Guia IA Conformidade

ISO 42001: O padrão de sistema de gerenciamento de IA que sua organização precisa conhecer

ISO/IEC 42001:2023 é o padrão internacional para Sistemas de Gestão de IA (AIMS). Publicado em dezembro de 2023, fornece às organizações uma estrutura estruturada e certificável para governar a IA de forma responsável, desde a avaliação de riscos à supervisão humana e à governação de dados. À medida que as obrigações da EU AI Act se aproximam e os clientes começam a perguntar sobre a governança da IA, as pesquisas pela ISO 42001 aumentam rapidamente. Este guia explica o que o padrão exige, como ele se relaciona com o ISO 27001 e como abordar a implementação.

10 de junho de 2026
10 minutos de leitura
Principais conclusões
  • ISO 42001 é o primeiro padrão de sistema de gerenciamento de IA reconhecido internacionalmente, é certificável, como o ISO 27001
  • Aplica-se a organizações que desenvolvem, fornecem ou usam produtos e serviços baseados em IA – tanto fornecedores quanto implantadores
  • O padrão usa a mesma estrutura de alto nível do ISO 27001 e ISO 9001, portanto a integração com sistemas de gerenciamento existentes é simples
  • A avaliação de impacto do sistema de IA é o novo requisito central – avalia os efeitos potenciais nas pessoas e na sociedade, não apenas o risco técnico
  • A ISO 42001 mapeia diretamente várias obrigações do implementador EU AI Act e pode formar a base de governança documentada para conformidade com a Lei AI
  • Organizações com programas ISO 27001 maduros normalmente podem alcançar a preparação para a certificação ISO 42001 dentro de 6 a 12 meses

O que é ISO 42001

ISO/IEC 42001:2023, formalmente intitulada "Tecnologia da informação, Inteligência Artificial, Sistema de Gestão", é o padrão internacional para estabelecer, implementar, manter e melhorar um Sistema de Gestão de Inteligência Artificial (AIMS). Foi publicado pela ISO em dezembro de 2023 e tornou-se o primeiro padrão certificável reconhecido globalmente para governança de IA.

A norma não é uma especificação técnica para a construção de sistemas de IA. É uma norma de sistema de gestão: define os processos de governação, documentação, mecanismos de supervisão e ciclos de melhoria contínua que uma organização necessita para gerir a IA de forma responsável. Está preocupado com a forma como você toma decisões sobre IA, não com a matemática ou a engenharia por trás da própria IA.

A ISO 42001 se aplica a qualquer organização que desenvolva sistemas de IA, forneça produtos ou serviços baseados em IA ou utilize sistemas de IA em suas operações. Isso significa fornecedores de software que criam recursos de IA, empresas de SaaS cujas plataformas incorporam IA e empresas que implantam ferramentas de IA de fornecedores terceirizados – todas elas estão dentro do escopo do padrão. As obrigações variam de acordo com a função: os fornecedores enfrentam requisitos de implementação mais detalhados, mas os implementadores também têm deveres reais de governação.

Por que as pesquisas pela ISO 42001 estão aumentando

Duas forças estão impulsionando a aceitação. Primeiro, o EU AI Act requer processos documentados para gerenciamento de riscos de IA, supervisão humana e monitoramento que a ISO 42001 fornece a estrutura para implementação. Em segundo lugar, as compras empresariais, as seguradoras e os investidores estão começando a pedir provas de governação estruturada da IA ​​– da mesma forma que pediram o ISO 27001 há uma década. O mercado de certificação ISO 42001 está crescendo rapidamente.

A estrutura do padrão

A ISO 42001 usa a Estrutura Harmonizada (HS), a estrutura comum compartilhada por todos os padrões modernos de sistemas de gerenciamento ISO, incluindo ISO 27001, ISO 9001 e ISO 14001. Isso significa que se sua organização já opera um Sistema de Gerenciamento de Segurança da Informação ISO 27001, a arquitetura de governança da ISO 42001 será imediatamente familiar, e os dois sistemas podem ser integrados em vez de executados em paralelo.

