ISOIEC42001-2023人工智能管理體系培訓(xùn)教材目

錄1范圍2規(guī)范性引用文件3術(shù)語和定義4組織環(huán)境5領(lǐng)導(dǎo)作用6策劃7支持8運(yùn)行9績效評(píng)價(jià)10改進(jìn)附錄A參考控制目標(biāo)與控制附錄B人工智能控制的實(shí)施指南附錄C潛在的與人工智能相關(guān)的組織目標(biāo)的風(fēng)險(xiǎn)源附錄D跨領(lǐng)域或跨行業(yè)適用人工智能管理體系。1范圍本文件為在組織范圍內(nèi)建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)人工智能管理體系規(guī)定了要求并提供了指南。本文件適用于提供或使用人工智能系統(tǒng)的產(chǎn)品或服務(wù)的組織。本文件旨在幫助組織負(fù)責(zé)任地開發(fā)、提供或使用人工智能系統(tǒng)，以實(shí)現(xiàn)其目標(biāo)，并滿足適用的法規(guī)要求，以及相關(guān)方的義務(wù)和期望。本文件適用于各種規(guī)模、類型和性質(zhì)的提供或使用人工智能系統(tǒng)產(chǎn)品或服務(wù)的組織。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件

。ISO/IEC22989:2022信息技術(shù)

人工智能

人工智能概念和術(shù)語3術(shù)語和定義3.1組

織organization為實(shí)現(xiàn)目標(biāo)(3.6),由職責(zé)、權(quán)限和相互關(guān)系構(gòu)成自身功能的一個(gè)人或一組人。注1:組織的概念包括但不限于個(gè)體經(jīng)營者、公司、集團(tuán)公司、商行、企事業(yè)單位、監(jiān)管機(jī)構(gòu)、合伙企業(yè)、慈善機(jī)構(gòu)或研

究機(jī)構(gòu)，或上述組織的部分或組合，無論是否具有法人資格，公有或私有。注2:如果組織是大型實(shí)體的某個(gè)組成部分，那么術(shù)語“組織”僅指在人工智能管理體系(3.4)范圍內(nèi)的這個(gè)組成部分。3術(shù)語和定義3.2相關(guān)方interestedparty能夠影響決策或活動(dòng)、受決策或活動(dòng)影響或自認(rèn)為受決策或活動(dòng)影響的個(gè)人或組織(3.1)。注

：ISO/IEC22989:2022的5.19中提供了人工智能相關(guān)方的概述。3.3最高管理者topmanagement在最高層指揮和控制組織(3.1)的一個(gè)人或一組人。注1:最高管理者有權(quán)在組織內(nèi)部授權(quán)和提供資源。注2:如果管理體系(3.4)的范圍僅覆蓋組織的某個(gè)組織部分，那么最高管理者是指指揮和控制該部分的一個(gè)人或

一組人。3術(shù)語和定義3.4管理體系managementsystem組織(3.1)為確立方針(3.5)和目標(biāo)(3.6)以及實(shí)現(xiàn)這些目標(biāo)的過程(3.8)所形成的相互關(guān)聯(lián)或相互

作用的一組要件

。注1:一個(gè)管理體系可能針對(duì)一個(gè)或幾個(gè)主題。注2:管理體系要件包括組織的結(jié)構(gòu)、崗位和職責(zé)、策劃和運(yùn)行。3.5方針policy由最高管理者(3.3)正式表述的組織(3.1)的意圖和方向。3術(shù)語和定義3.6目

標(biāo)objective

要實(shí)現(xiàn)的結(jié)果

。注1:目標(biāo)可能是戰(zhàn)略的、戰(zhàn)術(shù)的或運(yùn)行的。注2:目標(biāo)可能涉及不同的主題(如財(cái)務(wù)、健康和安全、環(huán)境)。它們可能存在于不同層面，諸如組織整體層面或項(xiàng)

目、產(chǎn)品或過程(3.8)層面。注3:目標(biāo)能用其他方式表述，如：預(yù)期的結(jié)果、宗旨、運(yùn)行準(zhǔn)則，人工智能目標(biāo)或使用其他有類似含義的詞(如：終點(diǎn)

或指標(biāo))。注4:在人工智能管理體系(3.4)中，組織(3.1)設(shè)定的人工智能目標(biāo)與人工智能方針(3.5)保持一致，以實(shí)現(xiàn)特定的

結(jié)果。3術(shù)語和定義3.7風(fēng)

