文／钱鑫  张磊  丁有如

ISO 42001人工智能管理体系是ISO组织新研发的管理体系，由ISO/IEC JTC1信息技术联合技术委员会SC 42人工智能分委会编制，在国内归属于全国信息技术标准化技术委员会人工智能分会（SAC TC28/SC42）[1]，旨在帮助组织负责任地履行其在人工智能系统方面的职责。

由于人工智能系统归属于信息系统，信息安全管理与之有着非常显著的关联性。在理解ISO 42001的特定概念与理念时，结合ISO 27001信息安全管理体系进行对比，可以更高效地达成预期目标。

由于ISO/IEC 42001采用了详细内容见后附录（Annex SL）架构，标准内文的章节与ISO/IEC 27001的内容高度相似，正文部分都划分为10章节，但在章节内容方面有所区别，如在“6.1 应对风险和机遇的措施”部分，相对于ISO 27001和ISO 42001标准增加了“6.1.4人工智能系统影响评估”内容，该部分内容也是ISO 42001的重要内容。由这一逻辑引申下来，在“8 运行”部分，ISO 42001也增加了“8.4人工智能系统影响评估”，具体框架见表1。

需要说明的是，ISO 42001是一项国际标准，其目的是在公司内部建立、实施、维护和增强人工智能管理系统（AIMS）。如果组织属于人工智能系统的开发企业或者人工智能系统的应用型企业，此标准将帮助组织维护人工智能系统，确保该系统的道德属性和透明度属性是可预见和领先的。此外，该标准涵盖了人工智能系统，从发起到实施，再到持续观察的整个生命周期流程。ISO标准化组织为开发和使用这些人工智能系统的组织提升人工智能技术系统的透明度和可信度，并鼓励上述组织采用人工智能系统影响评估的方式对风险治理、风险评估和风险处置进行补充。在这方面，ISO采用了ISO/IEC 38507-2022《信息技术-IT治理-组织使用人工智能的治理影响》[2]、ISO IEC 23894-2023《信息技术 -人工智能 - 风险管理指南》[3]和ISO/IEC 42001多个标准合作的方式，分别通过管理体系进行治理、风险和符合性评估，每一项要求都强调考虑对个人和社会的影响的必要性。

执行人工智能系统的影响评估在ISO 42001管理体系中显得非常重要。开发或使用人工智能系统的组织可以将对这些影响的理解和文件记录纳入管理系统，以确保所开发或使用的人工智能系统满足利益相关方的期望以及内部和外部的要求。另外，人工智能系统的可信和透明是社会治理的必然要求，因此执行人工智能系统影响评估并对过程中产生的文件化信息进行记录非常必要。

值得一提的是，AIMS在风险分析的方法上，与传统的信息安全管理系统（ISMS）存在一些不同。同时，在风险管理方面，虽然ISO 42001与ISO 27001[4]同样以ISO 31000《风险管理指南》为依托，但ISO 42001标准有其独特性。

在包容性原则方面，由于人工智能对利益相关者的潜在影响深远，组织需要与多样化的内部和外部团体进行对话，既要传达危害和好处，也要将反馈和意识纳入风险管理过程。

另外，机器学习（ML）特别依赖数据，利益相关者可以帮助人工智能系统进行识别与数据收集、处理操作、数据来源和分类类型，从而规避将数据用于特定情况的风险。

在关注点方面，ISO 42001与ISO 27001区别较大。ISO 27001为组织保障信息完整性提供了坚实的结构，而ISO 42001则为引导服务组织使用人工智能提供了一种主动的方法。ISO 42001主要的关注点包括以下几个方面。

（1）管理框架的建立。组织应确立统一的管理框架，以确保在开发、部署和运行过程中各项活动得到有效管理。同时，还应制定人工智能项目管理手册，明确管理政策、目标和程序。

（2）风险管理与系统影响评估。组织应定期进行风险评估，包括识别、评估和管理与人工智能系统相关的风险，如数据隐私、算法偏见、安全漏洞等，并保留所有风险评估的文档化信息。另外，组织还应根据风险评估结果实施风险处理计划，并验证其有效性。同时要定期进行人工智能系统影响评估，或在提出重大变化时进行，保留所有相关文档化信息。因此，风险评估与管理在人工智能管理体系中尤为重要，以确保技术的安全性和可靠性。

（3）透明度和信任度的提升。组织要确保人工智能系统的决策过程和结果能够被解释和理解，从而提高透明度和信任度。

（4）数据质量和法规遵从。组织应关注数据质量，确保数据的准确性和可靠性，以支持人工智能系统的有效运行。同时，还应遵守相关法规，确保人工智能系统的合规性，降低法律风险。

（5）变更管理。当需要对管理体系进行变更时，应以计划的方式进行，并评估变更对风险评估和风险处理的影响。

（6）持续监视、测量和改进。组织应确立需要监视和测量的内容和方法，定期进行分析和评估，以确保管理体系的持续改进和优化。

ISO 27001主要的关注点包括：信息安全策略和管理，强调制定清晰的信息安全策略，为组织提供明确的安全方向和原则；风险评估和处理；安全控制措施的落实；管理体系的建立和维护；法规和合规性；紧急事件管理。

整体而言，ISO 42001与ISO 27001在关注点方面具有相同之处：均强调管理体系的建立、实施、维护和持续改进；均关注人工智能系统和数据资产的风险评估和管理；均要求确保合规性；均涉及多个部门的协作。但是，在核心关注点方面，其差异也是比较明显的：ISO 42001主要关注人工智能系统的管理，旨在确保可靠性、透明度和责任性，强调人工智能系统的道德原则和价值观，如公平、非歧视和尊重隐私；ISO 27001的核心关注点在于信息的安全性，包括保密性、完整性和可用性，旨在保护信息资产免受未经授权的访问、泄露、破坏或更改，具体区别如表2所示。

此外，ISO 42001与ISO 27001标准都要求组织定期进行合规性评价，并应用合规性评价工具指导组织定期对法律法规进行适用性评估，采取纠正措施，同时记录合规性活动，如表3所示。

 [1] Information technology — ArtificiAI intelligence — Management system:ISO/IEC 42001:2023[S/OL].[2023-12-01]. https://www.iso.org/standard/81230.html.

 [2] Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations:ISO/IEC 38507:2022[S/OL].[2022-04-01].https://www.iso.org/standard/56641.html.

 [3] Information technology — Artificial intelligence — Guidance on risk management:ISO/IEC 23894:2023[S/OL].[2023-02-01].https://www.iso.org/standard/77304.html.

[4] Information security, cybersecurity and privacy protection — Information security management systems — Requirements:ISO/IEC 27001:2022[S/OL].[2022-10-01].https://www.iso.org/standard/27001.