As dez cláusulas da norma seguem o ciclo Planejar-Fazer-Verificar-Agir:

4
Contexto
Compreender a organização, suas partes interessadas, as questões internas e externas específicas da IA ​​e o âmbito do AIMS. Requer a identificação de todos os sistemas de IA dentro do escopo e a função da organização para cada um (desenvolvedor, fornecedor ou implementador).
5
Liderança
A gestão de topo deve demonstrar compromisso com o AIMS, estabelecer uma política de IA e atribuir funções e responsabilidades para a governação da IA. A política de IA deve abordar a utilização responsável da IA, a supervisão humana e o alinhamento com os valores da organização.
6
Planejamento
Os riscos e oportunidades específicos da IA ​​devem ser identificados e avaliados. Devem ser estabelecidos objetivos de IA – metas mensuráveis ​​para uma utilização responsável da IA. Os planos de tratamento de riscos devem ser documentados e vinculados aos controles do Anexo A.
7
Apoiar
Recursos, competência, conscientização, comunicação e informações documentadas. O pessoal envolvido no desenvolvimento ou implantação de IA deve demonstrar a competência necessária para sua função. Os registros dos processos AIMS devem ser mantidos.
8
Operação
A cláusula central de implementação. Requer avaliações de impacto do sistema de IA, avaliações de risco de IA, tratamento de riscos e controles operacionais para cada sistema de IA no escopo. É aqui que reside a maior parte do trabalho específico de IA.
9
Avaliação de desempenho
Monitoramento, medição, auditoria interna e revisão gerencial. As organizações devem definir o que medem, com que frequência e quem analisa os resultados. As revisões de gestão devem abranger o desempenho do risco de IA e as melhorias do AIMS.
10
Melhoria
Não conformidade, ação corretiva e melhoria contínua. Incidentes específicos de IA, falhas de sistema, resultados prejudiciais, descobertas tendenciosas, devem ser registrados, investigados e usados ​​para impulsionar a melhoria do processo.

A avaliação de impacto do sistema de IA

A avaliação de impacto do sistema de IA é o elemento mais distintivo da ISO 42001. Ela se enquadra na Cláusula 8 (Operação) e exige que as organizações avaliem, antes de implantar qualquer sistema de IA no escopo, o impacto potencial desse sistema em:

  • Indivíduos que interagem com o sistema ou cujos dados ele processa, incluindo precisão, justiça, transparência e possibilidade de resultados prejudiciais.
  • Grupos e comunidades que podem ser afetados pelos resultados do sistema em grande escala, incluindo o potencial de impacto discriminatório ou desproporcional sobre grupos protegidos.
  • Sociedade de forma mais ampla, incluindo o impacto ambiental, a concentração de poder e os efeitos nos processos democráticos ou na confiança pública.
  • A própria organização, riscos de reputação, jurídicos e operacionais decorrentes do comportamento do sistema de IA.

A avaliação de impacto deve ser documentada, revista quando o sistema de IA sofrer alterações materiais e utilizada para informar a seleção de controlos. Não se trata de um processo único, mas de um processo contínuo: se um sistema de IA mudar de âmbito, de caso de utilização ou de modelo subjacente, a avaliação de impacto deverá ser revista.

Para organizações que se preparam para a conformidade com o EU AI Act, a avaliação de impacto mapeia de perto a Avaliação de Impacto nos Direitos Fundamentais (FRIA) exigida de certos implantadores de IA de alto risco nos termos da Lei. A implementação do processo de avaliação de impacto da ISO 42001 é uma forma prática de construir a disciplina de documentação exigida pela conformidade com a FRIA.

A avaliação de impacto não é uma caixa de verificação da conformidade. É o mecanismo pelo qual uma organização demonstra que pensou seriamente sobre o que seus sistemas de IA poderiam fazer às pessoas por eles afetadas – e não apenas o que podem fazer pela empresa.