險(xiǎn)risk不確定性的影響。注1:影響是對(duì)預(yù)期的偏離——正面的或負(fù)面的。注2:不確定性是一種狀態(tài)，是指對(duì)某個(gè)事件、事件的后果或可能性缺乏甚至部分缺乏相關(guān)信息、理解或知識(shí)。注3:通常，風(fēng)險(xiǎn)以潛在事件(見GB/T23694—2013中4.5.1.3的定義)和后果(見GB/T23694—2013中4.6.1.3的定義)或二者的組合來描述其特性。注4:通常，風(fēng)險(xiǎn)以某個(gè)事件的后果(包括情況的變化)及其發(fā)生的可能性(見GB/T23694—2013中4.6.1.1的定義)的組合來表述。3術(shù)語和定義3.8過程process使用或轉(zhuǎn)化輸入以實(shí)現(xiàn)結(jié)果的一組相互關(guān)聯(lián)或相互作用的活動(dòng)。注：某個(gè)過程的結(jié)果是稱為輸出，還是稱為產(chǎn)品或服務(wù)，取決于相關(guān)語境。3.9能力competence應(yīng)用知識(shí)和技能實(shí)現(xiàn)預(yù)期結(jié)果的本領(lǐng)。3術(shù)語和定義3.10文件化信息documentedinformation組織(3.1)需要控制和維護(hù)的信息及其載體。注1:文件化信息能夠以任何形式和載體存在，且來源不限。注2:文件化信息可能涉及：——管理體系(3.4),包括相關(guān)過程(3.8);——為組織運(yùn)行而創(chuàng)建的信息(文件);——實(shí)現(xiàn)的結(jié)果的證據(jù)(記錄)。3術(shù)語和定義3.11績效performance

可測量的結(jié)果。注1:績效可能涉及定量的或定性的結(jié)果。注2:績效可能與活動(dòng)、過程(3.8)、產(chǎn)品、服務(wù)、體系或組織(3.1)的管理有關(guān)。注3:在本文件中，績效既指使用人工智能系統(tǒng)取得的結(jié)果，也指與人工智能管理體系(3.4)相關(guān)的結(jié)果。該術(shù)語的

正確解釋從其使用的環(huán)境中得出。3.12持續(xù)改進(jìn)continualimprovement提高績效(3.11)的循環(huán)活動(dòng)。3術(shù)語和定義3.13有效性effectiveness完成策劃的活動(dòng)和實(shí)現(xiàn)策劃的結(jié)果的程度。3.14要求/需求requirement規(guī)定的、不言而喻的或有義務(wù)履行的需求或期望。注1:不言而喻的或有義務(wù)履行的需要或期望是指需求。其中，“不言而喻”是指組織(3.1)和相關(guān)方(3.2)的慣例或一般做法，不言而喻的需求或期望是不用說就明白的。注2:規(guī)定的需要或期望是指要求，也就是符合GB/T1.1中定義的要求，即表達(dá)聲明符合該文件需要滿足的客觀可

證實(shí)的準(zhǔn)則。3術(shù)語和定義3.15符合conformity滿足要求(3.14)。3.16不符合nonconformity未滿足要求(3.14)。3.17糾正措施correctiveaction為消除不符合(3.16)的原因并防止再次發(fā)生而采取的措施。3術(shù)語和定義3.18審核audit獲取審核證據(jù)并對(duì)其進(jìn)行客觀評(píng)價(jià)，以確定審核準(zhǔn)則滿足程度所進(jìn)行的系統(tǒng)的、獨(dú)立的過

程(3.8)。注1:審核可能為內(nèi)部(第一方)審核或外部(第二方或第三方)審核，也可能為多體系審核(合并兩個(gè)或多個(gè)主題)。注2:內(nèi)部審核由組織(3.1)自行實(shí)施或代表組織的外部機(jī)構(gòu)實(shí)施。注3:“審核證據(jù)”和“審核準(zhǔn)則”的定義見ISO19011。3.19測量measurement確定數(shù)值的過程(3.8)。3術(shù)語和定義3.20監(jiān)視monitoring確定體系、過程(3.8)或活動(dòng)的狀態(tài)。注：確定狀態(tài)可能需要檢查、監(jiān)督或嚴(yán)格觀察。3.21控制control〈風(fēng)險(xiǎn)>保持和/或改變風(fēng)險(xiǎn)(3.7)的措施。注1:控制包括但不限于保持和/或改變風(fēng)險(xiǎn)的任何過程、策略、措施、操作或其他條件和/或行動(dòng)。注2:控制并非總能發(fā)揮預(yù)期或假定的改變效果。[來源：GB/T24353—2022,3.8,有修改]3術(shù)語和定義3.22治理層governingbody對(duì)組織的績效和符合性負(fù)責(zé)的一個(gè)人或一組人。注1:并非所有組織，特別是小型組織，都有一個(gè)獨(dú)立于最高管理者的治理層。注2:治理層包括但不限于董事會(huì)、董事會(huì)委員會(huì)、監(jiān)事會(huì)、受托人或監(jiān)督人[來源：ISO/IEC38500:2015,有修改]3.23信息安全informationsecurity對(duì)信息的保密性、完整性和可用性的保全。注：另外，還能包括諸如真實(shí)性、可問責(zé)性、抗抵賴性和可靠性等其他特性。[來源

