首页 -新闻资讯 -ISO 42001“目标”如何促进可信赖的人工智能

新闻资讯

ISO 42001“目标”如何促进可信赖的人工智能

发布时间:2024-05-21作者来源:科理咨询浏览:266


人工智能 (AI) 的监管和负责任使用一直是 2023 年的热门话题,促使 NIST 发布 AI 风险管理框架,以帮助组织保护这项新兴技术。更多的标准正在制定中,以满足实施保障措施的需求,包括ISO/IEC 42001,以解决人工智能系统在其整个生命周期中的安全性、安全性、隐私性、公平性、透明度和数据质量。

ISO 在那些对网络安全感兴趣和投资的人中已经广为人知,因为它提供了用于实施不同管理系统的框架,可以帮助您改进组织的不同方面。现在,通过即将发布的 ISO 42001,ISO 正在进入 AI 游戏,最终将成为 AI 管理系统 (AIMS) 的最佳实践。

虽然我们仍然不确定这个标准何时发布——尽管我们应该在 12 月的投票期结束时更清楚地知道它是 2023 年还是 2024 年——但我们已经知道了一些关于 ISO 42001 的细节以及它将带来什么。

在这篇博文中,我们将把这些已知的细节分解为 ISO 42001 的结构、目标和意图,以便您更好地了解即将推出的内容以及该标准是否适合您的组织。


什么是ISO 42001?

作为一项新的人工智能管理体系标准(MSS),ISO 42001预计将要求组织采取基于风险的方法,将要求应用于人工智能的使用(因为将AIMS更广泛地应用于组织内的所有用例可能会损害其他业务目标,而不会实现任何实际利益或引起额外的担忧)。

另一个,也许也是最令人兴奋的初步收获可能是,虽然ISO 42001将是一个可认证的管理体系框架(上述目标),但该标准的起草方式便于与其他现有的MSS集成,例如:

  • ISO 27001(信息安全)
  • ISO 27701(隐私)
  • ISO 9001(质量)

由于围绕人工智能在安全、隐私和质量等方面的问题和风险不应该单独管理人工智能,而应该从整体上管理,因此采用AIMS可以提高组织在这些领域的现有管理系统的有效性,以及您的整体合规状况。

话虽如此,需要注意的是,ISO 42001 并不要求将其他 MSS 作为先决条件实施/认证ISO 42001 也无意取代或取代现有的质量、安全、安保、隐私或其他 MSS。

尽管如此,这种集成的潜力将帮助那些需要满足两个或多个此类标准要求的组织,尽管每个实施的MSS的重点必须保持独特,例如,ISO 27001的信息安全。如果您选择遵守 ISO 42001,则需要将要求的应用重点放在 AI 独有的功能以及使用过程中产生的问题和风险上。


ISO 42001结构

更重要的是,最终的ISO 42001的结构对于那些已经通过ISO 27001认证的人来说似乎非常熟悉,因为ISO 42001还具有以下特点:

  • 第4-10条;和
  • 附件 A 列出了可以帮助组织*的以下两项控制措施:
    • 实现与人工智能使用相关的目标;和
    • 解决在风险评估过程中发现的与人工智能系统设计和运行相关的问题。

* 不需要使用这些特定的控件,而是作为参考,您可以根据需要自由设计和实现控件。

在当前的 ISO 42001 草案中,39 附录 A 控制*涉及以下领域:

  • 与人工智能相关的政策
  • 内部组织(例如,角色和职责、问题报告)
  • 人工智能系统资源(例如,数据、工具、人类)
  • 人工智能系统对个人、群体和社会的影响分析
  • 人工智能系统生命周期
  • 人工智能系统数据
  • 为人工智能系统相关方提供的信息
  • 人工智能系统的使用(例如,负责任/预期用途、目标)
  • 第三方关系(例如,供应商、客户)

* 最终标准发布后,最终控制和主题的数量都可能发生变化。

ISO 42001 还包含附录 B 和附录 C:

附件B

附件C

为附件A所列控制措施提供实施指南

(这类似于 ISO 27001 附录 A 的单独 ISO 27002 标准。

概述:

  • 潜在的组织目标
  • 风险来源
  • 在管理与使用人工智能相关的风险时可以考虑的描述。

ISO 42001目标和风险来源

附件C中提及的潜在目标和风险来源涉及以下领域:

目标

风险来源

  • 公平
  • 安全
  • 安全
  • 隐私
  • 鲁棒性
  • 透明度和可解释性
  • 问 责
  • 可用性
  • 可维护性
  • 训练数据的可用性和质量
  • 人工智能专业知识
  • 自动化水平
  • 缺乏透明度和可解释性
  • IT环境的复杂性
  • 系统生命周期问题
  • 系统硬件问题
  • 技术就绪
  • 与ML相关的风险

最后,ISO 42001 包含一个附件 D,其中涉及跨领域或部门使用 AIMS。


ISO 42001 的意图

随着人工智能使用的整体持续扩大,实现这些目标并减轻 ISO 42001 框架中概述的这些风险源的组织将有所帮助——这项技术越来越多地应用于利用 IT 的所有部门,趋势表明它有望成为未来几年的主要经济驱动力之一。

因此,ISO 42001 的目的是帮助组织负责任地履行其在使用、开发、监控或提供利用人工智能的产品或服务方面的作用,以确保技术安全。

通过ISO 42001框架的特别关注可以帮助组织实施人工智能的某些功能可能需要的不同保护措施,这些功能在特定流程或系统中增加了额外的风险(与传统上在没有应用和使用人工智能的情况下执行相同任务的方式相比)。

这些需要采取具体保障措施的“某些特征”的例子有:

  • 自动决策 – 当以不透明和不可解释的方式完成时,可能需要超出传统 IT 系统的特定管理和监督。
  • 数据分析、洞察和机器学习 (ML) – 当用于代替人工编码的逻辑来设计系统时,它们会改变此类系统的开发、合理化和部署方式,从而可能需要不同的保护。
  • 持续学习 – 执行持续学习的人工智能系统在使用过程中会改变其行为,并且需要特殊考虑以确保其负责任的使用在不断变化的行为状态下继续进行。


可用的 AI 网络安全指南/法规可以提供帮助

组织需要尽快开始确保其 AI 的使用,虽然 ISO 42001 的第一次迭代可能会有所帮助——当它发布时——现在可以考虑其他重要的发展:

  • NIST AI 风险管理框架 (AI RMF 1.0):今年 1 月,NIST 发布了这个新框架,以更好地管理与 AI 相关的个人、组织和社会风险。对于自愿使用,NIST AI RMF 可以改进将可信度考虑因素纳入 AI 产品、服务和系统的设计、开发、使用和评估中。
  • 拜登行政命令(2023 年 10 月):拜登总统发布的这项广泛命令建立在先前举措的基础上,并提供了全面的战略,以帮助利用人工智能的潜力,同时管理其相关风险。
  • 欧盟人工智能法案在本博客发表时,欧盟也正在最终确定自己的人工智能使用法规,该法规以卓越和信任为中心,旨在提高研究和工业能力,同时确保安全和基本权利。


ISO 42001 的下一步是什么

即使有所有这些关于人工智能的重大新里程碑,美国似乎仍坚定地致力于进一步发展,如果副总统卡玛拉·哈里斯(Kamala Harris)最近的评论有任何迹象的话:

“历史表明,在缺乏监管和强有力的政府监督的情况下,一些科技公司选择将利润置于客户福祉、社区安全和民主国家的稳定之上......除了我们已经完成的工作之外,应对这些挑战的一个重要方法是通过立法。在不扼杀创新的情况下加强人工智能安全的立法。


本文来源于网络

版权所有:科理咨询(深圳)股份有限公司 粤ICP备10082873号-1 | 服务热线:0755-26993418
想了解精益生产咨询公司,课程,培训,管理,方案,方法,内训请联系我们.