Controles do Anexo A

O Anexo A da ISO 42001 contém controles específicos de IA que as organizações devem considerar a implementação, semelhantes aos 93 controles no Anexo A do ISO 27001. Os controles do Anexo A na ISO 42001 cobrem seis domínios:

  • Políticas relacionadas à IA: Controlos que abrangem o estabelecimento, comunicação e revisão da política de IA da organização e políticas de apoio sobre tópicos específicos de IA.
  • Organização interna: Controlos que abrangem estruturas de governação, funções, órgãos de supervisão e responsabilização pelos sistemas de IA.
  • Recursos para sistemas de IA: Controles que abrangem governança de dados, recursos de computação e ferramentas e infraestrutura usadas no desenvolvimento e implantação de IA.
  • Avaliando o impacto da IA: Controlos que abrangem os requisitos de processo e documentação para a avaliação de impacto do sistema de IA.
  • Ciclo de vida do sistema de IA: Controles que abrangem projeto, desenvolvimento, teste, implantação, monitoramento e descomissionamento de sistemas de IA.
  • Relacionamento com terceiros e clientes: Controles que abrangem obrigações relacionadas à IA em contratos com fornecedores e clientes, e devida diligência em componentes de IA de terceiros.

As organizações selecionam os controles do Anexo A com base nos resultados de sua avaliação de risco e avaliação de impacto de IA. Nem todos os controles se aplicam a todas as organizações – a Declaração de Aplicabilidade (SoA) documenta quais controles estão no escopo e fornece a justificativa para quaisquer exclusões.

ISO 42001 vs ISO 27001: o que há de diferente

Dimensão ISO 27001 ISO 42001
Foco Protegendo informações e sistemas de informação Governar a IA de forma responsável em todo seu ciclo de vida
Escopo de risco Confidencialidade, integridade, disponibilidade de informações Impacto do sistema de IA nas pessoas, na sociedade e na organização; justiça, transparência, responsabilidade
Avaliação chave Avaliação de riscos de segurança da informação Avaliação de impacto do sistema de IA + avaliação de risco de IA
Controles do Anexo A 93 controles em 4 temas Controles específicos de IA em 6 domínios
Definição de escopo Ativos e sistemas de informação no escopo Sistemas de IA no escopo e o papel da organização para cada
Ciclo de certificação 3 anos, auditorias de vigilância anuais 3 anos, auditorias de vigilância anuais
Integração Integra-se com ISO 9001, ISO 14001, outros Projetado para integração com ISO 27001 e ISO 9001

Para organizações que já operam um ISO 27001 ISMS, o caminho para a ISO 42001 é substancialmente mais curto. A infra-estrutura do sistema de gestão – informação documentada, auditoria interna, revisão pela gestão, acção correctiva – já está implementada. O que precisa ser adicionado é específico para IA: a política de IA, o processo de avaliação de impacto, a avaliação de risco de IA e os controles específicos de IA do Anexo A. Muitas organizações optam por integrá-los em seu ISMS existente, em vez de executar um AIMS separado.

ISO 42001 e EU AI Act

A ISO 42001 e a EU AI Act abordam o mesmo problema de ângulos diferentes. A Lei AI estabelece requisitos mínimos legais. A ISO 42001 fornece uma estrutura de sistema de gestão que torna o atendimento a esses requisitos sistemático e auditável.

Várias obrigações EU AI Act para implantadores de IA de alto risco são mapeadas diretamente para processos ISO 42001:

  • A exigência da lei para implementar supervisão humana mapeia os controles de supervisão humana da ISO 42001 no Anexo A e o requisito de avaliação de impacto para considerar a adequação da revisão humana.
  • A exigência da lei de monitorar o desempenho do sistema de IA e detectar mapas de comportamento inesperados de acordo com os requisitos de monitoramento e medição da Cláusula 9 da ISO 42001.
  • A exigência da lei de manter registros mapeia os requisitos de informação documentada da ISO 42001 e os controles do Anexo A sobre manutenção de registros.
  • O requisito FRIA da lei para determinados implantadores corresponde ao processo de avaliação de impacto do sistema de IA da ISO 42001.
  • A exigência da lei de informar os trabalhadores afetados pelos mapas de sistemas de IA para os controles de comunicação e conscientização da ISO 42001.

