用於管理組織內人工智慧和語言學習模型使用的新標準 ISO 42001 最近已發佈。該標準為組織設定了一個框架,以值得信賴、合乎道德和負責任的方式來管理、實施和持續改善 AI 系統。該標準與 ISO 27001 和 ISO 27701 相結合,正迅速成為現代管理的「三大標準」。
Loading...
整合您的資料安全系統:將 ISO 42001 與 ISO 27001 和 ISO 27701 對應
Loading...
這些標準的重點如下
| 標準 | 重點領域 |
|---|---|
| ISO/IEC 42001 | 人工智慧管理系統 (AIMS) - 道德、透明、負責任的人工智慧系統 |
| ISO 27001 | 資訊安全管理系統 (ISMS) - 保護資訊的機密性、完整性和可用性 |
| ISO 27701 | 隱私資訊管理系統 (PIMS) - ISO 27001 的延伸,著重於隱私控制 |
關鍵架構領域
由於 ISO 27001 和 ISO 42001 都遵循 ISO 引進的協調結構,因此可以很簡單地對應關鍵領域。ISO 27701 是 ISO 27001 的延伸,因此也可輕鬆整合 PII 的額外重點。
| 主題/領域 | ISO 42001 (目的) | ISO 27001 (ISMS) | ISO 27701 (PIMS) | 注意事項 |
|---|---|---|---|---|
| 治理與管理架構 | 4.1-4.4 (背景、領導、範圍、管理系統建立) | 4.1-4.4 (背景、領導、範圍、ISMS 建立) | 針對隱私權治理角色延伸 ISO 27001 第 4 及第 5 條款 | 都共用這些關鍵條款,因此可統一治理結構。 |
| 風險管理 | 6.1 (特定於 AI 的風險辨識與評估) | 6.1 (資訊安全風險評估與處理) | 5.4.1-5.4.6 (隱私權風險評估與處理) | 42001 專注於 AI 生命週期風險 (偏見、敵對性輸入);27001 涵蓋更廣泛的資訊安全風險;27701 應用隱私權風險覆蓋。 |
| 監控與測量 | 9.1 (AI 系統效能監控) | 9.1 (ISMS 監控與測量) | 9.1 (PIMS 監控與測量) | 通用 PDCA 測量週期可整合度量儀表板。 |
| 持續改善 | 10.1 (不合格品與矯正措施) | 10.1 (不合格品與矯正措施) | 10.1 (不符合與矯正措施) | 相同的方法可輕鬆統一矯正行動流程。 |
管理系統流程
管理系統內用以降低已識別的主要風險的關鍵流程是相關的,並可整合為單一流程,用於處理資料隱私和 AI 問題。另外,這些流程也可併入現有流程,或強化現有流程以符合其他標準的要求。這將概述如下:
ISO 42001 ↔ ISO 27001 ↔ ISO 27701 控制映射
| 主題/領域 | ISO 42001 (目的) | ISO 27001 (ISMS) | ISO 27701 (PIMS) | 對應注意事項 | 應用範例 |
|---|---|---|---|---|---|
| 角色與責任 | 5.3 (AI 治理角色、AI 道德委員會) | A.6.1.1(資訊安全的角色與責任) | 5.3.1-5.3.4 (隱私角色、資料保護官、控制者/處理者) | 將安全性、人工智慧和隱私權責任整合為一個 RACI 的機會。 | 將 AI 道德責任的角色指派為安全治理的一部分。 |
| 政策與程序 | 5.2 (AI 政策) | A.5.1(資訊安全政策) | 5.2.x (隱私權政策要求) | 可針對 AI 和隱私權的具體情況,制定一個附有附錄的總體政策架構。 | 包含 |
| 資料治理與品質 | A.7.2 (AI 訓練與作業的資料品質) | A.5.34(PII 處理)、A.8.10(資訊分類) | 7.4.1-7.4.3 (資料最小化、準確性、品質) | 42001 重點在於代表性與防止偏見;27701 加入合法基礎、最小化。 | 在將個人資料用於 AI 模型訓練之前,先將其匿名化。 |
| 存取控制 | A.5.15、A.5.18、A.8.2、A.8.3、A.8.4、A.8.18 | 限制存取 AI 資料集、API 和訓練管道。 | |||
| 人工智能資產的安全性 | A.7.3 (保護人工智能模型、訓練資料、演算法) | A.8.1-A.8.12(資產管理與技術控制) | 7.4.5-7.4.6 (系統中的 PII 保護) | 特定於 AI 的資產保護對應到 27001 的資產管理與密碼控制。 | |
| 模型的透明度與可解釋性 | A.8.4 (透明度措施、人工智慧決策文件) | 不適用(A.5.2 使用者意識除外) | 與 27701 7.3.1 項下的隱私權通知間接相關 | 主要為 42001 所獨有,但隱私權揭露義務可以一致。 | |
| 事件管理 | A.8.6 (特定於 AI 的事件處理,例如模型漂移、偏差偵測) | A.5.25-A.5.28(資訊安全事故管理) | 7.4.7 (PII 違規通知) | 可將 AI 事件納入更廣泛的 ISMS 事件回應中,並設定隱私權外洩通報觸發點。 | 為生產中偵測到的 AI 相關事件定義升級路徑。 將 AI 異常現象和事件納入事件回應計畫。
|
| 第三方與供應鏈 | A.7.4(供應商 AI 合規保證) | A.5.19-A.5.22(供應商安全控制) | 7.2.x (處理器與第三方隱私權要求) | 都要求審查和監控供應商,但 42001 增加了 AI 特定要求 (例如模型來源)。 | 評估 AI 供應商是否符合隱私與安全標準。 在 AI 供應商合約中建立隱私權條款。 對第三方 AI 供應商進行安全評估。 |
主要心得
- 結構相容性:三者皆共用 ISO 協調架構,因此比非 ISO 架構更容易整合。
- 獨特的新增功能:
- ISO 42001帶來 AI 道德、偏差預防、透明度和生命週期特定風險控制。
- ISO 27001帶來深入的技術性網路安全控制。
- ISO 27701帶來隱私權設計與合法處理保障。
- 統一的實施機會:透過建立共用的治理、風險管理、事故處理和供應商保證流程,您可以將重複性降至最低,同時仍能符合各標準的獨特要求。
DQS HK 的相關服務
作者
Brad Fabiny
Loading...
