人工智能保障 - ISO/IEC 42001 认证

本白皮书概述了组织制定、治理和持续遵守内外部要求的必要性，以及如何推进人工智能在流程、产品和服务中的成功实施。

人工智能（AI）正在改变世界，为企业和整个社会创造新的机遇和挑战。随着生成式人工智能 ChatGPT 和 Copilot 的到来，人工智能在组织中的实验和使用呈现爆炸式增长。成功的案例表明，人工智能可以提高效率、质量、创新和客户满意度。然而，每一项新技术都伴随着风险。人工智能充满了潜在的挑战和不确定性，需要对其加以管理，才能实现安全、可靠和合乎道德的开发、应用和使用。

这便是基于 ISO/IEC 42001 标准的人工智能管理体系（AIMS）对于组织管理其人工智能之旅的关键之处。结构化的方法迫使您“三思而后行”，并不断评估绩效和成果。这一关于人工智能管理、风险管理方法和第三方认证的基础标准已被公认为指导开发和提供可信人工智能解决方案的核心支柱。

安全和负责任地使用人工智能的必要性

随着各行各业对人工智能应用程序的实验和采用日渐增多，利益相关方的意识和期望日益增强，社会道德要求和监管环境日益发展，人们对可靠的人工智能的需求也日益凸显。因此，如若组织无法弥合人工智能开发者和用户之间的信任差距，则人工智能在组织中的优势将无法实现。信任差距是指利益相关方对组织的人工智能产品和/或服务缺乏信心和透明度。例如，如果用户不清楚人工智能系统是如何作出决策的，用户便会对该人工智能系统的安全性、道德考量、数据隐私保护和整体可信度产生不确定性和怀疑。简而言之，对一项技术的信任取决于利益相关方能否充分了解其用途，并对其安全性充满信心。

弥合这种信任差距对于商业化和扩展 AI 产品和服务至关重要。它需要组织确保以安全、负责、可靠和合乎道德的方式实施人工智能。此外，组织还必须向内部利益相关方（如员工和高级管理层）以及外部利益相关方（如客户和股东）提供保证。

为实现和证明解决方案的可信度，组织需要采用系统化的方法对人工智能系统进行治理，治理流程应涵盖整个人工智能生命周期。例如从利益相关方分析、适当的限制（如道德准则）、使用案例优先级排序和风险识别，直到相关控制措施的实施等。当我们尝试用放大镜对这信任鸿沟一探究竟时，组织就能明确需求和期望。例如，组织应：

确定并优先考虑人工智能可以增值和产生影响的领域和应用，了解其效益和风险
在组织内部建立并保持一种信任、透明和问责制的文化
评估和衡量人工智能系统的绩效和质量，确保符合可信度原则、现有或即将出台的法律法规以及客户要求
组织中的角色和职责，这对于不断变化和发展的技术领域尤为重要
采用和实施基于最佳实践标准（如 ISO/IEC 42001）的人工智能开发、实施和治理流程
向利益相关方展示人工智能系统的可信度，提供符合最佳实践、法律和法规的证据和认证

虽然并非详尽无遗，但以上是对核心需求和期望的概述。ISO/IEC 42001 人工智能管理体系标准旨在提供指导和结构，以有效地驾驭这些需求和期望。

标准化在治理人工智能方面的作用

每一项新技术都伴随着风险。人工智能的迅速发展及其在各行各业的巨大应用潜力使这一风险越发不稳定。例如，组织无法在设计阶段预测所有结果。

在这种环境下，ISO/IEC 42001 等管理体系标准就显得尤为重要。每当组织需要取得利益相关方信任时，标准化和认证都发挥关键作用。除法律、监管和道德方面的考虑，标准化还为组织实现可扩展性、嵌入安全性和引导组织进入人工智能这一未知领域提供了工具。

标准确立了基本术语，促进了行业主导的规范，收集了用于评估和改进的最佳实践。以人工智能管理为目标的标准将为组织管理人工智能提供明确性和责任感，这将极大地提高社会对人工智能产品和服务的接受度。这些标准为监管合规和行业采用奠定了基础，加速提高了全球以安全、负责和合乎道德的方式利用人工智能潜力的能力，确保用户和其他利益相关方所需的透明度、信任和安全。

人工智能管理体系的作用

管理体系标准和认证可作为各组织治理人工智能的坚实基础（见图 1）。ISO/IEC 42001 国际标准为开发、部署或使用人工智能系统的组织提供了指导和要求。

这项备受期待的标准于 2023 年底发布，适用于各行各业，包括参与开发、提供或使用人工智能系统的产品和/或服务的任何类型和规模的组织。作为 ISO 标准，ISO/IEC 42001 与其他经典的 ISO 管理体系标准兼容并互补，例如 ISO 9001（质量）和 ISO/IEC 27001（信息安全）等。ISO/IEC 42001 在促进人工智能创新和实施有效治理之间取得了平衡。

