- ISO 42001 é o primeiro padrão de sistema de gerenciamento de IA reconhecido internacionalmente, é certificável, como o ISO 27001
- Aplica-se a organizações que desenvolvem, fornecem ou usam produtos e serviços baseados em IA – tanto fornecedores quanto implantadores
- O padrão usa a mesma estrutura de alto nível do ISO 27001 e ISO 9001, portanto a integração com sistemas de gerenciamento existentes é simples
- A avaliação de impacto do sistema de IA é o novo requisito central – avalia os efeitos potenciais nas pessoas e na sociedade, não apenas o risco técnico
- A ISO 42001 mapeia diretamente várias obrigações do implementador EU AI Act e pode formar a base de governança documentada para conformidade com a Lei AI
- Organizações com programas ISO 27001 maduros normalmente podem alcançar a preparação para a certificação ISO 42001 dentro de 6 a 12 meses
O que é ISO 42001
ISO/IEC 42001:2023, formalmente intitulada "Tecnologia da informação, Inteligência Artificial, Sistema de Gestão", é o padrão internacional para estabelecer, implementar, manter e melhorar um Sistema de Gestão de Inteligência Artificial (AIMS). Foi publicado pela ISO em dezembro de 2023 e tornou-se o primeiro padrão certificável reconhecido globalmente para governança de IA.
A norma não é uma especificação técnica para a construção de sistemas de IA. É uma norma de sistema de gestão: define os processos de governação, documentação, mecanismos de supervisão e ciclos de melhoria contínua que uma organização necessita para gerir a IA de forma responsável. Está preocupado com a forma como você toma decisões sobre IA, não com a matemática ou a engenharia por trás da própria IA.
A ISO 42001 se aplica a qualquer organização que desenvolva sistemas de IA, forneça produtos ou serviços baseados em IA ou utilize sistemas de IA em suas operações. Isso significa fornecedores de software que criam recursos de IA, empresas de SaaS cujas plataformas incorporam IA e empresas que implantam ferramentas de IA de fornecedores terceirizados – todas elas estão dentro do escopo do padrão. As obrigações variam de acordo com a função: os fornecedores enfrentam requisitos de implementação mais detalhados, mas os implementadores também têm deveres reais de governação.
Duas forças estão impulsionando a aceitação. Primeiro, o EU AI Act requer processos documentados para gerenciamento de riscos de IA, supervisão humana e monitoramento que a ISO 42001 fornece a estrutura para implementação. Em segundo lugar, as compras empresariais, as seguradoras e os investidores estão começando a pedir provas de governação estruturada da IA – da mesma forma que pediram o ISO 27001 há uma década. O mercado de certificação ISO 42001 está crescendo rapidamente.
A estrutura do padrão
A ISO 42001 usa a Estrutura Harmonizada (HS), a estrutura comum compartilhada por todos os padrões modernos de sistemas de gerenciamento ISO, incluindo ISO 27001, ISO 9001 e ISO 14001. Isso significa que se sua organização já opera um Sistema de Gerenciamento de Segurança da Informação ISO 27001, a arquitetura de governança da ISO 42001 será imediatamente familiar, e os dois sistemas podem ser integrados em vez de executados em paralelo.
As dez cláusulas da norma seguem o ciclo Planejar-Fazer-Verificar-Agir:
A avaliação de impacto do sistema de IA
A avaliação de impacto do sistema de IA é o elemento mais distintivo da ISO 42001. Ela se enquadra na Cláusula 8 (Operação) e exige que as organizações avaliem, antes de implantar qualquer sistema de IA no escopo, o impacto potencial desse sistema em:
- Indivíduos que interagem com o sistema ou cujos dados ele processa, incluindo precisão, justiça, transparência e possibilidade de resultados prejudiciais.
- Grupos e comunidades que podem ser afetados pelos resultados do sistema em grande escala, incluindo o potencial de impacto discriminatório ou desproporcional sobre grupos protegidos.
- Sociedade de forma mais ampla, incluindo o impacto ambiental, a concentração de poder e os efeitos nos processos democráticos ou na confiança pública.
- A própria organização, riscos de reputação, jurídicos e operacionais decorrentes do comportamento do sistema de IA.
A avaliação de impacto deve ser documentada, revista quando o sistema de IA sofrer alterações materiais e utilizada para informar a seleção de controlos. Não se trata de um processo único, mas de um processo contínuo: se um sistema de IA mudar de âmbito, de caso de utilização ou de modelo subjacente, a avaliação de impacto deverá ser revista.
