IS0／IEC42001-2023《人工智能管理体系》之“人工智能系统控制目标和控制”理解和实施操作指导材料 （基于IS0／IEC42001-2023《人工智能管理体系》的附录A、附录B》，雷泽佳2024年9月编制） 《1S0/IEC42001-2023》表A.1-控 “人工智能系统控制目标和控制”实施指南 “人工智能系统控制目标和控制”理解和实施要点 制目标和控制 序号 主题 控制 A.2与人工智能相关的方针 (1)业务需求为导向：业务需求是组织运营和决策的基石，也是人工智能系统应用的出发点。业务需求可能包括但不限于提 升生产效率、优化客户体验、降低运营成本、加速产品创新等方面； (2)为人工智能系统提供管理指导：管理指导内容包括制定人工智能系统的战略规划、发展目标、实施路径以及关键绩效指 A2.1目标：根据业务需求，为人工智能系统提供管理指导和支持。 标（KPIs）等。管理指导应涵盖系统的全生命周期，从设计、开发、测试到部署、运行和持续优化： (3)为人工智能系统提供支持：支持措施包括但不限于资源调配、团队建设、技术培训、合规性评审、风险管理等方面。这 些措施旨在为人工智能系统的顺利实施和高效运行提供坚实保障。 (1)人工智能方针应参考以下内容： (1)制定人工智能方针的参考依据，人工智能方针的制定需综合考虑以下多个方面，以确保其全面性和实用性： 业务战略： 业务战略：人工智能方针应与组织的整体业务战略保持一致，确保AI技术的应用能够支持业务目标的实现。 组织的价值观和文化，以及组织愿意承担或保留的风险程度-组织的价值观和文化：方针应体现组织的价值观和文化，确保AI技术的使用与组织的核心价值观相契合。 人工智能系统带来的风险程度： 人工智能系统带来的风险程度 、需要明确组织愿意承担或保留的风险程度，以便在制定方针时充分考虑风险因素。 法律要求，包括合同； ：评估AI系统可能带来的各类风险，包括技术风险、道德风险、法律风险等，以便在方针中制定相应的应对措施， 组织的风险环境； 法律要求（包括合同）： 组织应制定开发或使 对相关方的影响（见6.1.4）。 人工智能 确保AI方针符合相关法律法规的要求，特别是与数据保护、隐私安全相关的法律法规： A. 2. 2 用人工智能系统的方 方针 (2)人工智能方针应包括： 针。 合同中的相关条款也应成为制定AI方针的重要参考。 适合于组织的宗旨； -组织的风险环境：分析组织所处的内外部环境，包括行业特点、市场趋势、竞争对手动态等，以便在方针中制定针对性的风险管 为制定人工智能目标提供一个框架（见6.2）： 理措施； 包括满足适用要求的承诺： 对相关方的影响（见“6.1.4人工智能系统影响评估）：评估AI系统的使用对相关方（如客户、合作伙伴、员工等）的潜在影响， 包括对持续改进人工智能管理体系的承诺； 确保方针中包含了相应的保障措施。 指导组织与人工智能有关的所有活动的原则： (2)人工智能方针应包含的关键要素，为了确保人工智能方针的完整性和有效性，其应包含以下关键要素： 指导人工智能系统的开发、购买、运行和使用； 适合于组织的宗旨：方针应明确反映组织的宗旨和使命，确保AI技术的使用与组织的长期发展目标相一致； 处理偏离方针和例外情况的程序。 为制定人工智能目标提供一个框架：方针应设定清晰的AI目标制定框架，指导组织如何根据实际情况设定可衡量、可实现的目标： 《1S0/IEC42001-2023》表A.1-控 “人工智能系统控制目标和控制”实施指南 “人工智能系统控制目标和控制”理解和实施要点 制目标和控制 (3）必要时，人工智能方针应考虑特定主题方面，以提供更多指-包括满足适用要求的承诺：方针中应明确组织对满足相关法律法规、行业标准等适用要求的承诺，确保AI系统的合规性； 导或提供与涉及这些方面的其他方针的交叉参考。此类主题的例- -包括对持续改进人工智能管理体系的承诺：强调组织对AI管理体系持续改进的重视，鼓励创新和学习，以适应不断变化的业务需 求和技术环境： 子包括： 指导组织与人工智能有关的所有活动的原则：明确一系列指导原则，为组织在AI技术的开发、部署、运行等各个环节提供行动指 人工智能资源和资产： 南： 人工智能系统影响评估（见6.1.4)； 指导人工智能系统的开发、购买、运行和使用：方针应覆盖AI系统的全生命周期管理，从开发到退役的各个环节都应有明确的管 人工智能系统开发。 理要求和操作流程； (4)人工智能方针应：作为文件资料提供：引用其他相关的组织 处理偏离方针和例外情况的程序：制定处理偏离方针和例外情况的程序，确保在出现意外情况时能够迅速响应并采取有效措施。 政策；在组织内得到沟通：适宜时，可为有关相关方所获取。 