：GB/T29246—2023]3術(shù)語和定義3.24人工智能系統(tǒng)影響評(píng)估

AIsystemimpactassessment由開發(fā)、提供或使用人工智能產(chǎn)品或服務(wù)的組織識(shí)別、評(píng)估和解決對(duì)個(gè)人和(或)群體和社會(huì)的影響的正式的、文件化的過程。3.25數(shù)據(jù)質(zhì)量dataquality滿足組織在特定情況下數(shù)據(jù)要求的數(shù)據(jù)特征。[來源：ISO/IEC5259-1:2024,3.4]3術(shù)語和定義3.26適用性聲明statementofapplicability所有必要控制(3.21),以及包括或排除控制的理由的文件。注1:組織可能不需要附錄A中列出的所有控制，甚至可能超出附錄A中所列的控制，并由組織自己制定額外的控制。注2:所有已識(shí)別的風(fēng)險(xiǎn)，組織按本文件的要求形成文件。所有已識(shí)別的風(fēng)險(xiǎn)和為解決這些風(fēng)險(xiǎn)而制定的風(fēng)險(xiǎn)管理措施(控制)反映在適用性聲明中。4組織環(huán)境4.1理解組織及其環(huán)境組織應(yīng)確定與其宗旨相關(guān)的，并影響其實(shí)現(xiàn)人工智能管理體系預(yù)期結(jié)果的能力的內(nèi)部和外部事項(xiàng)

。組織應(yīng)確定氣候變化是否是一個(gè)相關(guān)因素

。組織應(yīng)顧及組織開發(fā)、提供或使用人工智能系統(tǒng)的預(yù)期目的。組織應(yīng)確定其在人工智能系統(tǒng)中的角色

。注1:組織確定其相對(duì)于人工智能系統(tǒng)的角色有助于理解組織及其環(huán)境。這些角色包括但不限于以下一種或多種：——人工智能提供方，包括人工智能平臺(tái)提供方、人工智能產(chǎn)品或服務(wù)提供方；4組織環(huán)境——人工智能生產(chǎn)方，包括人工智能開發(fā)方、人工智能設(shè)計(jì)方、人工智能運(yùn)營方、人工智能測試和評(píng)估機(jī)構(gòu)、人

工智能部署方、人工智能人因研究機(jī)構(gòu)、領(lǐng)域?qū)＜?、人工智能影響評(píng)估機(jī)構(gòu)、采購方、人工智能治理和監(jiān)督

專業(yè)機(jī)構(gòu)；——人工智能客戶，包括人工智能用戶；——人工智能合作伙伴，包括人工智能系統(tǒng)集成商和數(shù)據(jù)提供商；——人工智能主體，包括數(shù)據(jù)主體和其他主體；——相關(guān)監(jiān)管機(jī)構(gòu)，包括方針制定者和監(jiān)管方。4組織環(huán)境ISO/IEC22989:2022提供了這些角色的詳細(xì)描述。此外，角色類型及其與人工智能系統(tǒng)生存周

期的關(guān)系也在美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布的《人工智能風(fēng)險(xiǎn)管理框架》中進(jìn)行了描述。組織的角色能確定本文件中的要求和控制的適用性和適用性程度。注2:根據(jù)本條要解決的外部和內(nèi)部因素可能因組織的角色和管轄權(quán)及其對(duì)實(shí)現(xiàn)人工智能管理體系預(yù)期結(jié)果的能力的影響而有所不同。這些包括但不限于如下內(nèi)容。a)外部環(huán)境相關(guān)的考慮，如：1)適用的法律要求，包括禁止使用人工智能；4組織環(huán)境2)監(jiān)管機(jī)構(gòu)的方針、指南和決定對(duì)人工智能系統(tǒng)開發(fā)和使用中法律要求的解釋或執(zhí)行產(chǎn)生影響；3)與人工智能系統(tǒng)的預(yù)期目的和使用相關(guān)的激勵(lì)或后果；4)人工智能開發(fā)和使用方面的文化、傳統(tǒng)、價(jià)值觀、規(guī)范和倫理；5)使用人工智能系統(tǒng)的新產(chǎn)品和服務(wù)的競爭格局和趨勢。b)內(nèi)部環(huán)境相關(guān)的考慮，如：1)組織環(huán)境、治理、目標(biāo)(見6.2)、方針和程序；2)合同義務(wù)；3)擬開發(fā)或使用人工智能系統(tǒng)的預(yù)期目的。4組織環(huán)境注3:角色的確定能通過與組織處理的數(shù)據(jù)類別相關(guān)的義務(wù)來確定[例如，在處理個(gè)人可識(shí)別信息時(shí)，個(gè)人可識(shí)別信

息處理者或個(gè)人可識(shí)別信息控制者]。有關(guān)個(gè)人可識(shí)別信息和相關(guān)角色，見ISO/IEC29100。角色也能通過特

