ISO/IEC42001：人工智能管理体系的最佳模板

AITrust社区

文末扫码验证申请入群

CAIM报名

点击

CAIL报名

点击

在过去的18个月里，任何没有躲在石头下的人都知道人工智能是隐私行业的热门话题。

随着能力和可用性的快速发展，许多隐私专业人士自然开始质疑如何确保这项技术的安全可靠使用。

去年，国际标准化组织发布了一个新的国际标准，ISO/IEC 42001:2023，为组织提供了一个可以采用的人工智能管理体系模板。

人工智能管理体系条款

该标准概述了建立人工智能管理体系（AIMS）的高级要求的条款，任何寻求认证的组织都必须遵循并实施。

组织背景：像许多其他标准一样，ISO/IEC 42001要求组织全面理解其背景，确定与AIMS相关的外部和内部问题，了解利益相关者的需求和期望，并确定AIMS的范围。这必须包括理解组织相对于人工智能系统的角色——例如，提供者、生产者、用户和合作伙伴。

领导力：标准要求组织在AIMS方面从高层设定清晰的基调。这包括制定人工智能政策和定义角色、责任和权限。

规划：标准规定了设计流程的要求，以进行人工智能风险评估和处理已识别风险的流程。还有一个特定要求，即定义人工智能系统影响评估的过程，包括评估因开发或使用人工智能系统可能对个人和社会产生的潜在后果。评估必须包括部署、预期使用和任何“可预见的滥用”。

支持：组织需要确定并提供建立、维护和改进AIMS所需的资源。有一个特定要求，即组织必须确保个人保持适当的能力，并保持这一点的证据。意识也至关重要，有要求确保员工了解人工智能政策和其他关键项目。标准还要求组织制定内部和外部通信的通信时间表。

运营：概述了执行规划条款中建立的风险评估、风险处理和影响评估流程的要求，并记录结果。

绩效评估：标准要求组织监控和衡量AIMS的性能，但提供了确定应监控和测量内容的自由。像所有A型标准一样，有一个要求，即嵌入内部审计程序，评估AIMS。还必须有一个管理审查过程，组织管理团队定期会面，以确保AIMS的有效性。

改进：标准要求对AIMS进行持续改进的承诺。这包括解决已识别的不符合项并实施纠正措施。

控制

这些是组织可以针对整体组织人工智能风险评估应用的控制措施。组织必须证明包括或排除任何控制措施的合理性。

与人工智能相关的政策：必须制定开发和使用人工智能系统的策略，并考虑它对其他组织政策的影响。

内部组织：组织必须定义和分配相关的角色和责任，并实施在组织内报告对人工智能的担忧的措施。

人工智能系统的资源：组织必须确定人工智能生命周期中所需的资源，包括人工智能系统使用的数据、工具资源、系统和计算资源，当然还有人力资源，包括能力。

评估人工智能系统的影响：必须建立评估人工智能系统对个人、群体和社会的影响的流程。这些评估必须相应地进行并记录。

人工智能系统生命周期：组织必须为负责任的人工智能系统开发建立目标和相关流程。它们还必须使用设计和部署验证机制、部署计划以及操作和监控流程。必须有相关的技术文档和系统记录或事件日志。

人工智能系统的数据：组织必须嵌入适当的与人工智能系统中数据使用相关的数据管理流程，涵盖数据的获取、质量、来源和准备。

利益相关方的信息：必须适当更新相关的内部和外部利益相关方。这包括记录人工智能系统用户的信息、对外报告不利影响和通信事件。组织必须记录其报告有关人工智能系统信息的义务。

使用人工智能系统：必须定义并负责任地使用人工智能系统的目标和流程，并且系统必须按预期使用。

第三方和客户关系：组织必须在其人工智能系统供应链中分配给第三方的责任。这包括确保供应商提供的人工智能系统的使用与组织的人工智能方法一致，以及人工智能的使用符合客户的需求和期望。

关键要点

ISO/IEC 42001标准细节不多，不强加规定性要求或制定与人工智能使用相关的指导原则。这将适合那些已经在开发自己框架的组织，但不会受益于那些寻求一个全面的自我规范模板的组织。
标准是管辖区中立的。因此，它可能适用于希望实施单一集团框架的跨国公司，或者适用于没有全面人工智能法规的司法管辖区的组织。然而，对于那些需要满足特定法律要求的组织来说，它可能不是万能的。
在设计和执行人工智能系统影响评估时，很自然地会采取类似于数据保护影响评估或隐私影响评估的形式和结构。鉴于目标实质上相似——评估对个人的影响——组织可能会从整合这两个流程中受益。
整个标准都强调了与人工智能合作的人的“能力”。组织需要确保合适的人在合适的位置。这将包括那些在人工智能系统的实际运营中工作的人，以及那些在人工智能治理方面工作的人——包括安全、安全和隐私。
标准是“A型”，意味着组织可以由外部机构认证为符合标准。然而，寻求认证的组织应确保使用已在国家认可机构注册的认证机构。
标准是ISO的“协调结构”的一部分，意味着条款和术语与组织许多其他标准相匹配，对于参与ISO/IEC 27001:2022或ISO/IEC 27701:2019的任何隐私专业人士来说都会非常熟悉。它也可以与组织其他管理系统整合。

