Home Blog Você está em conformidade com a ISO/IEC 42001?

Você está em conformidade com a ISO/IEC 42001?

por Monica Magnardini - Medical Device Compliance Expert | Biomedical Engineer @PQE Group

Ciberseguranca

Saiba mais

Encontre a solução mais adequada para sua empresa.

Entre em contacto

Este artigo explora o surgimento da norma ISO/IEC 42001 como uma resposta aos desafios colocados pelo rápido avanço da inteligência artificial (IA). Por meio de um exame abrangente dos principais requisitos da norma e sua compatibilidade com os padrões existentes do sistema de gerenciamento, o artigo destaca sua importância na promoção do uso responsável e ético da IA. Ao enfatizar a transparência, a responsabilidade e a mitigação de riscos, a ISO/IEC 42001 estabelece uma estrutura global para sistemas de gerenciamento de IA. O artigo conclui ressaltando a importância estratégica de alcançar a conformidade com a ISO/IEC 42001 e o papel de organizações como o PQE Group no apoio a esse esforço.

Estamos no alvorecer da regulamentação para o uso responsável da inteligência artificial (IA). O contexto histórico-normativo em que vivemos ainda está "vacilando" nas questões relacionadas ao uso e desenvolvimento da IA porque o progresso tecnológico é muito rápido em comparação com o regulatório, que luta para acompanhar.

O AI Risk Management Framework foi publicado pelo NIST em março de 2023. O presidente Biden emitiu a Ordem Executiva sobre Inteligência Artificial Segura, Segura e Confiável em 30 de outubro. Entretanto, o Conselho da União Europeia e o Parlamento Europeu chegaram a acordo sobre a Regulamentação da Inteligência Artificial (AI Act).

Por essas razões, a ISO e a IEC desenvolveram a norma ISO/IEC 42001 como uma resposta ao aumento da IA e seus desafios.

 
AI ISO 42001_Site Banner

Aplicável a todos os tipos de empresas em qualquer indústria, a ISO/IEC 42001 é a primeira norma internacional certificável de sistema de gestão para IA.

A norma estabelece requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gerenciamento de IA. O objetivo da norma é garantir que os sistemas sejam desenvolvidos e utilizados de forma responsável:

  • Promover o desenvolvimento e o uso de sistemas de IA confiáveis, transparentes e responsáveis;
  • Enfatizar princípios e valores éticos no uso de sistemas de IA, como justiça, não discriminação e respeito à privacidade;
  • Ajudar as organizações a identificar e mitigar riscos relacionados à implementação de IA, garantindo que medidas de mitigação apropriadas sejam tomadas;
  • Incentivar as organizações a priorizar o bem-estar humano, a segurança e a experiência do usuário no design e na implementação de IA;
  • Auxiliar as organizações no cumprimento de leis e regulamentos de proteção de dados ou obrigações para com as partes interessadas.

 

Compatibilidade com outros padrões do sistema de gestão

Esta norma foi elaborada de forma a facilitar a integração com outras normas de sistemas de gestão já amplamente estabelecidas, tais como ISO/IEC 27001:2022, ISO/IEC 27701:2019, ISO 9001:2015, ISO 13485:2016 etc., sem exigir a sua implementação como pré-requisito. Esse aspecto sugere que os modelos organizacionais adotam uma abordagem holística, com cada sistema perseguindo um objetivo particular.

Além da ISO/IEC 27001:2022 e outras normas da família ISO/IEC 2001, ela também dá estrutura a requisitos, análises de risco e controles.

 

Requisito chave da norma

Os três primeiros pontos da norma, seguindo a estrutura das normas ISO, dizem respeito, respectivamente, "Finalidade, Referências Normativas, Termos e Definições". A partir do quarto ponto-padrão, encontramos:

  • Contexto da Organização: compreender fatores internos e externos, entender as necessidades e expectativas dos stakeholders, determinar os objetivos relacionados à IA e, portanto, o propósito do sistema de gestão de IA dentro da organização;
  • Liderança: comprometimento, responsabilidade e promoção de uma cultura informada de IA;
  • Planejamento: identificação das oportunidades e riscos da IA, definição de objetivos e planejamento de ações para mitigação e resposta a riscos relacionados à IA;
  • Suporte: fornecer os recursos, habilidades, conscientização e comunicação necessários para o gerenciamento responsável de IA;
  • Operação: implantação de sistemas de IA, gerenciamento de dados, monitoramento de desempenho e gestão de riscos;
  • Avaliação de Desempenho: monitoramento e mensuração do desempenho da IA, avaliação em relação aos objetivos e realização de revisões gerenciais;
  • Melhoria: tomar medidas contínuas para melhorar os sistemas de IA e o próprio Sistema de Gestão de IA, com base em avaliação e feedback, avaliando eventuais não conformidades e definindo ações preventivas e corretivas.