定于人工智能系統(tǒng)的法律要求來了解。4組織環(huán)境4.2理解相關(guān)方的需求和期望組織應(yīng)確定：——與人工智能管理體系有關(guān)的相關(guān)方；——這些相關(guān)方的有關(guān)需求；——哪些需求將通過人工智能管理體系予以解決。注：相關(guān)方能對(duì)氣候變化提出需求。4組織環(huán)境4.3確定人工智能管理體系的范圍組織應(yīng)確定人工智能管理體系的邊界和適用性，以確定其范圍。組織應(yīng)根據(jù)以下內(nèi)容確定人工智能管理體系的范圍：——4.1提及的內(nèi)部和外部因素；——4.2提及的需求。范圍應(yīng)作為文件化信息可獲取。人工智能管理體系的范圍應(yīng)根據(jù)本文件對(duì)人工智能管理體系、領(lǐng)導(dǎo)、策劃、支持、運(yùn)行、績效、評(píng)價(jià)、

改進(jìn)、控制和目標(biāo)的要求確定組織的活動(dòng)。4組織環(huán)境4.4人工智能管理體系組織應(yīng)按本文件的要求，建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)人工智能管理體系，包括所需的過程及其相互作用。4組織環(huán)境對(duì)應(yīng)的程序文件4.1理解組織及其環(huán)境《環(huán)境分析管理程序》4.2理解相關(guān)方的需求和期望《相關(guān)方要求管理程序》4.3確定人工智能管理體系的范圍《AIMS范圍管理程序》4.4人工智能管理體系《AIMS過程策劃管理程序》5領(lǐng)導(dǎo)作用5.1領(lǐng)導(dǎo)作用和承諾最高管理者應(yīng)通過以下方面證實(shí)其對(duì)人工智能管理體系的領(lǐng)導(dǎo)作用和承諾：——確保制定人工智能方針(見5.2)和人工智能目標(biāo)(見6.2),并與組織的戰(zhàn)略方向一致；——確保將人工智能管理體系要求融入組織的業(yè)務(wù)過程；——確保人工智能管理體系所需的資源可獲??；——就有效的人工智能管理的重要性以及符合人工智能管理體系要求的重要性進(jìn)行溝通；——確保人工智能管理體系實(shí)現(xiàn)其預(yù)期結(jié)果；5領(lǐng)導(dǎo)作用——指導(dǎo)和支持人員為人工智能管理體系的有效性作出貢獻(xiàn)；——促進(jìn)持續(xù)改進(jìn)；——支持其他相關(guān)崗位在職責(zé)范圍內(nèi)證實(shí)其領(lǐng)導(dǎo)作用。注1:本文件中提及的“業(yè)務(wù)”能作廣義解釋，指那些與組織存在目的相關(guān)的核心活動(dòng)。注2:在組織內(nèi)部建立、鼓勵(lì)和構(gòu)建一種文化，以負(fù)責(zé)任的方式使用、開發(fā)和治理人工智能系統(tǒng)，這是最高管理層承

諾和領(lǐng)導(dǎo)力的重要體現(xiàn)。確保意識(shí)到并遵守這種負(fù)責(zé)任的方法，并通過領(lǐng)導(dǎo)支持有助于人工智能管理體系的成功

。5領(lǐng)導(dǎo)作用5.2人工智能方針最高管理者應(yīng)確立人工智能方針，該方針：a)適合于組織的宗旨；b)為設(shè)定人工智能目標(biāo)提供框架(見6.2);c)包括滿足適用需求的承諾；d)包括持續(xù)改進(jìn)人工智能管理體系的承諾。5領(lǐng)導(dǎo)作用人工智能方針應(yīng)：——作為文件化信息可獲??；——參考其他相關(guān)的組織方針；——在組織內(nèi)予以溝通；——視情況，可被相關(guān)方獲取。表A.1中A.2提供了制定人工智能方針的控制目標(biāo)和控制。這些控制的實(shí)施指南見附錄B的B.2。注：ISO/IEC38507提供了組織在制定人工智能方針時(shí)的注意事項(xiàng)。5領(lǐng)導(dǎo)作用5.3崗位、職責(zé)和權(quán)限最高管理者應(yīng)確保在組織內(nèi)部分配并溝通相關(guān)崗位的職責(zé)和權(quán)限。最高管理者應(yīng)分配職責(zé)和權(quán)限，以便：a)確保人工智能管理體系符合本文件的要求；b)向最高管理者報(bào)告人工智能管理體系的績效。注：表A.1中A.3.2提供了規(guī)定和分配崗位與職責(zé)的控制。B.3.2提供了該控制的實(shí)施指南。5領(lǐng)導(dǎo)作用對(duì)應(yīng)的程序文件5.1領(lǐng)導(dǎo)作用和承諾《領(lǐng)導(dǎo)和承諾管理程序》5.2人工智能方針《AI方針管理程序》5.3崗位、職責(zé)和權(quán)限《職責(zé)和權(quán)限分配管理程序》6策劃6.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施6.1.1通則在策劃人工智能管理體系時(shí)，組織應(yīng)根據(jù)4.1中提及的事項(xiàng)和4.2中提及的需求，并確定需要應(yīng)對(duì)的風(fēng)險(xiǎn)和機(jī)會(huì)以便：——確保人工智能管理體系能夠?qū)崿F(xiàn)預(yù)期結(jié)果；——預(yù)防或減少不利影響；——實(shí)現(xiàn)持續(xù)改進(jìn)。組織應(yīng)建立和維護(hù)人工智能風(fēng)險(xiǎn)準(zhǔn)則，以支持以下工作：——區(qū)分可接受與不可接受的風(fēng)險(xiǎn)；——進(jìn)行人工智能風(fēng)險(xiǎn)評(píng)估；——實(shí)施人工智能風(fēng)險(xiǎn)應(yīng)對(duì)；——評(píng)估人工智能風(fēng)險(xiǎn)的影響。6策劃組織應(yīng)保留為識(shí)別和應(yīng)對(duì)人工智能風(fēng)險(xiǎn)和機(jī)會(huì)而采取的措施的文件化信息。注3:關(guān)于如何為開發(fā)、提供或使用人工智能產(chǎn)品、系統(tǒng)和服務(wù)的組織實(shí)施風(fēng)險(xiǎn)管理的指導(dǎo)見ISO/IEC23894。注4:組織及其活動(dòng)的環(huán)境會(huì)對(duì)組織的風(fēng)險(xiǎn)管理活動(dòng)產(chǎn)生影響。注5:不同部門和行業(yè)對(duì)風(fēng)險(xiǎn)的規(guī)定以及風(fēng)險(xiǎn)管理的設(shè)想可能有所不同。3.7中對(duì)風(fēng)險(xiǎn)的規(guī)范性規(guī)定允許對(duì)風(fēng)險(xiǎn)有

