人工智能 (AI) 的監管和負責任使用一直是 2023 年的熱門話題��,促使 NIST 發布 AI 風險管理框架�,以幫助組織保護這項新興技術�。更多的標準正在制定中����,以滿足實施保障措施的需求��,包括ISO/IEC 42001�,以解決人工智能系統在其整個生命周期中的安全性��、安全性��、隱私性�、公平性����、透明度和數據質量����。
ISO 在那些對網絡安全感興趣和投資的人中已經廣為人知����,因為它提供了用于實施不同管理系統的框架��,可以幫助您改進組織的不同方面����。現在��,通過即將發布的 ISO 42001��,ISO 正在進入 AI 游戲����,最終將成為 AI 管理系統 (AIMS) 的最佳實踐����。
雖然我們仍然不確定這個標準何時發布——盡管我們應該在 12 月的投票期結束時更清楚地知道它是 2023 年還是 2024 年——但我們已經知道了一些關于 ISO 42001 的細節以及它將帶來什么��。
在這篇博文中��,我們將把這些已知的細節分解為 ISO 42001 的結構����、目標和意圖����,以便您更好地了解即將推出的內容以及該標準是否適合您的組織����。
什么是ISO 42001��?
作為一項新的人工智能管理體系標準(MSS)����,ISO 42001預計將要求組織采取基于風險的方法�,將要求應用于人工智能的使用(因為將AIMS更廣泛地應用于組織內的所有用例可能會損害其他業務目標��,而不會實現任何實際利益或引起額外的擔憂)��。
另一個�,也許也是最令人興奮的初步收獲可能是����,雖然ISO 42001將是一個可認證的管理體系框架(上述目標)�,但該標準的起草方式便于與其他現有的MSS集成��,例如:
-
ISO 27001(信息安全)
-
ISO 27701(隱私)
-
ISO 9001(質量)
由于圍繞人工智能在安全��、隱私和質量等方面的問題和風險不應該單獨管理人工智能��,而應該從整體上管理�,因此采用AIMS可以提高組織在這些領域的現有管理系統的有效性����,以及您的整體合規狀況�。
話雖如此��,需要注意的是����,ISO 42001 并不要求將其他 MSS 作為先決條件實施/認證����,ISO 42001 也無意取代或取代現有的質量����、安全�、安保�、隱私或其他 MSS�。
盡管如此����,這種集成的潛力將幫助那些需要滿足兩個或多個此類標準要求的組織����,盡管每個實施的MSS的重點必須保持獨特�,例如��,ISO 27001的信息安全����。如果您選擇遵守 ISO 42001����,則需要將要求的應用重點放在 AI 獨有的功能以及使用過程中產生的問題和風險上����。
ISO 42001結構
更重要的是��,最終的ISO 42001的結構對于那些已經通過ISO 27001認證的人來說似乎非常熟悉��,因為ISO 42001還具有以下特點:
-
第4-10條;和
-
附件 A 列出了可以幫助組織*的以下兩項控制措施:
-
實現與人工智能使用相關的目標;和
-
解決在風險評估過程中發現的與人工智能系統設計和運行相關的問題����。
* 不需要使用這些特定的控件����,而是作為參考��,您可以根據需要自由設計和實現控件�。
在當前的 ISO 42001 草案中����,39 附錄 A 控制*涉及以下領域:
-
與人工智能相關的政策
-
內部組織(例如����,角色和職責��、問題報告)
-
人工智能系統資源(例如�,數據�、工具�、人類)
-
人工智能系統對個人��、群體和社會的影響分析
-
人工智能系統生命周期
-
人工智能系統數據
-
為人工智能系統相關方提供的信息
-
人工智能系統的使用(例如�,負責任/預期用途��、目標)
-
第三方關系(例如����,供應商��、客戶)
* 最終標準發布后�,最終控制和主題的數量都可能發生變化�。
