ISO 42001
人工智能管理体系标准(二)
上一篇《ISO 42001人工智能管理体系标准介绍》重点阐述了标准产生的背景、相关的法律法规及目前已经发布及正在制订的人工智能管理系列标准,本文将在上篇文章基础上介绍ISO 42001人工智能管理体系标准的结构组成及正文部分的详细内容。
ISO 42001 人工智能管理体系标准组成部分
ISO 42001 人工智能管理体系标准(标准全文为:信息技术—人工智能—管理体系)由以下几个部分组成:
(1)标准正文部分
标准正文遵循国际标准化组织/国际电工委员会(以下简称ISO/IEC)导则第2部分“国际标准结构及编写规则要求”,整体结构与其他管理体系标准(例如ISO 9001、ISO 27001等)正文结构一致,以便于组织可以在建立人工智能管理体系时与现有管理体系进行整合。标准正文的高阶条款包括:
1、范围
2、引用文件
3、术语与定义
4、组织环境
5、领导力
6、策划
7、支持
8、运行
9、绩效评估
10、改进
(2)标准附录A 控制目标及控制措施
附录A明确规定人工智能系统在设计与运行过程应执行的控制目标与控制措施(含九大控制目标及三十九项控制措施),组织需要基于风险评估结果选择其中相关控制措施来处置人工智能系统的风险。
(3)标准附录B 控制措施实施指南
附录B对附录A中各项控制措施进行了详细的解释,以帮助组织更好地理解并应用附录A中各项控制措施。
(4)标准附录C 与人工智能相关的组织目标及风险源
附录C描述了与人工智能相关的组织目标及风险源,以帮助组织更好地管理与人工智能相关的风险。
(5)标准附录D 跨行业应用人工智能管理体系
附录D进一步解释在不同行业如何更好地应用人工智能管理体系标准,并说明组织在应用人工智能管理体系时如何与其他管理体系标准进行整合。
ISO 42001 人工智能管理体系标准正文部分重点内容介绍
尽管ISO 42001人工智能管理体系标准正文部分的高阶条款结构与其他管理体系标准相同,但由于人工智能是一项创新技术并对许多领域中产生了重大影响,因此组织在理解ISO 42001标准内容时需要特别关注人工智能管理的独特性,为此我们将重点介绍人工智能管理体系标准需要特别关注的内容。
(1)确定组织在人工智能领域的角色定位
在建立人工智能管理体系时,组织首先应就自身在人工智能系统领域的角色进行定位,即:组织是人工智能系统的提供者还是生产者,是客户还是合作伙伴等,组织的角色不同,建立和实施人工智能管理体系的内容也是有差异的。下图诠释了人工智能系统各相关方角色,供组织在确定自身角色定位时参考。
(2)理解组织面临的内外部问题
确定角色定位后,组织应进一步分析在人工智能管理领域所面临的内外部问题,从而为建立人工智能管理体系提供必要的输入。组织在人工智能领域面临的内外部问题可从以下几个方面考虑:
来自于组织外部的问题 :外部环境可能需要考虑的问题包括但不限于:适用的法规义务(包括禁止使用人工智能的要求)、立法机构制定的政策/指南和决定、与人工智能系统应用相关的动机或后果、文化/价值观及伦理考虑等。
来自于组织内部的问题:内部环境可能需要考虑的问题包括但不限于:组织在人工智能治理方面的原则、方针、目标及现行的管理程序以及技术要求。
(3)理解组织利益相关方需求与期望
组织应识别与人工智能管理的利益相关方,这些利益相关方的识别可参考上文“人工智能相关方角色”图示。组织需要理解各相关方针对人工智能系统的管理需求与期望。人工智能利益相关方的需求与期望取决于组织在人工智能领域的角色,如果组织是人工智能平台提供商,则需要考虑人工智能平台用户、人工智能平台合作方、人工智能合规监管者的需求与期望,这些需求与期望可能包括个人隐私保护、事件处理的透明性、合规管理等等。对利益相关方需求与期望的理解将为人工智能管理方针制定、人工智能风险评估、人工智能系统影响分析等提供输入。
(4)制定人工智能管理方针
与所有其他管理体系标准一样,组织在建立人工智能管理体系时,其最高管理者应制定人工智能领域的管理方针,组织的人工智能管理方针应与组织的宗旨相适宜。组织的宗旨主要通过愿景、使命、战略目标以及价值观来体现,这些宗旨内容通常由组织治理层来确定。由于人工智能的特殊性,组织治理层也应将人工智能的应用纳入治理范围,并就人工智能的使用明确基本原则,为经营管理层在制定人工智能管理方针提供明确的方向。一份比较完整的人工智能管理方针需要结合组织在人工智能领域的角色来制定,典型的人工智能管理方针可考虑包含以下内容:
目标和原则:明确人工智能管理的目标和原则,包括为什么需要人工智能,希望达到什么效果,以及遵循什么样的道德和法律标准。
数据管理:确保人工智能系统使用的数据是准确、完整、安全和合法的。包括数据采集、存储、处理和分析的流程,以及数据质量的评估和改进。
系统设计:确保人工智能系统的设计是合理、可靠、安全和可维护的。包括算法选择、模型设计、训练和验证的流程,以及系统性能的评估和改进。
透明性和可解释性:让人工智能系统的决策过程和结果可透明、可解释,以便人们能够信任和理解人工智能的决策。包括建立可视化界面、提供解释和说明,以及开展透明性测试和评估。
道德和法律合规:遵守道德和法律规范,保护人类利益和尊严,以及确保人工智能系统的使用不违反任何法律和规定。包括开展伦理风险评估、制定应急预案、遵守隐私保护等措施。
培训和教育:提供培训和教育,让人工智能系统的使用者能够掌握相关技能和知识,以便正确、安全、有效地使用人工智能系统。包括培训课程、操作手册、使用指南等。
监督和评估:建立监督和评估机制,确保人工智能系统的使用符合规范和标准,并及时发现和处理问题。包括开展内部审计、外部评估、定期报告等措施。
(5)进行人工智能风险评估,对人工智能系统可能产生的影响进行评价
组织应基于自身的人工智能角色以及组织内外部环境分析结果对人工智能风险进行识别、分析与评价。与其他管理体系标准相同,组织需要制定人工智能风险评估流程,明确人工智能风险准则,并按照风险评估流程与准则开展人工智能风险评估工作。同时,组织应对人工智能系统可能产生的影响进行评估。人工智能系统影响是指人工智能系统的开发或使用可能会对社会或个人带来潜在的负面后果(例如:可能影响法律、人权、伦理道德、心理健康等等)。因此,组织应将人工智能系统影响评估与人工智能风险评估进行整合,在分析风险时充分考虑人工智能系统可能造成的影响,最终确定组织在人工智能领域不可接受的风险。与ISO 27001:2022信息安全管理体系标准要求相同,组织针对不可接受的风险应参照标附录A选择风险控制措施,制定详细的风险处置计划,最终按照控制措施选择结果制定《人工智能管理体系适用性声明书》。人工智能风险评估的具体方法可参考国际标准化组织于2023年初发布的一份标准《ISO/IEC 23984:2023 信息技术-人工智能-风险管理指南》的内容。
(6)人工智能目标管理
与其他管理体系标准相同,组织策划人工智能管理体系过程时需要基于内外部环境分析、相关方需求及期望以及风险评估结果制定管理目标,明确实现管理目标的措施、责任及时间表。人工智能管理目标的本质是用来测量组织所策划的管理体系是否能够实现其所承诺的方针,也就是说方针通常是原则性要求,目标是具体可测量的,目标最终体现方针执行的有效性。
(7)人工智能管理体系标准“支持”条款
人工智能管理体系标准支持高阶条款内容与其他管理体系标准相同,明确为支持管理体系有效运行的支持要求(或者说是赋能要求),包括:资源、能力、意识、沟通及文件化信息,所有的要求围绕人工智能管理活动展开,这部分内容本质上与其他管理体系标准没有大的区别,在这里就不再详细说明。
(8)人工智能管理体系运行
人工智能管理体系运行部分的要求与ISO 27001:2022信息安全管理体系标准几乎相同,人工智能管理体系运行取决于风险评估结果及风险处置要求,而风险处置措施的执行就是体系运行的要求,风险处置的内容实际是附录A控制措施的内容,这些内容需要组织在完成风险评估后通过适用性声明书来确定,换句话说,组织人工智能管理体系运行的详细内容来自于组织制定的适用性声明书,有关附录A控制措施的具体内容要求将在本文第三部分进行详细介绍。
(9)人工智能管理体系绩效评估与持续改进
人工智能管理体系绩效评估与持续改进部分的要求与ISO 27001:2022信息安全管理体系标准相同,标准明确规定对管理体系绩效进行持续监视、测量与评价,对管理体系执行的有效性进行定期的内部审核,高层管理定期对管理体系适宜性、有效性及充分性进行评审,对体系运行、绩效评估、内审、管理评审等过程的各类不符合采取纠正及纠正措施,从而持续改进人工智能管理体系的适宜性、充分性和有效性。
