Pular para o conteúdo
Governança e Conformidade

O que é a ISO/IEC 42001 (norma de gestão de IA)?

A ISO/IEC 42001 é a primeira norma internacional certificável para a gestão de inteligência artificial. Publicada em 2023 pela ISO e pela IEC, ela define como uma organização deve construir um Sistema de Gestão de IA (AIMS): política de uso, avaliação de risco e de impacto, controles e melhoria contínua sobre todo o ciclo de vida da IA. É, para a IA, o equivalente do que a ISO/IEC 27001 é para a segurança da informação: uma empresa pode ser auditada por um terceiro independente e obter a certificação para comprovar que usa IA de forma responsável.

Zamak TechnologiesAtualizado em 10 de julho de 2026

Como a ISO/IEC 42001 funciona na prática

A norma não é uma ferramenta que se instala, e sim um sistema de gestão que a empresa constrói e mantém sobre o uso de IA, no mesmo modelo de melhoria contínua (planejar, fazer, checar, agir) das outras normas ISO. O ciclo tem quatro peças.

1

Definir a política e a responsabilidade

A empresa coloca por escrito para que usa IA, o que é permitido, quem aprova cada ferramenta e quem responde pelo programa. Sem dono e sem regra, não há sistema de gestão.

2

Avaliar risco e impacto da IA

Cada uso de IA passa por uma avaliação de risco e de impacto: que dado entra, que decisão a IA influencia, quem pode ser afetado. É o que separa uma norma de IA de uma norma só de segurança.

3

Aplicar os controles e registrar a evidência

A partir do Anexo A da norma, a empresa seleciona os controles aplicáveis, os coloca em prática e guarda a prova de que funcionam, numa Declaração de Aplicabilidade.

4

Auditar, certificar e melhorar

Um organismo de certificação independente audita o sistema em duas etapas (documentação e operação). Aprovado, emite o certificado; o ciclo então se repete para melhorar continuamente.

Fonte: ISO/IEC 42001:2023 (Sistema de Gestão de Inteligência Artificial) e o modelo de sistemas de gestão da ISO.

O que um Sistema de Gestão de IA (AIMS) cobre

  • Política e governança de IA As regras de uso, os papéis e a prestação de contas: quem decide, quem aprova ferramentas e quem responde pelo resultado.
  • Avaliação de risco e de impacto Um método repetível para julgar cada uso de IA antes de liberá-lo, incluindo o impacto sobre as pessoas e sobre o negócio.
  • Controles do Anexo A Um catálogo de controles de referência (dados, transparência, supervisão humana, ciclo de vida) dos quais a empresa escolhe os aplicáveis e comprova a adoção.
  • Gestão de dados e de ciclo de vida Regras sobre os dados que alimentam a IA e sobre cada fase da vida do sistema, do projeto ao descarte.
  • Melhoria contínua e certificação Auditoria periódica, correção do que falha e a certificação por um terceiro como prova externa de que o programa existe e funciona.

Por que a ISO/IEC 42001 virou o selo de IA confiável que o mercado passou a exigir

63%
das organizações que sofreram um vazamento não tinham nenhuma política de governança de IA (IBM, Custo de uma Violação de Dados 2025)
20%
dos vazamentos foram ligados ao uso não autorizado de IA, o shadow AI (IBM, 2025)
US$ 670 mil
o custo extra médio que um incidente de shadow AI acrescenta a um vazamento (IBM, 2025)

A adoção de IA correu na frente da governança, e o mercado reagiu. Assim como a ISO/IEC 27001 virou pré-requisito em compras de tecnologia, a ISO/IEC 42001 está se tornando o selo que grandes compradores pedem antes de fechar contrato: em vez de perguntar se a sua IA é segura, o cliente passou a perguntar se você é certificado em ISO 42001. Por ser internacional, ela vale como uma única prova diante de reguladores e clientes em vários mercados ao mesmo tempo, das Américas à Europa e à Ásia, onde novas leis de IA (como a lei de IA da União Europeia) cobram justamente governança demonstrável. Para o negócio, a certificação deixa de ser custo e vira diferencial que abre portas.

