ISO 42001人工智能管理體系是ISO組織新研發(fā)的管理體系標準，旨在指導(dǎo)組織負責(zé)任地管理人工智能系統(tǒng)。由于人工智能系統(tǒng)屬于信息系統(tǒng)大概念的延伸，因此在風(fēng)險管理、控制措施等方面，ISO 42001大量參考了ISO 27001信息安全管理體系，但ISO 42001的關(guān)注點與ISO 27001有所不同，在結(jié)構(gòu)和內(nèi)容上有所創(chuàng)新。在理解ISO 42001的特定概念與理念時，結(jié)合ISO 27001進行對比，可以更高效地達成預(yù)期目標。

本文擬從ISO 42001與ISO 27001標準要求的異同入手分析，以期對讀者同步理解兩個標準有所裨益。

ISO 42001人工智能管理體系是ISO組織新研發(fā)的管理體系，由ISO/IEC JTC1信息技術(shù)聯(lián)合技術(shù)委員會SC 42人工智能分委會編制，在國內(nèi)歸屬于全國信息技術(shù)標準化技術(shù)委員會人工智能分會(SAC TC28/SC42)[1]，旨在幫助組織負責(zé)任地履行其在人工智能系統(tǒng)方面的職責(zé)。

由于人工智能系統(tǒng)歸屬于信息系統(tǒng)，信息安全管理與之有著非常顯著的關(guān)聯(lián)性。在理解ISO 42001的特定概念與理念時，結(jié)合ISO 27001信息安全管理體系進行對比，可以更高效地達成預(yù)期目標。

一、ISO 42001結(jié)構(gòu)

由于ISO/IEC 42001采用了詳細內(nèi)容見后附錄(Annex SL)架構(gòu)，標準內(nèi)文的章節(jié)與ISO/IEC 27001的內(nèi)容高度相似，正文部分都劃分為10章節(jié)，但在章節(jié)內(nèi)容方面有所區(qū)別，如在“6.1 應(yīng)對風(fēng)險和機遇的措施”部分，相對于ISO 27001和ISO 42001標準增加了“6.1.4人工智能系統(tǒng)影響評估”內(nèi)容，該部分內(nèi)容也是ISO 42001的重要內(nèi)容。由這一邏輯引申下來，在“8 運行”部分，ISO 42001也增加了“8.4人工智能系統(tǒng)影響評估”，具體框架見表1.

需要說明的是，ISO 42001是一項國際標準，其目的是在公司內(nèi)部建立、實施、維護和增強人工智能管理系統(tǒng)(AIMS)。如果組織屬于人工智能系統(tǒng)的開發(fā)企業(yè)或者人工智能系統(tǒng)的應(yīng)用型企業(yè)，此標準將幫助組織維護人工智能系統(tǒng)，確保該系統(tǒng)的道德屬性和透明度屬性是可預(yù)見和領(lǐng)先的。此外，該標準涵蓋了人工智能系統(tǒng)，從發(fā)起到實施，再到持續(xù)觀察的整個生命周期流程。ISO標準化組織為開發(fā)和使用這些人工智能系統(tǒng)的組織提升人工智能技術(shù)系統(tǒng)的透明度和可信度，并鼓勵上述組織采用人工智能系統(tǒng)影響評估的方式對風(fēng)險治理、風(fēng)險評估和風(fēng)險處置進行補充。在這方面，ISO采用了ISO/IEC 38507-2022《信息技術(shù)-IT治理-組織使用人工智能的治理影響》[2]、ISO IEC 23894-2023《信息技術(shù) -人工智能 - 風(fēng)險管理指南》[3]和ISO/IEC 42001多個標準合作的方式，分別通過管理體系進行治理、風(fēng)險和符合性評估，每一項要求都強調(diào)考慮對個人和社會的影響的必要性。

執(zhí)行人工智能系統(tǒng)的影響評估在ISO 42001管理體系中顯得非常重要。開發(fā)或使用人工智能系統(tǒng)的組織可以將對這些影響的理解和文件記錄納入管理系統(tǒng)，以確保所開發(fā)或使用的人工智能系統(tǒng)滿足利益相關(guān)方的期望以及內(nèi)部和外部的要求。另外，人工智能系統(tǒng)的可信和透明是社會治理的必然要求，因此執(zhí)行人工智能系統(tǒng)影響評估并對過程中產(chǎn)生的文件化信息進行記錄非常必要。

值得一提的是，AIMS在風(fēng)險分析的方法上，與傳統(tǒng)的信息安全管理系統(tǒng)(ISMS)存在一些不同。同時，在風(fēng)險管理方面，雖然ISO 42001與ISO 27001[4]同樣以ISO 31000《風(fēng)險管理指南》為依托，但ISO 42001標準有其獨特性。

