ISO 42001 vs ISO 27001: en qué se diferencian

Academia ISO · 14 de julio de 2026 · Inteligencia artificial

Desde que la ISO 42001 apareció, muchas empresas que ya tienen la ISO 27001 se hacen la misma pregunta: «Si ya gestiono la seguridad de la información, ¿no está la IA cubierta?». La respuesta corta es no: son dos normas con objetivos distintos que, eso sí, se apoyan muy bien la una en la otra. Vamos a aclararlo.

¿Qué gestiona cada norma?

ISO 27001 es la norma de seguridad de la información. Su objetivo es proteger la confidencialidad, la integridad y la disponibilidad de los datos: quién accede a qué, cómo se protege frente a ataques, cómo se responde a incidentes. Su sistema de gestión se llama SGSI.

ISO 42001 es la norma de gestión de la inteligencia artificial. Su objetivo es que una organización desarrolle y use IA de forma responsable: gestionar los riesgos propios de la IA —sesgos, falta de transparencia, decisiones automatizadas que afectan a personas, uso indebido— a lo largo de todo el ciclo de vida del sistema de IA. Su sistema de gestión suele denominarse SGIA.

La diferencia esencial

Es una cuestión de qué protegen. ISO 27001 protege la información; ISO 42001 gobierna cómo se usa la IA y qué impacto tiene. Un modelo de IA puede ser perfectamente seguro desde el punto de vista de la 27001 —nadie puede robar los datos— y aun así ser problemático desde la 42001 si discrimina, si nadie entiende por qué decide lo que decide o si no hay supervisión humana. Son riesgos distintos y hacen falta controles distintos.

AspectoISO 27001ISO 42001
FocoSeguridad de la informaciónGestión responsable de la IA
ProtegeConfidencialidad, integridad, disponibilidad de datosUso ético, transparente y controlado de la IA
Riesgos típicosAccesos, ataques, fugas de datosSesgos, opacidad, decisiones automatizadas, supervisión
Sistema de gestiónSGSISGIA
Certificable

¿En qué se parecen?

Ambas comparten la misma estructura de alto nivel de las normas ISO de gestión: análisis del contexto, liderazgo, planificación basada en riesgos, apoyo, operación, evaluación del desempeño y mejora continua. Por eso, quien ya tiene un SGSI de ISO 27001 parte con mucho terreno ganado: los procesos de evaluación de riesgos, gestión documental, auditoría interna y revisión por la dirección se reaprovechan casi enteros. Implantar la 42001 sobre una base 27001 es mucho más rápido que empezar de cero.

¿Cuál necesita tu empresa?

Prepárate para la norma de IA: en el curso ISO/IEC 42001 — Sistema de Gestión de Inteligencia Artificial aprendes a implantar el SGIA paso a paso y a aprovechar lo que ya tienes si vienes de la ISO 27001. Y si quieres el fundamento de la norma, empieza por qué es la ISO 42001.