ISO 42001人工智能管理體系是ISO組織新研發的管理體系標準,旨在指導組織負責任地管理人工智能系統。由于人工智能系統屬于信息系統大概念的延伸,因此在風險管理、控制措施等方面,ISO 42001大量參考了ISO 27001信息安全管理體系,但ISO 42001的關注點與ISO 27001有所不同,在結構和內容上有所創新。在理解ISO 42001的特定概念與理念時,結合ISO 27001進行對比,可以更高效地達成預期目標。
本文擬從ISO 42001與ISO 27001標準要求的異同入手分析,以期對讀者同步理解兩個標準有所裨益。
ISO 42001人工智能管理體系是ISO組織新研發的管理體系,由ISO/IEC JTC1信息技術聯合技術委員會SC 42人工智能分委會編制,在國內歸屬于全國信息技術標準化技術委員會人工智能分會(SAC TC28/SC42)[1],旨在幫助組織負責任地履行其在人工智能系統方面的職責。
由于人工智能系統歸屬于信息系統,信息安全管理與之有著非常顯著的關聯性。在理解ISO 42001的特定概念與理念時,結合ISO 27001信息安全管理體系進行對比,可以更高效地達成預期目標。
一、ISO 42001結構
由于ISO/IEC 42001采用了詳細內容見后附錄(Annex SL)架構,標準內文的章節與ISO/IEC 27001的內容高度相似,正文部分都劃分為10章節,但在章節內容方面有所區別,如在“6.1 應對風險和機遇的措施”部分,相對于ISO 27001和ISO 42001標準增加了“6.1.4人工智能系統影響評估”內容,該部分內容也是ISO 42001的重要內容。由這一邏輯引申下來,在“8 運行”部分,ISO 42001也增加了“8.4人工智能系統影響評估”,具體框架見表1.
需要說明的是,ISO 42001是一項國際標準,其目的是在公司內部建立、實施、維護和增強人工智能管理系統(AIMS)。如果組織屬于人工智能系統的開發企業或者人工智能系統的應用型企業,此標準將幫助組織維護人工智能系統,確保該系統的道德屬性和透明度屬性是可預見和領先的。此外,該標準涵蓋了人工智能系統,從發起到實施,再到持續觀察的整個生命周期流程。ISO標準化組織為開發和使用這些人工智能系統的組織提升人工智能技術系統的透明度和可信度,并鼓勵上述組織采用人工智能系統影響評估的方式對風險治理、風險評估和風險處置進行補充。在這方面,ISO采用了ISO/IEC 38507-2022《信息技術-IT治理-組織使用人工智能的治理影響》[2]、ISO IEC 23894-2023《信息技術 -人工智能 - 風險管理指南》[3]和ISO/IEC 42001多個標準合作的方式,分別通過管理體系進行治理、風險和符合性評估,每一項要求都強調考慮對個人和社會的影響的必要性。
執行人工智能系統的影響評估在ISO 42001管理體系中顯得非常重要。開發或使用人工智能系統的組織可以將對這些影響的理解和文件記錄納入管理系統,以確保所開發或使用的人工智能系統滿足利益相關方的期望以及內部和外部的要求。另外,人工智能系統的可信和透明是社會治理的必然要求,因此執行人工智能系統影響評估并對過程中產生的文件化信息進行記錄非常必要。
值得一提的是,AIMS在風險分析的方法上,與傳統的信息安全管理系統(ISMS)存在一些不同。同時,在風險管理方面,雖然ISO 42001與ISO 27001[4]同樣以ISO 31000《風險管理指南》為依托,但ISO 42001標準有其獨特性。
在包容性原則方面,由于人工智能對利益相關者的潛在影響深遠,組織需要與多樣化的內部和外部團體進行對話,既要傳達危害和好處,也要將反饋和意識納入風險管理過程。
另外,機器學習(ML)特別依賴數據,利益相關者可以幫助人工智能系統進行識別與數據收集、處理操作、數據來源和分類類型,從而規避將數據用于特定情況的風險。
在動態原則方面,因為人工智能系統本身的性質是動態的,其始終處于持續學習、完善、評估和驗證過程中,因此,動態風險管理尤為重要。此外,與人工智能相關的法律和監管要求也處于經常變化、更新的過程中,相關組織也要列入考慮范圍內,以進一步理解和管理與人工智能相關的風險。
二、ISO 42001關注點
在關注點方面,ISO 42001與ISO 27001區別較大。ISO 27001為組織保障信息完整性提供了堅實的結構,而ISO 42001則為引導服務組織使用人工智能提供了一種主動的方法。ISO 42001主要的關注點包括以下幾個方面。
(1)管理框架的建立。組織應確立統一的管理框架,以確保在開發、部署和運行過程中各項活動得到有效管理。同時,還應制定人工智能項目管理手冊,明確管理政策、目標和程序。
(2)風險管理與系統影響評估。組織應定期進行風險評估,包括識別、評估和管理與人工智能系統相關的風險,如數據隱私、算法偏見、安全漏洞等,并保留所有風險評估的文檔化信息。另外,組織還應根據風險評估結果實施風險處理計劃,并驗證其有效性。同時要定期進行人工智能系統影響評估,或在提出重大變化時進行,保留所有相關文檔化信息。因此,風險評估與管理在人工智能管理體系中尤為重要,以確保技術的安全性和可靠性。
