2024版45081-2024人工智能管理體系培訓教材目

錄1范圍2規(guī)范性引用文件3術語和定義4組織環(huán)境5領導作用6策劃7支持目

錄8運行9績效評價10改進附錄A參考控制目標與控制附錄B人工智能控制的實施指南附錄C潛在的與人工智能相關的組織目標的風險源附錄D跨領域或跨行業(yè)適用人工智能管理體系。1范圍本文件為在組織范圍內(nèi)建立、實施、維護和持續(xù)改進人工智能管理體系規(guī)定了要求并提供了指南。本文件適用于提供或使用人工智能系統(tǒng)的產(chǎn)品或服務的組織。本文件旨在幫助組織負責任地開發(fā)、提供或使用人工智能系統(tǒng)，以實現(xiàn)其目標，并滿足適用的法規(guī)要求，以及相關方的義務和期望。本文件適用于各種規(guī)模、類型和性質(zhì)的提供或使用人工智能系統(tǒng)產(chǎn)品或服務的組織。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件

。ISO/IEC22989:2022信息技術

人工智能

人工智能概念和術語3術語和定義3.1組

織organization為實現(xiàn)目標(3.6),由職責、權限和相互關系構成自身功能的一個人或一組人。注1:組織的概念包括但不限于個體經(jīng)營者、公司、集團公司、商行、企事業(yè)單位、監(jiān)管機構、合伙企業(yè)、慈善機構或研

究機構，或上述組織的部分或組合，無論是否具有法人資格，公有或私有。注2:如果組織是大型實體的某個組成部分，那么術語“組織”僅指在人工智能管理體系(3.4)范圍內(nèi)的這個組成部分。3術語和定義3.2相關方interestedparty能夠影響決策或活動、受決策或活動影響或自認為受決策或活動影響的個人或組織(3.1)。注

：ISO/IEC22989:2022的5.19中提供了人工智能相關方的概述。3.3最高管理者topmanagement在最高層指揮和控制組織(3.1)的一個人或一組人。注1:最高管理者有權在組織內(nèi)部授權和提供資源。注2:如果管理體系(3.4)的范圍僅覆蓋組織的某個組織部分，那么最高管理者是指指揮和控制該部分的一個人或

一組人。3術語和定義3.4管理體系managementsystem組織(3.1)為確立方針(3.5)和目標(3.6)以及實現(xiàn)這些目標的過程(3.8)所形成的相互關聯(lián)或相互

作用的一組要件

。注1:一個管理體系可能針對一個或幾個主題。注2:管理體系要件包括組織的結構、崗位和職責、策劃和運行。3.5方針policy由最高管理者(3.3)正式表述的組織(3.1)的意圖和方向。3術語和定義3.6目

標objective

要實現(xiàn)的結果

。注1:目標可能是戰(zhàn)略的、戰(zhàn)術的或運行的。注2:目標可能涉及不同的主題(如財務、健康和安全、環(huán)境)。它們可能存在于不同層面，諸如組織整體層面或項

目、產(chǎn)品或過程(3.8)層面。注3:目標能用其他方式表述，如：預期的結果、宗旨、運行準則，人工智能目標或使用其他有類似含義的詞(如：終點

或指標)。注4:在人工智能管理體系(3.4)中，組織(3.1)設定的人工智能目標與人工智能方針(3.5)保持一致，以實現(xiàn)特定的

結果。3術語和定義3.7風

險risk不確定性的影響。注1:影響是對預期的偏離——正面的或負面的。注2:不確定性是一種狀態(tài)，是指對某個事件、事件的后果或可能性缺乏甚至部分缺乏相關信息、理解或知識。注3:通常，風險以潛在事件(見GB/T23694—2013中4.5.1.3的定義)和后果(見GB/T23694—2013中4.6.1.3的定義)或二者的組合來描述其特性。注4:通常，風險以某個事件的后果(包括情況的變化)及其發(fā)生的可能性(見GB/T23694—2013中4.6.1.1的定義)的組合來表述。3術語和定義3.8過程process使用或轉化輸入以實現(xiàn)結果的一組相互關聯(lián)或相互作用的活動。注：某個過程的結果是稱為輸出，還是稱為產(chǎn)品或服務，取決于相關語境。3.9能力competence應用知識和技能實現(xiàn)預期結果的本領。3術語和定義3.10文件化信息documentedinformation組織(3.1)需要控制和維護的信息及其載體。注1:文件化信息能夠以任何形式和載體存在，且來源不限。注2:文件化信息可能涉及：——管理體系(3.4),包括相關過程(3.8);——為組織運行而創(chuàng)建的信息(文件);——實現(xiàn)的結果的證據(jù)(記錄)。3術語和定義3.11績效performance

