ISO 42001人工智能管理體系是ISO組織新研發(fā)的管理體系標(biāo)準(zhǔn)，旨在指導(dǎo)組織負(fù)責(zé)任地管理人工智能系統(tǒng)。由于人工智能系統(tǒng)屬于信息系統(tǒng)大概念的延伸，因此在風(fēng)險(xiǎn)管理、控制措施等方面，ISO 42001大量參考了ISO 27001信息安全管理體系，但I(xiàn)SO 42001的關(guān)注點(diǎn)與ISO 27001有所不同，在結(jié)構(gòu)和內(nèi)容上有所創(chuàng)新。在理解ISO 42001的特定概念與理念時(shí)，結(jié)合ISO 27001進(jìn)行對(duì)比，可以更高效地達(dá)成預(yù)期目標(biāo)。

本文擬從ISO 42001與ISO 27001標(biāo)準(zhǔn)要求的異同入手分析，以期對(duì)讀者同步理解兩個(gè)標(biāo)準(zhǔn)有所裨益。

ISO 42001人工智能管理體系是ISO組織新研發(fā)的管理體系，由ISO/IEC JTC1信息技術(shù)聯(lián)合技術(shù)委員會(huì)SC 42人工智能分委會(huì)編制，在國(guó)內(nèi)歸屬于全國(guó)信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)人工智能分會(huì)(SAC TC28/SC42)[1]，旨在幫助組織負(fù)責(zé)任地履行其在人工智能系統(tǒng)方面的職責(zé)。

由于人工智能系統(tǒng)歸屬于信息系統(tǒng)，信息安全管理與之有著非常顯著的關(guān)聯(lián)性。在理解ISO 42001的特定概念與理念時(shí)，結(jié)合ISO 27001信息安全管理體系進(jìn)行對(duì)比，可以更高效地達(dá)成預(yù)期目標(biāo)。

一、ISO 42001結(jié)構(gòu)

由于ISO/IEC 42001采用了詳細(xì)內(nèi)容見(jiàn)后附錄(Annex SL)架構(gòu)，標(biāo)準(zhǔn)內(nèi)文的章節(jié)與ISO/IEC 27001的內(nèi)容高度相似，正文部分都劃分為10章節(jié)，但在章節(jié)內(nèi)容方面有所區(qū)別，如在“6.1 應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇的措施”部分，相對(duì)于ISO 27001和ISO 42001標(biāo)準(zhǔn)增加了“6.1.4人工智能系統(tǒng)影響評(píng)估”內(nèi)容，該部分內(nèi)容也是ISO 42001的重要內(nèi)容。由這一邏輯引申下來(lái)，在“8 運(yùn)行”部分，ISO 42001也增加了“8.4人工智能系統(tǒng)影響評(píng)估”，具體框架見(jiàn)表1.

需要說(shuō)明的是，ISO 42001是一項(xiàng)國(guó)際標(biāo)準(zhǔn)，其目的是在公司內(nèi)部建立、實(shí)施、維護(hù)和增強(qiáng)人工智能管理系統(tǒng)(AIMS)。如果組織屬于人工智能系統(tǒng)的開(kāi)發(fā)企業(yè)或者人工智能系統(tǒng)的應(yīng)用型企業(yè)，此標(biāo)準(zhǔn)將幫助組織維護(hù)人工智能系統(tǒng)，確保該系統(tǒng)的道德屬性和透明度屬性是可預(yù)見(jiàn)和領(lǐng)先的。此外，該標(biāo)準(zhǔn)涵蓋了人工智能系統(tǒng)，從發(fā)起到實(shí)施，再到持續(xù)觀察的整個(gè)生命周期流程。ISO標(biāo)準(zhǔn)化組織為開(kāi)發(fā)和使用這些人工智能系統(tǒng)的組織提升人工智能技術(shù)系統(tǒng)的透明度和可信度，并鼓勵(lì)上述組織采用人工智能系統(tǒng)影響評(píng)估的方式對(duì)風(fēng)險(xiǎn)治理、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置進(jìn)行補(bǔ)充。在這方面，ISO采用了ISO/IEC 38507-2022《信息技術(shù)-IT治理-組織使用人工智能的治理影響》[2]、ISO IEC 23894-2023《信息技術(shù) -人工智能 - 風(fēng)險(xiǎn)管理指南》[3]和ISO/IEC 42001多個(gè)標(biāo)準(zhǔn)合作的方式，分別通過(guò)管理體系進(jìn)行治理、風(fēng)險(xiǎn)和符合性評(píng)估，每一項(xiàng)要求都強(qiáng)調(diào)考慮對(duì)個(gè)人和社會(huì)的影響的必要性。

