资料来源:中国国际标准管理研究院 点击:
ISO 42001人工智能管理体系与ISO 27001信息安全管理体系的对比分析
ISO 42001人工智能管理体系是ISO组织新研发的管理体系标准,旨在指导组织负责任地管理人工智能系统。由于人工智能系统属于信息系统大概念的延伸,因此在风险管理、控制措施等方面,ISO 42001大量参考了ISO 27001信息安全管理体系,但ISO 42001的关注点与ISO 27001有所不同,在结构和内容上有所创新。在理解ISO 42001的特定概念与理念时,结合ISO 27001进行对比,可以更高效地达成预期目标。
本文拟从ISO 42001与ISO 27001标准要求的异同入手分析,以期对读者同步理解两个标准有所裨益。
ISO 42001人工智能管理体系是ISO组织新研发的管理体系,由ISO/IEC JTC1信息技术联合技术委员会SC 42人工智能分委会编制,在国内归属于全国信息技术标准化技术委员会人工智能分会(SAC TC28/SC42)[1],旨在帮助组织负责任地履行其在人工智能系统方面的职责。
由于人工智能系统归属于信息系统,信息安全管理与之有着非常显著的关联性。在理解ISO 42001的特定概念与理念时,结合ISO 27001信息安全管理体系进行对比,可以更高效地达成预期目标。
一 ISO 42001结构
由于ISO/IEC 42001采用了详细内容见后附录(Annex SL)架构,标准内文的章节与ISO/IEC 27001的内容高度相似,正文部分都划分为10章节,但在章节内容方面有所区别,如在“6.1 应对风险和机遇的措施”部分,相对于ISO 27001和ISO 42001标准增加了“6.1.4人工智能系统影响评估”内容,该部分内容也是ISO 42001的重要内容。由这一逻辑引申下来,在“8 运行”部分,ISO 42001也增加了“8.4人工智能系统影响评估”,
具体框架见表1
需要说明的是,ISO 42001是一项国际标准,其目的是在公司内部建立、实施、维护和增强人工智能管理系统(AIMS)。如果组织属于人工智能系统的开发企业或者人工智能系统的应用型企业,此标准将帮助组织维护人工智能系统,确保该系统的道德属性和透明度属性是可预见和领先的。此外,该标准涵盖了人工智能系统,从发起到实施,再到持续观察的整个生命周期流程。ISO标准化组织为开发和使用这些人工智能系统的组织提升人工智能技术系统的透明度和可信度,并鼓励上述组织采用人工智能系统影响评估的方式对风险治理、风险评估和风险处置进行补充。在这方面,ISO采用了ISO/IEC 38507-2022《信息技术-IT治理-组织使用人工智能的治理影响》[2]、ISO IEC 23894-2023《信息技术 -人工智能 - 风险管理指南》[3]和ISO/IEC 42001多个标准合作的方式,分别通过管理体系进行治理、风险和符合性评估,每一项要求都强调考虑对个人和社会的影响的必要性。
执行人工智能系统的影响评估在ISO 42001管理体系中显得非常重要。开发或使用人工智能系统的组织可以将对这些影响的理解和文件记录纳入管理系统,以确保所开发或使用的人工智能系统满足利益相关方的期望以及内部和外部的要求。另外,人工智能系统的可信和透明是社会治理的必然要求,因此执行人工智能系统影响评估并对过程中产生的文件化信息进行记录非常必要。
值得一提的是,AIMS在风险分析的方法上,与传统的信息安全管理系统(ISMS)存在一些不同。同时,在风险管理方面,虽然ISO 42001与ISO 27001[4]同样以ISO 31000《风险管理指南》为依托,但ISO 42001标准有其独特性。
在包容性原则方面,由于人工智能对利益相关者的潜在影响深远,组织需要与多样化的内部和外部团体进行对话,既要传达危害和好处,也要将反馈和意识纳入风险管理过程。
另外,机器学习(ML)特别依赖数据,利益相关者可以帮助人工智能系统进行识别与数据收集、处理操作、数据来源和分类类型,从而规避将数据用于特定情况的风险。
在动态原则方面,因为人工智能系统本身的性质是动态的,其始终处于持续学习、完善、评估和验证过程中,因此,动态风险管理尤为重要。此外,与人工智能相关的法律和监管要求也处于经常变化、更新的过程中,相关组织也要列入考虑范围内,以进一步理解和管理与人工智能相关的风险。
二 ISO 42001关注点
在关注点方面,ISO 42001与ISO 27001区别较大。ISO 27001为组织保障信息完整性提供了坚实的结构,而ISO 42001则为引导服务组织使用人工智能提供了一种主动的方法。ISO 42001主要的关注点包括以下几个方面。
(1)管理框架的建立。组织应确立统一的管理框架,以确保在开发、部署和运行过程中各项活动得到有效管理。同时,还应制定人工智能项目管理手册,明确管理政策、目标和程序。
