A.2.2: Política de IA
A.5.1: Políticas de segurança da informação
Sobreposição Parcial
O comitê unificado de governança pode incorporar a Política de IA como anexo específico ou capítulo dedicado das políticas de segurança existentes, evitando redundâncias em processos de governança de topo.
A.2.3: Alinhamento com outras políticas
A.5.1: Políticas de segurança da informação
Sobreposição Parcial
O comitê jurídico e de segurança unifica as diretrizes corporativas globais, correlacionando regras éticas de IA com a governança corporativa de TI e riscos de mercado.
A.2.4: Revisão da política de IA
A.5.1: Políticas de segurança da informação
Sobreposição Direta
O ciclo anual formal de revisão documental unificada de segurança engloba automaticamente a política de IA, utilizando os mesmos fluxos eletrônicos de aprovação da gerência.
A.3.2: Papéis e responsabilidades para IA
A.5.2: Papéis e responsabilidades; A.5.3: Segregação de funções
Extensão de Escopo
A matriz unificada de papéis de segurança e tecnologia é expandida para formalizar o System Owner e as atribuições de cientistas de dados no ciclo de engenharia de aprendizado de máquina.
A.3.3: Relato de preocupações
A.6.3: Conscientização de segurança; A.5.24: Gerenciamento de incidentes
Extensão de Escopo
O canal corporativo de ouvidoria de ética e os sistemas internos de compliance devem ser preparados para processar e triar especificamente denúncias éticas e técnicas associadas à IA.
A.4.2: Documentação de recursos
A.5.9: Inventário de ativos; A.5.10: Uso aceitável de ativos
Extensão de Escopo
O inventário geral de ativos do SGSI deve passar por atualização substancial para abranger modelos matemáticos, pipelines de ETL, endpoints de APIs de IA e nós computacionais integrados ao ecossistema.
A.4.3: Recursos de dados
A.5.12: Classificação de informações; A.8.10: Exclusão de informações
Sobreposição Parcial
Os pipelines estruturados de coleta e limpeza de dados de IA devem obedecer às diretrizes globais do SGSI quanto a restrições legais de confidencialidade e regras rígidas de eliminação de dados obsoletos de usuários.
A.4.4: Recursos de ferramentas
A.8.9: Gerenciamento de configurações
Sobreposição Direta
O processo do SGSI de inventário e escaneamento de vulnerabilidades em ferramentas corporativas passa a cobrir nativamente as bibliotecas Git, imagens Docker de MLOps e Jupyter Notebooks.
A.4.5: Recursos de sistema e computação
A.8.14: Redundância e resiliência computacional
Sobreposição Direta
Os planos corporativos de recuperação de desastres e alta disponibilidade aplicam-se diretamente às instâncias que sustentam os servidores dedicados ao processamento do modelo.
A.4.6: Recursos humanos
A.6.1: Recrutamento de pessoal; A.6.2: Termos de contratação; A.6.3: Conscientização
Sobreposição Parcial
O programa corporativo global de treinamento em segurança da informação passa a incluir blocos dedicados à ética computacional, segurança de prompts e limitações de acurácia da IA.
A.5.2: Processo de avaliação de impacto
Sem Equivalente Direto
Nova Exigência
A avaliação de riscos corporativos do SGSI deve ser expandida para cobrir impactos éticos e sociais de IA (AIIA), integrando esses resultados como fatores prioritários de decisão corporativa.
A.5.3: Documentação das avaliações
Sem Equivalente Direto
Nova Exigência
O comitê de governança mantém as avaliações de impacto arquivadas sob a mesma disciplina de rastreabilidade, histórico e proteção de dados confidenciais implementada para documentos confidenciais do SGSI.
A.5.4: Avaliação de impactos individuais
A.5.34: Privacidade e proteção de dados pessoais
Sobreposição Direta
As avaliações de danos a direitos individuais das pessoas e violações de privacidade integram-se diretamente aos fluxos existentes de mitigação de riscos de PII executados pelo SGSI.
A.5.5: Avaliação de impactos sociais
Sem Equivalente Direto
Nova Exigência
Avaliação de riscos socioambientais e impacto macroeconômico, sem equivalente no SGSI de segurança clássica.
A.6.1.2: Objetivos para desenvolvimento
A.8.25: Ciclo de vida de desenvolvimento seguro
Extensão de Escopo
Os objetivos formais de segurança de código do SGSI passam a incorporar metas explícitas de transparência matemática, taxas de confiança e alinhamento ético do algoritmo.
A.6.1.3: Processos para design responsável
A.8.25: Desenvolvimento seguro; A.8.29: Segurança do código
Extensão de Escopo
As rotinas corporativas de testes estáticos e dinâmicos de segurança no pipeline de DevOps passam a auditar vieses e verificar o comportamento algorítmico frente a novos cenários de uso.
A.6.2.2: Requisitos do ciclo de vida
A.8.26: Especificação de requisitos de segurança
Sobreposição Parcial
Os requisitos de conformidade regulatória, acessibilidade técnica e restrições legais são centralizados na esteira global de design de novas aplicações de software da empresa.
A.6.2.3: Design e desenvolvimento
A.8.27: Arquitetura e princípios de engenharia segura
Extensão de Escopo
O design de novos softwares estende o modelo defensivo contra ameaças para abranger proteções nativas contra prompt injection, vazamento de modelo e envenenamento de dados.
A.6.2.4: Verificação e validação
A.8.31: Testes de segurança em desenvolvimento
Extensão de Escopo
O ambiente formal de homologação de novos softwares expande as baterias de testes técnicos para contemplar testes dinâmicos de robustez ética, viés e desvios operacionais.
