Стандарт ИСО 42001 –
Искусственный интеллект. Система менеджмента

Основные требования стандарта ISO/IEC 42001

Требования стандарта следуют классической структуре высокоуровневой системы управления (HLM), похожей на ISO 27001 или ISO 9001, что облегчает интеграцию. Они сгруппированы по следующим ключевым разделам:

1. Контекст организации (Context of the organization)

• Определение внутренних и внешних вопросов: Понимание правовых, нормативных, технологических и коммерческих факторов, влияющих на цели организации в области ИИ.

• Определение заинтересованных сторон: Выявление всех сторон, чьи интересы затрагиваются системами ИИ (пользователи, клиенты, регуляторы, общество).

• Определение границ системы управления ИИ: Где и какие системы ИИ попадают под действие стандарта.

2. Лидерство (Leadership)

• Приверженность руководства: Топ-менеджмент должно демонстрировать лидерство и обязательства в отношении системы управления ИИ.

• Политика в области ИИ: Разработка и принятие политики, которая определяет цели и framework для ответственного управления ИИ.

• Распределение ролей, ответственности и полномочий: Четкое определение, кто за что отвечает в рамках системы управления ИИ.

3. Планирование (Planning)

• Оценка рисков и возможностей: Систематическая оценка рисков, связанных с системами ИИ (включая репутационные, юридические и этические риски), а также возможностей для улучшения.

• Цели в области ИИ: Установление измеримых целей для системы управления ИИ на соответствующих уровнях организации.

• Планирование достижения целей: Определение того, как будут достигаться поставленные цели.

4. Поддержка (Support)

• Ресурсы: Обеспечение необходимыми ресурсами (люди, инфраструктура, финансы) для создания и поддержания системы управления ИИ.

• Компетентность: Гарантия того, что сотрудники, работающие с ИИ, обладают необходимой квалификацией и проходят обучение.

• Информированность: Доведение до сведения сотрудников важности политики ИИ и их роли в системе.

• Коммуникация: Определение процессов внутренней и внешней коммуникации по вопросам ИИ.

• Документированная информация: Управление всеми документами и записями, требуемыми стандартом (политики, процедуры, отчеты о рисках).

5. Эксплуатация (Operation)

Планирование и управление: Это ядро стандарта. Требуется внедрение процессов для управления полным жизненным циклом ИИ:

• Оценка воздействия: Анализ потенциальных положительных и отрицательных последствий внедрения системы ИИ.

• Управление качеством данных: Процессы для обеспечения качества, целостности и релевантности данных, используемых в ИИ.

• Метрики и мониторинг: Отслеживание производительности и поведения моделей ИИ после развертывания (дрейф данных, смещение).

• Управление людьми и ИИ: Определение степени человеческого надзора и контроля над автономными системами.

• Обеспечение прозрачности и объяснимости: Возможность объяснить stakeholders, как система ИИ принимает решения.

• Управление заинтересованными сторонами: Вовлечение пользователей и других сторон в процессы, влияющие на них.

6. Оценка производительности (Performance evaluation)

• Мониторинг, измерение, анализ и оценка: Регулярная проверка эффективности системы управления ИИ.

• Внутренний аудит: Плановые проверки на соответствие требованиям стандарта и собственной политике организации.

• Пересмотр со стороны руководства: Регулярный анализ системы управления ИИ топ-менеджментом для обеспечения ее целесообразности, адекватности и эффективности.

7. Улучшение (Improvement)

• Несоответствия и корректирующие действия: Выявление несоответствий и принятие мер по их устранению и предотвращению в будущем.

• Постоянное улучшение: Постоянное совершенствование системы управления ИИ на основе результатов аудитов и пересмотров.