執(zhí)行人工智能系統(tǒng)的影響評(píng)估在ISO 42001管理體系中顯得非常重要。開(kāi)發(fā)或使用人工智能系統(tǒng)的組織可以將對(duì)這些影響的理解和文件記錄納入管理系統(tǒng)，以確保所開(kāi)發(fā)或使用的人工智能系統(tǒng)滿(mǎn)足利益相關(guān)方的期望以及內(nèi)部和外部的要求。另外，人工智能系統(tǒng)的可信和透明是社會(huì)治理的必然要求，因此執(zhí)行人工智能系統(tǒng)影響評(píng)估并對(duì)過(guò)程中產(chǎn)生的文件化信息進(jìn)行記錄非常必要。

值得一提的是，AIMS在風(fēng)險(xiǎn)分析的方法上，與傳統(tǒng)的信息安全管理系統(tǒng)(ISMS)存在一些不同。同時(shí)，在風(fēng)險(xiǎn)管理方面，雖然ISO 42001與ISO 27001[4]同樣以ISO 31000《風(fēng)險(xiǎn)管理指南》為依托，但I(xiàn)SO 42001標(biāo)準(zhǔn)有其獨(dú)特性。

在包容性原則方面，由于人工智能對(duì)利益相關(guān)者的潛在影響深遠(yuǎn)，組織需要與多樣化的內(nèi)部和外部團(tuán)體進(jìn)行對(duì)話(huà)，既要傳達(dá)危害和好處，也要將反饋和意識(shí)納入風(fēng)險(xiǎn)管理過(guò)程。

另外，機(jī)器學(xué)習(xí)(ML)特別依賴(lài)數(shù)據(jù)，利益相關(guān)者可以幫助人工智能系統(tǒng)進(jìn)行識(shí)別與數(shù)據(jù)收集、處理操作、數(shù)據(jù)來(lái)源和分類(lèi)類(lèi)型，從而規(guī)避將數(shù)據(jù)用于特定情況的風(fēng)險(xiǎn)。

在動(dòng)態(tài)原則方面，因?yàn)槿斯ぶ悄芟到y(tǒng)本身的性質(zhì)是動(dòng)態(tài)的，其始終處于持續(xù)學(xué)習(xí)、完善、評(píng)估和驗(yàn)證過(guò)程中，因此，動(dòng)態(tài)風(fēng)險(xiǎn)管理尤為重要。此外，與人工智能相關(guān)的法律和監(jiān)管要求也處于經(jīng)常變化、更新的過(guò)程中，相關(guān)組織也要列入考慮范圍內(nèi)，以進(jìn)一步理解和管理與人工智能相關(guān)的風(fēng)險(xiǎn)。

二、ISO 42001關(guān)注點(diǎn)

在關(guān)注點(diǎn)方面，ISO 42001與ISO 27001區(qū)別較大。ISO 27001為組織保障信息完整性提供了堅(jiān)實(shí)的結(jié)構(gòu)，而ISO 42001則為引導(dǎo)服務(wù)組織使用人工智能提供了一種主動(dòng)的方法。ISO 42001主要的關(guān)注點(diǎn)包括以下幾個(gè)方面。

(1)管理框架的建立。組織應(yīng)確立統(tǒng)一的管理框架，以確保在開(kāi)發(fā)、部署和運(yùn)行過(guò)程中各項(xiàng)活動(dòng)得到有效管理。同時(shí)，還應(yīng)制定人工智能項(xiàng)目管理手冊(cè)，明確管理政策、目標(biāo)和程序。

(2)風(fēng)險(xiǎn)管理與系統(tǒng)影響評(píng)估。組織應(yīng)定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，包括識(shí)別、評(píng)估和管理與人工智能系統(tǒng)相關(guān)的風(fēng)險(xiǎn)，如數(shù)據(jù)隱私、算法偏見(jiàn)、安全漏洞等，并保留所有風(fēng)險(xiǎn)評(píng)估的文檔化信息。另外，組織還應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果實(shí)施風(fēng)險(xiǎn)處理計(jì)劃，并驗(yàn)證其有效性。同時(shí)要定期進(jìn)行人工智能系統(tǒng)影響評(píng)估，或在提出重大變化時(shí)進(jìn)行，保留所有相關(guān)文檔化信息。因此，風(fēng)險(xiǎn)評(píng)估與管理在人工智能管理體系中尤為重要，以確保技術(shù)的安全性和可靠性。