这意味着组织可以利用和构建任何现有的管理体系和一般流程治理。这可帮助组织以全面的方法来管理使人工智能成为产品、服务甚至内部应用的重要组成部分。

在如下示意图所示，我们将 ISO/IEC 42001 定位为 “AI 保障金字塔” 中的流程治理工具。如下方金字塔所示，基础设施是组织运行的基础。为了更有效地治理和改进流程，许多组织选择实施符合质量（ISO 9001）、信息安全（ISO 27001）或其他管理体系标准的管理体系。认证是组织向各利益相关方展示合规的关键方法。

Pyramid of assurance. Management systems play a foundational role in governing processes to manage risks and ensure safe, reliable and ethical AI systems. — AI 保障金字塔。
管理体系在管理风险和确保安全、可靠和合乎道德的人工智能系统的过程中发挥着基础性作用。

由于 ISO/IEC 42001 与其他 ISO 管理体系标准结构相似，这有助于组织将 AI 管理体系的要求补充到您的现有管理体系中。通过这样的方式，您的流程治理就为设计、建立和使用值得信赖的人工智能系统奠定了基础。

ISO/IEC 42001 的主要目标是：

通过采用基于风险的方法，为组织提供涵盖 AI 整个生命周期的框架和方法，来建立、实施、维护和改进人工智能管理体系
支持向利益相关方展示和传达组织的 AI 系统和流程的可信度
随着国家/地区和国际法律法规的不断增加，合规将变得越来越重要。该标准可帮助组织遵守监管和法律合规，如已于 2024 年 8 月出台的《欧盟人工智能法案》
促进人工智能系统和流程的互通和整合
促进利益相关方之间的合作与协调
支持人工智能系统和流程的创新和改进
鼓励采用和传播人工智能管理的最佳实践和标准

ISO/IEC 42001 与人工智能法律法规之间的关系有望成为协同和互利的，该标准的控制措施符合法律法规要求遵守的内容。虽然《欧盟人工智能法案》以产品为重点，但采用人工智能管理体系可为组织建立和交付一致且可预测的可信人工智能系统奠定基础。

最终，一个实施良好且符合所有相关标准的管理体系将确保数据的完整性、隐私性和合乎道德的使用，同时具有足够的适应性，可以整合因客户、技术进步、法律和监管等因素而不断变化的要求。

开启认证之旅

如您准备开始采用符合 ISO/IEC 42001 标准的管理体系，您可以阅读 DNV 关于“获得 ISO/IEC 42001 认证的八个步骤”的文章，并采用随附的自我评估工具作为指导。该流程从高级管理层评审开始，以确定采用人工智能管理体系（AIMS）的主要原因。在此之后，组织应了解 ISO/IEC 42001 标准，并制定与确定的目标相匹配的战略方向。

后续步骤包括规划和资源分配、了解和规划关键流程以及确定员工的培训需求。准备、开发和实施适用的流程和程序是标准步骤，在此过程中应用内部审核和管理评审来检查管理体系的有效性非常重要。使用 DNV 的自我评估工具将有助于找出与标准要求之间的差距，并采取有针对性的方法来满足 ISO/IEC 42001 的要求。

为什么选择 DNV 为合作伙伴？

作为世界领先的认证机构之一，DNV 是全球 80,000 余家公司管理体系认证和培训需求的首选合作伙伴。我们在人工智能和其他管理体系方面拥有独特的专业能力、行业知识和实力。选择 DNV 您将获得：

信息安全和隐私保护领域的全球参与者：我们在信息安全和隐私保护认证及培训方面拥有良好的业绩记录，这将有效地帮助您将信息安全和人工智能管理整合在一起
Risk Based Certification™ 基于风险的认证方法：我们采用积极主动的基于风险的认证方法，这意味着我们可以帮助组织尽早识别人工智能系统中的潜在风险，并得到有效的解决
Lumina™ 绩效标杆分析工具：这是我们的智能数据基准工具，您可通过该工具深入了解和分析管理体系绩效，并与同行进行比较
培训管理：数字化解决方案可帮助组织管理并确保整个组织内员工的认识和能力发展保持一致
称职的审核员：我们专业的审核员会以务实的态度倾听客户的需求，同时注意评估组织流程是否符合标准
构建客户管理流程，提供卓越的客户体验