人工智能 （AI） 的監(jiān)管和負責(zé)任使用一直是 2023 年的熱門話題，促使 NIST 發(fā)布 AI 風(fēng)險管理框架，以幫助組織保護這項新興技術(shù)。更多的標準正在制定中，以滿足實施保障措施的需求，包括ISO/IEC 42001，以解決人工智能系統(tǒng)在其整個生命周期中的安全性、安全性、隱私性、公平性、透明度和數(shù)據(jù)質(zhì)量。

ISO 在那些對網(wǎng)絡(luò)安全感興趣和投資的人中已經(jīng)廣為人知，因為它提供了用于實施不同管理系統(tǒng)的框架，可以幫助您改進組織的不同方面。現(xiàn)在，通過即將發(fā)布的 ISO 42001，ISO 正在進入 AI 游戲，最終將成為 AI 管理系統(tǒng) （AIMS） 的最佳實踐。

雖然我們?nèi)匀徊淮_定這個標準何時發(fā)布——盡管我們應(yīng)該在 12 月的投票期結(jié)束時更清楚地知道它是 2023 年還是 2024 年——但我們已經(jīng)知道了一些關(guān)于 ISO 42001 的細節(jié)以及它將帶來什么。

在這篇博文中，我們將把這些已知的細節(jié)分解為 ISO 42001 的結(jié)構(gòu)、目標和意圖，以便您更好地了解即將推出的內(nèi)容以及該標準是否適合您的組織。

什么是ISO 42001？

作為一項新的人工智能管理體系標準（MSS），ISO 42001預(yù)計將要求組織采取基于風(fēng)險的方法，將要求應(yīng)用于人工智能的使用（因為將AIMS更廣泛地應(yīng)用于組織內(nèi)的所有用例可能會損害其他業(yè)務(wù)目標，而不會實現(xiàn)任何實際利益或引起額外的擔(dān)憂）。

另一個，也許也是最令人興奮的初步收獲可能是，雖然ISO 42001將是一個可認證的管理體系框架（上述目標），但該標準的起草方式便于與其他現(xiàn)有的MSS集成，例如：

• ISO 27001（信息安全）
• ISO 27701（隱私）
• ISO 9001（質(zhì)量）

由于圍繞人工智能在安全、隱私和質(zhì)量等方面的問題和風(fēng)險不應(yīng)該單獨管理人工智能，而應(yīng)該從整體上管理，因此采用AIMS可以提高組織在這些領(lǐng)域的現(xiàn)有管理系統(tǒng)的有效性，以及您的整體合規(guī)狀況。

話雖如此，需要注意的是，ISO 42001 并不要求將其他 MSS 作為先決條件實施/認證，ISO 42001 也無意取代或取代現(xiàn)有的質(zhì)量、安全、安保、隱私或其他 MSS。

盡管如此，這種集成的潛力將幫助那些需要滿足兩個或多個此類標準要求的組織，盡管每個實施的MSS的重點必須保持獨特，例如，ISO 27001的信息安全。如果您選擇遵守 ISO 42001，則需要將要求的應(yīng)用重點放在 AI 獨有的功能以及使用過程中產(chǎn)生的問題和風(fēng)險上。

ISO 42001結(jié)構(gòu)

更重要的是，最終的ISO 42001的結(jié)構(gòu)對于那些已經(jīng)通過ISO 27001認證的人來說似乎非常熟悉，因為ISO 42001還具有以下特點：

• 第4-10條;和
• 附件 A 列出了可以幫助組織*的以下兩項控制措施：
  • 實現(xiàn)與人工智能使用相關(guān)的目標;和
  • 解決在風(fēng)險評估過程中發(fā)現(xiàn)的與人工智能系統(tǒng)設(shè)計和運行相關(guān)的問題。

* 不需要使用這些特定的控件，而是作為參考，您可以根據(jù)需要自由設(shè)計和實現(xiàn)控件。

在當(dāng)前的 ISO 42001 草案中，39 附錄 A 控制*涉及以下領(lǐng)域：

• 與人工智能相關(guān)的政策
• 內(nèi)部組織（例如，角色和職責(zé)、問題報告）
• 人工智能系統(tǒng)資源（例如，數(shù)據(jù)、工具、人類）
• 人工智能系統(tǒng)對個人、群體和社會的影響分析
• 人工智能系統(tǒng)生命周期
• 人工智能系統(tǒng)數(shù)據(jù)
• 為人工智能系統(tǒng)相關(guān)方提供的信息
• 人工智能系統(tǒng)的使用（例如，負責(zé)任/預(yù)期用途、目標）
• 第三方關(guān)系（例如，供應(yīng)商、客戶）

