AI Governance - ISO/IEC 42001 Certification Benefits

對於幾乎所有企業而言，人工智慧 (AI) 都是當今的熱門話題，而且大多數企業都熱衷於探索其所聲稱的好處。然而，與人工智慧相關的潛在挑戰和風險需要加以管理，以達到安全、負責、可靠和合乎道德的開發、應用和使用。這正是 ISO/IEC 42001 人工智慧管理系統標準的用武之地，它是指導開發和提供可信賴人工智慧解決方案的關鍵所在。

儘管人工智慧已存在一段時間，但直到最近才真正受到熱烈歡迎。DNV 最近進行的一項 ViewPoint 調查發現，有相當多的公司 (58%) 尚未導入人工智慧技術，總計超過 70% 的公司可視為已開始人工智慧之旅。這些數字突顯出 AI 還不是大多數公司的策略重點。

就 AI 而言，許多對調查作出回應的公司可能還處於起步階段，但它們並非一般意義上的新企業，對於治理的需求或好處也不陌生。他們已經實施了符合至少一項 ISO 標準的管理系統，例如 ISO 9001（品質）、ISO 14001（環境）或 ISO/IEC 27001（資訊安全）。然而，尤其是那些處於早期階段的公司，尚未發現他們的 AI 之旅需要採用相同的方法。

日益增長的治理需求

我們稱之為「起步階段」的公司，主要著重於使用 AI 來提升效率並改善內部流程。由於 Copilot 和 ChatGPT 等解決方案及其實施的性質相對簡單，因此這是常見的第一步。然而，隨著公司的成熟，往往會轉向外部、更複雜的 AI 計畫，目的在於創造營收和探索新的商業機會。同時隨著組織的進步，為最好地控制風險，確保安全、可靠、合乎道德地開發、實施和使用 AI，對結構化治理的需求也與日俱增，

針對人工智慧的監管正在不斷加強，企業必須證明其符合法規。此外，使用者固有的懷疑態度也造成了必須彌補的信任缺口。為了信任並利用一項技術，我們必須瞭解其運作方式，並能夠評估其安全性、可靠性和透明度。 AI Assurance Club 於 2024 年 3 月發表了一份題為《2023-24 年 AI 治理與確信全球趨勢》的報告，強調了這個問題。該報告詳述了全球趨勢和全球各地的法律制定發展。關於信任的議題，該報告指出：「AI 治理的核心難題是信任問題。隨著 AI 系統更深入我們的生活 - 基礎建設、商業流程、公共服務或消費品 - 使用者需要有信心，相信系統將持續按照預期運作，並確保其安全性。」

彌補差距

信任鴻溝是指對於組織的 AI 化產品和/或服務可能缺乏信心和透明度。舉例來說，如果醫院使用 AI 輔助診斷，身為病人的我能否相信它和醫生單獨診斷一樣準確甚至更好？在 AI 系統變得過於複雜和自主之前，彌補信任差距需要更可靠的治理。

建立信任是所有 ISO 管理系統標準的核心特徵，因此當涉及到 AI 時，採用相同的方法也不足為奇。ViewPoint 調查顯示，大多數領先於 AI 開發與實施的公司已經在考慮採用 AI 管理系統來確保適當的治理，而且他們已經知道 ISO/IEC 42001 標準。

目前已有多項 AI 框架和補充標準，包括 NIST AI 風險管理框架、ISO/IEC 23894 AI 風險管理指南、ISO/IEC 5338 AI 系統生命週期流程和 ISO/IEC TS 25058。2023 年 12 月，ISO 推出 ISO/IEC 42001 AI 管理系統標準 (AIMS)。這是第一個可驗證的 AIMS 標準，它提供了一個穩健的方法來管理整個組織的許多 AI 機會和風險。因此，此標準可協助企業更進一步彌補信任鴻溝，因為符合此標準可獲得由獨立第三方驗證機構（如 DNV）所頒發的證書。此外，由於本標準以 ISO 高階架構 (HLS)為基礎，因此可輕鬆與其他管理系統整合。

ISO/IEC 42001 採用與其他 ISO 管理標準相同的高階架構，因此對於已建立其他 ISO 管理系統的企業來說並不陌生。 ISO/IEC 42001 遵循「計劃（P）-執行（D）-檢查（C）-行動（A）」的方法學，針對 AI 管理系統的建立、執行、維護與持續改善，訂定相關要求與重點。ViewPoint 調查的所有受訪者都指出，網路安全是他們實施 AI 的主要威脅，因此整合符合 ISO/IEC 27001 的資訊安全管理系統將大有助益。

建立信任

ISO/IEC 42001 標準無疑會隨著越來越多國家引進人工智慧法規而變得更加重要。美國和中國已經制定了相關法規和政策。在歐洲，全球第一部全面的人工智慧法律--歐盟人工智慧法案 (EU AI ACT) 最近正式生效。該法案旨在促進和確保人工智慧系統的安全、穩定、可信賴和道德發展，建立人工智慧治理是確保符合法規和建立信任的關鍵環節。

建立一個跨多個團隊的核心集中功能，以認知和理解 AI 技術、使用案例和供應商，是確保 AI 治理的核心。此外，由於 AI 領域的不斷演進及其監管環境的轉變，因此有必要由特定的治理委員會和利害相關者定期審查和更新 AI 治理計畫。這就是實施符合 ISO/IEC 42001 的管理系統並取得驗證的另一個好處。

採用結構化的方法來管理和負責任地使用人工智慧，最終會成為一種競爭優勢，並可協助任何公司向內部和外部利害相關者證明，該公司已制定健全的方法來保護使用者並持續改善。經過驗證的管理系統可證明公司的承諾和每天採取的行動，以確保在流程、產品和服務中安全、可靠且合乎道德地開發、實施和使用人工智慧。