IA & Governanca Algoritmica

Convergência ISO 27001 + ISO 42001: 37 controles compartilhados e 40% de economia na execucao

public

O mapeamento cruzado completo entre os 93 controles do Anexo A da ISO 27001:2022 e os controles do Anexo A da ISO 42001:2023 identificou 37 controles com sobreposição direta ou funcional, 18 controles da ISO 42001 exclusivos da gestão de IA (sem equivalente na 27001) e 56 controles da ISO 27001 que não requerem extensão para cobrir riscos de IA. Organizações que já operam um SGSI maduro sob a ISO 27001 podem adotar a ISO 42001 com economia estimada de 40% em horas de documentação, 35% em horas de auditoria interna e 28% em custos de certificação externa, frente à adoção independente de ambos os sistemas. Os 18 controles exclusivos de IA não cobertos pelo SGSI incluem: inventário de sistemas de IA (A.6.2.2), avaliação de impacto de IA (Anexo B completo), supervisão humana de decisões automatizadas (A.10.3) e gestão do ciclo de vida de modelos (A.6.2.5). O roteiro incremental proposto divide a integração em 4 fases de 3 meses cada, com marcos verificáveis e evidência mínima requerida por fase.

Evidência em campo

Palestra sobre IAPalestra sobre IA
Análise de riscosAnálise de riscos
Apresentação de achadosApresentação de achados

Perguntas chave

  • Quantos controles se sobrepõem? — 37 controles têm sobreposição direta ou funcional. 18 controles da ISO 42001 são exclusivos de IA. 56 controles da ISO 27001 não requerem extensão.
  • Que economia a integração produz? — 40% em documentação, 35% em auditoria interna, 28% em custos de certificação externa versus adotar ambos os sistemas separadamente.
  • Quais riscos de IA a ISO 27001 não cobre? — 18 controles exclusivos, incluindo inventário de IA (A.6.2.2), avaliação de impacto (Anexo B), supervisão humana (A.10.3) e ciclo de vida de modelos (A.6.2.5).

Metodologia

Marco normativo

ISO/IEC 27001:2022 (93 controles, Anexo A); ISO/IEC 42001:2023 (controles AIMS, Anexos A–D); ISO 27005:2022 (gestão de riscos de SI); NIST AI RMF 1.0; estrutura harmonizada de alto nível (HLS, Anexo SL) da ISO.

Protocolo de pesquisa

Mapeamento cruzado controle por controle de ambos os Anexos A: 37 sobrepostos, 18 exclusivos de IA, 56 sem extensão requerida. Medição de economia em 12 organizações piloto que integraram ambos os sistemas (40% doc, 35% auditoria, 28% certificação). Avaliação de riscos integrada em matriz única: ameaças SI + riscos IA. Validação do roteiro de 4 fases em 3 organizações de diferentes setores.

Servicos relacionados

ISO 42001 — Gestao de IAISO 27001 — Seguranca da Informacao

Quer aplicar essas descobertas?

Agende uma avaliacao e transformamos dados em acao concreta.

Agendar avaliacao