(3)透明度和信任度的提升。組織要確保人工智能系統(tǒng)的決策過(guò)程和結(jié)果能夠被解釋和理解，從而提高透明度和信任度。

(4)數(shù)據(jù)質(zhì)量和法規(guī)遵從。組織應(yīng)關(guān)注數(shù)據(jù)質(zhì)量，確保數(shù)據(jù)的準(zhǔn)確性和可靠性，以支持人工智能系統(tǒng)的有效運(yùn)行。同時(shí)，還應(yīng)遵守相關(guān)法規(guī)，確保人工智能系統(tǒng)的合規(guī)性，降低法律風(fēng)險(xiǎn)。

(5)變更管理。當(dāng)需要對(duì)管理體系進(jìn)行變更時(shí)，應(yīng)以計(jì)劃的方式進(jìn)行，并評(píng)估變更對(duì)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理的影響。

(6)持續(xù)監(jiān)視、測(cè)量和改進(jìn)。組織應(yīng)確立需要監(jiān)視和測(cè)量的內(nèi)容和方法，定期進(jìn)行分析和評(píng)估，以確保管理體系的持續(xù)改進(jìn)和優(yōu)化。

ISO 27001主要的關(guān)注點(diǎn)包括：信息安全策略和管理，強(qiáng)調(diào)制定清晰的信息安全策略，為組織提供明確的安全方向和原則;風(fēng)險(xiǎn)評(píng)估和處理;安全控制措施的落實(shí);管理體系的建立和維護(hù);法規(guī)和合規(guī)性;緊急事件管理。

整體而言，ISO 42001與ISO 27001在關(guān)注點(diǎn)方面具有相同之處：均強(qiáng)調(diào)管理體系的建立、實(shí)施、維護(hù)和持續(xù)改進(jìn);均關(guān)注人工智能系統(tǒng)和數(shù)據(jù)資產(chǎn)的風(fēng)險(xiǎn)評(píng)估和管理;均要求確保合規(guī)性;均涉及多個(gè)部門(mén)的協(xié)作。但是，在核心關(guān)注點(diǎn)方面，其差異也是比較明顯的：ISO 42001主要關(guān)注人工智能系統(tǒng)的管理，旨在確保可靠性、透明度和責(zé)任性，強(qiáng)調(diào)人工智能系統(tǒng)的道德原則和價(jià)值觀，如公平、非歧視和尊重隱私;ISO 27001的核心關(guān)注點(diǎn)在于信息的安全性，包括保密性、完整性和可用性，旨在保護(hù)信息資產(chǎn)免受未經(jīng)授權(quán)的訪問(wèn)、泄露、破壞或更改，具體區(qū)別如表2所示。

此外，ISO 42001與ISO 27001標(biāo)準(zhǔn)都要求組織定期進(jìn)行合規(guī)性評(píng)價(jià)，并應(yīng)用合規(guī)性評(píng)價(jià)工具指導(dǎo)組織定期對(duì)法律法規(guī)進(jìn)行適用性評(píng)估，采取糾正措施，同時(shí)記錄合規(guī)性活動(dòng)，如表3所示。

三、ISO 42001控制指南

ISO 42001與ISO 27001的附錄部分差別比較明顯。ISO 27001的附錄A是規(guī)范性附錄，內(nèi)容為信息安全控制參考，直接源自ISO/IEC 27002:2022《信息技術(shù)-安全技術(shù)-信息安全控制實(shí)踐指南 》第5章至第8章中列出的控制并與之一致，并在6.1.3(信息安全風(fēng)險(xiǎn)處置)環(huán)境中被使用。而ISO 42001包含4個(gè)附錄，分別是附錄A(規(guī)范性)“參考控制目標(biāo)和控制措施”、附錄B(規(guī)范性)“人工智能控制措施實(shí)施指南”、附錄C(資料性)“與人工智能相關(guān)的潛在組織目標(biāo)和風(fēng)險(xiǎn)來(lái)源”、附錄D(資料性)“跨領(lǐng)域或跨部門(mén)使用人工智能管理體系”。從指導(dǎo)標(biāo)準(zhǔn)的廣度上分析，ISO 27001更為廣泛。

