ISO 42001 - 8. Operación
8.1. Planificación y control operativo
La organización deberá planificar, implementar y controlar los procesos necesarios para cumplir con los requisitos, e implementar las acciones determinadas en la Cláusula 6, mediante:
— establecimiento de criterios para los procesos;
— implementación del control de los procesos de acuerdo con los criterios.
La organización deberá implementar los controles determinados de acuerdo con 6.1.3 que estén relacionados con la operación del sistema de gestión de IA (por ejemplo, controles relacionados con el ciclo de vida del desarrollo y uso de sistemas de IA).
La efectividad de estos controles deberá ser monitoreada y se deberán considerar acciones correctivas si no se logran los resultados previstos. El Anexo A lista los controles de referencia y el Anexo B proporciona orientación de implementación para ellos.
La información documentada estará disponible en la medida necesaria para tener confianza en que los procesos se hayan llevado a cabo según lo planeado.
La organización deberá controlar los cambios planificados y revisar las consecuencias de los cambios no deseados, tomando medidas para mitigar cualquier efecto adverso, según sea necesario.
La organización deberá asegurar que los procesos, productos o servicios proporcionados externamente que sean relevantes para el sistema de gestión de IA estén controlados.
8.2. Evaluación del riesgo de IA
La organización deberá realizar evaluaciones del riesgo de IA de acuerdo con 6.1.2 en intervalos planificados o cuando se propongan cambios significativos o ocurran.
La organización deberá conservar información documentada de los resultados de todas las evaluaciones de riesgo de IA.
8.3. Tratamiento del riesgo de IA
La organización deberá implementar el plan de tratamiento del riesgo de IA de acuerdo con 6.1.3 y verificar su efectividad.
Cuando las evaluaciones de riesgo identifiquen nuevos riesgos que requieran tratamiento, se deberá llevar a cabo un proceso de tratamiento del riesgo de acuerdo con 6.1.3 para estos riesgos.
Cuando las opciones de tratamiento del riesgo definidas por el plan de tratamiento del riesgo no sean efectivas, estas opciones de tratamiento deberán ser revisadas y validadas nuevamente siguiendo el proceso de tratamiento del riesgo de acuerdo con 6.1.3 y el plan de tratamiento del riesgo deberá ser actualizado.
La organización deberá conservar información documentada de los resultados de todos los tratamientos de riesgo de IA.
8.4. Evaluación del impacto del sistema de IA
La organización deberá realizar evaluaciones del impacto del sistema de IA de acuerdo con 6.1.4 en intervalos planificados o cuando se propongan cambios significativos.
La organización deberá conservar información documentada de los resultados de todas las evaluaciones del impacto del sistema de IA.