一個(gè)廣泛的認(rèn)識(shí)，以適應(yīng)任何部門，如附錄D中D.1中提到的部門。在任何情況下，作為風(fēng)險(xiǎn)評(píng)估的一部分，組織的職責(zé)是首先采用適合其環(huán)境的風(fēng)險(xiǎn)觀。這能包括通過人工智能系統(tǒng)為之開發(fā)和使用的部門所使用的規(guī)定來看待風(fēng)險(xiǎn)，見ISO/IECGuide51中的規(guī)定。6策劃6.1.2人工智能風(fēng)險(xiǎn)評(píng)估組織應(yīng)規(guī)定并建立人工智能風(fēng)險(xiǎn)評(píng)估過程，該過程應(yīng)：a)參考并符合人工智能方針(見5.2)和人工智能目標(biāo)(見6.2);注：在評(píng)估作為6.1.2d)1)中的后果時(shí)，組織能利用6.1.4所述的人工智能系統(tǒng)影響評(píng)估。b)在策劃上使重復(fù)的人工智能風(fēng)險(xiǎn)評(píng)估能夠產(chǎn)生一致、有效和可比較的結(jié)果；c)識(shí)別有助于或妨礙實(shí)現(xiàn)人工智能目標(biāo)的風(fēng)險(xiǎn)；d)分析人工智能風(fēng)險(xiǎn)，以便：6策劃1)評(píng)估如果確定的風(fēng)險(xiǎn)成為現(xiàn)實(shí)，將對(duì)組織、個(gè)人和社會(huì)造成的潛在后果；2)酌情評(píng)估已識(shí)別風(fēng)險(xiǎn)的現(xiàn)實(shí)可能性；3)確定風(fēng)險(xiǎn)等級(jí)。e)評(píng)價(jià)人工智能風(fēng)險(xiǎn)，以便：1)將風(fēng)險(xiǎn)分析結(jié)果與風(fēng)險(xiǎn)準(zhǔn)則(見6.1.1)進(jìn)行比較；2)對(duì)評(píng)估的風(fēng)險(xiǎn)進(jìn)行優(yōu)先排序，以便進(jìn)行風(fēng)險(xiǎn)應(yīng)對(duì)。組織應(yīng)保留有關(guān)人工智能風(fēng)險(xiǎn)評(píng)估過程的文件化信息。6策劃6.1.3人工智能風(fēng)險(xiǎn)應(yīng)對(duì)考慮到風(fēng)險(xiǎn)評(píng)估結(jié)果，組織應(yīng)確定人工智能風(fēng)險(xiǎn)應(yīng)對(duì)過程，以便：a)選擇適當(dāng)?shù)娜斯ぶ悄茱L(fēng)險(xiǎn)應(yīng)對(duì)方案；b)確定實(shí)施所選人工智能風(fēng)險(xiǎn)應(yīng)對(duì)方案所必需的所有控制，并將這些控制與附錄A中的控制進(jìn)行比較，以核實(shí)沒有遺漏任何必要的控制；注1:附錄A提供了實(shí)現(xiàn)組織目標(biāo)和處理與人工智能系統(tǒng)的設(shè)計(jì)和使用有關(guān)的風(fēng)險(xiǎn)的參考控制。c)考慮附錄A中與實(shí)施人工智能風(fēng)險(xiǎn)應(yīng)對(duì)方案相關(guān)的控制；6策劃d)確定除了附錄A中的控制外，是否還需要其他控制，以實(shí)施所有風(fēng)險(xiǎn)應(yīng)對(duì)備選方案；e)參考附錄B,了解b)和c)中確定的控制的實(shí)施指南；注2:控制目標(biāo)隱含在所選擇的控制中。組織能根據(jù)需要選擇附錄A中列出的控制目標(biāo)和控制。附錄A中的控制

