Nowa norma ISO/IEC 42001:2023 – pierwszy na świecie standard zarządzania systemami sztucznej inteligencji

/ Aktualności 2023 / Nowa norma ISO/IEC 42001:2023 – pierwszy na świecie standard zarządzania systemami sztucznej inteligencji

Nowa norma ISO/IEC 42001:2023 – pierwszy na świecie standard zarządzania systemami sztucznej inteligencji (2023-12-22)

 

18 grudnia 2023 r. Międzynarodowa Organizacja Normalizacyjna ISO oraz Międzynarodowa Komisja Elektrotechniczna IEC opublikowały pierwszą na świecie normę przedstawiającą wymagania odnośnie systemu zarządzania sztuczną inteligencją, normę ISO/IEC 42001:2023. To wydarzenie o potencjalnie istotnym znaczeniu dla organizacji, które rozwijają, wdrażają lub stosują rozwiązania oparte na AI.

 

Norma ISO/IEC 42001 określa wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania AI (AIMS, czyli Artificial Intelligence Management System). Struktura wymagań normy to dobrze znana struktura wysokiego poziomu (High-Level Structure, HLS), dzięki czemu jej wdrożenie może być spójne z innymi normami systemów zarządzania, takimi jak ISO/IEC 27001, ISO/IEC 27701 czy ISO 9001. To duże ułatwienie dla organizacji już funkcjonujących w oparciu o zintegrowane systemy zarządzania.

 

W odróżnieniu od norm sektorowych czy technologicznych, ISO/IEC 42001 ma charakter systemowy i uniwersalny. Może być stosowana przez każdą organizację, niezależnie od branży, wielkości czy dojrzałości technologicznej. Adresowana jest zarówno do dostawców i twórców systemów AI, jak i użytkowników wykorzystujących gotowe rozwiązania.

 

„Systemowe” wymagania w normie ISO/IEC 42001 nie odbiegają od wymagań przedstawionych w innych normach ISO określających wymagania dla systemów zarządzania. Z kolei zakres merytoryczny normy obejmuje kluczowe zagadnienia specyficzne dla technologii sztucznej inteligencji, w szczególności:

  • identyfikację oraz ocenę ryzyka i szans związanych z AI,

  • ocenę wpływu systemów AI na osoby, grupy społeczne i otoczenie,

  • zarządzanie cyklem życia AI – od projektowania, przez eksploatację, aż po wycofanie,

  • zapewnienie jakości danych, przejrzystości algorytmów i nadzoru,

  • nadzór nad dostawcami i partnerami technologicznymi,

  • dokumentowanie i audytowalność działania AI.

Jednym z unikatowych wymagań normy jest obowiązek przeprowadzania „AI system impact assessment” czyli oceny wpływu systemów AI na jednostki, grupy społeczne i społeczeństwo. Wyniki tego działania powinny być uwzględnione w ocenie ryzyka związanego ze sztuczną inteligencją. To podejście wprowadza perspektywę etyczną oraz społeczną do praktyki zarządzania technologią.

 

Istotną informacją jest to, że norma zawiera aż dwa obowiązkowe załączniki:

  • Załącznik A: wskazuje wymagane zabezpieczenia i cele ich stosowania,

  • Załącznik B: zawiera szczegółowe wytyczne dotyczące wdrażania tych zabezpieczeń w praktyce.

Rozwiązanie to przypomina hybrydę rozwiązań znanych z ISO/IEC 27001 oraz ISO/IEC 27002, czyli wymagań i wytycznych dotyczących systemu zarządzania bezpieczeństwem informacji. Integralną część normy ISO 42001 stanowią obowiązkowe zabezpieczenia i cele ich stosowania przedstawione w Załączniku A co jest analogiczne do rozwiązania znanego z ISO/IEC 27001. Natomiast wytyczne dotyczące wdrażania tych zabezpieczeń przedstawione w normatywnym Załączniku B są analogiczne do tych jakie przedstawione zostały w normie ISO/IEC 27002.

 

ISO/IEC 42001 oferuje również załączniki informacyjne prezentujące przykładowe cele AI (Załącznik C) oraz kontekst branżowy i ról w cyklu życia AI (Załącznik D).

 

Norma została przygotowana z myślą o realnych wyzwaniach związanych z AI – takich jak nieprzejrzystość modeli, zmienność działania, ryzyko dyskryminacji czy potrzeba zapewnienia nadzoru i zgodności z prawem. Szczególny nacisk położono na przejrzystość, wyjaśnialność (wytłumaczalność) i społeczną odpowiedzialność systemów AI.

 

Publikacja ISO/IEC 42001 zbiega się w czasie z finalizacją unijnego rozporządzenia AI Act, które klasyfikuje systemy AI pod względem ryzyka i nakłada szereg wymogów regulacyjnych. Norma nie zastępuje przepisów prawa, ale stanowi praktyczne narzędzie wykazania należytej staranności oraz przygotowania organizacji na kontrole regulacyjne, wymogi partnerów biznesowych czy ocenę zgodności.

 

Więcej informacji na temat normy ISO/IEC 42001 oraz możliwości jej wdrożenia w organizacji można znaleźć na naszej stronie internetowej: www.iso.org.pl/uslugi-zarzadzania/wdrazanie-systemow/systemy-bezpieczenstwa-informacji/iso-42001/.
 

Z wyrazami szacunku,
Zespół Malon Group

 

Materiały źródłowe:

  • ISO/IEC 42001:2023 “Information technology — Artificial intelligence — Management system”.

  • Informacje ze strony internetowej Międzynarodowej Organizacji Normalizacyjnej: https://www.iso.org/standard/81230.html

Back to Top