ISO/IEC 42001人工智能管理体系标准控制措施介绍

ISO/IEC 42001 人工智能管理体系标准有诸多关键控制措施。

在战略规划方面，组织应将 AI 战略与业务目标统一，明确发展方向与预期成果。管理上，搭建完善治理架构，确定各层级职责。

开发阶段，严格把控数据质量，保证数据真实、完整、合规；算法设计遵循安全、可解释等原则。应用时，持续监测 AI 系统性能与效果，定期评估。

针对风险，建立识别、评估和应对机制，降低潜在不利影响。伦理道德上，确保 AI 公平、透明、无偏见，保障用户隐私和权益，推动 AI 安全可靠且负责任地应用。

ISO/IEC 42001标准的附录A明确规定了企业在人工智能系统设计与运行过程中需要执行的控制目标与控制措施。这些控制措施的应用取决于人工智能系统的风险评估结果，旨在确保人工智能系统的开发和使用符合伦理、法律和风险管理的要求。以下是标准中定义的九大控制域及其具体内容：

（一）人工智能方针（政策）

组织应制定明确的人工智能方针，确保其与组织其他管理领域的方针（如质量方针、信息安全方针、健康与安全方针及个人隐私保护方针等）保持一致。同时，组织需定期对人工智能方针进行评审，确保其持续适应组织的发展需求。

（二）内部组织管理

在组织内部建立明确的问责制，明确规定人工智能系统运行与管理的各项职责。具体控制措施包括：

• 根据自身需求定义人工智能的角色与职责（如风险评估、隐私保护、健康与安全等），并将这些职责分配至相关职能。

• 建立有效的报告流程，确保员工能够及时报告人工智能生命周期中的关注事项（如安全漏洞、伦理问题等）。

（三）人工智能系统资源

组织需对人工智能系统所需的各项资源进行全面描述和管理。这些资源包括：

• 系统部件：如硬件设备、软件工具等。

• 数据资源：涵盖人工智能系统全生命周期涉及的数据。

• 开发工具：包括用于开发和优化人工智能系统的工具和平台。

• 计算资源：如服务器、云计算资源等。

• 人力资源：具备相关技能的专业人员。 组织不仅要对这些资源进行配备，还需进行全面识别、文件化，并随着人工智能系统的变化进行动态更新。

（四）人工智能系统（负面）影响评估

组织应在人工智能系统的生命周期内，对利益相关方可能受到的（负面）影响进行全面评估。具体措施包括：

• 建立影响评估过程，明确评估的职能、时机和内容。

• 对人工智能系统在其生命周期各阶段对个人、群体及社会可能造成的（负面）影响进行评估，并将结果形成正式文件。

（五）人工智能系统生命周期

确保组织针对人工智能系统的设计与开发识别和制定文件化的管理目标，并落实执行各项管控过程。具体要求包括：

1. 负责任地开发人工智能系统：制定管理目标并形成文件，指导开发可靠的（trustworthy）人工智能系统。这里的“可靠性”指系统能够在没有偏见或歧视的情况下，以可预测和可靠的方式做出正确决策。

2. 定义设计与开发过程：将人工智能系统设计与开发的具体过程文件化，确保其符合组织目标。

3. 明确需求与规格：针对新的人工智能系统或对现有人工智能系统的重大增强，明确设计与开发需求及规格。

4. 文件化开发过程：确保人工智能系统的开发与设计过程形成文件，以便验证其符合组织目标。

5. 验证和确认：定义并文件化对人工智能系统的验证和确认措施，确保其符合规定要求。

6. 部署管控：制定人工智能系统部署计划，确保在正式部署前满足相关要求。

7. 运行和监视控制：定义并文件化对人工智能系统运行和监视的管控要求，包括系统性能监视、修复、更新及支持。

8. 技术文件管理：确定并提供不同利益相关方所需的人工智能系统技术文件。

9. 事件日志记录：在运行过程中启用自动保留事件日志的功能，以便在需要时进行追溯。

（六）人工智能系统数据

确保组织充分理解数据在人工智能系统生命周期各阶段的作用与影响。具体控制措施包括：

1. 数据管理过程：定义并文件化人工智能系统开发的数据管理过程。

2. 数据获取控制：确定并文件化人工智能系统使用数据的获取/选用的详细信息。

3. 数据质量控制：明确规定人工智能系统开发与运行所使用的数据的质量要求，确保其满足规定标准。

4. 数据来源控制：定义并文件化数据来源的验证及记录过程。

5. 数据准备管理：定义并文件化数据准备需求及方法。

（七）为人工智能系统相关方提供信息

确保组织的利益相关方能够获取必要的信息，以理解并评估人工智能系统的风险及影响。具体措施包括：

1. 用户文件及信息：确定并向人工智能系统用户提供所需的信息。

2. 信息可理解性：确保提供的信息清晰、可理解并适用于相关方。

3. 外部报告机制：确保相关方能够报告人工智能系统产生的负面影响。

4. 事件沟通计划：制定并文件化人工智能系统事件沟通计划，明确向用户沟通事件的时机及方式。

5. 信息提供义务：明确并向相关方报告人工智能系统信息的义务。

（八）人工智能系统使用

确保组织根据组织方针负责任地使用人工智能系统。具体要求包括：

1. 建立确保负责任地使用人工智能的流程。

2. 制定负责任地使用人工智能的目标。

3. 确保人工智能系统按照预期用途进行使用。

（九）第三方关系

对于人工智能系统生命周期中涉及的第三方，组织应理解其责任并始终对这些责任负责。具体措施包括：

• 评估并降低第三方风险。

• 要求第三方评估并处置其与人工智能产品和服务相关的风险。