(3)透明度和信任度的提升。組織要確保人工智能系統的決策過程和結果能夠被解釋和理解,從而提高透明度和信任度。
(4)數據質量和法規遵從。組織應關注數據質量,確保數據的準確性和可靠性,以支持人工智能系統的有效運行。同時,還應遵守相關法規,確保人工智能系統的合規性,降低法律風險。
(5)變更管理。當需要對管理體系進行變更時,應以計劃的方式進行,并評估變更對風險評估和風險處理的影響。
(6)持續監視、測量和改進。組織應確立需要監視和測量的內容和方法,定期進行分析和評估,以確保管理體系的持續改進和優化。
ISO 27001主要的關注點包括:信息安全策略和管理,強調制定清晰的信息安全策略,為組織提供明確的安全方向和原則;風險評估和處理;安全控制措施的落實;管理體系的建立和維護;法規和合規性;緊急事件管理。
整體而言,ISO 42001與ISO 27001在關注點方面具有相同之處:均強調管理體系的建立、實施、維護和持續改進;均關注人工智能系統和數據資產的風險評估和管理;均要求確保合規性;均涉及多個部門的協作。但是,在核心關注點方面,其差異也是比較明顯的:ISO 42001主要關注人工智能系統的管理,旨在確保可靠性、透明度和責任性,強調人工智能系統的道德原則和價值觀,如公平、非歧視和尊重隱私;ISO 27001的核心關注點在于信息的安全性,包括保密性、完整性和可用性,旨在保護信息資產免受未經授權的訪問、泄露、破壞或更改,具體區別如表2所示。
此外,ISO 42001與ISO 27001標準都要求組織定期進行合規性評價,并應用合規性評價工具指導組織定期對法律法規進行適用性評估,采取糾正措施,同時記錄合規性活動,如表3所示。
三、ISO 42001控制指南
ISO 42001與ISO 27001的附錄部分差別比較明顯。ISO 27001的附錄A是規范性附錄,內容為信息安全控制參考,直接源自ISO/IEC 27002:2022《信息技術-安全技術-信息安全控制實踐指南 》第5章至第8章中列出的控制并與之一致,并在6.1.3(信息安全風險處置)環境中被使用。而ISO 42001包含4個附錄,分別是附錄A(規范性)“參考控制目標和控制措施”、附錄B(規范性)“人工智能控制措施實施指南”、附錄C(資料性)“與人工智能相關的潛在組織目標和風險來源”、附錄D(資料性)“跨領域或跨部門使用人工智能管理體系”。從指導標準的廣度上分析,ISO 27001更為廣泛。
兩個標準附錄A部分都給出了各自領域的規范性的控制措施,這些控制措施組織并不是全部必須選用并執行,各個組織可以根據風險評估的結果選擇適合的控制措施并制定相應的執行計劃。
但是,由于人工智能系統控制相對于信息安全控制的發展畢竟時日較短,單純從參考的控制措施深度上講,ISO 42001要薄弱一些。ISO 27001的附錄A從組織控制、人員控制、物理控制、技術控制4個方面對信息安全控制提供了參考,共計93項;ISO 42001的附錄A則從人工智能策略、內部組織、人工智能系統資源、人工智能系統影響評估、人工智能系統生命周期、人工智能系統數據、人工智能系統相關方的信息、使用人工智能系統、第三方和客戶關系9個方面為實現組織目標和解決與人工智能系統設計和運行相關的風險提供了參考,共計38項。
另外,ISO 42001附錄B與附錄A列出的控制措施有關,提供了支持實施附錄A中所列出的控制措施和實現控制目標的信息,由控制措施、實施指南、其他信息三部分對附錄A作出補充解釋和指導。附錄C概述了組織在管理風險時可考慮的潛在組織目標、風險源和說明,同時提到 ISO IEC 23894-2023《信息技術 -人工智能 - 風險管理指南》為這些目標和風險源及其與風險管理的關系提供了更詳細的信息。附錄D則專門說明了人工智能系統不僅包括使用人工智能技術的組件,還可以使用各種技術和組件。在整合部分,附錄D專門提到了三個標準,分別是ISO/IEC 27001、ISO/IEC 27701《安全技術—擴展ISO/IEC 27001和ISO/IEC 27002的隱私信息管理—要求與指南》和ISO 9001《質量管理體系》。其中ISO 42001(部分)與信息安全有關的控制措施的實施方法可與組織實施ISO/IEC 27001的方法相結合。除此之外,ISO 42001還可與某個行業特定的管理體系聯合應用。
四、結語
本文對ISO 42001與ISO 27001進行了詳細的對比分析。通過對比,揭示了兩標準在結構、關注點及控制指南等方面的異同。ISO 42001展現了在人工智能系統影響評估、提升透明度和信任度方面的特點,而ISO 27001則突顯了信息安全控制措施的全面性和深度。希望本文能激發更多關于人工智能管理和信息安全管理的討論與研究,進一步推動該領域的持續發展。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
