Information technology — Artificial intelligence — Management system
資訊技術—人工智慧—管理系統(續,見前篇)
ISO/IEC 42001各章節標題
4 組織背景
4.1 了解組織及其背景
4.2 了解有關各方的需求和期望
4.3 確定人工智慧管理系統的範圍
4.4 人工智慧管理系統
5 領導力
5.1 領導力及承諾
5.2 人工智慧政策
5.3 角色、責任和職權
6 規劃
6.1 應對風險和機會的行動
6.2 人工智慧目標和達成目標的規劃
6.3 變更之規劃
7 支援
7.1 資源
7.2 適任性
7.3 認知
7.4 溝通
7.5 文件化資訊
8 營運
8.1 營運規劃和管制
8.2 人工智慧風險評鑑
8.3 人工智慧風險處理
8.4 人工智慧系統衝擊評鑑
9 績效評估
9.1 監督、量測、分析和評價
9.2 內部稽核
9.3 管理審查
10 改進
10.1 持續改進
10.2 不符合項和矯正措施
附件 A 參考管制目標和管制措施
A.1 概述
附件 B 人工智慧管制措施實施指引
B.1 概述
B.2 人工智慧相關政策
B.3 內部組織
B.4 人工智慧系統的資源
B.5 評估人工智慧系統的衝擊
B.6 人工智慧系統的生命週期
B.7 人工智慧系統的資料
B.8 為利益相關者提供資訊
B.9 使用人工智慧系統
B.10 第三方和客戶關係
附件 C 與人工智慧有關的潛在組織目標和風險來源
C.1 概述
C.2 目標
C.3 風險來源
附件 D 跨領域或跨部門使用人工智慧管理系統
D.1 概述
D.2 人工智慧管理系統與其他管理系統的整合
參考文獻
註:此文並未涵蓋該文件全部事項,相關內容務須參閱各項文獻原本及最新版次。此處係閱讀隨筆,僅供個人學習,非供印刷或潛在意圖出版。
© All Rights reserved.
前言
國際標準化組織(ISO)和國際電工委員會(IEC)構成了世界標準化的專門系統。作為國際標準化組織或國際電工委員會成員的國家機構通過各自組織設立的技術委員會參與國際標準的制定,該等技術委員會負責特定領域的技術活動。國際標準化組織和國際電工委員會的技術委員會在共同感興趣的領域開展合作。與國際標準化組織和國際電工委員會聯絡的其他國際組織、政府組織和非政府組織也參與了這項工作。
ISO/IEC 指令第 1 部分介紹了制定該文件的程序和進一步維護該文件的程序。須特別指出的是,不同類型的文件須不同的審批標準。該文件是根據《ISO/IEC 指令》第 2 部分的編輯規則起草的(見 www.iso.org/directives 或 www.iec.ch/members_experts/refdocs)。
國際標準化組織和國際電工委員會提請注意,該文件的實施可能涉及專利的使用。國際標準化組織和國際電工委員會對相關專利權的證據、有效性或適用性不持任何立場。截至該文件發布之日,國際標準化組織和國際電工委員會尚未收到實施該文件可能須的專利通知。但是,請實施者注意,這可能並不代表該文件的專利權。
導言
人工智慧(AI)正越來越多地應用於利用資訊技術的各個領域,並有望成為主要的經濟驅動力之一。這一趨勢的一個後果是,某些應用可能在未來幾年引發社會挑戰。
該文件旨在幫助各組織負責任地履行其在人工智慧系統方面的職責(例如:使用、開發、監控或提供利用人工智慧的產品或服務)。人工智慧可能會引發一些具體的考慮因素,例如:
使用人工智慧自動進行決策,有時是以不透明和無法解釋的方式進行,可能須傳統資訊技術系統管理之外的特定管理方式。
利用資料分析、洞察力和機器學習,而不是人類編碼邏輯來設計系統,既增加了人工智慧系統的應用機會,也改變了開發、論證和部署此類系統的方式。
進行持續學習的人工智慧系統在使用過程中會改變其行為。它們須特別考慮,以確保在其行為不斷變化的情況下繼續負責任地使用。
該文件提供了在組織範圍內建立、實施、維護和持續改進人工智慧管理系統的要求。各組織須把要求的應用重點放在人工智慧獨有的特徵上。人工智慧的某些特點,如持續學習和改進的能力,或缺乏透明度或可解釋性,如果與傳統的任務執行方式相比引起更多關切,就須採取不同的保障措施。採用人工智慧管理系統來擴展現有管理結構是一個組織的戰略決策。