(2)风险管理与系统影响评估。组织应定期进行风险评估,包括识别、评估和管理与人工智能系统相关的风险,如数据隐私、算法偏见、安全漏洞等,并保留所有风险评估的文档化信息。另外,组织还应根据风险评估结果实施风险处理计划,并验证其有效性。同时要定期进行人工智能系统影响评估,或在提出重大变化时进行,保留所有相关文档化信息。因此,风险评估与管理在人工智能管理体系中尤为重要,以确保技术的安全性和可靠性。
(3)透明度和信任度的提升。组织要确保人工智能系统的决策过程和结果能够被解释和理解,从而提高透明度和信任度。
(4)数据质量和法规遵从。组织应关注数据质量,确保数据的准确性和可靠性,以支持人工智能系统的有效运行。同时,还应遵守相关法规,确保人工智能系统的合规性,降低法律风险。
(5)变更管理。当需要对管理体系进行变更时,应以计划的方式进行,并评估变更对风险评估和风险处理的影响。
(6)持续监视、测量和改进。组织应确立需要监视和测量的内容和方法,定期进行分析和评估,以确保管理体系的持续改进和优化。
ISO 27001主要的关注点包括:信息安全策略和管理,强调制定清晰的信息安全策略,为组织提供明确的安全方向和原则;风险评估和处理;安全控制措施的落实;管理体系的建立和维护;法规和合规性;紧急事件管理。
整体而言,ISO 42001与ISO 27001在关注点方面具有相同之处:均强调管理体系的建立、实施、维护和持续改进;均关注人工智能系统和数据资产的风险评估和管理;均要求确保合规性;均涉及多个部门的协作。但是,在核心关注点方面,其差异也是比较明显的:ISO 42001主要关注人工智能系统的管理,旨在确保可靠性、透明度和责任性,强调人工智能系统的道德原则和价值观,如公平、非歧视和尊重隐私;ISO 27001的核心关注点在于信息的安全性,包括保密性、完整性和可用性,旨在保护信息资产免受未经授权的访问、泄露、破坏或更改,
具体区别如表2所示。
此外,ISO 42001与ISO 27001标准都要求组织定期进行合规性评价,并应用合规性评价工具指导组织定期对法律法规进行适用性评估,采取纠正措施,同时记录合规性活动,如表3所示。
三 ISO 42001控制指南
ISO 42001与ISO 27001的附录部分差别比较明显。ISO 27001的附录A是规范性附录,内容为信息安全控制参考,直接源自ISO/IEC 27002:2022《信息技术-安全技术-信息安全控制实践指南 》第5章至第8章中列出的控制并与之一致,并在6.1.3(信息安全风险处置)环境中被使用。而ISO 42001包含4个附录,分别是附录A(规范性)“参考控制目标和控制措施”、附录B(规范性)“人工智能控制措施实施指南”、附录C(资料性)“与人工智能相关的潜在组织目标和风险来源”、附录D(资料性)“跨领域或跨部门使用人工智能管理体系”。从指导标准的广度上分析,ISO 27001更为广泛。
两个标准附录A部分都给出了各自领域的规范性的控制措施,这些控制措施组织并不是全部必须选用并执行,各个组织可以根据风险评估的结果选择适合的控制措施并制定相应的执行计划。
但是,由于人工智能系统控制相对于信息安全控制的发展毕竟时日较短,单纯从参考的控制措施深度上讲,ISO 42001要薄弱一些。ISO 27001的附录A从组织控制、人员控制、物理控制、技术控制4个方面对信息安全控制提供了参考,共计93项;ISO 42001的附录A则从人工智能策略、内部组织、人工智能系统资源、人工智能系统影响评估、人工智能系统生命周期、人工智能系统数据、人工智能系统相关方的信息、使用人工智能系统、第三方和客户关系9个方面为实现组织目标和解决与人工智能系统设计和运行相关的风险提供了参考,共计38项。
另外,ISO 42001附录B与附录A列出的控制措施有关,提供了支持实施附录A中所列出的控制措施和实现控制目标的信息,由控制措施、实施指南、其他信息三部分对附录A作出补充解释和指导。附录C概述了组织在管理风险时可考虑的潜在组织目标、风险源和说明,同时提到 ISO IEC 23894-2023《信息技术 -人工智能 - 风险管理指南》为这些目标和风险源及其与风险管理的关系提供了更详细的信息。附录D则专门说明了人工智能系统不仅包括使用人工智能技术的组件,还可以使用各种技术和组件。在整合部分,附录D专门提到了三个标准,分别是ISO/IEC 27001、ISO/IEC 27701《安全技术—扩展ISO/IEC 27001和ISO/IEC 27002的隐私信息管理—要求与指南》和ISO 9001《质量管理体系》。其中ISO 42001(部分)与信息安全有关的控制措施的实施方法可与组织实施ISO/IEC 27001的方法相结合。除此之外,ISO 42001还可与某个行业特定的管理体系联合应用。
四 结语
本文对ISO 42001与ISO 27001进行了详细的对比分析。通过对比,揭示了两标准在结构、关注点及控制指南等方面的异同。ISO 42001展现了在人工智能系统影响评估、提升透明度和信任度方面的特点,而ISO 27001则突显了信息安全控制措施的全面性和深度。希望本文能激发更多关于人工智能管理和信息安全管理的讨论与研究,进一步推动该领域的持续发展。
下一篇:没有了