人工智能资源和资产：明确AI系统所需资源（如数据、算力、人才等）的管理要求和使用规范，确保资源的合理配置和有效利用； 人工智能系统影响评估（“6.1.4人工智能系统影响评估）：强调对AI系统潜在影响的全面评估，包括对个人、社会、环境等方面 的影响，以便在方针中制定相应的缓解措施： 人工智能系统开发：设定AI系统开发的标准和流程，确保开发过程的规范性和有效性，提高AI系统的质量和可靠性。 (4)人工智能方针的文档化、引用、沟通与获取 作为文件资料提供：将AI方针以书面形式进行记录并存档，确保其在组织内部的正式性和权威性； 引用其他相关的组织方针：在制定AI方针时，应充分考虑并引用组织内部其他相关政策，以确保方针的一致性和协调性； 在组织内得到沟通：通过培训、会议、内部通讯等方式，将AI方针传达给组织内所有相关员工和部门，确保每个人都了解并遵守 方针要求； 适宜时，可为有关相关方所获取：对于与组织有合作关系的相关方（如供应商、客户等），在必要时应将AI方针提供给他们，以便 他们了解组织在AI技术应用方面的管理要求和期望。 组织应确定其他方针安全和隐私。组织应考虑进行全面分析，以确定当前方针是否以一-多领域交叉：组织应认识到，许多不同领域的方针与人工智能系统存在交叉，包括但不限于质量、信息安全、物理安全和隐私等 与其他组的哪些方面受到组织及在哪些方面存在必然交叉，并在需要更新时更新这些方针，或领域： 织方针保在人工智能系统方面在人工智能方针中融入相关规定； 全面分析必要性：为了确保人工智能方针的协调性和一致性，组织需要进行全面的分析，以明确当前各个领域的方针在哪些方面 与人工智能系统目标存在交叉； 该目标。 方针相互补充，共同支持组织的人工智能系统目标。 智能系统的整个生命周期内启用和治理人工智能系统。 《1S0/IEC42001-2023》表A.1-控 “人工智能系统控制目标和控制”实施指南 “人工智能系统控制目标和控制”理解和实施要点 制目标和控制 (2)治理机构的角色与指导。 治理机构的决策依据：治理机构在制定组织方针时，应考虑人工智能系统目标的影响，确保所制定的方针能够支持人工智能系统 的实施和管理。 IS0/IEC38507的指导作用：IS0/IEC38507:2022《信息技术一IT治理一组织使用人工智能的治理影响》为治理管理机构的成员提 供了详细的指导，帮助他们在人工智能系统的整个生命周期内启用和有效治理人工智能系统。组织应充分利用这一标准，确保治理 方针与人工智能方针相协调； 人工智能方针的参考地位：治理机构代表组织制定的方针应为人工智能方针的制定提供参考框架，确保人工智能方针与组织整体 战略和治理方向保持一致。通过借鉴治理方针的原则和要求，人工智能方针能够更加全面、系统地指导人工智能系统的实施和管理 (1)定期与必要的评审机制： 定期评审：人工智能方针需要按策划的时间间隔进行评审，以确保其持续满足组织的当前需求。这种定期评审机制有助于保持方 针的时效性和适应性： -额外评审：当组织环境、业务情况、法律条件或技术环境发生重大变化时，还应根据需要进行专项评审。这种灵活性确保了方针 能够迅速响应外部和内部的变化。 (2)明确职责与角色： 管理层批准：应由管理层批准的一个具体角色或部门负责人工智能方针或其组成部分的制定、评审和评估。这种明确的职责分配 有助于确保评审过程的权威性和有效性： 划的时间间隔进行评的制定、评审和评估； 人工智能 责任人确定：该角色或部门需具备足够的权限和资源来执行评审工作，并确保评审结果的实施。 审，或根据需要进行(2)评审应包括根据组织环境、业务情况、法律条件或技术环境 .2.4 方针的评 (3)全面评估与改进机会： 额外评审，以确保其的变化，评估机会以改进组织的人工智能系统管理方针和方法的 环境变化的评估：评审过程中应全面考虑组织环境、业务情况、法律条件和技术环境的变化。这种全面的环境评估有助于发现潜 持续的适宜性、充分 机会： 在的问题和改进机会； 性和有效性。 (3)人工智能方针的评审应考虑到管理评审的结果。 改进机会的识别：基于环境变化的分析，评审应识别出改进组织人工智能系统管理方针和方法的机会。这包括优化方针内容、更 新管理策略等，以更好地满足组织需求。 (4)与管理评审的整合。 整合管理评审结果：人工智能方针的评审应考虑到管理评审的结果。管理评审作为组织整体绩效评估的一部分，其结论和建议对 人工智能方针的改进具有重要参考价值： 协同效应：通过将人工智能方针的评审与管理评审相结合，可以实现方针制定、实施和评估的协同效应，促进组织整体管理体系 的持续改进。 《1S0/IEC42001-2023》表A.1-控 “人工智能系统控制目标和控制”实施指南 “人工智能系统控制目标和控制”理解和实施要点 制目标和控制 A.3内部组织 (1)目标概述； 建