并非詳盡無遺，可能還需要額外的控制目標(biāo)和控制。如果需要附錄A以外的不同或額外控制，組織能策劃此

類控制或從現(xiàn)有來源獲取。如適用，人工智能風(fēng)險(xiǎn)管理可納入其他管理系統(tǒng)。f)編制一份適用性聲明，其中包含必要的控制(見b]、c)和d]],并說明納入和排除控制的理由；排除的理由能包括風(fēng)險(xiǎn)評(píng)估認(rèn)為不需要的控制，以及適用的外部要求不需要(或?qū)儆诶馇闆r)的控制；6策劃注3:組織能提供文件證明排除一般或特定人工智能系統(tǒng)控制目標(biāo)的理由，不論是附錄A中列出的還是組織自己制定的

。g)制定人工智能風(fēng)險(xiǎn)應(yīng)對(duì)辦法。獲得指定管理層對(duì)人工智能風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃和接受殘余人工智能風(fēng)險(xiǎn)的批準(zhǔn)。必要的控制應(yīng)：——與6.2中的目標(biāo)相一致；——作為文件化信息可獲?。弧诮M織內(nèi)予以溝通；——視情況，可被相關(guān)方獲取。組織應(yīng)保留有關(guān)人工智能風(fēng)險(xiǎn)應(yīng)對(duì)過程的文件化信息。6策劃6.1.4人工智能系統(tǒng)影響評(píng)估組織應(yīng)制定一個(gè)過程，用于評(píng)估開發(fā)、提供或使用人工智能系統(tǒng)可能對(duì)個(gè)人和(或)群體和社會(huì)造成的潛在影響。人工智能系統(tǒng)影響評(píng)估應(yīng)確定人工智能系統(tǒng)的部署、預(yù)期使用和可預(yù)見的濫用對(duì)個(gè)人和(或)群體和社會(huì)造成的潛在影響。影響評(píng)估應(yīng)顧及人工智能系統(tǒng)的具體技術(shù)和社會(huì)環(huán)境以便人工智能系統(tǒng)可在管轄范圍內(nèi)部署和適用。6策劃人工智能系統(tǒng)影響評(píng)估的結(jié)果應(yīng)記錄在案。在適當(dāng)情況下，能將人工智能系統(tǒng)影響評(píng)估的結(jié)果提

供給組織規(guī)定的相關(guān)方。組織應(yīng)在風(fēng)險(xiǎn)評(píng)估中考慮人工智能系統(tǒng)影響評(píng)估結(jié)果(見6.1.2)。表A.1中A.5提供了評(píng)估人工智能系統(tǒng)影響的控制。注：在某些環(huán)境下(如對(duì)安全或隱私至關(guān)重要的人工智能系統(tǒng)),組織能要求進(jìn)行特定學(xué)科的人工智能系統(tǒng)影響評(píng)

估(如物理安全、隱私或信息安全影響),作為組織整體風(fēng)險(xiǎn)管理活動(dòng)的一部分。6策劃6.2人工智能目標(biāo)及其實(shí)現(xiàn)的策劃組織應(yīng)在相關(guān)職能和層級(jí)上確立人工智能目標(biāo)。人工智能目標(biāo)應(yīng)：a)與人工智能方針一致(見5.2);b)可測量(如果可行);c)體現(xiàn)適用的需求；d)予以監(jiān)視；e)予以溝通；f)視情況予以更新；g)作為文件化信息可獲取。6策劃策劃如何實(shí)現(xiàn)人工智能目標(biāo)時(shí)，組織應(yīng)確定：——要做什么;——需要什么資源；——由誰負(fù)責(zé)；——何時(shí)完成；——如何評(píng)價(jià)結(jié)果。6策劃注：附錄C提供了與風(fēng)險(xiǎn)管理有關(guān)的人工智能目標(biāo)的非排他性清單。表A.1中A.6.1和A.9.3提供了確定負(fù)責(zé)任地