組織的需求和目標、過程、規模和結構以及有關各方的期望,都會影響人工智慧管理系統的建立和實施。影響建立和實施人工智慧管理系統的另一組因素是人工智慧的眾多應用實例,以及在管理機制和創新之間取得適當平衡的必要性。各組織可以選擇使用基於風險的方法來應用該等要求,以確保對組織範圍內的特定人工智慧用例、服務或產品實施適當層次的管制。預計所有該等影響因素都會發生變化,並須不時進行檢查。
人工智慧管理系統須與組織的過程和整體管理結構相結合。在設計過程、資訊系統和管制措施時,須考慮與人工智慧有關的具體問題。該等管理程序的重要例子包括
- 確定組織目標、有關各方和組織的參與;
- 確定組織目標、有關各方和組織的參與;
- 確定組織目標、有關各方和組織的參與。
- 為組織提供或開發人工智慧系統的供應商、合作伙伴和第三方的管理過程。
該文件避免對管理過程提供具體指導。組織可結合公認的框架、其他國際標準和自身經驗,實施適合範圍內特定人工智慧用例、產品或服務的風險管理、生命週期管理和資料品質管理等關鍵過程。
符合該文件要求的組織可證明其在人工智慧系統方面的責任和義務。
該文件中提出要求的順序並不反映其重要性,也不意味着其實施順序。所列項目僅供參考。
與其他管理系統標準的兼容性
該文件採用一致性結構(相同的條款編號、條款標題、文件內容和通用術語及核心定義),以加強管理系統標準之間的符合性。人工智慧管理系統為管理組織內使用人工智慧所產生的問題和風險提供了具體要求。這種通用方法有利於實施和與其他管理系統標準保持一致,例如與以下方面有關的標準:品質、安全、保全及隱私性。
1 範圍
該文件規定了在組織範圍內建立、實施、維護和持續改進人工智慧(AI)管理系統的要求和指引。
該文件係為提供或使用利用人工智慧系統的產品或服務的組織使用。該文件旨在幫助組織負責任地開發、提供或使用人工智慧系統,以實現其目標,並滿足適用的要求、與相關者有關的義務以及相關者的期望。
該文件適用於任何提供或使用利用人工智慧系統的產品或服務的組織,無論其規模、類型和性質如何。
3. 用語及定義
3.1 組織
一個人或一群人,有自己的職能,有責任、權力和關係,以實現其目標(3.6)。
條目註 1: 組織的概念包括但不限於獨資經營者、公司、法團、商號、企業、權力機構、合夥企業、慈善機構或機構或其部分或組合,無論其成立與否,是公營的還是私營的。
條目註 2: 如果組織是更大實體的一部分,「組織」一詞僅指屬於人工智慧管理系統(3.4)範圍內的更大實體的那一部分。
3.2 利益相關者
能够影響某項决定或活動、受其影響或認為自己會受其影響的個人或組織(3.1)。
條目註 1: ISO/IEC 22989:2022,5.19 提供了人工智慧利益相關者的概述。
3.3 最高管理階層
在最高層級指揮和管制一個組織(3.1)的個人或群體。
條目註 1: 最高管理階層有權在組織內部授權和提供資源。
條目註 2: 如果管理系統的範圍(3.4)只涉及組織的一部分,那麼最高管理階層指的是那些指導和管制組織這一部分的人。
3.4 管理系統
組織(3.1)的一套相互關聯或相互作用的要素,用以制定政策(3.5)和目標(3.6),以及實現該等目標的過程(3.8)。
條目註 1: 管理系統可以針對一個領域,也可以針對多個領域。
條目註 2: 管理系統要素包括組織結構、作用和職責、規劃和運作。
3.5 政策
一個組織(3.1)由其最高管理階層(3.3)正式表達的意圖和方向。
3.6 目標
要達到的結果
條目註 1: 目標可以是戰略、戰術或行動目標。
條目註 2: 目標可以涉及不同的學科(如財務、健康與安全、環境)。例如,可以是整個組織的目標,也可以是某個項目、產品或過程的具體目標(3.8)。
條目註 3: 目標可以用其他方式表達,如預期結果、目的、操作標準、人工智慧目標或使用具有類似含義的其他詞語(如目的、目標或具體目標)。
條目註 4: 在人工智慧管理系統(3.4)中,人工智慧目標由組織(3.1)根據人工智慧政策(3.5)制定,以取得具體成果。
3.7 風險
不確定性的影響
條目註 1: 影響是指與預期的偏差—正向的或負向的。