兩個(gè)標(biāo)準(zhǔn)附錄A部分都給出了各自領(lǐng)域的規(guī)范性的控制措施，這些控制措施組織并不是全部必須選用并執(zhí)行，各個(gè)組織可以根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果選擇適合的控制措施并制定相應(yīng)的執(zhí)行計(jì)劃。

但是，由于人工智能系統(tǒng)控制相對(duì)于信息安全控制的發(fā)展畢竟時(shí)日較短，單純從參考的控制措施深度上講，ISO 42001要薄弱一些。ISO 27001的附錄A從組織控制、人員控制、物理控制、技術(shù)控制4個(gè)方面對(duì)信息安全控制提供了參考，共計(jì)93項(xiàng);ISO 42001的附錄A則從人工智能策略、內(nèi)部組織、人工智能系統(tǒng)資源、人工智能系統(tǒng)影響評(píng)估、人工智能系統(tǒng)生命周期、人工智能系統(tǒng)數(shù)據(jù)、人工智能系統(tǒng)相關(guān)方的信息、使用人工智能系統(tǒng)、第三方和客戶(hù)關(guān)系9個(gè)方面為實(shí)現(xiàn)組織目標(biāo)和解決與人工智能系統(tǒng)設(shè)計(jì)和運(yùn)行相關(guān)的風(fēng)險(xiǎn)提供了參考，共計(jì)38項(xiàng)。

另外，ISO 42001附錄B與附錄A列出的控制措施有關(guān)，提供了支持實(shí)施附錄A中所列出的控制措施和實(shí)現(xiàn)控制目標(biāo)的信息，由控制措施、實(shí)施指南、其他信息三部分對(duì)附錄A作出補(bǔ)充解釋和指導(dǎo)。附錄C概述了組織在管理風(fēng)險(xiǎn)時(shí)可考慮的潛在組織目標(biāo)、風(fēng)險(xiǎn)源和說(shuō)明，同時(shí)提到 ISO IEC 23894-2023《信息技術(shù) -人工智能 - 風(fēng)險(xiǎn)管理指南》為這些目標(biāo)和風(fēng)險(xiǎn)源及其與風(fēng)險(xiǎn)管理的關(guān)系提供了更詳細(xì)的信息。附錄D則專(zhuān)門(mén)說(shuō)明了人工智能系統(tǒng)不僅包括使用人工智能技術(shù)的組件，還可以使用各種技術(shù)和組件。在整合部分，附錄D專(zhuān)門(mén)提到了三個(gè)標(biāo)準(zhǔn)，分別是ISO/IEC 27001、ISO/IEC 27701《安全技術(shù)—擴(kuò)展ISO/IEC 27001和ISO/IEC 27002的隱私信息管理—要求與指南》和ISO 9001《質(zhì)量管理體系》。其中ISO 42001(部分)與信息安全有關(guān)的控制措施的實(shí)施方法可與組織實(shí)施ISO/IEC 27001的方法相結(jié)合。除此之外，ISO 42001還可與某個(gè)行業(yè)特定的管理體系聯(lián)合應(yīng)用。

四、結(jié)語(yǔ)

本文對(duì)ISO 42001與ISO 27001進(jìn)行了詳細(xì)的對(duì)比分析。通過(guò)對(duì)比，揭示了兩標(biāo)準(zhǔn)在結(jié)構(gòu)、關(guān)注點(diǎn)及控制指南等方面的異同。ISO 42001展現(xiàn)了在人工智能系統(tǒng)影響評(píng)估、提升透明度和信任度方面的特點(diǎn)，而ISO 27001則突顯了信息安全控制措施的全面性和深度。希望本文能激發(fā)更多關(guān)于人工智能管理和信息安全管理的討論與研究，進(jìn)一步推動(dòng)該領(lǐng)域的持續(xù)發(fā)展。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢(xún)，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢(xún)、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專(zhuān)業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線(xiàn)客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專(zhuān)利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專(zhuān)利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專(zhuān)利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專(zhuān)利的轉(zhuǎn)讓代理查詢(xún)法律法規(guī)，咨詢(xún)輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://bqlw.net/zs/202411/ccaa_66862.html