ISO/IEC 42001:2023
Information technology — Artificial intelligence — Management system
資訊技術—人工智慧—管理系統(續,見前篇)
註:此文並未涵蓋該文件全部事項,相關內容務須參閱各項文獻原本及最新版次。此處係閱讀隨筆,僅供個人學習,非供印刷或潛在意圖出版。© All Rights reserved. 版權聲明。
人工智慧品質管理系統要項:
(1)確定組織在人工智慧領域的角色定位
當建立人工智慧管理系統時,組織須先定位自身在人工智慧系統領域的角色,安排建立和實施人工智慧管理系統的內容。考慮人工智慧系統各相關角色,供組織在確定自身角色定位時參考。
註:相關角色包括(但不限於):人工智慧提供者、人工智慧生產者、人工智慧顧客、人工智慧合作者、人工智慧主題相關者、人工智慧相關主管機構與法規制定者;
(2)理解組織面臨的內外部問題
確定角色定位后,組織須進一步分析在人工智慧管理領域所面臨的內外部問題,從而為建立人工智慧管理系統提供必要的輸入。
(3)理解組織利益相關者需求與期望
組織須識別與人工智慧管理的利益相關者,理解各相關政策對人工智慧系統的管理需求與期望。如組織是人工智慧平臺提供商,則須考慮人工智慧平臺使用者、人工智慧平臺合作夥伴、人工智慧符合性監管者的需求與期望,該等需求與期望可能包括個人隱私保護、事件處理的透明性、符合性管理等等。
(4)制定人工智慧管理政策
與所有其他管理系統標準導入過程類似,組織在建立人工智慧管理系統時,其最高管理階層須制定人工智慧領域的管理政策,典型的人工智慧管理政策可考慮包含:
- 目標和原則、
- 資料管理、
- 系統設計、
- 透明性和可解釋性、
- 倫理和法律符合性、
- 訓練和教育、
- 監督和評估。
組織須對人工智慧風險進行識別、分析與評估。制定人工智慧風險評估過程,明確人工智慧風險準則,並按照風險評估過程與準則開展人工智慧風險評鑑工作。組織須針對不可接受的風險,宜參照標準附錄A選擇風險控制措施,制定詳細的風險處置計劃,按照控制措施選擇結果制定《人工智慧管理系統適用性聲明書》。人工智慧風險評鑑的具體方法可參考國際標準化組織於2023年初發布的一份標準《ISO/IEC23984:2023 資訊技術 - 人工智慧 - 風險管理指引》的內容。(見另文介紹)
(6)人工智慧目標管理
組織規劃人工智慧管理系統過程時須基於內外部環境分析、相關者需求及期望以及風險評估結果制定管理目標,明確實現管理目標的措施、責任及時間表。
(7)人工智慧管理系統標準支援條款
該標準還明確了為支持管理系統有效運行的支援要求(或者說是賦能要求),包括:資源、能力、意識、溝通及文件化資訊。
(8)人工智慧管理系統運行
人工智慧管理系統運行部分的要求參見ISO/IEC 27001:2022資訊安全管理系統標準;人工智慧管理系統運行取決於風險評鑑結果及風險處理要求,而風險處理措施的實務就是人工智慧管理系統的營運要求,風險處理的內容係實踐附錄A控制措施的內容。
(9)人工智慧管理系統績效評估與持續改進
人工智慧管理系統績效評估與持續改進部分的要求參見ISO/IEC 27001:2022資訊安全管理系統標準,標準明確規定對管理系統績效須執行持續監督、量測與評鑑,對管理系統執行的有效性進行定期的內部稽核,最高管理階層須定期對管理系統的適宜性、有效性及充分性予以審查,對系統運行、績效評估、內部稽核、管理審查等過程的各類不符合事項採取矯正及矯正措施,從而持續改進人工智慧管理系統的適宜性、充分性和有效性。
人工智慧管理系統標準管制措施概述
ISO/IEC 42001人工智慧管理系統標準“附錄A”明確規定了企業在人工智慧系統設計與營運過程中須執行的控制目標與控制措施,須考慮九項控制面向,各項控制措施的應用取決於人工智慧系統的風險評估結果。
- 人工智慧政策
- 內部組織管理
- 人工智慧系統資源
- 人工智慧系統衝擊評估
- 人工智慧系統生命週期
- 人工智慧系統資料
- 人工智慧系統相關者需了解的資訊
- 人工智慧系統的使用
- 第三方關係
1、人工智慧政策
組織須制定人工智慧政策,確保人工智慧政策與組織其他管理領域的政策(例如:品質政策、資訊安全政策、健康與安全政策、保護個人隱私政策等)保持一致,並定期審查既定政策的執行情況。2、內部組織管理
在組織內建立當責制,明確規定人工智慧系統營運與管理的各項職責。須考慮採取以下控制措施:- 根據組織自身需求定義人工智慧的角色與職責(該等角色與職責可能包括人工智慧風險評估、保護個人隱私、健康與安全、供應鏈管理等),並將該等角色與職責分配至相關職能。
- 基於明確化的角色與職責,組織須建立有效的報告過程以確保員工及時報告人工智慧生命週期的關切事項,該等關切事項涉及人工智慧生命週期的各個階段。