A harmonização formal, onde a conformidade com a ISO 42001 cria uma presunção legal de conformidade com artigos específicos da Lei da IA ​​, é esperada, mas ainda não tinha sido confirmada em junho de 2026. Quando as normas harmonizadas forem publicadas no Jornal Oficial, a certificação ISO 42001 provavelmente se tornará um trunfo significativo para fornecedores e implantadores que buscam demonstrar conformidade.

dezembro
2023
Publicada ISO/IEC 42001:2023, o primeiro padrão certificável de sistema de gerenciamento de IA
6–12
meses para preparação para certificação para organizações com programas ISO 27001 maduros
3 anos
ciclo de certificação com auditorias anuais de vigilância, mesma estrutura do ISO 27001

Introdução à ISO 42001

O caminho de implementação depende de onde você está começando. As organizações com ISO 27001 têm uma vantagem significativa. Aqueles que não possuem qualquer sistema de gestão formal enfrentam um caminho mais longo, mas podem implementar ambas as normas em conjunto a partir de uma base partilhada.

Etapa 1: Defina seu escopo AIMS

Liste todos os sistemas de IA que sua organização desenvolve, fornece ou usa em um contexto profissional. Para cada sistema, determine sua função: desenvolvedor, provedor ou implementador. Os sistemas nos quais você é desenvolvedor ou fornecedor exigirão documentação e controles mais detalhados. Os sistemas nos quais você é um implementador, usando uma ferramenta de IA de terceiros, exigem governança sobre como você os usa, e não sobre como eles são construídos.

Passo 2: Conduzir avaliações de impacto do sistema de IA

Para cada sistema de IA abrangido, preencha uma avaliação de impacto que abranja as quatro dimensões: impacto nos indivíduos, nos grupos, na sociedade e na organização. Documente suas descobertas, identifique onde o impacto é significativo e use a avaliação para orientar sua seleção de controle. Esta etapa muitas vezes revela lacunas de governação que não eram anteriormente visíveis – ferramentas de IA implementadas sem revisão adequada, práticas de dados que necessitam de atualização e mecanismos de supervisão que são informais ou ausentes.

Etapa 3: conduza sua avaliação de risco de IA

Usando as descobertas de suas avaliações de impacto, conclua uma avaliação formal de risco de IA para cada sistema dentro do escopo. Identifique riscos para a organização decorrentes de falhas, uso indevido ou resultados prejudiciais da IA. Avalie-os. Identifique as opções de tratamento: aceitar, mitigar, transferir ou evitar. Documente as decisões e vincule-as aos controles que você implementará no Anexo A.

Etapa 4: Estabeleça sua política de IA e estrutura de governança

Elabore uma política de IA que estabeleça os compromissos da sua organização sobre o uso responsável da IA, supervisão humana, transparência para as partes afetadas e governança de dados. Atribuir uma propriedade clara: quem é responsável pelo AIMS em geral, quem analisa o desempenho do sistema de IA e quem é responsável pelo processo de avaliação de impacto. Se você já possui uma função de segurança da informação, a governança de IA pode acompanhá-la – mas precisa de um proprietário nomeado.

Passo 5: Implementar controles e preparar-se para auditoria

Selecione e implemente os controles do Anexo A relevantes para seus sistemas e perfil de risco dentro do escopo. Documente sua declaração de aplicabilidade. Execute pelo menos um ciclo completo de auditoria interna antes de contratar um organismo de certificação. A auditoria do Estágio 1 analisa sua documentação; a auditoria do Estágio 2 testa se seus controles funcionam na prática. As auditorias de supervisão acontecem anualmente durante três anos antes da recertificação completa.

