ISO 42001 AI 管理系統內文重點

已更新：3月29日

ISO 42001 : 2023 宗旨與目的

國際標準ISO 42001旨在為組織提供完整框架，特別是那些提供或使用包含人工智慧（AI）系統的產品或服務的組織。本文件幫助組織在追求其目標的同時，負責任地開發、提供或使用AI系統，並達成與相關方的需求及期望相關的適用要求與義務。此標準於2023年12月發布，是目前領導AI管理體系的關鍵標準。

4.背景

組織必須識別與其AI管理系統相關的外部和內部問題；識別相關的利益相關者、他們的要求，以及通過AI管理系統將解決哪些要求。定義AI管理系統的邊界和適用性，考慮外部和內部問題以及要求。

5.領導力

高層管理必須展示領導力，確保AI政策和目標與組織的戰略方向一致；制定適合組織目的的AI政策，為目標提供框架，承諾滿足要求。

6.規劃

定義評估AI風險的過程，考慮政策、目標和潛在後果；實施風險處理選項，驗證其有效性，並在必要時更新風險處理計劃。

7.支持

確定並提供AI管理系統所需的資源；通過教育、培訓或經驗確保人員的勝任能力。

8.運作

計劃、實施和控制過程以滿足要求，包括AI系統開發和使用生命週期的控制；在計劃的間隔或當重大變化發生時，進行並記錄AI風險評估和處理。

9.績效評估

確定需要監控、測量、分析和評估的內容，以確保有效結果並評估AI管理系統的績效。實施內部稽核，確保AI管理系統符合要求並有效實施。

10.改進

通過採取糾正措施來解決不符合，消除原因並防止再次發生，確保在必要時對AI管理系統進行變更。

A.2 與AI相關的政策

組織應制定並記錄AI系統的開發或使用政策，確保其符合業務需求並提供管理方向。政策需與其他組織政策保持一致，並定期審查以確保其持續適用性、充分性和有效性。

A.3 內部組織

為確保AI系統的負責任實施、運營和管理，組織需明確分配AI角色與責任，並建立流程以報告AI系統生命週期中可能出現的擔憂。

A.4 AI系統資源

組織需識別並記錄AI系統所需的資源，包括數據資源、工具資源、系統與計算資源，以及人力資源及其能力，以全面了解並應對風險與影響。

A.5 AI系統影響評估

組織需建立流程以評估AI系統對個人、群體及社會的影響，記錄評估結果並保存一定時間，涵蓋整個生命週期中的潛在影響。

A.6 AI系統生命週期

組織需為AI系統生命週期的每個階段定義準則與要求，包括負責任開發目標、設計與開發流程、驗證與驗收測試，以及部署計畫，以確保符合要求。

A.7 AI系統數據

組織需理解數據在AI系統中的角色及影響，並定義數據管理流程，包括數據獲取、質量要求、來源追溯及準備方法，以支持系統的開發與運行。

A.8 提供給相關方的信息

組織需向相關方提供必要信息，使其能理解並評估AI系統的風險及影響，包括用戶信息、外部報告能力、事故溝通計畫等。

A.9 AI系統的使用

組織需明確負責任使用AI系統的流程和指導目標，確保AI系統按照預期用途及文檔進行使用，並符合組織政策。

A.10 第三方與客戶關係

在涉及第三方時，組織需分配責任於自身、合作夥伴、供應商及客戶之間，建立供應商管理流程以符合負責任使用原則，同時考慮客戶需求以制定負責任的開發與使用方法。

完整解析可以看我們同仁的專文