條目註 2: 不確定性是指對某一事件、其後果或可能性的了解或認識不足的狀態,即使是部分不足。
條目註 3: 風險的特徵通常是指潛在事件(如《國際標準化組織指引第 73 號》所定義)和後果(如《國際標準化組織指引》第 73 條所定義),或兩者的結合。
條目註 4: 風險通常以事件後果(包括環境變化)和相關發生可能性(《國際標準化組織指引第 73 號》所定義)的组合来表示。
3.8 過程
一系列相互關聯或相互作用的活動,該等活動使用或轉換輸入以產生結果
條目註 1: 一個過程的結果是稱為產出、產品還是服務,取決於參考文獻的上下文。
3.9 適任性
運用知識和技能達到預期結果的能力。
3.10 文件化資訊
需要一個組織管制和維護的資訊(3.1)及其載體。
條目註 1: 文件化資訊可以是任何格式和介質,也可以來自任何來源。
條目註 2: 文件化資訊可以指
- 管理系統(3.4),包括相關過程(3.8);
- 為組織運作而創建的資訊(文件);
- 取得成果的證據(記錄)。
3.11 績效
可量測之結果
條目註 1: 績效可能對應於定量或定性的發現。
條目註 2: 績效可能對應於作業、過程(3.8)、產品、服務、系統或組織(3.1)的管理。
條目註 3: 在該文件中,績效既指使用人工智慧系統取得的結果,也指與人工智慧管理系統有關的結果(3.4)。該術語的正確解釋從其使用的上下文中可一目了然。
3.12 持續改進
為增強績效(3.11)之重覆作業。
3.13 效果/有效性
實現所規劃的活動及達成所規劃結果的程度。
3.14 要求
需求或期望,明示的、通常隱含的或必須履行者。
條目註 1: 「通常隱含的」是指組織(3.1)和利害相關者(3.2)在習慣上或一般實務上,隱含的需求或期望。
條目註 2: 所指定的要求,是其所明示者,例如已在文件資料(3.10)等中說明的要求。
3.15 符合
滿足任一要求 (3.14)
3.16 不符合
未滿足任一要求(3.14)
3.17 矯正行動
消除不符合(3.16)的原因並防止再發之措施。
3.18 稽核
系統的、獨立的程序(3.8),用於獲取證據並對其進行客觀評估,以確定在多大程度上符合稽核標準。
條目註 1: 稽核可以是內部稽核(第一方),也可以是外部稽核(第二方或第三方),還可以是綜合稽核(結合兩個或多個領域)。
條目註 2: 內部稽核由組織(3.1)本身進行,或由外部機構代表組織進行。
條目註 3: ISO 19011 中定義了 "稽核證據 "和 "稽核標準"。
3.19 量測
量測過程 (3.8) 以確定一個值。
3.20 監測
確定某個系統、某個過程(3.8)或某個活動的狀態
條目註 1: 為確定狀態,可能須檢查、監督或嚴格地觀察。
3.21 管制
<風險> 保持和/或改變風險(3.7)的措施
條目註 1: 管制措施包括但不限於維持和/或改變風險的任何程序、政策、器材、實務或其他條件和/或行動事項。
條目註 2: 管制措施不一定總能產生預期或假定的修改效果。
3.22 治理單位
對組織的績效和符合性負責的個人或團體
條目註 1: 並非所有組織,特別是小型組織,都有一個獨立於最高管理階層的治理單位。
條目註 2: 治理單位可包括但不限於董事會、董事會委員會、監事會、受托人或監督人。
3.23 資訊安全
維護資訊的保密性、完整性和可獲得性
條目註 1: 也可涉及其他屬性,如真實性、責任性、不可否認性和可靠性。
3.24 人工智慧系統衝擊評鑑
一個組織在開發、提供或使用利用人工智慧的產品或服務時,確定、評估和處理對個人、個人群體或兩者以及社會的衝擊之正式且文件化的過程。
3.25 資料品質
資料達到組織在特定前後環節關於資料要求事項的資料特徵。
3.26 適用性聲明
所有必要管制事項(3.21)的文件化以及納入或排除管制措施的理由
條目註 1: 各組織可能不需要附件 A 中列出的所有管制措施,甚至可以超出附件 A 中的清單,由組織自己制定另外的管制措施。
條目註 2: 組織須根據該文件的要求記錄所有已識別的風險。所有已識別的風險和為應對該等風險而制定的風險管理措施(管制措施)須呈現在適用性聲明中。
(未完,見續篇)
詳細內容參見標準原文。
沒有留言:
張貼留言