Scribd
Carregar
114 visualizações7 páginas

A Iso Iec 42001 Resumo

A ISO/IEC 42001:2023 é uma norma internacional que orienta organizações na gestão responsável de sistemas de Inteligência Artificial (IA), aplicável a qualquer entidade que utilize tais sistemas. A norma estabelece requisitos e diretrizes para o desenvolvimento, monitoramento e fornecimento de produtos e serviços de IA, abordando considerações específicas como tomada de decisão automática e aprendizado contínuo. Além disso, promove a integração com outras normas de sistemas de gestão, visando a melhoria contínua e a conformidade com requisitos aplicáveis.

Enviado por

Kaizen_analitico
Direitos autorais
© © All Rights Reserved
Levamos muito a sério os direitos de conteúdo. Se você suspeita que este conteúdo é seu, reivindique-o aqui.
Formatos disponíveis
Baixe no formato PDF, TXT ou leia on-line no Scribd
114 visualizações7 páginas

A Iso Iec 42001 Resumo

A ISO/IEC 42001:2023 é uma norma internacional que orienta organizações na gestão responsável de sistemas de Inteligência Artificial (IA), aplicável a qualquer entidade que utilize tais sistemas. A norma estabelece requisitos e diretrizes para o desenvolvimento, monitoramento e fornecimento de produtos e serviços de IA, abordando considerações específicas como tomada de decisão automática e aprendizado contínuo. Além disso, promove a integração com outras normas de sistemas de gestão, visando a melhoria contínua e a conformidade com requisitos aplicáveis.

Enviado por

Kaizen_analitico
Direitos autorais
© © All Rights Reserved
Levamos muito a sério os direitos de conteúdo. Se você suspeita que este conteúdo é seu, reivindique-o aqui.
Formatos disponíveis
Baixe no formato PDF, TXT ou leia on-line no Scribd

A ISO/IEC 42001:2023 é uma Norma Internacional focada em

Tecnologia da Informação – Inteligência Artificial – Sistema de Gestão. Publicada em


dezembro de 2023, sua primeira edição visa auxiliar as organizações a gerenciar de forma
responsável os sistemas de Inteligência Artificial (IA).

Propósito e Abrangência: O documento foi desenvolvido para ajudar as organizações a


desempenhar seu papel de forma responsável em relação aos sistemas de IA, seja no uso,
desenvolvimento, monitoramento ou fornecimento de produtos e serviços que utilizam IA.
É aplicável a qualquer organização, independentemente de seu porte, tipo ou natureza, que
utilize produtos ou serviços que empreguem sistemas de IA. A norma busca apoiar a
organização na busca de seus objetivos e no cumprimento dos requisitos aplicáveis,
obrigações relacionadas às partes interessadas e suas expectativas.

Considerações Específicas da IA: A norma destaca que a IA pode levantar considerações


específicas que vão além da gestão de sistemas de TI clássicos. Dentre elas, destacam-se:

• Tomada de decisão automática: A IA pode realizar decisões de forma não


transparente e não explicável, exigindo gestão específica.

• Aprendizado de máquina: O uso de análise de dados, insights e aprendizado de


máquina para projetar sistemas aumenta as oportunidades de aplicação da IA e
muda a forma como esses sistemas são desenvolvidos, justificados e implantados.

• Aprendizado contínuo: Sistemas de IA que realizam aprendizado contínuo mudam


seu comportamento durante o uso, exigindo consideração especial para garantir o
uso responsável com a mudança de comportamento.

Estrutura e Compatibilidade com Outras Normas: A ISO/IEC 42001:2023 aplica uma


estrutura harmonizada (números de cláusula idênticos, títulos de cláusula, texto e termos
comuns e definições centrais) para melhorar o alinhamento entre as normas de sistemas
de gestão (MSS). Essa abordagem comum facilita a implementação e a consistência com
outras normas de sistemas de gestão, como as relacionadas a qualidade, segurança e
privacidade. O sistema de gestão de IA fornece requisitos específicos para gerenciar os
problemas e riscos decorrentes do uso da IA em uma organização.
Conteúdo Detalhado por Cláusula:

• 1 Escopo :

Define o que o documento especifica: requisitos e orientações para estabelecer,


implementar, manter e melhorar continuamente um sistema de gestão de IA dentro do
contexto de uma organização.

• 2 Referências Normativas :

Indica que os documentos listados, como a ISO/IEC 22989:2022 (Tecnologia da Informação


– Inteligência Artificial – Conceitos e terminologia), são referenciados no texto e seus
conteúdos constituem requisitos da ISO/IEC 42001:2023.

• 3 Termos e Definições :

Apresenta termos e definições essenciais, além dos já contidos na ISO/IEC 22989,


incluindo "organização" , "parte interessada" , "alta direção" , "sistema de gestão" ,
"política" , "objetivo" , "risco" , "processo" , "competência" , "informação documentada" ,
"desempenho" , "melhoria contínua" , "eficácia" , "requisito" , "conformidade" , "não
conformidade" , "ação corretiva" , "auditoria" , "medição" , "monitoramento" , "controle" ,
"órgão de governo" , "segurança da informação" , "avaliação de impacto do sistema de IA" ,
"qualidade de dados" e "declaração de aplicabilidade".

