42K
Guia de referência

ISO/IEC 42001

A norma internacional para sistemas de gestão de IA — explicada com clareza, estruturada de forma lógica e útil para as organizações que querem desenvolver, adquirir ou implementar IA de forma responsável.

Fornecedores de IAProgramadores de IAImplementadores de IAUtilizadores de IA

O que não está incluído: a própria norma ISO/IEC 42001

Este pacote contém apenas modelos e ferramentas de implementação. A norma ISO/IEC 42001 está protegida por direitos de autor da ISO/IEC e deve ser adquirida separadamente sob licença da ISO ou do seu organismo nacional de normalização (na Bélgica: NBN). Os nossos documentos fazem referência à norma apenas pelo número da cláusula e do controlo do Anexo A — não reproduzem o seu texto.

O que esta norma faz

A norma ISO/IEC 42001 define os requisitos de um sistema de gestão de IA (SGIA). Ajuda as organizações a conceber, implementar e manter sistemas de IA de forma responsável, transparente e controlável — à semelhança do que a ISO 27001 faz para a segurança da informação.

O objetivo é claro:

  • Gerir os riscos e o impacto dos sistemas de IA nas pessoas e na sociedade.
  • Garantir uma utilização responsável, transparente e explicável da IA em toda a organização.
  • Criar confiança junto de clientes, reguladores e partes interessadas internas.
  • Alinhar-se com regulamentações como o Regulamento de IA da UE e os sistemas de gestão existentes.

Princípios da IA

Quatro princípios fundamentais para tornar a IA responsável debatível.

Princípio

Responsabilização

Responsabilidades claras para os sistemas de IA, da governação às funções operacionais e às vias de escalonamento.

Princípio

Transparência

Informação compreensível sobre o funcionamento, as limitações e as decisões dos sistemas de IA para as partes interessadas pertinentes.

Princípio

Equidade

Proteção contra enviesamentos involuntários, resultados injustos e efeitos discriminatórios nas aplicações de IA.

Princípio

Segurança e proteção

Controlo dos riscos de danos físicos, digitais e organizacionais ao longo de todo o ciclo de vida.

Cláusulas do sistema de gestão

As sete cláusulas principais do SGIA

A norma ISO/IEC 42001 segue a Estrutura Harmonizada (HLS). Estas cláusulas ligam o contexto, a liderança, o planeamento e a operação à monitorização e melhoria das atividades de IA.

Cl. 4

Contexto da organização

Determinar as questões internas e externas, as partes interessadas e o âmbito do sistema de gestão de IA (SGIA).

Cl. 5

Liderança

A gestão de topo demonstra empenho, define a política de IA e atribui funções, responsabilidades e autoridades.

Cl. 6

Planeamento

Identificar riscos e oportunidades, avaliar o impacto da IA e definir objetivos mensuráveis para uma utilização responsável da IA.

Cl. 7

Apoio

Fornecer recursos, competências, sensibilização, comunicação e informação documentada relativa às atividades de IA.

Cl. 8

Operação

Planear, implementar e controlar os processos operacionais de IA, incluindo as avaliações de impacto e a gestão do ciclo de vida.

Cl. 9

Avaliação do desempenho

Monitorizar, medir, analisar e avaliar o desempenho do SGIA através de auditorias internas e revisões pela gestão.

Cl. 10

Melhoria

Gerir as não conformidades e impulsionar de forma estruturada a melhoria contínua do sistema de gestão de IA.

Controlos do Anexo A

Os controlos que tornam o SGIA concreto.

O Anexo A agrupa os controlos em domínios que, em conjunto, permitem demonstrar uma gestão responsável da IA — da política e governação aos dados, ciclo de vida e utilização.

Políticas de IA

  • Política de IA
  • Alinhamento com a organização
  • Revisão periódica

Organização interna

  • Funções e responsabilidades
  • Governação da IA
  • Comunicação de preocupações

Recursos para a IA

  • Recursos de dados
  • Ferramentas e capacidade de computação
  • Conhecimento humano

Avaliação de impacto

  • Impacto do sistema de IA
  • Efeitos nas pessoas
  • Efeitos na sociedade

Ciclo de vida do sistema de IA

  • Conceção e desenvolvimento
  • Verificação e validação
  • Implementação e manutenção

Dados para os sistemas de IA

  • Qualidade dos dados
  • Proveniência dos dados
  • Preparação dos dados

Informação para as partes interessadas

  • Documentação para os utilizadores
  • Comunicação de incidentes
  • Transparência

Utilização dos sistemas de IA

  • Utilização responsável
  • Utilização prevista
  • Gestão da IA de terceiros

Intervenientes da IA

A norma torna-se concreta consoante o tipo de interveniente da IA.

Cada função na cadeia de IA tem as suas próprias responsabilidades. O guia mostra onde deve registar a política, os controlos e as evidências — consoante a sua posição.

Fornecedores de IA

  • Desenvolvimento de modelos
  • Documentação e fichas técnicas
  • Declarações de conformidade

Programadores de IA

  • Práticas de engenharia
  • Testes de enviesamento e robustez
  • Controlo de versões dos modelos

Implementadores de IA

  • Controlos operacionais
  • Monitorização em produção
  • Instruções de utilização

Utilizadores e pessoas afetadas pela IA

  • Sensibilização e formação
  • Canais de feedback
  • Proteção de direitos

Princípios fundamentais

Princípios que mantêm a norma ISO/IEC 42001 prática na sua organização.

Abordagem baseada no risco

As medidas são proporcionais ao risco da IA, com avaliações explícitas de impacto e de risco.

Supervisão humana

As pessoas mantêm o controlo das decisões críticas de IA e podem intervir ou corrigir quando necessário.

Gestão do ciclo de vida

Gerir os sistemas de IA desde o conceito e os dados até à implementação, monitorização e desativação.

Melhoria contínua

As lições aprendidas, as auditorias e a monitorização alimentam melhorias estruturais na política e nos controlos.

Novo

Competência para assistente de IA — implemente o kit com IA, de acordo com as regras

Uma competência instalável para assistentes de IA (como o Claude). Mantém a sua implementação dentro do plano: segue a sequência de passos do kit, utiliza o modelo correto para cada passo, completa os detalhes do controlo documental, completa a declaração de aplicabilidade para todos os 38 controlos do Anexo A e — sobretudo — nunca inventa evidências de auditoria. Inclui uma autoverificação que assinala marcadores de posição por preencher, uma declaração de aplicabilidade incompleta e referências cruzadas quebradas, e faz referência à norma ISO/IEC 42001 apenas pelo número da cláusula e do controlo (nunca o texto da norma).

Dos modelos à certificação

A Fase 1 documenta o seu sistema. A Fase 2 prova que funciona.

O pacote documenta o seu sistema de gestão de IA (preparação para a Fase 1). A Fase 2 da certificação exige também evidências de que o sistema funciona — avaliação de riscos concluída, auditoria interna e revisão pela gestão. O Manual Principal explica exatamente o que as Fases 1 e 2 esperam, para que saiba o que fazer depois de preenchidos os modelos.

Do guia às evidências

Torne a norma ISO/IEC 42001 diretamente aplicável com modelos.

Utilize o pacote para registar a política de IA, os procedimentos, as avaliações de risco e de impacto, o ciclo de vida e as autoavaliações em documentos que a sua equipa pode usar de imediato. Inclui uma correspondência com o Regulamento de IA da UE para ligar o seu trabalho ISO/IEC 42001 às obrigações do Regulamento de IA da UE.

Encomendar o pacote