開發(fā)和使用人工智能系統(tǒng)的控制目標(biāo)和控制。B.6.1和B.9.3提供了這些控制的實(shí)施指南定狀態(tài)可能需要檢

查、監(jiān)督或嚴(yán)格觀察。6.3變更的策劃當(dāng)組織確定需要變更人工智能管理體系時(shí)，應(yīng)對(duì)這些變更的實(shí)施進(jìn)行策劃。6策劃對(duì)應(yīng)的程序文件6.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施6.1.1通則《風(fēng)險(xiǎn)和機(jī)遇管理程序》6.1.2人工智能風(fēng)險(xiǎn)評(píng)估《AI風(fēng)險(xiǎn)評(píng)估策劃管理程序》6.1.3人工智能風(fēng)險(xiǎn)應(yīng)對(duì)《AI風(fēng)險(xiǎn)處置策劃管理程序》6.1.4人工智能系統(tǒng)影響評(píng)估《AI系統(tǒng)影響評(píng)價(jià)策劃管理程序》6.2人工智能目標(biāo)及其實(shí)現(xiàn)的策劃《AI目標(biāo)管理程序》6.3變更的策劃《AI變更管理程序》7支持7.1資源為建立、實(shí)施、保持和持續(xù)改進(jìn)人工智能管理體系，組織應(yīng)確定并提供所需的資源。注：人工智能資源的控制目標(biāo)和控制見表A.1中A.4。B.4提供了這些控制的實(shí)施指南。7支持7.2能

力組織應(yīng)：——確定在其控制下工作、影響人工智能績效的人員所需的能力；——確保這些人員在適當(dāng)?shù)慕逃?、培?xùn)或經(jīng)驗(yàn)的基礎(chǔ)上勝任工作；——適用時(shí)，采取措施獲得所需的能力，并評(píng)價(jià)所采取措施的有效性。適當(dāng)?shù)奈募畔?yīng)作為能力證據(jù)可獲取。注1:B.4.6提供了關(guān)于人力資源的實(shí)施指南，包括考慮所需的專業(yè)知識(shí)。注2:適用的措施可能包括，例如：向現(xiàn)有員工提供培訓(xùn)、指導(dǎo)或重新分配工作；聘用或勞務(wù)雇用能夠勝任的人員。7支持7.3意識(shí)在組織控制下工作的人員應(yīng)知道：——人工智能方針(見5.2);——他們對(duì)人工智能管理體系有效性的貢獻(xiàn)，包括改善人工智能績效帶米的效益；——不符合人工智能管理體系要求的后果。7支持7.4溝通組織應(yīng)確定與人工智能管理體系有關(guān)的內(nèi)部和外部溝通，包括：——溝通什么;——何時(shí)溝通；——與誰溝通；——如何溝通。7支持7.5文件化信息7.5.1通則

組織的人工智能管理體系應(yīng)包括：a)本文件要求的文件化信息；b)組織確定的，對(duì)于人工智能管理體系有效性所必需的文件化信息。注：不同組織的人工智能管理體系文件化信息的程度可能不同，取決于：——組織的規(guī)模及其活動(dòng)、過程、產(chǎn)品和服務(wù)的類型；——過程及其相互作用的復(fù)雜度；——人員的能力。7支持7.5.2文件化信息的創(chuàng)建和更新在創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保適當(dāng)?shù)模骸獦?biāo)記和說明(例如，標(biāo)題、日期、作者或文件編號(hào));——形式(例如，語言文字、軟件版本、圖形)和載體(例如，紙質(zhì)的、電子的);——針對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)。7支持7.5.3文件化信息的控制應(yīng)控制人工智能管理體系和本文件要求的文件化信息，以確保其：a)在需要的場所和時(shí)間均可獲得并適于使用；b)得到充分保護(hù)(例如，防止泄密、不當(dāng)使用或完整性受損)。為了控制文件化信息，組織應(yīng)開展以下適用的活動(dòng)：——分發(fā)、訪問、檢索和使用；——存儲(chǔ)和防護(hù)，包括保持易讀性；——對(duì)變更的控制(例如，版本控制);——保留和處置。7支持對(duì)于組織確定的，策劃和運(yùn)行人工智能管理體系必要的、來自外部的文件化信息，應(yīng)視情況進(jìn)行識(shí)別，并予以控制。注：訪問可能意味著只允許查看文件化信息的權(quán)限，或者允許并授權(quán)查看和變更文件化信息的權(quán)限。8運(yùn)行8.1運(yùn)行的策劃和控制為滿足要求和實(shí)施第6章確定的措施，組織應(yīng)通過以下方式策劃、實(shí)施和控制所需的過程：——對(duì)過程確立準(zhǔn)則；——按準(zhǔn)則對(duì)過程實(shí)施控制。組織應(yīng)實(shí)施根據(jù)6.1.3確定的與人工智能管理體系運(yùn)行相關(guān)的控制(如與人工智能系統(tǒng)開發(fā)和使