可測量的結果。注1:績效可能涉及定量的或定性的結果。注2:績效可能與活動、過程(3.8)、產(chǎn)品、服務、體系或組織(3.1)的管理有關。注3:在本文件中，績效既指使用人工智能系統(tǒng)取得的結果，也指與人工智能管理體系(3.4)相關的結果。該術語的

正確解釋從其使用的環(huán)境中得出。3.12持續(xù)改進continualimprovement提高績效(3.11)的循環(huán)活動。3術語和定義3.13有效性effectiveness完成策劃的活動和實現(xiàn)策劃的結果的程度。3.14要求/需求requirement規(guī)定的、不言而喻的或有義務履行的需求或期望。注1:不言而喻的或有義務履行的需要或期望是指需求。其中，“不言而喻”是指組織(3.1)和相關方(3.2)的慣例或一般做法，不言而喻的需求或期望是不用說就明白的。注2:規(guī)定的需要或期望是指要求，也就是符合GB/T1.1中定義的要求，即表達聲明符合該文件需要滿足的客觀可

證實的準則。3術語和定義3.15符合conformity滿足要求(3.14)。3.16不符合nonconformity未滿足要求(3.14)。3.17糾正措施correctiveaction為消除不符合(3.16)的原因并防止再次發(fā)生而采取的措施。3術語和定義3.18審核audit獲取審核證據(jù)并對其進行客觀評價，以確定審核準則滿足程度所進行的系統(tǒng)的、獨立的過

程(3.8)。注1:審核可能為內(nèi)部(第一方)審核或外部(第二方或第三方)審核，也可能為多體系審核(合并兩個或多個主題)。注2:內(nèi)部審核由組織(3.1)自行實施或代表組織的外部機構實施。注3:“審核證據(jù)”和“審核準則”的定義見ISO19011。3.19測量measurement確定數(shù)值的過程(3.8)。3術語和定義3.20監(jiān)視monitoring確定體系、過程(3.8)或活動的狀態(tài)。注：確定狀態(tài)可能需要檢查、監(jiān)督或嚴格觀察。3.21控制control〈風險>保持和/或改變風險(3.7)的措施。注1:控制包括但不限于保持和/或改變風險的任何過程、策略、措施、操作或其他條件和/或行動。注2:控制并非總能發(fā)揮預期或假定的改變效果。[來源：GB/T24353—2022,3.8,有修改]3術語和定義3.22治理層governingbody對組織的績效和符合性負責的一個人或一組人。注1:并非所有組織，特別是小型組織，都有一個獨立于最高管理者的治理層。注2:治理層包括但不限于董事會、董事會委員會、監(jiān)事會、受托人或監(jiān)督人[來源：ISO/IEC38500:2015,有修改]3.23信息安全informationsecurity對信息的保密性、完整性和可用性的保全。注：另外，還能包括諸如真實性、可問責性、抗抵賴性和可靠性等其他特性。[來源

：GB/T29246—2023]3術語和定義3.24人工智能系統(tǒng)影響評估

AIsystemimpactassessment由開發(fā)、提供或使用人工智能產(chǎn)品或服務的組織識別、評估和解決對個人和(或)群體和社會的影響的正式的、文件化的過程。3.25數(shù)據(jù)質(zhì)量dataquality滿足組織在特定情況下數(shù)據(jù)要求的數(shù)據(jù)特征。[來源：ISO/IEC5259-1:2024,3.4]3術語和定義3.26適用性聲明statementofapplicability所有必要控制(3.21),以及包括或排除控制的理由的文件。注1:組織可能不需要附錄A中列出的所有控制，甚至可能超出附錄A中所列的控制，并由組織自己制定額外的控制。注2:所有已識別的風險，組織按本文件的要求形成文件。所有已識別的風險和為解決這些風險而制定的風險管理措施(控制)反映在適用性聲明中。4組織環(huán)境4.1理解組織及其環(huán)境組織應確定與其宗旨相關的，并影響其實現(xiàn)人工智能管理體系預期結果的能力的內(nèi)部和外部事項