Como uma empresa se prepara para a ISO/IEC 42001

Preparar-se para a norma é menos sobre um certificado de última hora e mais sobre passar a governar o uso de IA que já acontece na empresa. O caminho mais direto:

  1. Enxergue qual IA a empresa já usaAntes de qualquer política, é preciso ver o shadow AI: qual ferramenta cada setor usa, com que dado. O que não se vê não se governa.
  2. Escreva a política e nomeie o donoUma regra clara de uso e uma pessoa responsável pelo programa. É a base que a norma exige e que a maioria das empresas ainda não tem.
  3. Avalie risco e aplique os controlesRode a avaliação de risco e de impacto, selecione os controles do Anexo A e comece a coletar a evidência de que eles funcionam.
  4. Trate como postura contínuaA certificação não é uma foto, é um filme: a evidência é coletada de forma contínua, não montada às pressas na véspera da auditoria.
  5. Só então busque a certificaçãoCom o sistema rodando, um organismo independente audita e certifica. Chegar ao auditor com o sistema já vivo encurta o caminho.

Na prática

A pergunta que revela o risco real: se um cliente grande exigisse a certificação de IA amanhã como condição de contrato, a empresa saberia por onde começar, ou descobriria que nunca escreveu uma linha de política de IA?

Como a Zamak trata a conformidade com a ISO/IEC 42001

A Zamak Technologies apoia a jornada rumo à ISO/IEC 42001 como parte da Governança e Conformidade do Método Zamak: política de uso de IA, classificação de dados, avaliação de risco, aprovação de ferramentas e evidência auditável sobre uma plataforma de conformidade. Vale a distinção honesta: a norma documenta e comprova o uso responsável de IA, ela não bloqueia tecnicamente o dado de sair, o que é uma camada de defesa técnica dimensionada à parte. Um bom ponto de partida é o autodiagnóstico de exposição à IA, que mostra em minutos onde a empresa está mais exposta.

Perguntas frequentes sobre a ISO/IEC 42001

A ISO/IEC 42001 é obrigatória?
Não. Ela é uma norma voluntária. Mas, como acontece com a ISO/IEC 27001 na segurança da informação, grandes clientes e setores regulados cada vez mais a exigem em contrato, o que a torna obrigatória na prática para quem quer vender para eles.
Qual a diferença entre o NIST AI RMF e a ISO/IEC 42001?
O NIST AI RMF é um framework voluntário e gratuito, criado nos Estados Unidos, que dá uma linguagem comum e um processo para gerir risco de IA, sem certificação. A ISO/IEC 42001 é uma norma internacional certificável: um terceiro independente audita e emite um certificado. Muitas empresas usam o NIST AI RMF para estruturar a gestão de risco e buscam a ISO 42001 para ter a prova externa e certificável. Os dois se complementam.
Preciso ter IA própria para adotar a norma?
Não. A ISO/IEC 42001 vale para quem desenvolve, fornece ou apenas usa sistemas de IA. Uma empresa que só usa ferramentas de IA de terceiros também tem um sistema de gestão de IA para cuidar.
Quanto tempo leva para se certificar?
Depende do tamanho e da maturidade da empresa, mas o tempo é dominado pela preparação: construir a política, avaliar os riscos e coletar a evidência. A auditoria em si acontece em duas etapas, e o certificado precisa ser mantido com auditorias periódicas.
A certificação garante que a nossa IA nunca vai falhar?
Não. Nenhuma norma elimina o risco. A ISO/IEC 42001 comprova que a empresa gere o risco de IA de forma estruturada e melhora continuamente, o que reduz a chance e o impacto de um incidente, não o zera.
Adotar a norma trava a produtividade do time?
Não é esse o objetivo. A norma ajuda a decidir e a provar o uso de IA, não a proibir a IA. Bem aplicada, ela dá ao time liberdade para usar IA com regras claras, em vez de cada um improvisar por conta própria.

Termos relacionados

Continue explorando

Ver o índice completo →
Endpoint e Identidade
MFAPAM (acesso privilegiado)SSO (login único)
Detecção e Resposta
EDRMDRXDRMITRE ATT&CKSIEMSOC (centro de operações)
Rede e Acesso
ZTNAFirewallVPNSASE
Governança e Conformidade
LGPDISO 27001SOC 2NIST CSFShadow ITAvaliação de maturidade cibernéticaHIPAAPCI DSSGDPRCMMCCIS ControlsISO 42001 (gestão de IA)NIST AI RMFNIST 800-171FTC SafeguardsISO 27701 (privacidade)FedRAMPGRC (governança, risco, conformidade)vCIOvCISO
Conceitos e Fundamentos
Deep webZero TrustDefesa em profundidadeSuperfície de ataqueEndpointMenor privilégio
IA e Segurança
Shadow AIGovernança de IAInjeção de promptOWASP LLM Top 10Deepfake