近期,一項旨在管理組織內部人工智慧和語言學習模式使用的新標準 ISO 42001 正式發布。該標準為組織以可信賴、合乎倫理且負責任的方式管理、實施和持續改進人工智慧系統建立了框架。結合 ISO 27001 和 ISO 27701,這三項標準正迅速成為現代治理的「三大支柱」。
Loading...
整合您的資料安全系統:將 ISO 42001 與 ISO 27001 和 ISO 27701 進行映射
Loading...
這些標準主要關注以下幾個方面。
| 標準 | 重點領域 |
|---|---|
| ISO/IEC 42001 | 人工智慧管理系統(AIMS)-符合倫理、透明、負責任的人工智慧系統 |
| ISO 27001 | 資訊安全管理系統(ISMS)-保護資訊的機密性、完整性和可用性 |
| ISO 27701 | 隱私資訊管理系統 (PIMS) 是 ISO 27001 的擴展,專注於隱私控制。 |
關鍵框架領域
由於 ISO 27001 和 ISO 42001 都遵循 ISO 制定的統一結構,因此關鍵領域可以輕鬆對應。 ISO 27701 是 ISO 27001 的擴展,因此對個人識別資訊 (PII) 的額外關注也很容易整合。
| 主題/域名 | ISO 42001(AIMS) | ISO 27001(資訊安全管理系統) | ISO 27701(PIMS) | 筆記 |
|---|---|---|---|---|
| 治理與管理框架 | 4.1–4.4(背景、領導、範圍、管理系統建立) | 4.1–4.4(背景、領導、範圍、資訊安全管理系統的建立) | 擴展 ISO 27001 第 4 條和第 5 條,使其適用於隱私治理角色 | 所有條款都包含這些關鍵條款,因此可以統一治理結構。 |
| 風險管理 | 6.1(人工智慧特定風險識別與評估) | 6.1(資訊安全風險評估與處理) | 5.4.1–5.4.6(隱私風險評估與處理) | 42001 著重於人工智慧生命週期風險(偏見、對抗性輸入);27001 涵蓋更廣泛的資訊安全風險;27701 應用隱私風險疊加。 |
| 監測與測量 | 9.1(人工智慧系統效能監控) | 9.1(資訊安全管理系統監測與評估) | 9.1(PIMS 監控與測量) | 通用的PDCA測量循環允許整合指標儀表板。 |
| 持續改進 | 10.1(不符合項及糾正措施) | 10.1(不符合項及糾正措施) | 10.1(不符合項及糾正措施) | 採用相同的方法可以輕鬆統一糾正措施流程。 |
管理系統流程
管理系統中用於緩解已識別的關鍵風險的關鍵流程彼此關聯,可以整合為單一流程,用於處理資料隱私和人工智慧問題。或者,也可以將這些流程整合到現有流程中,或改善現有流程以符合其他標準的要求。具體概述如下:
ISO 42001 ↔ ISO 27001 ↔ ISO 27701 控制映射
| 主題/域名 | ISO 42001(AIMS) | ISO 27001(資訊安全管理系統) | ISO 27701(PIMS) | 地圖註釋 | 應用範例 |
|---|---|---|---|---|---|
| 角色與職責 | 5.3(人工智慧治理角色、人工智慧倫理委員會) | A.6.1.1(資訊安全的角色與職責) | 5.3.1–5.3.4(隱私角色、資料保護官、控制者/處理者) | 有機會將安全、人工智慧和隱私責任整合到一個 RACI 中。 | 指定專人負責人工智慧倫理,作為安全治理的一部分。 |
| 政策與程序 | 5.2(人工智慧政策) | A.5.1(資訊安全策略) | 5.2.x(隱私權政策要求) | 可以製定一個總體政策框架,並附上人工智慧和隱私權的具體規定。 | 公司 |
| 資料治理與品質 | A.7.2(人工智慧訓練和運行的資料品質) | A.5.34(個人識別資訊處理),A.8.10(資訊分類) | 7.4.1–7.4.3(數據最小化、準確性、品質) | 42001 著重於代表性和偏見預防;27701 增加了合法性依據和最小化。 | 在將個人資料用於人工智慧模型訓練之前對其進行匿名化處理。 |
| 存取控制 | A.5.15、A.5.18、A.8.2、A.8.3、A.8.4、A.8.18 | 限制對人工智慧資料集、API 和訓練流程的存取。 | |||
| 人工智慧資產安全 | A.7.3(人工智慧模型、訓練資料、演算法的保護) | A.8.1–A.8.12(資產管理與技術控制) | 7.4.5–7.4.6(系統中的個人識別資訊保護) | AI 專用資產保護與 27001 的資產管理和加密控制相對應。 | |
| 模型透明度和可解釋性 | A.8.4(透明度措施,人工智慧決策的文檔記錄) | 不適用(A.5.2 使用者知情條款除外) | 與 27701 7.3.1 條款下的隱私權聲明間接相關 | 主要為 42001 所獨有,但隱私揭露義務可以保持一致。 | |
| 事件管理 | A.8.6(人工智慧特定事件處理,例如模型漂移、偏差檢測) | A.5.25–A.5.28(資訊安全事件管理) | 7.4.7(PII外洩通知) | 人工智慧事件可以納入更廣泛的資訊安全管理系統事件回應中,並觸發隱私外洩報告機制。 | 為生產環境中偵測到的人工智慧相關事件定義升級路徑。 將人工智慧異常和事件納入事件響應計劃。 |
| 第三方及供應鏈 | A.7.4(供應商人工智慧合規保證) | A.5.19–A.5.22(供應商安全控制) | 7.2.x(處理者和第三方隱私要求) | 所有這些都要求對供應商進行審查和監控,但 42001 增加了 AI 特有的要求(例如,模型來源)。 | 評估人工智慧供應商是否符合隱私和安全標準。 在人工智慧供應商合約中設立隱私權條款。 對第三方人工智慧供應商進行安全評估。 |
重點總結
- 結構相容性這三者都採用 ISO 協調結構,因此比與非 ISO 框架整合更容易。
- 獨特新增功能:
- ISO 42001引入人工智慧倫理、偏見預防、透明度和生命週期特定風險控制。
- ISO 27001具備深層的技術網路安全控制能力。
- ISO 27701引入了隱私設計和合法處理保障措施。
- 統一實施機會透過建立共享的治理、風險管理、事件處理和供應商保證流程,您可以最大限度地減少重複工作,同時滿足每個標準的獨特要求。
作者
Brad Fabiny
Loading...