• 4 Contexto da Organização:

o 4.1 Compreendendo a organização e seu contexto :

A organização deve determinar as questões externas e internas relevantes para seu


propósito e que afetam sua capacidade de alcançar os resultados pretendidos do sistema
de gestão de IA. Isso inclui considerar o propósito dos sistemas de IA e os papéis da
organização em relação a eles (por exemplo, provedor de IA, desenvolvedor, usuário,
avaliador de impacto).

o 4.2 Compreendendo as necessidades e expectativas das partes


interessadas :

A organização deve identificar as partes interessadas relevantes para o sistema de gestão


de IA, seus requisitos e quais desses requisitos serão abordados pelo sistema.

o 4.3 Determinando o escopo do sistema de gestão de IA :


A organização deve definir os limites e a aplicabilidade do sistema, considerando as
questões internas e externas e os requisitos das partes interessadas. O escopo deve ser
documentado.

o 4.4 Sistema de gestão de IA :

A organização deve estabelecer, implementar, manter, melhorar continuamente e


documentar um sistema de gestão de IA, incluindo os processos necessários e suas
interações.

• 5 Liderança:

o 5.1 Liderança e compromisso :

A alta direção deve demonstrar liderança e compromisso garantindo que a política e os


objetivos de IA sejam estabelecidos, que os requisitos do sistema de gestão de IA sejam
integrados aos processos de negócios da organização, que os recursos necessários
estejam disponíveis, que a importância da gestão eficaz de IA seja comunicada, entre
outros.

o 5.2 Política de IA :

A alta direção deve estabelecer uma política de IA que seja apropriada ao propósito da
organização, forneça uma estrutura para definir objetivos de IA, inclua um compromisso
com requisitos aplicáveis e com a melhoria contínua. A política deve ser documentada,
comunicada internamente e, quando apropriado, disponível para as partes interessadas.

o 5.3 Papéis, responsabilidades e autoridades :

A alta direção deve garantir que as responsabilidades e autoridades para os papéis


relevantes sejam atribuídas e comunicadas na organização, incluindo a conformidade do
sistema de gestão de IA com os requisitos da norma e o relato de desempenho à alta
direção.

• 6 Planejamento:

o 6.1 Ações para abordar riscos e oportunidades :

A organização deve determinar riscos e oportunidades considerando as questões internas


e externas e os requisitos das partes interessadas para garantir que o sistema de gestão de
IA alcance seus resultados pretendidos, previna ou reduza efeitos indesejados e promova
a melhoria contínua. Critérios de risco de IA devem ser estabelecidos. A organização deve
planejar ações para abordar esses riscos e oportunidades, integrá-las aos processos do
sistema de gestão de IA e avaliar sua eficácia.

o 6.1.2 Avaliação de risco de IA :

A organização deve definir e estabelecer um processo de avaliação de risco de IA que seja


alinhado com a política e objetivos de IA, que produza resultados válidos e comparáveis
em avaliações repetidas, identifique riscos para alcançar os objetivos e analise e avalie os
riscos.

o 6.1.3 Tratamento de risco de IA :

Com base nos resultados da avaliação de risco, a organização deve definir um processo de
tratamento de risco de IA, selecionando opções apropriadas, determinando os controles
necessários (incluindo os do Anexo A e adicionais), formulando um plano de tratamento de
risco de IA e obtendo aprovação da gestão.

o 6.1.4 Avaliação de impacto do sistema de IA :

A organização deve definir um processo para avaliar as potenciais consequências para


indivíduos, grupos de indivíduos e sociedades decorrentes do desenvolvimento,
fornecimento ou uso de sistemas de IA, documentando os resultados.

o 6.2 Objetivos de IA e planejamento para alcançá-los :

A organização deve estabelecer objetivos de IA em funções e níveis relevantes, que sejam


consistentes com a política de IA, mensuráveis (se praticável), que considerem requisitos
aplicáveis, sejam monitorados, comunicados, atualizados e disponíveis como informação
documentada. Deve determinar o que será feito, os recursos necessários, os responsáveis,
o prazo e como os resultados serão avaliados.

o 6.3 Planejamento de mudanças :

As mudanças no sistema de gestão de IA devem ser realizadas de forma planejada.

