ISO/IEC 42001人工智能管理体系认证
一、业务背景
随着科学技术的飞速发展,人工智能(AI)系统正逐渐应用到生活的方方面面。智慧金融、智慧教育、智慧交通、智慧医疗、智能制造、智能家居,人工智能系统为生活带来极大便利,显著提升生活质量。
在迅猛发展的同时,人工智能系统也带来诸多问题,包括系统安全、数据安全、个人隐私、就业权益、道德伦理、身心影响、生态环境、知识产权、虚假消息、回声效应、可解释与透明度、跨境、滥用、算法歧视、关键基础设施等高风险领域应用、算法偏见、问责机制等。
问题引发了社会各界对于人工智能系统的关注,为促进以人为本和值得信赖的人工智能技术的应用,各国拟定并实施了相应的法律法规。
在中国,陆续颁布实施《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《生成式人工智能服务管理暂行办法》等法律法规,对系统安全、数据安全、个人信息、生成式人工智能等方面进行管控;
在欧洲,《欧盟人工智能法案》为人工智能的开发、投放市场、投入使用和符合欧盟价值观的使用规定了统一的法律框架;
在联合国,《人工智能伦理问题建议书》述及与人工智能系统相关的新型伦理问题,包括决策、就业和劳动、社交、卫生保健、教育、媒体、信息获取、数字鸿沟、个人数据和消费者保护、环境等。
许多其他国家/地区/组织也在制定人工智能系统相关法律法规。为了帮助组织履行其在人工智能系统开发、提供、使用和监控方面的义务,满足合规及监管要求,国际标准化组织(ISO)和国际电工委员会(IEC)在2023年底发布了国际标准ISO/IEC 42001。
二、业务介绍
ISO/IEC 42001规定了在组织范围内建立、实施、维护和持续改进人工智能管理体系的要求,并提供了相应指南。
本标准适用于提供或使用人工智能系统产品或服务的组织,无论其大小、类型和性质如何。
本标准旨在帮助组织负责任地开发、提供或使用人工智能系统,以实现其目标,并满足适用的法律法规、合同义务、利益相关方的需求和期望。
三、实施该业务的价值
ISO/IEC 42001标准为组织提供了国际通用的人工智能系统管理工具,对于降低人工智能系统管理难度,证明组织的人工智能系统管理能力,增强社会各方的信任具有重要意义。实施人工智能管理体系,可获得如下收益:
1) 提升合规管理能力。指导组织梳理人工智能系统适用的法律法规、合同义务,明确合规目标,降低合规风险与损失。
2) 提升风险管理能力。指导组织在人工智能系统开发及使用的全生命周期,关注风险,通过开展风险评估、风险处置,不断完善相关的控制。
3) 提升影响评估能力,指导组织从技术和社会背景等方面,确定人工智能系统的部署、预期使用和可预见的滥用对个人和社会造成的影响。
4) AIMS认证可以传递信任。向供应链及社会各方证明组织在人工智能系统开发、提供或使用方面的风险管理能力和责任力;通过国际标准的认证,提升被认可的范围,有利于组织实施全球战略和业务决策。
四、业务流程
申请认证的组织应已建立符合ISO/IEC 42001标准要求的管理体系,且在申请认证之前应完成内部审核和管理评审,并保证体系有效、充分运行三个月以上;
组织应向赛西认证提供管理体系运行的充分信息,对于多现场应说明各现场的认证范围、地址及人员分布等情况,赛西认证将以抽样的方式对多现场进行审核;
认证分两个阶段进行:第一阶段审核,主要进行文件审核并确认第二阶段审核准备的充分性;第二阶段审核,主要对体系的符合性和有效性进行评价,作出现场审核的推荐结论;
证书有效期3年,获得认证后每年进行一次监督,两次监督间隔不得超过12个月。