Fluxo de implementação

ISO/IEC 42001 — da fundação à melhoria contínua

Uma sequência prática de 10 passos para implementar um sistema de gestão de IA: construir a fundação, avaliar o risco e o impacto, selecionar controlos, implementar os controlos orientados pelo Anexo B e, depois, monitorizar e melhorar.

Plan 1

Fundação do SGIA e base de governação

1Cláusulas 4.1-4.4

Compreender o contexto, as funções de IA e o âmbito

Key output: Âmbito do SGIA, funções de IA, partes interessadas, pressupostos legais/de contexto e mapa de processos.

2Cláusulas 5.1-5.3; Anexo B.2-B.3

Estabelecer a liderança, a política e a autoridade

Key output: Política de IA, RACI, autoridade de aprovação, comunicação de preocupações e modelo de responsabilização.

3Cláusula 6.2; Cláusulas 7.1-7.5

Definir objetivos, apoio e controlo documental

Key output: Objetivos de IA, recursos, competência, sensibilização, comunicação e documentação controlada.

Plan 2

Conceção baseada no risco e seleção de controlos

4Cláusulas 4.4 e 8.1; Anexo B.4/B.9

Inventariar os sistemas de IA e as utilizações previstas

Key output: Registo de sistemas de IA, registo de ferramentas, fase do ciclo de vida, utilização aprovada e propriedade.

5Cláusulas 6.1.1-6.1.4; 8.2; 8.4; Anexo B.5

Avaliar os riscos, oportunidades e impactos da IA

Key output: Critérios de risco, avaliação de riscos/impacto, registo de oportunidades e análise das partes afetadas.

6Cláusula 6.1.3; Cláusula 8.3; Anexos A+B

Selecionar controlos, DdA e plano de tratamento

Key output: Declaração de aplicabilidade, plano de tratamento, decisão sobre o risco residual e plano de evidências.

Implementar e operar os controlos selecionados

7Cláusula 8.1; Anexo B.6-B.7

Implementar os controlos de ciclo de vida e dados

Key output: Requisitos, conceção, V&V, implementação, monitorização, registos de eventos e evidências de conjuntos de dados.

8Cláusula 8.1; Anexo B.8-B.10

Implementar os controlos de utilização, transparência e terceiros

Key output: Informação aos utilizadores, supervisão humana, registos de utilização prevista e responsabilidades do fornecedor/cliente.

Check / Act

Ciclo de garantia e melhoria contínua

9Cláusulas 9.1-9.3; Cláusulas 8.2-8.4

Monitorizar, auditar e rever a eficácia

Key output: Evidências de monitorização, constatações de auditoria, decisões da revisão pela gestão e evidências de risco atualizadas.

10Cláusulas 10.1-10.2

Corrigir, melhorar e atualizar o SGIA

Key output: CAPA, lições aprendidas, controlos melhorados e registos atualizados de âmbito, política, risco, DdA e ciclo de vida.

Annex B

Espinha dorsal de orientação de controlos do Anexo B

Utilize o Anexo B para traduzir os controlos selecionados do Anexo A em ações de implementação práticas. Adapte ao âmbito da organização, à função de IA, ao perfil de risco e ao caso de utilização.

As saídas tornam-se informação documentada controlada e evidências de auditoria.

B.2Políticas de IA
B.3Organização interna
B.4Recursos para a IA
B.5Avaliação de impacto
B.6Ciclo de vida do sistema de IA
B.7Dados para os sistemas de IA
B.8Informação para as partes interessadas
B.9Utilização dos sistemas de IA
B.10Relações com terceiros/clientes

Acionador baseado em eventos

Novo caso de utilização de IA, alteração significativa, incidente, falha de monitorização, mudança de fornecedor ou novo requisito legal/do cliente — regresse aos passos de risco, impacto, DdA e implementação de controlos.

Este visual resume o fluxo de implementação utilizando apenas referências de cláusulas/controlos. Não reproduz o texto protegido dos requisitos da norma ISO/IEC 42001.

Quer implementar este fluxo com modelos prontos a usar?

Cada saída acima corresponde a uma política Word ou folha Excel do pacote.

Ver o pacote