深入理解 ISO 42001 人工智慧(AI)管理系統:控制措施及參考法規
如同ISO27001資訊安全管理系統,ISO 42001人工智慧(AI)管理系統也制定了適用的控制措施,做為執行管制的具體規範。
同時也特別強調應遵守各行業與營運國家、區域適用的法規要求。
ISO 42001的控制措施
ISO 42001於主條文章節中定義管理系統的基礎概念;針對組織可使用那ISO 42001 的主要條文內容(章節 4 到 10)規定了組織建立、實施、維護和持續改進人工智慧管理系統 (AIMS) 的要求。這些條文描述了組織應該做什麼,以確保其 AI 系統以負責任、合乎道德且有效的方式進行管理。
而附錄 A 的控制措施則提供了組織如何達成這些主要條文要求的具體方法。 附錄 A列出的控制措施,組織可根據風險評估結果,和企業營運的AI使用場警,選擇適用並實施控制措施。
這些控制措施分為九大控制域:
- AI 政策 (AI Policies):
建立 AI 系統管理的整體方向。 - 內部組織 (Internal organization):
明確 AI 系統相關的職責和權限。 - AI 系統的資源 (Resources for AI Systems):
管理 AI 系統所需的各種資源,包括人力、技術和資訊。 - 評估 AI 系統衝擊 (Assessment of AI system impact):
評估 AI 系統對社會、倫理和人權的潛在影響。 - AI 系統生命週期 (AI system lifecycle):
管理 AI 系統從開發到退役的整個生命週期。 - AI 系統資料 (AI system data):
管理 AI 系統所使用的資料,確保其品質和安全。 - AI 系統的相關利害團體資訊 (Information for interested parties of AI systems):
向相關利害團體提供關於 AI 系統的資訊。 - AI 系統的使用 (Use of AI systems):
管理 AI 系統的使用方式,確保其符合倫理和法律規範。 - 第三方關係 (Third party relationships):
管理與 AI 系統相關的第三方關係。
附錄 B 提供了附錄 A 中各項控制措施的實施指南,協助組織具體落實這些控制。
ISO 42001相關ISO國際標準,以及參考法規
ISO/IEC 42001 管理系統可以與現有的安全和合規框架,共同管理:
- ISO/IEC 27001資訊安全管理系統
- ISO/IEC 27701隱私資訊管理
- ISO 21434道路車輛-網路安全 (尤其為應用AI自動駕駛的車輛網路安全管理)
參考的ISO/IEC標準:
- ISO/IEC 22989 人工智慧概念與術語
- ISO/IEC 23894 人工智慧特定風險管理
- ISO/IEC 23053 使用機器學習 (ML) 的人工智慧 (AI) 系統框架
- ISO/IEC 38507 組織使用人工智慧的治理影響 – IT治理
- ISO/IEC 5259-1~5259-6 機器學習的數據品質
- ISO/IEC 31000 – 一般風險管理框架
- ISO/IEC TR 24027 – 偏見評估和緩解
- ISO/IEC TR 24368 – 道德和社會考量