo, puede no satisfacer completamente los requisitos de una auditoría de certificación formal si los elementos únicos de ISO/IEC 42001:2023 no se desarrollan con suficiente profundidad.
Hoja de Ruta de Implementación
Independientemente de la estrategia elegida, la implementación de ISO/IEC 42001:2023 en una organización con ISO/IEC 27001:2022 vigente puede estructurarse en cuatro fases:
Fase 1 — Diagnóstico y Análisis Gap (1–2 meses)
▪️Evaluar la madurez del SGSI existente.
▪️Mapear los sistemas de IA en uso o en desarrollo y determinar el rol de la
organización (proveedor, usuario, desarrollador).
▪️Realizar el análisis de brechas cláusula por cláusula (4–10) entre el SGSI y los
requisitos de ISO/IEC 42001:2023.
▪️Comparar el Anexo A de ISO/IEC 42001:2023 con el Anexo A de ISO/IEC
27001:2022 para identificar controles reutilizables, a extender y a desarrollar.
▪️Definir la estrategia de integración.
Fase 2 — Diseño y Planificación (2–3 meses)
▪️Definir o extender la política de IA (A.2.2), referenciando la política de seguridad de
la información existente.
▪️Asignar roles y responsabilidades de IA (A.3.2) integrándolos con la estructura de
gobierno de seguridad.
▪️Diseñar el proceso de evaluación de riesgos de IA, extendiendo la metodología
existente.
▪️Diseñar el proceso de evaluación de impacto de sistemas de IA (A.5.2).
▪️Planificar la gestión de datos para IA (A.7).
Fase 3 — Implementación (3–6 meses)
▪️Implementar los controles del ciclo de vida del sistema de IA (A.6).
▪️Implementar la gestión de datos de entrenamiento, validación y producción
(A.7.3–A.7.6).
▪️Desarrollar la documentación técnica de los sistemas de IA en alcance (A.6.2.7).
▪️Implementar mecanismos de supervisión humana sobre decisiones
automatizadas.
▪️Capacitar a los equipos en conceptos de IA responsable, evaluación de impacto
y gestión de datos.
Fase 4 — Auditoría y Certificación (2–3 meses)
▪️Realizar auditoría interna combinada SGSI + SGAI.
▪️Ejecutar revisión por la dirección conjunta.
▪️Implementar acciones correctivas derivadas de la auditoría interna.
▪️Proceso de certificación en dos etapas: revisión documental e in situ.
ISO 42001 en el Contexto Regulatorio
ISO/IEC 42001:2023 es un estándar voluntario de sistema de gestión, pero su implementación puede generar la evidencia documental que demuestra el cumplimiento de regulaciones de IA con carácter obligatorio. Los tres marcos más relevantes referenciados en la propia bibliografía de ISO/IEC 42001:2023 son:
▪️EU AI Act (Reglamento UE 2024/1689): Regulación obligatoria en vigor que clasifica los sistemas de IA en cuatro niveles de riesgo (inaceptable, alto, limitado y mínimo). Para sistemas de alto riesgo, exige evaluación de conformidad, gestión de riesgos documentada, transparencia y supervisión humana. La implementación de ISO/IEC 42001:2023 puede evidenciar el cumplimiento de estos requisitos.
▪️ISO/IEC 23894:2023 — Guidance on AI Risk Management: Guía referenciada explícitamente en ISO/IEC 42001:2023 (notas 3 y 4 de la cláusula 6.1.1). Proporciona orientación detallada para la gestión de riesgos específicos de IA y complementa el proceso de evaluación de riesgos del SGAI.
▪️ISO/IEC 38507:2022 — Governance Implications of the Use of AI by Organizations: Referenciada en la cláusula 5.2 (Política de IA) y en 6.1.1. Proporciona orientación a los cuerpos de gobierno sobre sus obligaciones de supervisión respecto al uso de sistemas de IA.
Conclusiones
El análisis comparativo entre ISO/IEC 27001:2022 e ISO/IEC 42001:2023 permite extraer cuatro conclusiones operativas:
▪️La Harmonized Level Structure habilita la integración. Las cláusulas 4 a 10 son estructuralmente idénticas entre ambos estándares. Aproximadamente el 80 % de la infraestructura documental y de procesos de un SGSI puede reutilizarse o adaptarse para el SGAI, generando un ahorro significativo de tiempo y recursos.
▪️Las sinergias son cuantificables. Las secciones A.2, A.3, A.9 y A.10 de ISO/IEC 42001:2023 presentan niveles de sinergia superiores al 80 % con controles de ISO/IEC 27001:2022 existentes, especialmente en gestión de políticas, roles, proveedores y objetivos.
▪️Las divergencias requieren inversión específica. Las secciones A.5 (Evaluación de Impacto), A.7 (Datos para IA) y A.8 (Información a Partes Interesadas) son elementos genuinamente nuevos que no tienen equivalente estructural en ISO/IEC 27001:2022 y exigen el desarrollo de capacidades organizacionales nuevas.
▪️La estrategia correcta depende del contexto. La madurez del SGSI existente, el nivel de adopción de IA en la organización y los objetivos de certificación determinan si la organización debe optar por un sistema integrado completo, sistemas coordinados o una extensión del SGSI.
La convergencia entre la gobernanza de seguridad de la información y la gobernanza de IA no es solo una oportunidad técnica: es una necesidad estratégica para las organizaciones que buscan gestionar sus riesgos tecnológicos de forma coherente, eficiente y certificable.
Referencias Normativas
🔗ISO/IEC 27001:2022 — Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Tercera edición, octubre 2022.
🔗ISO/IEC 27002:2022 — Information security, cybersecurity and privacy protection — Information security controls. Primera edición, febrero 2022.
🔗ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system. Primera edición, diciembre 2023.
🔗ISO/IEC 23894:2023 — Information technology — Artificial intelligence — Guidance on risk management.
🔗ISO/IEC 38507:2022 — Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations.
🔗ISO/IEC 27701:2025 — Information security, cybersecurity and privacy protection — Privacy information management systems — Requirements and guidance.
🔗Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, relativo a la inteligencia artificial (AI Act). Diario Oficial de la Unión Europea, julio 2024.