A.6.2.5: Implantação de sistemas de IA
A.8.32: Mudanças operacionais de sistemas
Sobreposição Direta
O processo corporativo estruturado de Gestão de Mudanças do SGSI passa a avaliar e aprovar formalmente as atualizações e substituições de modelos matemáticos produtivos.
A.6.2.6: Operação e monitoramento de IA
A.8.16: Atividades de monitoramento sistêmico
Extensão de Escopo
O Centro de Operações de Segurança (SOC) expande o monitoramento técnico para além do tráfego de rede e consumo de CPU, agregando inteligência para alertas de degradação algorítmica e drifts.
A.6.2.7: Documentação técnica de IA
A.5.37: Conformidade com leis, regulamentos
Sobreposição Parcial
O portfólio documental de auditoria e conformidade global é acrescido com as fichas informativas dos modelos (Model Cards), organizados no repositório geral de compliance.
A.6.2.8: Registro de logs de eventos
A.8.15: Geração de logs do sistema
Sobreposição Direta
Os servidores de logs e as ferramentas do SGSI SIEM passam a ingerir e processar os fluxos das chamadas de API, prompts enviados e previsões para futura auditoria.
A.7.2: Gestão de dados
A.5.12: Classificação; A.8.10: Exclusão
Sobreposição Direta
O sistema de gestão de dados e higienização geral que serve ao SGSI apoia de forma irrestrita o gerenciamento das bases de dados destinadas à ciência de dados.
A.7.3: Aquisição de dados
A.5.34: Privacidade e proteção de dados pessoais
Sobreposição Direta
O controle jurídico de conformidade de aquisição de dados do SGSI assegura que nenhuma base de dados externa ou scraping infrinja as regulações nacionais de privacidade.
A.7.4: Qualidade dos dados
A.8.11: Mascaramento; A.8.12: Prevenção de vazamento
Extensão de Escopo
Além das rotinas de higienização do SGSI (ex: anonimização de PII), inserem-se análises matemáticas ativas de representatividade para eliminar vieses sistêmicos.
A.7.5: Proveniência dos dados
A.5.12: Classificação de informações
Extensão de Escopo
O mapeamento básico de repositórios de dados do SGSI avança para logs de rastreabilidade ponta a ponta detalhados (Data Lineage) que comprovem quais dados treinaram quais modelos.
A.7.6: Preparação dos dados
A.8.25: Desenvolvimento seguro de software
Extensão de Escopo
O gerenciamento de ambientes de desenvolvimento do SGSI passa a abranger os times externos de etiquetamento de dados, documentando fluxos e aplicando NDAs específicos.
A.8.2: Documentação do sistema para usuários
A.5.10: Instruções de uso aceitável de ativos
Extensão de Escopo
As políticas internas de uso de ativos corporativos passam a abranger manuais didáticos detalhados das IAs para coibir interpretações perigosas por parte dos colaboradores.
A.8.3: Relato externo
A.5.38: Contato com autoridades especiais
Sobreposição Parcial
Os fluxos formais estabelecidos de comunicação de conformidade e privacidade perante as autoridades estatais passam a intermediar o reporte de compliance de IA.
A.8.4: Comunicação de incidentes
A.5.24: Gerenciamento de incidentes; A.5.25: Resposta
Sobreposição Parcial
O Plano de Resposta a Incidentes do SGSI é robustecido para prever canais de notificação transparentes específicos quando houver falhas críticas sistêmicas da IA.
A.8.5: Obrigações de compartilhamento
A.5.37: Conformidade com leis e regulamentos
Sobreposição Direta
O controle centralizado de monitoramento legal do SGSI passa a catalogar ativamente e responder às crescentes demandas regulatórias de tecnologia algorítmica.
A.9.2: Processos para uso responsável de IA
A.5.10: Instruções de uso aceitável de ativos
Sobreposição Direta
As normas de aceitação e manuseio de ferramentas corporativas de TI passam a disciplinar formalmente o uso aceitável e vetar o uso de "Shadow AI".
A.9.3: Objetivos para uso responsável
A.5.10: Uso aceitável de ativos corporativos
Extensão de Escopo
As metas globais de conformidade de uso de ativos tecnológicos no SGSI são integradas com os objetivos éticos e operacionais do SGIA.
A.9.4: Uso pretendido
A.5.10: Uso aceitável; A.8.2: Controle de privilégios de acesso
Sobreposição Direta
Regras e travas de segurança lógica e barreiras de acesso baseadas em perfil restringem consultas a modelos e dados sensíveis de IA, mitigando cenários de abuso de escopo.
A.10.2: Alocação de responsabilidades
A.5.19: Segurança da informação em fornecedores
Sobreposição Parcial
Os contratos unificados de fornecimento corporativo de TI contemplam explicitamente as matrizes RACI e responsabilidades compartilhadas pelo processamento algorítmico.
A.10.3: Fornecedores
A.5.19 a A.5.22: Gestão e controle de fornecedores
Extensão de Escopo
O processo padrão de auditoria e due diligence de fornecedores do SGSI passa a aplicar exames éticos detalhados sobre as APIs de IA adquiridas.
A.10.4: Clientes
A.5.19: Segurança da informação em fornecedores
Sobreposição Parcial
O alinhamento mútuo e a comunicação de responsabilidades com o cliente são mapeados nos acordos operacionais e de segurança de prestação de serviços do SGSI.