。組織應確定氣候變化是否是一個相關因素

。組織應顧及組織開發(fā)、提供或使用人工智能系統(tǒng)的預期目的。組織應確定其在人工智能系統(tǒng)中的角色

。注1:組織確定其相對于人工智能系統(tǒng)的角色有助于理解組織及其環(huán)境。這些角色包括但不限于以下一種或多種：——人工智能提供方，包括人工智能平臺提供方、人工智能產(chǎn)品或服務提供方；4組織環(huán)境——人工智能生產(chǎn)方，包括人工智能開發(fā)方、人工智能設計方、人工智能運營方、人工智能測試和評估機構、人

工智能部署方、人工智能人因研究機構、領域專家、人工智能影響評估機構、采購方、人工智能治理和監(jiān)督

專業(yè)機構；——人工智能客戶，包括人工智能用戶；——人工智能合作伙伴，包括人工智能系統(tǒng)集成商和數(shù)據(jù)提供商；——人工智能主體，包括數(shù)據(jù)主體和其他主體；——相關監(jiān)管機構，包括方針制定者和監(jiān)管方。4組織環(huán)境ISO/IEC22989:2022提供了這些角色的詳細描述。此外，角色類型及其與人工智能系統(tǒng)生存周

期的關系也在美國國家標準與技術研究院(NIST)發(fā)布的《人工智能風險管理框架》中進行了描述。組織的角色能確定本文件中的要求和控制的適用性和適用性程度。4組織環(huán)境注2:根據(jù)本條要解決的外部和內(nèi)部因素可能因組織的角色和管轄權及其對實現(xiàn)人工智能管理體系預期結果的能力的影響而有所不同。這些包括但不限于如下內(nèi)容。a)外部環(huán)境相關的考慮，如：1)適用的法律要求，包括禁止使用人工智能；4組織環(huán)境2)監(jiān)管機構的方針、指南和決定對人工智能系統(tǒng)開發(fā)和使用中法律要求的解釋或執(zhí)行產(chǎn)生影響；3)與人工智能系統(tǒng)的預期目的和使用相關的激勵或后果；4)人工智能開發(fā)和使用方面的文化、傳統(tǒng)、價值觀、規(guī)范和倫理；4組織環(huán)境5)使用人工智能系統(tǒng)的新產(chǎn)品和服務的競爭格局和趨勢。b)內(nèi)部環(huán)境相關的考慮，如：1)組織環(huán)境、治理、目標(見6.2)、方針和程序；2)合同義務；3)擬開發(fā)或使用人工智能系統(tǒng)的預期目的。4組織環(huán)境注3:角色的確定能通過與組織處理的數(shù)據(jù)類別相關的義務來確定[例如，在處理個人可識別信息時，個人可識別信

息處理者或個人可識別信息控制者]。有關個人可識別信息和相關角色，見ISO/IEC29100。角色也能通過特

定于人工智能系統(tǒng)的法律要求來了解。4組織環(huán)境4.2理解相關方的需求和期望組織應確定：——與人工智能管理體系有關的相關方；——這些相關方的有關需求；——哪些需求將通過人工智能管理體系予以解決。注：相關方能對氣候變化提出需求。4組織環(huán)境4.3確定人工智能管理體系的范圍組織應確定人工智能管理體系的邊界和適用性，以確定其范圍。組織應根據(jù)以下內(nèi)容確定人工智能管理體系的范圍：——4.1提及的內(nèi)部和外部因素；——4.2提及的需求。范圍應作為文件化信息可獲取。人工智能管理體系的范圍應根據(jù)本文件對人工智能管理體系、領導、策劃、支持、運行、績效、評價、