* 最終標準發(fā)布后，最終控制和主題的數(shù)量都可能發(fā)生變化。

ISO 42001 還包含附錄 B 和附錄 C：

ISO 42001目標和風(fēng)險來源

附件C中提及的潛在目標和風(fēng)險來源涉及以下領(lǐng)域：

最后，ISO 42001 包含一個附件 D，其中涉及跨領(lǐng)域或部門使用 AIMS。

ISO 42001 的意圖

隨著人工智能使用的整體持續(xù)擴大，實現(xiàn)這些目標并減輕 ISO 42001 框架中概述的這些風(fēng)險源的組織將有所幫助——這項技術(shù)越來越多地應(yīng)用于利用 IT 的所有部門，趨勢表明它有望成為未來幾年的主要經(jīng)濟驅(qū)動力之一。

因此，ISO 42001 的目的是幫助組織負責(zé)任地履行其在使用、開發(fā)、監(jiān)控或提供利用人工智能的產(chǎn)品或服務(wù)方面的作用，以確保技術(shù)安全。

通過ISO 42001框架的特別關(guān)注可以幫助組織實施人工智能的某些功能可能需要的不同保護措施，這些功能在特定流程或系統(tǒng)中增加了額外的風(fēng)險（與傳統(tǒng)上在沒有應(yīng)用和使用人工智能的情況下執(zhí)行相同任務(wù)的方式相比）。

這些需要采取具體保障措施的“某些特征”的例子有：

• 自動決策 – 當(dāng)以不透明和不可解釋的方式完成時，可能需要超出傳統(tǒng) IT 系統(tǒng)的特定管理和監(jiān)督。
• 數(shù)據(jù)分析、洞察和機器學(xué)習(xí) （ML） – 當(dāng)用于代替人工編碼的邏輯來設(shè)計系統(tǒng)時，它們會改變此類系統(tǒng)的開發(fā)、合理化和部署方式，從而可能需要不同的保護。
• 持續(xù)學(xué)習(xí) – 執(zhí)行持續(xù)學(xué)習(xí)的人工智能系統(tǒng)在使用過程中會改變其行為，并且需要特殊考慮以確保其負責(zé)任的使用在不斷變化的行為狀態(tài)下繼續(xù)進行。

可用的 AI 網(wǎng)絡(luò)安全指南/法規(guī)可以提供幫助

組織需要盡快開始確保其 AI 的使用，雖然 ISO 42001 的第一次迭代可能會有所幫助——當(dāng)它發(fā)布時——現(xiàn)在可以考慮其他重要的發(fā)展：

• NIST AI 風(fēng)險管理框架 （AI RMF 1.0）：今年 1 月，NIST 發(fā)布了這個新框架，以更好地管理與 AI 相關(guān)的個人、組織和社會風(fēng)險。對于自愿使用，NIST AI RMF 可以改進將可信度考慮因素納入 AI 產(chǎn)品、服務(wù)和系統(tǒng)的設(shè)計、開發(fā)、使用和評估中。
• 拜登行政命令（2023 年 10 月）：拜登總統(tǒng)發(fā)布的這項廣泛命令建立在先前舉措的基礎(chǔ)上，并提供了全面的戰(zhàn)略，以幫助利用人工智能的潛力，同時管理其相關(guān)風(fēng)險。
• 歐盟人工智能法案：在本博客發(fā)表時，歐盟也正在最終確定自己的人工智能使用法規(guī)，該法規(guī)以卓越和信任為中心，旨在提高研究和工業(yè)能力，同時確保安全和基本權(quán)利。

ISO 42001 的下一步是什么

即使有所有這些關(guān)于人工智能的重大新里程碑，美國似乎仍堅定地致力于進一步發(fā)展，如果副總統(tǒng)卡瑪拉·哈里斯（Kamala Harris）最近的評論有任何跡象的話：

“歷史表明，在缺乏監(jiān)管和強有力的政府監(jiān)督的情況下，一些科技公司選擇將利潤置于客戶福祉、社區(qū)安全和民主國家的穩(wěn)定之上......除了我們已經(jīng)完成的工作之外，應(yīng)對這些挑戰(zhàn)的一個重要方法是通過立法。在不扼殺創(chuàng)新的情況下加強人工智能安全的立法。

本文來源于網(wǎng)絡(luò)