Brochures

From ISO 27001 to ISO 42001: The Migration Path

Zertia Team · 6 min read
Share

Si tu organización tiene ISO 27001 y opera IA, ISO 42001 no es un segundo proyecto. Es una extensión. La pregunta no es si añadirla, sino cómo añadirla sin duplicar trabajo, crear documentación paralela, o desestabilizar el SGSI que ya pasa auditorías.

## La creencia habitual

Dos marcos opuestos son comunes. El primero trata 42001 como un add-on ligero, algo que se puede atornillar al SGSI con unos pocos documentos nuevos. El segundo lo trata como un sistema paralelo completo, implantado por separado para evitar confusión.

Los dos marcos pierden la intención de diseño. ISO 42001 se construyó sobre la misma Harmonized Structure que 27001, precisamente para que las organizaciones pudieran extender su sistema de gestión existente en lugar de construir un segundo. Pero la extensión no es cosmética. Requiere decisiones deliberadas sobre qué compartir y qué mantener distinto.

## Qué compartir, qué extender, qué añadir

### Compartir (sin retrabajo)

Las cláusulas 4 a 10 de ambas normas son estructuralmente idénticas. Eso significa que tu análisis de contexto existente, el compromiso del liderazgo, el marco de planificación, la infraestructura de soporte, la evaluación del desempeño y los procesos de mejora pueden servir directamente a ambas normas. Una organización con un SGSI 27001 maduro ya ha hecho este trabajo. Reescribirlo para 42001 es desperdicio.

Elementos compartidos típicos:

– Proceso y cadencia de revisión por la dirección
– Estructura del programa de auditoría interna
– Control documental y de registros
– Marco de competencia y formación
– Proceso de acciones correctivas
– Planificación de recursos y compromiso del liderazgo

### Extender (adaptar elementos existentes)

Algunos elementos sirven a ambas normas pero necesitan adaptación para acomodar el alcance específico de IA. La metodología de gestión de riesgos es el ejemplo más claro: tu framework de riesgos 27001 se puede extender para cubrir riesgos de IA, pero las categorías de riesgo, los criterios de evaluación y las opciones de tratamiento necesitan añadidos específicos de IA.

Otras extensiones típicas:

– Evaluación de proveedores (extendiendo el vendor risk a proveedores de IA)
– Gestión del cambio (extendiendo a actualizaciones y reentrenamientos de modelos)
– Respuesta a incidentes (extendiendo a modos de fallo específicos de IA)
– Declaración de alcance (incluyendo explícitamente los sistemas de IA)

### Añadir (genuinamente nuevo)

Un número pequeño de controles del Anexo A de 42001 no tiene equivalente en 27001 y debe construirse nuevo. Estos incluyen:

– Evaluación de impacto de IA sobre partes afectadas
– Gobierno de datos para sistemas de IA (procedencia y adecuación del dato de entrenamiento)
– Diseño de supervisión humana
– Gestión del ciclo de vida del sistema de IA
– Evaluación de terceros específica de IA
– Monitorización post-despliegue del comportamiento del modelo

Estas son las partes del AIMS que no se pueden retrofitear desde el SGSI.

> La migración no es un SGSI más grande. Es un SGSI que sabe dónde acaba y dónde empieza el AIMS.
>

## Una línea de tiempo realista de migración en 6 meses

Para una organización con un SGSI 27001 maduro:

Meses 1–2: Análisis de gap. Mapea cada cláusula y control del Anexo A de 42001 contra la evidencia 27001 existente. Clasifica como compartir, extender o añadir. Construye el inventario de sistemas de IA en alcance y asigna ownership.

Meses 2–4: Extensiones. Adapta la metodología de riesgos, evaluación de proveedores, gestión del cambio y respuesta a incidentes para cubrir el alcance específico de IA. Actualiza la declaración de alcance. Extiende la Declaración de Aplicabilidad.

Meses 3–5: Controles nuevos. Construye los controles 42001 genuinamente nuevos: evaluación de impacto, gobierno de datos de IA, supervisión humana, gestión del ciclo de vida de IA, monitorización post-despliegue. Despliega y genera evidencia temprana.

Meses 5–6: Auditoría interna (conjunta 27001 + 42001), revisión por la dirección, preparación para la auditoría Fase 1 de 42001.

Una organización que empieza de cero en 42001, sin base 27001, necesita típicamente 12 meses. El ahorro de reutilizar 27001 es real y material.

## Replanteando la pregunta

La pregunta de la migración suele plantearse como “¿Qué documentos nuevos necesitamos?”. Un mejor planteo es “¿Qué capacidades nuevas necesita nuestro sistema de gestión, y cómo las encajamos en la cadencia operativa que ya tenemos?”.

La documentación sigue a la capacidad, no al revés. Las migraciones construidas alrededor de documentación producen carpetas. Las migraciones construidas alrededor de capacidad producen un sistema de gestión que realmente gobierna la IA.

## El cambio estructural

La certificación de sistemas de gestión se está moviendo hacia la certificación modular y componible. 27001, 42001, 27701, 9001, 22301 y 14001 comparten la Harmonized Structure. La expectativa del mercado es que las organizaciones maduras se certificarán contra varias de estas normas usando un único sistema de gestión integrado, con cada norma cubriendo el dominio en el que se especializa.

Las organizaciones que planifiquen la modularidad ahora añadirán normas futuras con esfuerzo incremental. Las organizaciones que traten cada norma como un silo separado cargarán estructuras duplicativas durante décadas.

## Qué significa esto para tu organización

Audita el SGSI antes de planificar la extensión. La solidez de la migración depende enteramente de la calidad de la implementación 27001 existente. Bases débiles producen extensiones más débiles.

Secuencia la primera auditoría con cuidado. La certificación inicial de 42001 suele ser más limpia cuando se audita independientemente de 27001, incluso cuando el sistema subyacente está integrado. Las auditorías combinadas son eficientes una vez que ambos sistemas están estables.

Diseña la Declaración de Aplicabilidad como un documento con dos normas. La práctica GRC moderna es mantener una SoA unificada que referencie los controles del Anexo A de 27001 y del Anexo A de 42001 juntos, con atribución clara de qué control trata los requisitos de qué norma.

> Las organizaciones que se certificarán en 42001 más rápido son las que tratan su SGSI como plataforma, no como producto. La plataforma absorbe normas nuevas. El producto queda obsoleto por ellas.
>

¿Listo para extender tu SGSI hacia la gobernanza de IA?

📩 [[email protected]](mailto:[email protected]) · 🌐 [zertia.ai](http://zertia.ai)

Your fast track to compliance starts here

Our team is ready to support your compliance, cybersecurity, and privacy needs. Complete the contact form or reach out to [email protected], and our experts will guide you through the next steps.