Para organizações que se preparam para a conformidade com o EU AI Act, a avaliação de impacto mapeia de perto a Avaliação de Impacto nos Direitos Fundamentais (FRIA) exigida de certos implantadores de IA de alto risco nos termos da Lei. A implementação do processo de avaliação de impacto da ISO 42001 é uma forma prática de construir a disciplina de documentação exigida pela conformidade com a FRIA.
A avaliação de impacto não é uma caixa de verificação da conformidade. É o mecanismo pelo qual uma organização demonstra que pensou seriamente sobre o que seus sistemas de IA poderiam fazer às pessoas por eles afetadas – e não apenas o que podem fazer pela empresa.
Controles do Anexo A
O Anexo A da ISO 42001 contém controles específicos de IA que as organizações devem considerar a implementação, semelhantes aos 93 controles no Anexo A do ISO 27001. Os controles do Anexo A na ISO 42001 cobrem seis domínios:
- Políticas relacionadas à IA: Controlos que abrangem o estabelecimento, comunicação e revisão da política de IA da organização e políticas de apoio sobre tópicos específicos de IA.
- Organização interna: Controlos que abrangem estruturas de governação, funções, órgãos de supervisão e responsabilização pelos sistemas de IA.
- Recursos para sistemas de IA: Controles que abrangem governança de dados, recursos de computação e ferramentas e infraestrutura usadas no desenvolvimento e implantação de IA.
- Avaliando o impacto da IA: Controlos que abrangem os requisitos de processo e documentação para a avaliação de impacto do sistema de IA.
- Ciclo de vida do sistema de IA: Controles que abrangem projeto, desenvolvimento, teste, implantação, monitoramento e descomissionamento de sistemas de IA.
- Relacionamento com terceiros e clientes: Controles que abrangem obrigações relacionadas à IA em contratos com fornecedores e clientes, e devida diligência em componentes de IA de terceiros.
As organizações selecionam os controles do Anexo A com base nos resultados de sua avaliação de risco e avaliação de impacto de IA. Nem todos os controles se aplicam a todas as organizações – a Declaração de Aplicabilidade (SoA) documenta quais controles estão no escopo e fornece a justificativa para quaisquer exclusões.
ISO 42001 vs ISO 27001: o que há de diferente
| Dimensão | ISO 27001 | ISO 42001 |
|---|---|---|
| Foco | Protegendo informações e sistemas de informação | Governar a IA de forma responsável em todo seu ciclo de vida |
| Escopo de risco | Confidencialidade, integridade, disponibilidade de informações | Impacto do sistema de IA nas pessoas, na sociedade e na organização; justiça, transparência, responsabilidade |
| Avaliação chave | Avaliação de riscos de segurança da informação | Avaliação de impacto do sistema de IA + avaliação de risco de IA |
| Controles do Anexo A | 93 controles em 4 temas | Controles específicos de IA em 6 domínios |
| Definição de escopo | Ativos e sistemas de informação no escopo | Sistemas de IA no escopo e o papel da organização para cada |
| Ciclo de certificação | 3 anos, auditorias de vigilância anuais | 3 anos, auditorias de vigilância anuais |
| Integração | Integra-se com ISO 9001, ISO 14001, outros | Projetado para integração com ISO 27001 e ISO 9001 |
Para organizações que já operam um ISO 27001 ISMS, o caminho para a ISO 42001 é substancialmente mais curto. A infra-estrutura do sistema de gestão – informação documentada, auditoria interna, revisão pela gestão, acção correctiva – já está implementada. O que precisa ser adicionado é específico para IA: a política de IA, o processo de avaliação de impacto, a avaliação de risco de IA e os controles específicos de IA do Anexo A. Muitas organizações optam por integrá-los em seu ISMS existente, em vez de executar um AIMS separado.
ISO 42001 e EU AI Act
A ISO 42001 e a EU AI Act abordam o mesmo problema de ângulos diferentes. A Lei AI estabelece requisitos mínimos legais. A ISO 42001 fornece uma estrutura de sistema de gestão que torna o atendimento a esses requisitos sistemático e auditável.
Várias obrigações EU AI Act para implantadores de IA de alto risco são mapeadas diretamente para processos ISO 42001:
- A exigência da lei para implementar supervisão humana mapeia os controles de supervisão humana da ISO 42001 no Anexo A e o requisito de avaliação de impacto para considerar a adequação da revisão humana.