 

E os anexos?

A norma é composta por quatro anexos, e abaixo está uma breve explicação de cada anexo.

Anexo A da norma descreve 39 controles (estruturados como controles e objetivos de controle) que ajudam as organizações a atingir seus objetivos relacionados ao uso de IA e abordar ameaças identificadas no processo de avaliação de risco de IA durante o projeto, desenvolvimento e operação do sistema de IA.

À semelhança da norma ISO/IEC 27001, não existe qualquer obrigação de utilizar os controlos enumerados no presente anexo.

Eles são destinados a servir como referência, e cada organização é livre para projetar e implementar seu próprio conjunto de controles com base em seu contexto.

Em vez disso, o anexo B fornece orientações para a execução dos controlos enumerados no anexo A, incluindo os processos de gestão de dados.

Anexo C trata dos objetivos e fontes de risco que as organizações devem considerar. A responsabilidade de determinar os objetivos relevantes e as fontes de risco é de cada organização.

Finalmente, o Anexo D explora o uso de um sistema de gestão de IA em vários domínios ou setores (por exemplo, saúde, defesa, finanças) e trata da integração desse sistema com outros.

 

Alcançando a conformidade com a ISO/IEC 42001

A conformidade com a ISO/IEC 42001:2023 é um passo estratégico para as organizações que visam garantir que seus sistemas de IA sejam gerenciados de forma ética, segura e transparente.

A seguir estão as etapas necessárias que uma organização deve executar para obter conformidade:

  1. Realize uma Gap Analysis na documentação do seu sistema de gestão: nesta fase, é importante identificar as práticas atuais em relação aos requisitos da ISO 42001 para entender onde as mudanças são necessárias;
  2. Desenvolver um Sistema de Gestão de IA, o que significa integrar um sistema de gestão de IA com os processos organizacionais existentes;
  3. Realizar avaliações de risco e impacto no sistema de IA regularmente para identificar riscos potenciais e impactos relativos;
  4. Implementar políticas e/ou procedimentos de IA para cobrir os seguintes aspectos de IA: ética, proteção de dados e privacidade;
  5. Documentar todos os processos;
  6. Preparar-se para a auditoria externa para obter a certificação.

O PQE Group pode apoiar sua organização com todas as fases acima para obter a certificação ISO 42001 realizando uma avaliação de lacunas em sua documentação, fornecendo políticas ou procedimentos ou ajudando a organização implementando um processo robusto de gerenciamento de riscos de IA.

É claro que, após a obtenção da certificação, será importante manter a conformidade com a norma. Para fazer isso, a organização precisará acompanhar as mudanças nas leis e regulamentos e garantir que as políticas e os procedimentos sejam mantidos atualizados. Além disso, certifique-se de que auditorias internas regulares serão agendadas e que os funcionários serão treinados neste campo.

 

Conclusão

Em conclusão, o desenvolvimento da norma ISO/IEC 42001 marca um momento crucial na regulamentação da IA. À medida que as organizações navegam no cenário complexo da implementação de IA, esse padrão fornece uma estrutura abrangente para garantir o uso responsável e ético. Ao priorizar a transparência, a responsabilidade e o bem-estar humano, a ISO/IEC 42001 estabelece um novo padrão para sistemas de gerenciamento de IA em todo o mundo. Com o apoio de organizações como o PQE Group, alcançar a conformidade com a ISO/IEC 42001 não é apenas um requisito regulatório, mas um imperativo estratégico para organizações comprometidas com práticas éticas de IA.

Deseja saber mais?

A equipe da PQE Group é composta por especialistas experientes e qualificados em equipes multidisciplinares, disponíveis para apoiar a sua empresa a alcançar os mais altos níveis de segurança para os seus sistemas.

 

Visite nossa página de serviços de Governança Digital para saber mais ou para entrar em contato conosco e encontrar a solução mais adequada para sua empresa.

Entre em contacto

Mais sobre este tópico

Ciberseguranca
Saúde Digital: Segurança da Informação na Área da Saúde
19 mar 2024

Saúde Digital: Segurança da Informação na Área da Saúde

Desafios e estratégias de cibersegurança na área da saúde no Brasil, incluindo a venda de dados confidenciais na dark web. Saiba como proteger seus dados

Ciberseguranca
Como implantar o MES com eficiência
16 mai 2023

Como implantar o MES com eficiência

Você sabe como implantar um MES de forma eficiente? Leia nosso artigo para saber mais sobre o assunto.

Ciberseguranca
Dia Mundial do Backup
05 mai 2023

Dia Mundial do Backup

Você tem um backup de seus dados? Durante o Dia Mundial do Backup, criamos um guia passo a passo sobre como garantir que seus dados estejam seguros.