ISO/IEC 42001标准为人工智能管理体系提供了一个灵活的框架，侧重于高级要求和可适应的流程。但是，像所有ISO标准一样，它不能被视为符合当地法律和法规的替代品。

组织可以将该标准作为起点，但仍然需要投入大量的努力来实施有效的人工智能治理计划。

人工智能管理专家（CAIM）认证课程

Certified Artificial Intelligence Management Professional

人工智能管理专家（CAIM）认证课程是首席人工智能官认证（CCAIO™）系列课程的一部分，由SGS 和DPOHUB联合开发。CCAIO™聚焦人工智能的法律框架、管理体系、技术基础，再到企业的可信人工智能策略及最佳实践。

CAIM学习目标

管理体系：熟悉并落地ISO/IEC42001等AI系统全生命周期风险管理的国际标准实践

CAIM学习对象

从事风险管理、合规、审计和治理领域的律师、会计师、咨询师、企业法务和合规人员、信息安全人员，以及数据科学家、人工智能项目经理、大模型运营团队、投资机构专家、政府监管人员等。

CAIM课程大纲

CAIM课程讲师

余大江，SGS人工智能管理体系全国产品经理，北京大学软件工程硕士，人工智能管理体系主任审核员、信息安全管理体系主任审核员、信息技术服务管理体系主任审核员、质量管理体系审核员、数据中心能力成熟度审核员、隐私信息管理实施专家、ITSS独立评估专家。

近15年国内及国际知名认证机构从业经历，超过500家管理体系认证审核、培训经验，涉及电子产品生产制造、出口加工、工业自动化信息化集成、信息技术服务、通信工程及系统代维、信息系统集成、航空系统集成运维及信息服务、超算中心数据处理、行业软件开发、电子政务、互联网、通信工程服务、邮政、金融租赁、安全印务、传统印刷、制药、保健品生产、安全芯片制造诸多行业。

服务于华为、阿里、小米、百度、万国数据、奔驰、京东、佳能、京东方等知名客户。

CAIM认证机构

SGS是是国际公认的测试、检验和认证机构。被誉为可持续、质量和诚信的基准。SGS在全球范围成立了专门的信息安全服务中心，SGS在信息与通讯技术（ICT）领域深耕多年，除了可以提供ISO/IEC 42001、ISO/IEC 27001、ISO/IEC 20000、CSA STAR、ISO/IEC 27701、ISO/IEC 27017、ISO/IEC 27018、TISAX、ISO/SAE 21434、ISO 22301、Europrivacy 等产品认证服务外，还可以提供网络安全测试等服务，已为众多行业知名企业提供过相关服务。

CAIM运营机构

数隐咨询DPOHUB在人工智能治理及认证、大模型合规、算法备案、AIA合规及认证、欧盟GDPR合规、美国HIPPA/CCPA/COPPA合规、欧美数据隐私框架合规、数据出境安全评估及标准合同备案、IPO数据合规、个人信息保护审计、人工智能及数据合规常年顾问等方面具有丰富的全球落地经验，助力智能汽车、新能源、金融、医疗健康、互联网等领域的客户实现持续性的合规。数隐咨询DPOHUB还是一家由SaaS软件定义下的人工智能治理、数据安全合规和个人信息保护的领先评估平台，通过人工智能和机器人自动化引擎为客户构建和实施全面的合规计划。

CAIM收费标准

每位6000元（费用含培训费、认证及证书费等），不含食宿费用，自行安排。

早鸟价（2024年6月21前付款）：特惠价9折，即5400元

3人以上团购价8折，即4800元

收款账户

开户名称：数隐（上海）管理咨询有限公司

开户账号：121945917710301

开户行：招商银行股份有限公司上海田林支行

CAIM考试形式

考试时间：CAIM课程考试时间为120分钟，每门课程满分100分，70分通过，课程的第二天下午随堂考试。

证书获取：通过考试获得CAIM证书；CAIL、CAIT及CAIM三次考试全部通过，即可直接申请最终的CCAIO首席人工智能官证书。

CAIM课程安排