En la medida necesaria, se debe tener disponible la información documentada para tener la confianza de que los procesos se han llevado a cabo según lo planificado.

Teniendo en cuenta los resultados de la evaluación del riesgo, la organización debe definir un proceso de tratamiento del riesgo de la IA para determinar si son necesarios controles adicionales a los del anexo A con el fin de aplicar todas las opciones de tratamiento del riesgo.

Si una organización define la “equidad” como uno de sus objetivos, esto debería incorporarse a la especificación de requisitos, la adquisición de datos, el acondicionamiento de datos, la capacitación de modelos, la verificación y validación, etc.

Las organizaciones tienen flexibilidad para seleccionar los objetivos de control y los controles del Anexo A que sean pertinentes para sus necesidades. El Anexo A no es exhaustivo, y pueden ser necesarios objetivos de control y controles adicionales.

Los sistemas de la IA pueden desarrollarse en varios entornos y desplegarse en otros (como desarrollarse en las instalaciones y desplegarse utilizando la computación en nube) y la organización debería tener en cuenta estas diferencias para el plan de despliegue.

Para que la adquisición de datos en los sistemas de la IA sea eficaz, la organización debería tener en cuenta diversos aspectos, como los tipos y la cantidad de datos, las fuentes, las características, la demografía de los sujetos, la manipulación previa, los derechos, los metadatos y la procedencia.

Cuando los datos procesados incluyen IIP, las responsabilidades suelen dividirse entre procesadores y controladores de IIP. ISO/IEC 29100 proporciona más información sobre los controladores de IIP y los procesadores de IIP.