在包容性原則方面，由于人工智能對利益相關(guān)者的潛在影響深遠，組織需要與多樣化的內(nèi)部和外部團體進行對話，既要傳達危害和好處，也要將反饋和意識納入風(fēng)險管理過程。

另外，機器學(xué)習(xí)(ML)特別依賴數(shù)據(jù)，利益相關(guān)者可以幫助人工智能系統(tǒng)進行識別與數(shù)據(jù)收集、處理操作、數(shù)據(jù)來源和分類類型，從而規(guī)避將數(shù)據(jù)用于特定情況的風(fēng)險。

在動態(tài)原則方面，因為人工智能系統(tǒng)本身的性質(zhì)是動態(tài)的，其始終處于持續(xù)學(xué)習(xí)、完善、評估和驗證過程中，因此，動態(tài)風(fēng)險管理尤為重要。此外，與人工智能相關(guān)的法律和監(jiān)管要求也處于經(jīng)常變化、更新的過程中，相關(guān)組織也要列入考慮范圍內(nèi)，以進一步理解和管理與人工智能相關(guān)的風(fēng)險。

二、ISO 42001關(guān)注點

在關(guān)注點方面，ISO 42001與ISO 27001區(qū)別較大。ISO 27001為組織保障信息完整性提供了堅實的結(jié)構(gòu)，而ISO 42001則為引導(dǎo)服務(wù)組織使用人工智能提供了一種主動的方法。ISO 42001主要的關(guān)注點包括以下幾個方面。

(1)管理框架的建立。組織應(yīng)確立統(tǒng)一的管理框架，以確保在開發(fā)、部署和運行過程中各項活動得到有效管理。同時，還應(yīng)制定人工智能項目管理手冊，明確管理政策、目標和程序。

(2)風(fēng)險管理與系統(tǒng)影響評估。組織應(yīng)定期進行風(fēng)險評估，包括識別、評估和管理與人工智能系統(tǒng)相關(guān)的風(fēng)險，如數(shù)據(jù)隱私、算法偏見、安全漏洞等，并保留所有風(fēng)險評估的文檔化信息。另外，組織還應(yīng)根據(jù)風(fēng)險評估結(jié)果實施風(fēng)險處理計劃，并驗證其有效性。同時要定期進行人工智能系統(tǒng)影響評估，或在提出重大變化時進行，保留所有相關(guān)文檔化信息。因此，風(fēng)險評估與管理在人工智能管理體系中尤為重要，以確保技術(shù)的安全性和可靠性。

(3)透明度和信任度的提升。組織要確保人工智能系統(tǒng)的決策過程和結(jié)果能夠被解釋和理解，從而提高透明度和信任度。

(4)數(shù)據(jù)質(zhì)量和法規(guī)遵從。組織應(yīng)關(guān)注數(shù)據(jù)質(zhì)量，確保數(shù)據(jù)的準確性和可靠性，以支持人工智能系統(tǒng)的有效運行。同時，還應(yīng)遵守相關(guān)法規(guī)，確保人工智能系統(tǒng)的合規(guī)性，降低法律風(fēng)險。

(5)變更管理。當(dāng)需要對管理體系進行變更時，應(yīng)以計劃的方式進行，并評估變更對風(fēng)險評估和風(fēng)險處理的影響。

(6)持續(xù)監(jiān)視、測量和改進。組織應(yīng)確立需要監(jiān)視和測量的內(nèi)容和方法，定期進行分析和評估，以確保管理體系的持續(xù)改進和優(yōu)化。

ISO 27001主要的關(guān)注點包括：信息安全策略和管理，強調(diào)制定清晰的信息安全策略，為組織提供明確的安全方向和原則;風(fēng)險評估和處理;安全控制措施的落實;管理體系的建立和維護;法規(guī)和合規(guī)性;緊急事件管理。

整體而言，ISO 42001與ISO 27001在關(guān)注點方面具有相同之處：均強調(diào)管理體系的建立、實施、維護和持續(xù)改進;均關(guān)注人工智能系統(tǒng)和數(shù)據(jù)資產(chǎn)的風(fēng)險評估和管理;均要求確保合規(guī)性;均涉及多個部門的協(xié)作。但是，在核心關(guān)注點方面，其差異也是比較明顯的：ISO 42001主要關(guān)注人工智能系統(tǒng)的管理，旨在確?？煽啃?、透明度和責(zé)任性，強調(diào)人工智能系統(tǒng)的道德原則和價值觀，如公平、非歧視和尊重隱私;ISO 27001的核心關(guān)注點在于信息的安全性，包括保密性、完整性和可用性，旨在保護信息資產(chǎn)免受未經(jīng)授權(quán)的訪問、泄露、破壞或更改，具體區(qū)別如表2所示。