改進、控制和目標的要求確定組織的活動。4組織環(huán)境4.4人工智能管理體系組織應按本文件的要求，建立、實施、維護和持續(xù)改進人工智能管理體系，包括所需的過程及其相互作用。4組織環(huán)境對應的程序文件4.1理解組織及其環(huán)境《環(huán)境分析管理程序》4.2理解相關方的需求和期望《相關方要求管理程序》4.3確定人工智能管理體系的范圍《AIMS范圍管理程序》4.4人工智能管理體系《AIMS過程策劃管理程序》5領導作用5.1領導作用和承諾最高管理者應通過以下方面證實其對人工智能管理體系的領導作用和承諾：——確保制定人工智能方針(見5.2)和人工智能目標(見6.2),并與組織的戰(zhàn)略方向一致；——確保將人工智能管理體系要求融入組織的業(yè)務過程；——確保人工智能管理體系所需的資源可獲?。弧陀行У娜斯ぶ悄芄芾淼闹匾砸约胺先斯ぶ悄芄芾眢w系要求的重要性進行溝通；——確保人工智能管理體系實現(xiàn)其預期結果；5領導作用——指導和支持人員為人工智能管理體系的有效性作出貢獻；——促進持續(xù)改進；——支持其他相關崗位在職責范圍內(nèi)證實其領導作用。注1:本文件中提及的“業(yè)務”能作廣義解釋，指那些與組織存在目的相關的核心活動。5領導作用注2:在組織內(nèi)部建立、鼓勵和構建一種文化，以負責任的方式使用、開發(fā)和治理人工智能系統(tǒng)，這是最高管理層承

諾和領導力的重要體現(xiàn)。確保意識到并遵守這種負責任的方法，并通過領導支持有助于人工智能管理體系的成功

。5領導作用5.2人工智能方針最高管理者應確立人工智能方針，該方針：a)適合于組織的宗旨；b)為設定人工智能目標提供框架(見6.2);c)包括滿足適用需求的承諾；d)包括持續(xù)改進人工智能管理體系的承諾。5領導作用人工智能方針應：——作為文件化信息可獲??；——參考其他相關的組織方針；——在組織內(nèi)予以溝通；——視情況，可被相關方獲取。表A.1中A.2提供了制定人工智能方針的控制目標和控制。這些控制的實施指南見附錄B的B.2。注：ISO/IEC38507提供了組織在制定人工智能方針時的注意事項。5領導作用5.3崗位、職責和權限最高管理者應確保在組織內(nèi)部分配并溝通相關崗位的職責和權限。最高管理者應分配職責和權限，以便：a)確保人工智能管理體系符合本文件的要求；b)向最高管理者報告人工智能管理體系的績效。注：表A.1中A.3.2提供了規(guī)定和分配崗位與職責的控制。B.3.2提供了該控制的實施指南。5領導作用對應的程序文件5.1領導作用和承諾《領導和承諾管理程序》5.2人工智能方針《AI方針管理程序》5.3崗位、職責和權限《職責和權限分配管理程序》6策劃6.1應對風險和機會的措施6.1.1通則在策劃人工智能管理體系時，組織應根據(jù)4.1中提及的事項和4.2中提及的需求，并確定需要應對的風險和機會以便：——確保人工智能管理體系能夠實現(xiàn)預期結果；——預防或減少不利影響；——實現(xiàn)持續(xù)改進。6策劃組織應建立和維護人工智能風險準則，以支持以下工作：——區(qū)分可接受與不可接受的風險；——進行人工智能風險評估；——實施人工智能風險應對；——評估人工智能風險的影響。6策劃組織應保留為識別和應對人工智能風險和機會而采取的措施的文件化信息。注3:關于如何為開發(fā)、提供或使用人工智能產(chǎn)品、系統(tǒng)和服務的組織實施風險管理的指導見ISO/IEC23894。注4:組織及其活動的環(huán)境會對組織的風險管理活動產(chǎn)生影響。注5:不同部門和行業(yè)對風險的規(guī)定以及風險管理的設想可能有所不同。6策劃3.7中對風險的規(guī)范性規(guī)定允許對風險有