Nosso equipe de auditorias e compliance apoia organizações por meio de avaliações de lacunas da ISO 42001, design de avaliação de impacto e planejamento de implementação. Nosso Prática de consultoria em IA traz conhecimento de domínio dos riscos do sistema de IA em serviços financeiros, saúde e serviços profissionais – os três setores onde as questões de governança de IA são mais agudas.

Perguntas frequentes

Quem deve buscar a certificação ISO 42001?

A ISO 42001 foi projetada para qualquer organização que desenvolva, forneça ou utilize produtos ou serviços baseados em IA. Os desenvolvedores e fornecedores de sistemas de IA acharão que é mais diretamente aplicável, mas os implantadores – empresas que usam IA em suas operações – também estão dentro do escopo. As organizações já certificadas para ISO 27001 estão bem posicionadas para estender seu sistema de gestão para cobrir a IA, uma vez que a estrutura estrutural é idêntica.

A certificação ISO 42001 atende aos requisitos de conformidade do EU AI Act?

A ISO 42001 não é uma ferramenta de conformidade legal por si só e a certificação não satisfaz automaticamente as obrigações do EU AI Act. No entanto, fornece a estrutura de sistema de gestão documentada que as obrigações do implementador do EU AI Act exigem: avaliação estruturada de riscos de IA, controles de supervisão humana, processos de monitoramento e governança documentada. Os reguladores podem fazer referência à ISO 42001 como uma norma harmonizada, o que permitiria que a conformidade com ela levantasse uma presunção de conformidade com certos requisitos da Lei da IA ​​, mas esta harmonização formal ainda não ocorreu.

Quanto tempo leva a certificação ISO 42001?

O cronograma depende muito da maturidade dos seus processos existentes de governança de IA. As organizações com sistemas de gerenciamento ISO 27001 maduros normalmente podem concluir a análise de lacunas, implementar controles específicos de IA e obter a certificação dentro de seis a doze meses. As organizações que começam do zero podem precisar de doze a vinte e quatro meses. A certificação segue um processo de auditoria em duas fases: uma revisão da documentação da Fase 1 seguida por uma avaliação no local da Fase 2, com auditorias de supervisão anuais e uma recertificação completa a cada três anos.

Qual é a diferença entre ISO 42001 e ISO 27001?

O ISO 27001 rege o gerenciamento da segurança da informação, protegendo a confidencialidade, integridade e disponibilidade das informações e dos sistemas de informação. A ISO 42001 rege a gestão da IA ​​– garantindo que os sistemas de IA sejam desenvolvidos, implantados e utilizados de forma responsável, com avaliação de risco adequada, supervisão humana, transparência e governança de dados. Eles compartilham a mesma Estrutura de Alto Nível e podem ser integrados em um único sistema de gestão. ISO 27001 abrange sistemas de IA como ativos de processamento de informações; A ISO 42001 cobre a camada de governança específica da IA.

O que é uma avaliação de impacto do sistema de IA sob a ISO 42001?

A avaliação de impacto do sistema de IA é uma avaliação estruturada dos efeitos potenciais de um sistema de IA sobre indivíduos, grupos e sociedade. Vai além da avaliação de risco tradicional, exigindo que as organizações considerem o impacto social, a justiça, a transparência e os direitos das pessoas afetadas pelas decisões de IA, incluindo aquelas que não são usuários diretos do sistema. A avaliação de impacto informa a seleção e implementação dos controles do Anexo A da norma e deve ser documentada e revisada periodicamente.

Governança de IA

Pronto para construir seu sistema de gerenciamento de IA?

Apoiamos organizações com avaliações de lacunas da ISO 42001, design e implementação de avaliações de impacto – desde a definição do escopo até a preparação para a certificação.