• 7 Suporte:

o 7.1 Recursos :

A organização deve determinar e fornecer os recursos necessários para o estabelecimento,


implementação, manutenção e melhoria contínua do sistema de gestão de IA.

o 7.2 Competência :
A organização deve determinar a competência necessária das pessoas que realizam
trabalhos sob seu controle que afetam o desempenho da IA, garantir que essas pessoas
sejam competentes e, onde aplicável, tomar ações para adquirir a competência necessária
e avaliar a eficácia das ações.

o 7.3 Conscientização :

As pessoas que trabalham sob o controle da organização devem estar cientes da política
de IA, sua contribuição para a eficácia do sistema de gestão de IA e as implicações de não
conformidade com os requisitos.

o 7.4 Comunicação :

A organização deve determinar as comunicações internas e externas relevantes para o


sistema de gestão de IA, incluindo o que, quando, com quem e como comunicar.

o 7.5 Informação documentada :

O sistema de gestão de IA da organização deve incluir informações documentadas exigidas


pela norma e aquelas determinadas como necessárias para a eficácia do sistema. Deve
haver controle sobre a criação, atualização e controle da informação documentada.

• 8 Operação:

o 8.1 Planejamento e controle operacional :

A organização deve planejar, implementar e controlar os processos necessários para


atender aos requisitos e implementar as ações determinadas na Cláusula 6.

o 8.2 Avaliação de risco de IA :

A organização deve realizar avaliações de risco de IA em intervalos planejados ou quando


ocorrem mudanças significativas, retendo informações documentadas dos resultados.

o 8.3 Tratamento de risco de IA :

A organização deve implementar o plano de tratamento de risco de IA e verificar sua


eficácia, revisando e revalidando as opções de tratamento quando não forem eficazes.

o 8.4 Avaliação de impacto do sistema de IA :

A organização deve realizar avaliações de impacto do sistema de IA em intervalos


planejados ou quando ocorrem mudanças significativas, retendo informações
documentadas dos resultados.
• 9 Avaliação de Desempenho:

o 9.1 Monitoramento, medição, análise e avaliação :

A organização deve determinar o que precisa ser monitorado e medido, os métodos para
monitoramento, medição, análise e avaliação, e quando essas atividades devem ser
realizadas. Deve avaliar o desempenho e a eficácia do sistema de gestão de IA.

o 9.2 Auditoria interna :

A organização deve conduzir auditorias internas em intervalos planejados para fornecer


informações sobre se o sistema de gestão de IA está em conformidade com os requisitos
próprios da organização e os da norma, e se está efetivamente implementado e mantido.

o 9.3 Análise crítica pela direção :

A alta direção deve revisar o sistema de gestão de IA em intervalos planejados para garantir
sua contínua adequação e eficácia. A análise deve incluir informações sobre o status de
ações anteriores, mudanças em questões internas/externas e expectativas das partes
interessadas, e desempenho do sistema de gestão de IA.

• 10 Melhoria:

o 10.1 Melhoria contínua :

A organização deve melhorar continuamente a adequação, suficiência e eficácia do


sistema de gestão de IA.

o 10.2 Não conformidade e ação corretiva :

Quando uma não conformidade ocorre, a organização deve reagir, tomar ações para
controlar e corrigir, lidar com as consequências, avaliar a necessidade de ações para
eliminar a causa(s) da não conformidade, implementar qualquer ação necessária e revisar
a eficácia das ações corretivas.
Anexos de Suporte:

• Anexo A (normativo) – Objetivos de controle de referência e controles :

Fornece uma referência de controles para a organização atender aos objetivos


organizacionais e abordar os riscos relacionados ao projeto e operação de sistemas de IA.
Inclui tópicos como políticas relacionadas à IA (A.2), organização interna (A.3), recursos
para sistemas de IA (A.4), avaliação de impactos de sistemas de IA (A.5), ciclo de vida do
sistema de IA (A.6), dados para sistemas de IA (A.7), informações para partes interessadas
de sistemas de IA (A.8), uso de sistemas de IA (A.9) e relacionamentos com terceiros e
clientes (A.10).

• Anexo B (normativo) – Orientação para a implementação de controles de IA :

Apresenta orientações detalhadas para a implementação dos controles listados no Anexo


A. As orientações são um ponto de partida para desenvolver a implementação específica
da organização, podendo ser estendidas ou modificadas.

• Anexo C (informativo) – Potenciais objetivos organizacionais e fontes de risco


relacionados à IA :

Descreve potenciais objetivos organizacionais (como responsabilidade, expertise em IA,


disponibilidade e qualidade de dados de treinamento e teste, impacto ambiental,
imparcialidade, manutenibilidade, privacidade, robustez, segurança e explicabilidade) e
fontes de risco (como complexidade do ambiente, falta de transparência e explicabilidade,
nível de automação, fontes de risco relacionadas a aprendizado de máquina, problemas
de hardware do sistema, problemas de ciclo de vida do sistema e prontidão da tecnologia)
que podem ser considerados na gestão de riscos.

• Anexo D (informativo) – Uso do sistema de gestão de IA em diferentes domínios ou


setores :

Ilustra a aplicabilidade da norma em diversos setores como saúde, defesa, transporte,


finanças, emprego e energia. Destaca a importância da integração do sistema de gestão de
IA com outras normas de sistemas de gestão genéricas ou específicas de setores (como
ISO/IEC 27001 para segurança da informação, ISO/IEC 27701 para privacidade e ISO 9001
para qualidade).

Você também pode gostar