一個廣泛的認識，以適應任何部門，如附錄D中D.1中提到的部門。在任何情況下，作為風險評估的一部分，組織的職責是首先采用適合其環(huán)境的風險觀。這能包括通過人工智能系統(tǒng)為之開發(fā)和使用的部門所使用的規(guī)定來看待風險，見ISO/IECGuide51中的規(guī)定。6策劃6.1.2人工智能風險評估組織應規(guī)定并建立人工智能風險評估過程，該過程應：a)參考并符合人工智能方針(見5.2)和人工智能目標(見6.2);注：在評估作為6.1.2d)1)中的后果時，組織能利用6.1.4所述的人工智能系統(tǒng)影響評估。b)在策劃上使重復的人工智能風險評估能夠產(chǎn)生一致、有效和可比較的結果；c)識別有助于或妨礙實現(xiàn)人工智能目標的風險；d)分析人工智能風險，以便：6策劃1)評估如果確定的風險成為現(xiàn)實，將對組織、個人和社會造成的潛在后果；2)酌情評估已識別風險的現(xiàn)實可能性；3)確定風險等級。e)評價人工智能風險，以便：1)將風險分析結果與風險準則(見6.1.1)進行比較；2)對評估的風險進行優(yōu)先排序，以便進行風險應對。組織應保留有關人工智能風險評估過程的文件化信息。6策劃6.1.3人工智能風險應對考慮到風險評估結果，組織應確定人工智能風險應對過程，以便：a)選擇適當?shù)娜斯ぶ悄茱L險應對方案；b)確定實施所選人工智能風險應對方案所必需的所有控制，并將這些控制與附錄A中的控制進行比較，以核實沒有遺漏任何必要的控制；注1:附錄A提供了實現(xiàn)組織目標和處理與人工智能系統(tǒng)的設計和使用有關的風險的參考控制。c)考慮附錄A中與實施人工智能風險應對方案相關的控制；6策劃d)確定除了附錄A中的控制外，是否還需要其他控制，以實施所有風險應對備選方案；e)參考附錄B,了解b)和c)中確定的控制的實施指南；注2:控制目標隱含在所選擇的控制中。組織能根據(jù)需要選擇附錄A中列出的控制目標和控制。附錄A中的控制

并非詳盡無遺，可能還需要額外的控制目標和控制。如果需要附錄A以外的不同或額外控制，組織能策劃此

類控制或從現(xiàn)有來源獲取。如適用，人工智能風險管理可納入其他管理系統(tǒng)。6策劃f)編制一份適用性聲明，其中包含必要的控制(見b]、c)和d]],并說明納入和排除控制的理由；排除的理由能包括風險評估認為不需要的控制，以及適用的外部要求不需要(或屬于例外情況)的控制；注3:組織能提供文件證明排除一般或特定人工智能系統(tǒng)控制目標的理由，不論是附錄A中列出的還是組織自己制定的

。6策劃g)制定人工智能風險應對辦法。獲得指定管理層對人工智能風險應對計劃和接受殘余人工智能風險的批準。必要的控制應：——與6.2中的目標相一致；——作為文件化信息可獲??；——在組織內(nèi)予以溝通；——視情況，可被相關方獲取。組織應保留有關人工智能風險應對過程的文件化信息。6策劃6.1.4人工智能系統(tǒng)影響評估組織應制定一個過程，用于評估開發(fā)、提供或使用人工智能系統(tǒng)可能對個人和(或)群體和社會造成的潛在影響。人工智能系統(tǒng)影響評估應確定人工智能系統(tǒng)的部署、預期使用和可預見的濫用對個人和(或)群體和社會造成的潛在影響。影響評估應顧及人工智能系統(tǒng)的具體技術和社會環(huán)境以便人工智能系統(tǒng)可在管轄范圍內(nèi)部署和適用。6策劃人工智能系統(tǒng)影響評估的結果應記錄在案。在適當情況下，能將人工智能系統(tǒng)影響評估的結果提

供給組織規(guī)定的相關方。組織應在風險評估中考慮人工智能系統(tǒng)影響評估結果(見6.1.2)。表A.1中A.5提供了評估人工智能系統(tǒng)影響的控制。6策劃注：在某些環(huán)境下(如對安全或隱私至關重要的人工智能系統(tǒng)),組織能要求進行特定學科的人工智能系統(tǒng)影響評

