ISO/IEC 42001 人工智能管理体系-MUNIK

MUNIK ꄲ 其他 ꄲ ISO/IEC 42001 人工智能管理体系

【背景】

随着人工智能（AI）技术的飞速发展，其在经济、社会和文化等各个领域的应用日益广泛，带来了前所未有的机遇和挑战。AI的广泛应用不仅推动了行业的创新和效率提升，也引发了对隐私保护、数据安全、伦理道德、算法偏见以及社会影响等方面的深刻关注。为了确保AI技术的可持续发展，同时保护公众利益和社会安全，国际社会迫切需要一套全面且系统的AI治理框架。

在此背景下，国际标准化组织（ISO）和国际电工委员会（IEC）联合制定了ISO/IEC 42001标准。该标准旨在为组织提供一个关于人工智能管理系统（AIMS）的框架，帮助组织在AI开发、部署和运营过程中实现透明性、可靠性和合规性。通过整合现有的最佳实践和国际共识，ISO/IEC 42001标准不仅关注技术层面的规范，还涵盖了伦理、法律、社会和经济等多维度的要求，以促进AI技术的负责任发展。

ISO/IEC 42001的制定反映了全球对AI治理的共同需求，同时也为各国和地区在AI领域的政策制定和实施提供了重要的参考依据。通过这一标准，组织能够更好地应对AI带来的复杂挑战，同时抓住AI技术带来的机遇，推动社会和经济的可持续发展。

想了解汽车AI应用标准的进展，请参看ISO/PAS 8800 Road vehicles — Safety and artificial intelligence道路车辆-安全和人工智能

【什么是ISO/IEC 42001】

ISO/IEC于2023年12月18日联合发布了ISO/IEC 42001《人工智能管理体系》（Artificial Intelligence Management System，以下简称“AIMS”）。作为全球首个可审核的人工智能管理体系标准，ISO/IEC 42001为组织提供了一个全面的框架，用于指导其人工智能系统的规划、设计、开发、部署和持续维护。该标准旨在确保人工智能技术的开发和应用过程符合伦理道德、合法合规，并且能够有效支持组织的战略目标和社会责任。

ISO/IEC 42001适用于所有使用人工智能技术的组织，无论其规模大小或所属行业。它为组织提供了一套系统的工具和方法，帮助其建立和维护负责任的人工智能实践，确保其人工智能应用符合相关法规要求，并在经济、社会和环境等方面实现可持续发展。

【ISO/IEC 42001章节具体介绍】

4-组织环境：主要介绍了分析组织背景的重要性，以及组织需要做些什么来分析其背景，包括经济、商业趋势、法规要求、伦理期望以及组织绩效等问题。

5-领导力：主要介绍了领导力在指导组织通过人工智能管理系统（AIMS）实施过程中的作用以及在不同管理层在促进AIMS安装过程中的角色和职责。

6-策划：主要介绍了应如何策划建立AIMS的过程，并讨论管理者需要采取的进行风险分析的步骤。

7-支持：主要介绍了领导层应采取的不同行动，AIMS的安装准备包括能力框架、沟通策略，以及为什么需要文件化以用于审核和认证目的。

8-运行：主要介绍了组织应如何管理、缓解和处理人工智能风险。

9-绩效评估：主要介绍了组织如何设计一个绩效评估流程，以便跟踪、监控、测量和评估AIMS的整体绩效。

10-改进：主要介绍了组织应采取的步骤，以收集关于AIMS的反馈。并说明如何利用这些反馈，通过PDCA（计划-执行-检查-行动）方法来提升AIMS的整体绩效。

附录A 控制目标和控制措施:控制目标一共是9项目标38项控制措施，详细见下图：

附录B 控制措施的实施指南

附录C 潜在的AI组织目标和风险源

附录D 跨领域的AI管理体系使用

【为什么需要考虑ISO/IEC 42001】

1.人工智能系统的危害

人工智能系统通常涉及复杂的数据处理、算法设计和模型训练。这些技术的复杂性可能导致不可预测的行为和结果，如果没有适当的管理体系，可能会引发安全、隐私和伦理问题。目前已知的生成式AI风险包括新兴和未知的能力、有害的内容、隐私和数据保护、网络安全风险、内容幻觉。

新兴和未知的能力：生成式人工智能模型的独特之处在于，随着时间的推移，模型不断自我改进和完善，从而逐渐涌现出一些能力。这些能力并非在设计阶段预先规划好的，而是在系统开始独立运行时才逐渐显现出来。
有害的内容：生成式人工智能工具易于获取，这使得不良行为者能够利用这些工具操纵信息并制造各种可能对社会或特定社区造成危害的错误信息。大规模的操纵、诈骗和虚假信息可能针对一个国家的政治机构，如选举，以破坏国家的稳定。
隐私和数据保护：许多生成式人工智能工具是在互联网上公开可用的内容上进行训练的。所使用的一些材料可能侵犯版权，并可能影响个人隐私。从公共网站上抓取的图片、图像、摄影作品以及与之相关的个人信息，对使用生成式人工智能的公司来说是一个严重的风险。
网络安全风险：生成式人工智能快速学习和发展新能力的特性可能使其成为大规模网络安全攻击的新威胁。生成式人工智能可以开发新的威胁模型，这些模型无需任何技术专长即可部署。
幻觉：大型语言模型已知会产生没有意义或与事实不符的内容。这种类型内容的产生可能是一种严重威胁，并可能对用户造成伤害。

随着人工智能技术的广泛应用，其潜在危害也可能进一步传递至企业和社会层面，给企业带来经济上的损失以及社会形象的损害，进而对社会的稳定和可持续发展造成不利影响。而通过搭建ISO/IEC 42001标准体系，能够为企业提供一套科学、系统的管理方法，最大程度地降低人工智能系统的负面影响。

2、法规要求

目前各国对大模型的监管已提高到了法规或逐步过渡到法规的阶段，预计不久的将来各国将陆续出台相关法律，对人工智能系统提升到一个新的高度，以下列举目前各国正在推进或者已经实施的一些情况，见下：

《通用数据保护条例》（GDPR）是欧盟在2016年通过的立法，并于2018年5月25日正式生效。
《人工智能法案》（EU AI Act）是欧盟全球首部针对人工智能的系统性监管法案，旨在规范人工智能的开发、部署和使用，确保其安全、透明、可追溯、非歧视和环保。
《维持美国在人工智能领域的领导地位》 2019年2月，特朗普签署第13859号行政令，启动了美国人工智能倡议，推动了后续一系列指导和技术标准的制定。
《人工智能权利法案蓝图》，2022年10月白宫发布。提出了五个原则来指导自动化系统的设计、使用和部署，以保护美国公众
《生成式人工智能服务管理暂行办法》，我国在2023年7月由国家网信办等七部门联合发布， 2023年8月15日起施行。
此外，《中华人民共和国人工智能法》正在制定中。

我国正加速构建顶层人工智能安全监管机制，涵盖多维度的全面布局。一方面，建立国家人工智能安全监管平台，以强化技术监测与风险预警能力；另一方面，成立国家人工智能发展和安全委员会，统筹协调政策制定与战略规划。在此基础上，从硬件设施的自主可控、软件系统的安全可靠，到监管文化的培育与完善，全方位筑牢人工智能安全防线。