此外，ISO 42001與ISO 27001標準都要求組織定期進行合規(guī)性評價，并應(yīng)用合規(guī)性評價工具指導(dǎo)組織定期對法律法規(guī)進行適用性評估，采取糾正措施，同時記錄合規(guī)性活動，如表3所示。

三、ISO 42001控制指南

ISO 42001與ISO 27001的附錄部分差別比較明顯。ISO 27001的附錄A是規(guī)范性附錄，內(nèi)容為信息安全控制參考，直接源自ISO/IEC 27002:2022《信息技術(shù)-安全技術(shù)-信息安全控制實踐指南 》第5章至第8章中列出的控制并與之一致，并在6.1.3(信息安全風(fēng)險處置)環(huán)境中被使用。而ISO 42001包含4個附錄，分別是附錄A(規(guī)范性)“參考控制目標和控制措施”、附錄B(規(guī)范性)“人工智能控制措施實施指南”、附錄C(資料性)“與人工智能相關(guān)的潛在組織目標和風(fēng)險來源”、附錄D(資料性)“跨領(lǐng)域或跨部門使用人工智能管理體系”。從指導(dǎo)標準的廣度上分析，ISO 27001更為廣泛。

兩個標準附錄A部分都給出了各自領(lǐng)域的規(guī)范性的控制措施，這些控制措施組織并不是全部必須選用并執(zhí)行，各個組織可以根據(jù)風(fēng)險評估的結(jié)果選擇適合的控制措施并制定相應(yīng)的執(zhí)行計劃。

但是，由于人工智能系統(tǒng)控制相對于信息安全控制的發(fā)展畢竟時日較短，單純從參考的控制措施深度上講，ISO 42001要薄弱一些。ISO 27001的附錄A從組織控制、人員控制、物理控制、技術(shù)控制4個方面對信息安全控制提供了參考，共計93項;ISO 42001的附錄A則從人工智能策略、內(nèi)部組織、人工智能系統(tǒng)資源、人工智能系統(tǒng)影響評估、人工智能系統(tǒng)生命周期、人工智能系統(tǒng)數(shù)據(jù)、人工智能系統(tǒng)相關(guān)方的信息、使用人工智能系統(tǒng)、第三方和客戶關(guān)系9個方面為實現(xiàn)組織目標和解決與人工智能系統(tǒng)設(shè)計和運行相關(guān)的風(fēng)險提供了參考，共計38項。

另外，ISO 42001附錄B與附錄A列出的控制措施有關(guān)，提供了支持實施附錄A中所列出的控制措施和實現(xiàn)控制目標的信息，由控制措施、實施指南、其他信息三部分對附錄A作出補充解釋和指導(dǎo)。附錄C概述了組織在管理風(fēng)險時可考慮的潛在組織目標、風(fēng)險源和說明，同時提到 ISO IEC 23894-2023《信息技術(shù) -人工智能 - 風(fēng)險管理指南》為這些目標和風(fēng)險源及其與風(fēng)險管理的關(guān)系提供了更詳細的信息。附錄D則專門說明了人工智能系統(tǒng)不僅包括使用人工智能技術(shù)的組件，還可以使用各種技術(shù)和組件。在整合部分，附錄D專門提到了三個標準，分別是ISO/IEC 27001、ISO/IEC 27701《安全技術(shù)—擴展ISO/IEC 27001和ISO/IEC 27002的隱私信息管理—要求與指南》和ISO 9001《質(zhì)量管理體系》。其中ISO 42001(部分)與信息安全有關(guān)的控制措施的實施方法可與組織實施ISO/IEC 27001的方法相結(jié)合。除此之外，ISO 42001還可與某個行業(yè)特定的管理體系聯(lián)合應(yīng)用。

四、結(jié)語

本文對ISO 42001與ISO 27001進行了詳細的對比分析。通過對比，揭示了兩標準在結(jié)構(gòu)、關(guān)注點及控制指南等方面的異同。ISO 42001展現(xiàn)了在人工智能系統(tǒng)影響評估、提升透明度和信任度方面的特點，而ISO 27001則突顯了信息安全控制措施的全面性和深度。希望本文能激發(fā)更多關(guān)于人工智能管理和信息安全管理的討論與研究，進一步推動該領(lǐng)域的持續(xù)發(fā)展。

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標準品供應(yīng)商，法規(guī)咨詢、標準服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://m.rumin8raps.com/zs/202411/ccaa_66862.html