估(如物理安全、隱私或信息安全影響),作為組織整體風險管理活動的一部分。6策劃6.2人工智能目標及其實現(xiàn)的策劃組織應在相關職能和層級上確立人工智能目標。人工智能目標應：a)與人工智能方針一致(見5.2);b)可測量(如果可行);c)體現(xiàn)適用的需求；d)予以監(jiān)視；e)予以溝通；f)視情況予以更新；g)作為文件化信息可獲取。6策劃策劃如何實現(xiàn)人工智能目標時，組織應確定：——要做什么;——需要什么資源；——由誰負責；——何時完成；——如何評價結果。6策劃注：附錄C提供了與風險管理有關的人工智能目標的非排他性清單。表A.1中A.6.1和A.9.3提供了確定負責任地

開發(fā)和使用人工智能系統(tǒng)的控制目標和控制。B.6.1和B.9.3提供了這些控制的實施指南定狀態(tài)可能需要檢

查、監(jiān)督或嚴格觀察。6.3變更的策劃當組織確定需要變更人工智能管理體系時，應對這些變更的實施進行策劃。6策劃對應的程序文件6.1應對風險和機會的措施6.1.1通則《風險和機遇管理程序》6.1.2人工智能風險評估《AI風險評估策劃管理程序》6.1.3人工智能風險應對《AI風險處置策劃管理程序》6.1.4人工智能系統(tǒng)影響評估《AI系統(tǒng)影響評價策劃管理程序》6.2人工智能目標及其實現(xiàn)的策劃《AI目標管理程序》6.3變更的策劃《AI變更管理程序》7支持7.1資源為建立、實施、保持和持續(xù)改進人工智能管理體系，組織應確定并提供所需的資源。注：人工智能資源的控制目標和控制見表A.1中A.4。B.4提供了這些控制的實施指南。7支持7.2能

力組織應：——確定在其控制下工作、影響人工智能績效的人員所需的能力；——確保這些人員在適當?shù)慕逃⑴嘤柣蚪?jīng)驗的基礎上勝任工作；——適用時，采取措施獲得所需的能力，并評價所采取措施的有效性。適當?shù)奈募畔鳛槟芰ψC據(jù)可獲取7支持注1:B.4.6提供了關于人力資源的實施指南，包括考慮所需的專業(yè)知識。注2:適用的措施可能包括，例如：向現(xiàn)有員工提供培訓、指導或重新分配工作；聘用或勞務雇用能夠勝任的人員。7支持7.3意識在組織控制下工作的人員應知道：——人工智能方針(見5.2);——他們對人工智能管理體系有效性的貢獻，包括改善人工智能績效帶米的效益；——不符合人工智能管理體系要求的后果。7支持7.4溝通組織應確定與人工智能管理體系有關的內(nèi)部和外部溝通，包括：——溝通什么;——何時溝通；——與誰溝通；——如何溝通。7支持7.5文件化信息7.5.1通則

組織的人工智能管理體系應包括：a)本文件要求的文件化信息；b)組織確定的，對于人工智能管理體系有效性所必需的文件化信息。7支持注：不同組織的人工智能管理體系文件化信息的程度可能不同，取決于：——組織的規(guī)模及其活動、過程、產(chǎn)品和服務的類型；——過程及其相互作用的復雜度；——人員的能力。7支持7.5.2文件化信息的創(chuàng)建和更新在創(chuàng)建和更新文件化信息時，組織應確保適當?shù)模骸獦擞浐驼f明(例如，標題、日期、作者或文件編號);——形式(例如，語言文字、軟件版本、圖形)和載體(例如，紙質(zhì)的、電子的);——針對適宜性和充分性的評審和批準。7支持7.5.3文件化信息的控制應控制人工智能管理體系和本文件要求的文件化信息，以確保其：a)在需要的場所和時間均可獲得并適于使用；b)得到充分保護(例如，防止泄密、不當使用或完整性受損)。7支持為了控制文件化信息，組織應開展以下適用的活動：——分發(fā)、訪問、檢索和使用；——存儲和防護，包括保持易讀性；——對變更的控制(例如，版本控制);——保留和處置。7支持對于組織確定的，策劃和運行人工智能管理體系必要的、來自外部的文件化信息，應視情況進行識別，并予以控制。注：訪問可能意味著只允許查看文件化信息的權限，或者允許并授權查看和變更文件化信息的權限。8運行8.1運行的策劃和控制為滿足要求和實施第6章確定的措施，組織應通過以下方式策劃、實施和控制所需的過程：——對過程確立準則；——按準則對過程實施控制。組織應實施根據(jù)6.1.3確定的與人工智能管理體系運行相關的控制(如與人工智能系統(tǒng)開發(fā)和使