ISO 42001 還包含附錄 B 和附錄 C:
|
附件B
|
附件C
|
|
為附件A所列控制措施提供實施指南
(這類似于 ISO 27001 附錄 A 的單獨 ISO 27002 標準��。
|
概述:
-
潛在的組織目標
-
風險來源
-
在管理與使用人工智能相關的風險時可以考慮的描述�。
|
ISO 42001目標和風險來源
附件C中提及的潛在目標和風險來源涉及以下領域:
|
目標
|
風險來源
|
-
公平
-
安全
-
安全
-
隱私
-
魯棒性
-
透明度和可解釋性
-
問 責
-
可用性
-
可維護性
-
訓練數據的可用性和質量
-
人工智能專業知識
|
-
自動化水平
-
缺乏透明度和可解釋性
-
IT環境的復雜性
-
系統生命周期問題
-
系統硬件問題
-
技術就緒
-
與ML相關的風險
|
最后�,ISO 42001 包含一個附件 D����,其中涉及跨領域或部門使用 AIMS��。
ISO 42001 的意圖
隨著人工智能使用的整體持續擴大����,實現這些目標并減輕 ISO 42001 框架中概述的這些風險源的組織將有所幫助——這項技術越來越多地應用于利用 IT 的所有部門�,趨勢表明它有望成為未來幾年的主要經濟驅動力之一����。
因此����,ISO 42001 的目的是幫助組織負責任地履行其在使用�、開發��、監控或提供利用人工智能的產品或服務方面的作用����,以確保技術安全�。
通過ISO 42001框架的特別關注可以幫助組織實施人工智能的某些功能可能需要的不同保護措施��,這些功能在特定流程或系統中增加了額外的風險(與傳統上在沒有應用和使用人工智能的情況下執行相同任務的方式相比)�。
這些需要采取具體保障措施的“某些特征”的例子有:
-
自動決策 – 當以不透明和不可解釋的方式完成時��,可能需要超出傳統 IT 系統的特定管理和監督��。
-
數據分析�、洞察和機器學習 (ML) – 當用于代替人工編碼的邏輯來設計系統時����,它們會改變此類系統的開發�、合理化和部署方式����,從而可能需要不同的保護�。
-
持續學習 – 執行持續學習的人工智能系統在使用過程中會改變其行為�,并且需要特殊考慮以確保其負責任的使用在不斷變化的行為狀態下繼續進行�。
可用的 AI 網絡安全指南/法規可以提供幫助
組織需要盡快開始確保其 AI 的使用����,雖然 ISO 42001 的第一次迭代可能會有所幫助——當它發布時——現在可以考慮其他重要的發展:
-
NIST AI 風險管理框架 (AI RMF 1.0):今年 1 月�,NIST 發布了這個新框架�,以更好地管理與 AI 相關的個人��、組織和社會風險�。對于自愿使用����,NIST AI RMF 可以改進將可信度考慮因素納入 AI 產品����、服務和系統的設計��、開發�、使用和評估中�。
-
拜登行政命令(2023 年 10 月):拜登總統發布的這項廣泛命令建立在先前舉措的基礎上��,并提供了全面的戰略�,以幫助利用人工智能的潛力�,同時管理其相關風險�。
-
歐盟人工智能法案:在本博客發表時��,歐盟也正在最終確定自己的人工智能使用法規����,該法規以卓越和信任為中心��,旨在提高研究和工業能力�,同時確保安全和基本權利�。
ISO 42001 的下一步是什么
即使有所有這些關于人工智能的重大新里程碑��,美國似乎仍堅定地致力于進一步發展�,如果副總統卡瑪拉·哈里斯(Kamala Harris)最近的評論有任何跡象的話:
“歷史表明�,在缺乏監管和強有力的政府監督的情況下�,一些科技公司選擇將利潤置于客戶福祉�、社區安全和民主國家的穩定之上......除了我們已經完成的工作之外�,應對這些挑戰的一個重要方法是通過立法��。在不扼殺創新的情況下加強人工智能安全的立法����。
本文來源于網絡
