发布时间:2024-05-21作者来源:科理咨询浏览:388
人工智能 (AI) 的监管和负责任使用一直是 2023 年的热门话题,促使 NIST 发布 AI 风险管理框架,以帮助组织保护这项新兴技术。更多的标准正在制定中,以满足实施保障措施的需求,包括ISO/IEC 42001,以解决人工智能系统在其整个生命周期中的安全性、安全性、隐私性、公平性、透明度和数据质量。
ISO 在那些对网络安全感兴趣和投资的人中已经广为人知,因为它提供了用于实施不同管理系统的框架,可以帮助您改进组织的不同方面。现在,通过即将发布的 ISO 42001,ISO 正在进入 AI 游戏,最终将成为 AI 管理系统 (AIMS) 的最佳实践。
虽然我们仍然不确定这个标准何时发布——尽管我们应该在 12 月的投票期结束时更清楚地知道它是 2023 年还是 2024 年——但我们已经知道了一些关于 ISO 42001 的细节以及它将带来什么。
在这篇博文中,我们将把这些已知的细节分解为 ISO 42001 的结构、目标和意图,以便您更好地了解即将推出的内容以及该标准是否适合您的组织。
作为一项新的人工智能管理体系标准(MSS),ISO 42001预计将要求组织采取基于风险的方法,将要求应用于人工智能的使用(因为将AIMS更广泛地应用于组织内的所有用例可能会损害其他业务目标,而不会实现任何实际利益或引起额外的担忧)。
另一个,也许也是最令人兴奋的初步收获可能是,虽然ISO 42001将是一个可认证的管理体系框架(上述目标),但该标准的起草方式便于与其他现有的MSS集成,例如:
由于围绕人工智能在安全、隐私和质量等方面的问题和风险不应该单独管理人工智能,而应该从整体上管理,因此采用AIMS可以提高组织在这些领域的现有管理系统的有效性,以及您的整体合规状况。
话虽如此,需要注意的是,ISO 42001 并不要求将其他 MSS 作为先决条件实施/认证,ISO 42001 也无意取代或取代现有的质量、安全、安保、隐私或其他 MSS。
尽管如此,这种集成的潜力将帮助那些需要满足两个或多个此类标准要求的组织,尽管每个实施的MSS的重点必须保持独特,例如,ISO 27001的信息安全。如果您选择遵守 ISO 42001,则需要将要求的应用重点放在 AI 独有的功能以及使用过程中产生的问题和风险上。
更重要的是,最终的ISO 42001的结构对于那些已经通过ISO 27001认证的人来说似乎非常熟悉,因为ISO 42001还具有以下特点:
* 不需要使用这些特定的控件,而是作为参考,您可以根据需要自由设计和实现控件。
在当前的 ISO 42001 草案中,39 附录 A 控制*涉及以下领域:
* 最终标准发布后,最终控制和主题的数量都可能发生变化。
ISO 42001 还包含附录 B 和附录 C:
附件B |
附件C |
为附件A所列控制措施提供实施指南 (这类似于 ISO 27001 附录 A 的单独 ISO 27002 标准。 |
概述:
|
ISO 42001目标和风险来源
附件C中提及的潜在目标和风险来源涉及以下领域:
目标 |
风险来源 |
|
|
最后,ISO 42001 包含一个附件 D,其中涉及跨领域或部门使用 AIMS。
随着人工智能使用的整体持续扩大,实现这些目标并减轻 ISO 42001 框架中概述的这些风险源的组织将有所帮助——这项技术越来越多地应用于利用 IT 的所有部门,趋势表明它有望成为未来几年的主要经济驱动力之一。
因此,ISO 42001 的目的是帮助组织负责任地履行其在使用、开发、监控或提供利用人工智能的产品或服务方面的作用,以确保技术安全。
通过ISO 42001框架的特别关注可以帮助组织实施人工智能的某些功能可能需要的不同保护措施,这些功能在特定流程或系统中增加了额外的风险(与传统上在没有应用和使用人工智能的情况下执行相同任务的方式相比)。
这些需要采取具体保障措施的“某些特征”的例子有:
组织需要尽快开始确保其 AI 的使用,虽然 ISO 42001 的第一次迭代可能会有所帮助——当它发布时——现在可以考虑其他重要的发展:
即使有所有这些关于人工智能的重大新里程碑,美国似乎仍坚定地致力于进一步发展,如果副总统卡玛拉·哈里斯(Kamala Harris)最近的评论有任何迹象的话:
“历史表明,在缺乏监管和强有力的政府监督的情况下,一些科技公司选择将利润置于客户福祉、社区安全和民主国家的稳定之上......除了我们已经完成的工作之外,应对这些挑战的一个重要方法是通过立法。在不扼杀创新的情况下加强人工智能安全的立法。
本文来源于网络