- A exigência da lei de monitorar o desempenho do sistema de IA e detectar mapas de comportamento inesperados de acordo com os requisitos de monitoramento e medição da Cláusula 9 da ISO 42001.
- A exigência da lei de manter registros mapeia os requisitos de informação documentada da ISO 42001 e os controles do Anexo A sobre manutenção de registros.
- O requisito FRIA da lei para determinados implantadores corresponde ao processo de avaliação de impacto do sistema de IA da ISO 42001.
- A exigência da lei de informar os trabalhadores afetados pelos mapas de sistemas de IA para os controles de comunicação e conscientização da ISO 42001.
A harmonização formal, onde a conformidade com a ISO 42001 cria uma presunção legal de conformidade com artigos específicos da Lei da IA , é esperada, mas ainda não tinha sido confirmada em junho de 2026. Quando as normas harmonizadas forem publicadas no Jornal Oficial, a certificação ISO 42001 provavelmente se tornará um trunfo significativo para fornecedores e implantadores que buscam demonstrar conformidade.
2023
Introdução à ISO 42001
O caminho de implementação depende de onde você está começando. As organizações com ISO 27001 têm uma vantagem significativa. Aqueles que não possuem qualquer sistema de gestão formal enfrentam um caminho mais longo, mas podem implementar ambas as normas em conjunto a partir de uma base partilhada.
Etapa 1: Defina seu escopo AIMS
Liste todos os sistemas de IA que sua organização desenvolve, fornece ou usa em um contexto profissional. Para cada sistema, determine sua função: desenvolvedor, provedor ou implementador. Os sistemas nos quais você é desenvolvedor ou fornecedor exigirão documentação e controles mais detalhados. Os sistemas nos quais você é um implementador, usando uma ferramenta de IA de terceiros, exigem governança sobre como você os usa, e não sobre como eles são construídos.
Passo 2: Conduzir avaliações de impacto do sistema de IA
Para cada sistema de IA abrangido, preencha uma avaliação de impacto que abranja as quatro dimensões: impacto nos indivíduos, nos grupos, na sociedade e na organização. Documente suas descobertas, identifique onde o impacto é significativo e use a avaliação para orientar sua seleção de controle. Esta etapa muitas vezes revela lacunas de governação que não eram anteriormente visíveis – ferramentas de IA implementadas sem revisão adequada, práticas de dados que necessitam de atualização e mecanismos de supervisão que são informais ou ausentes.
Etapa 3: conduza sua avaliação de risco de IA
Usando as descobertas de suas avaliações de impacto, conclua uma avaliação formal de risco de IA para cada sistema dentro do escopo. Identifique riscos para a organização decorrentes de falhas, uso indevido ou resultados prejudiciais da IA. Avalie-os. Identifique as opções de tratamento: aceitar, mitigar, transferir ou evitar. Documente as decisões e vincule-as aos controles que você implementará no Anexo A.
Etapa 4: Estabeleça sua política de IA e estrutura de governança
Elabore uma política de IA que estabeleça os compromissos da sua organização sobre o uso responsável da IA, supervisão humana, transparência para as partes afetadas e governança de dados. Atribuir uma propriedade clara: quem é responsável pelo AIMS em geral, quem analisa o desempenho do sistema de IA e quem é responsável pelo processo de avaliação de impacto. Se você já possui uma função de segurança da informação, a governança de IA pode acompanhá-la – mas precisa de um proprietário nomeado.
Passo 5: Implementar controles e preparar-se para auditoria
Selecione e implemente os controles do Anexo A relevantes para seus sistemas e perfil de risco dentro do escopo. Documente sua declaração de aplicabilidade. Execute pelo menos um ciclo completo de auditoria interna antes de contratar um organismo de certificação. A auditoria do Estágio 1 analisa sua documentação; a auditoria do Estágio 2 testa se seus controles funcionam na prática. As auditorias de supervisão acontecem anualmente durante três anos antes da recertificação completa.
Nosso equipe de auditorias e compliance apoia organizações por meio de avaliações de lacunas da ISO 42001, design de avaliação de impacto e planejamento de implementação. Nosso Prática de consultoria em IA traz conhecimento de domínio dos riscos do sistema de IA em serviços financeiros, saúde e serviços profissionais – os três setores onde as questões de governança de IA são mais agudas.