用生存周期相關的控制)。7支持對應的程序文件7.1資源《AI規(guī)劃管理程序》或者《AI資源管理程序》7.2能

力

和7.3意識《人力資源管理程序》7.4溝通《AI溝通管理程序》7.5文件化信息《文件化信息管理程序》或者《文件/記錄管理程序》8運行應監(jiān)視這些控制的有效性，如果未能達到預期結果，應顧及采取糾正措施。附錄A列出了參考控制，附錄B提供了控制的實施指南。文件化信息應根據(jù)必要程度可獲取，以便確認過程已按策劃得到實施。8運行組織應控制策劃的變更，并評審非預期變更的后果，必要時采取措施減輕不利影響。組織應確保與人工智能管理體系相關的，由外部提供的產(chǎn)品、過程或服務受控。8運行8.2人工智能風險評估組織應按計劃的時間間隔或在提出重大變更時，根據(jù)6.1.2進行人工智能風險評估。組織應保留所有人工智能風險評估結果的文件化信息。8運行8.3人工智能風險應對組織應按6.1.3實施人工智能風險應對計劃，并驗證其有效性。當風險評估識別出需要處理的新風險時，應對這些風險執(zhí)行6.1.3的風險應對過程。8運行當風險應對計劃確定的風險應對方案無效時，應按6.1.3的風險應對過程對這些風險應對方案進

行評審和重新驗證，并更新風險應對計劃。組織應保留所有人工智能風險應對結果的文件化信息。8運行8.4人工智能系統(tǒng)影響評估組織應按計劃的時間間隔或在提出重大變更時，根據(jù)6.1.4進行人工智能系統(tǒng)影響評估。組織應保留所有人工智能系統(tǒng)影響評估結果的文件化信息。8運行對應的程序文件8.1運行的策劃和控制《AIMS運行管理程序》8.2人工智能風險評估《AI風險評估實施管理程序》8.3人工智能風險應對《AI風險處置實施管理程序》8.4人工智能系統(tǒng)影響評估《AI系統(tǒng)影響評價實施管理程序》9績效評價9.1監(jiān)視、測量、分析和評價組織應確定：——需要監(jiān)視和測量什么;——適用的監(jiān)視、測量、分析和評價方法，以確保有效的結果；——何時實施監(jiān)視和測量；——何時對監(jiān)視和測量的結果進行分析和評價。文件化信息應作為可獲取的結果證據(jù)。組織應評價人工智能管理體系的績效和有效性。9績效評價9.2內(nèi)部審核9.2.1通則組織應在策劃的時間間隔內(nèi)實施內(nèi)部審核，以便為人工智能管理體系提供以下信息。a)是否符合：1)組織自身對人工智能管理體系的要求；2)本文件的要求。b)是否得到了有效地實施和維護。9績效評價9.2.2內(nèi)部審核程序組織應策劃、確立、實施和維護審核方案，包括頻次、方法、職責、策劃要求和報告。組織應根據(jù)相關過程的重要性和以往審核的結果，確立內(nèi)部審核方案。組織應：a)界定每次審核的目標、準則和范圍；b)選擇審核員并實施審核，以確保審核過程的客觀性和公正性；c)確保向相關管理者報告審核結果。文件化信息應作為實施審核方案和審核結果的證據(jù)可獲取。9績效評價9.3管理評審9.3.1通則最高管理者應在策劃的時間間隔內(nèi)對組織的人工智能管理體系進行評審，以確保人