- 係稱關切事項通常包括:人工智慧的透明性、信賴性、保全漏洞、人工智慧系統潛在的倫理問題等。
3、人工智慧系統資源
組織須詳細描述人工智慧所需的各項資源內涵,以便充分理解和處理人工智慧面臨的風險與衝擊。須針對人工智慧系統各類資源進行控制,該等資源包括:- 人工智慧系統部件、
- 人工智慧系統整個生命週期涉及的資料、
- 人工智慧開發應用工具、
- 系統與計算資源、
- 人力資源及所需的適任性。
不僅須對該等資源進行配備置,亦須對該等資源予以全面識別、文件化並配合人工智慧系統的變化,伴隨相關的動態變更。
4、人工智慧系統(正向或負向,尤其是負向)衝擊評鑑
組織須在人工智慧系統生命週期對利益相關者可能造成的(正向或負向,尤其是負向)衝擊進行評鑑。須建立人工智慧系統衝擊評鑑過程,明確人工智慧系統衝擊評鑑的職責、評鑑的時機、評鑑須考慮的內容等。按照所建立的過程要求對人工智慧系統在其生命週期各階段對個人、群體及社會可能造成的衝擊進行評鑑,並將評鑑結果文件化。5、人工智慧系統生命週期
確保組織針對人工智慧系統的設計與開發建立識別,制定文件化的管理目標,並落實執行各項控制過程。- 負責任地開發人工智慧系統:確定管理目標並文件化,用以指導開發可信任的人工智慧系統。標準提到的「可信任性(trustworthy)」是指『人工智慧系統能夠在沒有偏見或歧視的情況下,以可預測和可靠的方式做出正確的決策』。
- 定義人工智慧系統的設計與開發過程:為確保組織設計與開發的人工智慧系統具備可靠性特徵,組織須定義人工智慧系統設計與開發的各個具體過程,並將該等過程文件化。
- 明確人工智慧系統的需求與規格:針對新的人工智慧系統或對現有人工智慧系統的材料性質增強化(material enhancements),須明確設計與開發要求及規格。
- 確保人工智慧系統的設計與開發過程文件化:人工智慧系統的開發與設計過程須文件化,目的是確保佐證說明開發與設計過程,符合組織設計開發需求目標、規格及準則等。
- 對人工智慧系統進行查證和確證:對人工智慧系統的查證和確證措施須予以定義並文件化,亦須規定查證和確證措施的使用準則。
- 對人工智慧系統的展開執行管控:須制定人工智慧系統展開計劃,確保在正式展開前達到相關的要求。
- 對人工智慧系統的運行和監督進行控制:為確保人工智慧系統持續有效地運行,組織須定義必要的控制要素,並將該等控制要素文件化。該等控制要求至少須考慮系統和運行績效的監督、修復、更新及支持。
- 確定所需的人工智慧系統技術文件:針對不同類別的利益相關者,組織須確定各自所需的人工智慧系統技術文件,並以適宜的形式向各種利益相關者提供該等文件。
- 對人工智慧系統的事件日誌進行記錄:人工智慧系統在運行過程中,在需要時須啟用自動保留事件日誌的功能。
6、人工智慧系統資料
確保組織充分理解資料在人工智慧系統生命週期各階段的作用與影響。- 管理人工智慧系統開發及優化的資料:定義人工智慧系統開發的資料管理過程,將其文件化並予以遵循和執行。
- 資料獲取控制:針對人工智慧系統使用的資料,組織須針對該等資料的獲取/選用的詳細資訊予以確定並文件化。
- 人工智慧系統資料品質管制:針對人工智慧系統開發與運行所使用的資料,組織須明確規定該等資料的品質要求,確保各項資料內容滿足既定要求。
- 資料來源控制:針對人工智慧系統所使用的資料,組織須定義資料來源的查證與記錄過程,並將此項過程文件化。
- 資料準備管理:組織須對資料準備需求及方法進行定義,並文件化。
7、為人工智慧系統相關者需了解的資訊
確保組織利益相關者能夠獲取必要的資訊以理解並評估風險及其衝擊。- 準備適用於使用者的系統文件及資訊:組織須確定並向人工智慧系統使用者提供所需的資訊。
- 確保資訊的可理解性:組織向相關者提供的資訊應清晰、可理解並適用於當事人情況。
- 提供外部通報機制:組織須確保相關者能夠通報人工智慧系統產生的負向衝擊。
- 溝通事件:組織須制定人工智慧系統事件溝通計劃,明確向使用者溝通事件的時機及方式,並文件化溝通程序。
- 向相關者提供資訊:組織須明確向相關者報告人工智慧系統資訊的義務,提供資訊過程須遵循文件化程序。
8、人工智慧系統的使用
確保組織負責任地根據組織政策使用人工智慧。
詳細內容參見標準原文。
(本篇竟)
- 建立過程,確保負責任地使用人工智慧。
- 制定負責任地使用人工智慧的目標。
- 確保人工智慧按照預期用途予以應用與使用。
9、第三方關係
對於人工智慧系統生命週期中涉及的第三方,組織須理解其責任並自始至終負責承擔該等責任。組織在評估並降低第三方風險的同時,亦須要求第三方評估並處理其與人工智慧產品和服務相關的風險。詳細內容參見標準原文。
(本篇竟)