用生存周期相關(guān)的控制)。7支持對(duì)應(yīng)的程序文件7.1資源《AI規(guī)劃管理程序》或者《AI資源管理程序》7.2能

力

和7.3意識(shí)《人力資源管理程序》7.4溝通《AI溝通管理程序》7.5文件化信息《文件化信息管理程序》或者《文件/記錄管理程序》8運(yùn)行應(yīng)監(jiān)視這些控制的有效性，如果未能達(dá)到預(yù)期結(jié)果，應(yīng)顧及采取糾正措施。附錄A列出了參考控制，附錄B提供了控制的實(shí)施指南。文件化信息應(yīng)根據(jù)必要程度可獲取，以便確認(rèn)過程已按策劃得到實(shí)施。組織應(yīng)控制策劃的變更，并評(píng)審非預(yù)期變更的后果，必要時(shí)采取措施減輕不利影響。組織應(yīng)確保與人工智能管理體系相關(guān)的，由外部提供的產(chǎn)品、過程或服務(wù)受控。8運(yùn)行8.2人工智能風(fēng)險(xiǎn)評(píng)估組織應(yīng)按計(jì)劃的時(shí)間間隔或在提出重大變更時(shí)，根據(jù)6.1.2進(jìn)行人工智能風(fēng)險(xiǎn)評(píng)估。組織應(yīng)保留所有人工智能風(fēng)險(xiǎn)評(píng)估結(jié)果的文件化信息。8運(yùn)行8.3人工智能風(fēng)險(xiǎn)應(yīng)對(duì)組織應(yīng)按6.1.3實(shí)施人工智能風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃，并驗(yàn)證其有效性。當(dāng)風(fēng)險(xiǎn)評(píng)估識(shí)別出需要處理的新風(fēng)險(xiǎn)時(shí)，應(yīng)對(duì)這些風(fēng)險(xiǎn)執(zhí)行6.1.3的風(fēng)險(xiǎn)應(yīng)對(duì)過程。當(dāng)風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃確定的風(fēng)險(xiǎn)應(yīng)對(duì)方案無效時(shí)，應(yīng)按6.1.3的風(fēng)險(xiǎn)應(yīng)對(duì)過程對(duì)這些風(fēng)險(xiǎn)應(yīng)對(duì)方案進(jìn)

行評(píng)審和重新驗(yàn)證，并更新風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃。組織應(yīng)保留所有人工智能風(fēng)險(xiǎn)應(yīng)對(duì)結(jié)果的文件化信息。8運(yùn)行8.4人工智能系統(tǒng)影響評(píng)估組織應(yīng)按計(jì)劃的時(shí)間間隔或在提出重大變更時(shí)，根據(jù)6.1.4進(jìn)行人工智能系統(tǒng)影響評(píng)估。組織應(yīng)保留所有人工智能系統(tǒng)影響評(píng)估結(jié)果的文件化信息。8運(yùn)行對(duì)應(yīng)的程序文件8.1運(yùn)行的策劃和控制《AIMS運(yùn)行管理程序》8.2人工智能風(fēng)險(xiǎn)評(píng)估《AI風(fēng)險(xiǎn)評(píng)估實(shí)施管理程序》8.3人工智能風(fēng)險(xiǎn)應(yīng)對(duì)《AI風(fēng)險(xiǎn)處置實(shí)施管理程序》8.4人工智能系統(tǒng)影響評(píng)估《AI系統(tǒng)影響評(píng)價(jià)實(shí)施管理程序》9績效評(píng)價(jià)9.1監(jiān)視、測量、分析和評(píng)價(jià)組織應(yīng)確定：——需要監(jiān)視和測量什么;——適用的監(jiān)視、測量、分析和評(píng)價(jià)方法，以確保有效的結(jié)果；——何時(shí)實(shí)施監(jiān)視和測量；——何時(shí)對(duì)監(jiān)視和測量的結(jié)果進(jìn)行分析和評(píng)價(jià)。文件化信息應(yīng)作為可獲取的結(jié)果證據(jù)。組織應(yīng)評(píng)價(jià)人工智能管理體系的績效和有效性。9績效評(píng)價(jià)9.2內(nèi)部審核9.2.1通則組織應(yīng)在策劃的時(shí)間間隔內(nèi)實(shí)施內(nèi)部審核，以便為人工智能管理體系提供以下信息。a)是否符合：1)組織自身對(duì)人工智能管理體系的要求；2)本文件的要求。b)是否得到了有效地實(shí)施和維護(hù)。9績效評(píng)價(jià)9.2.2內(nèi)部審核程序組織應(yīng)策劃、確立、實(shí)施和維護(hù)審核方案，包括頻次、方法、職責(zé)、策劃要求和報(bào)告。組織應(yīng)根據(jù)相關(guān)過程的重要性和以往審核的結(jié)果，確立內(nèi)部審核方案。組織應(yīng)：a)界定每次審核的目標(biāo)、準(zhǔn)則和范圍；b)選擇審核員并實(shí)施審核，以確保審核過程的客觀性和公正性；c)確保向相關(guān)管理者報(bào)告審核結(jié)果。文件化信息應(yīng)作為實(shí)施審核方案和審核結(jié)果的證據(jù)可獲取。9績效評(píng)價(jià)9.3管理評(píng)審9.3.1通則最高管理者應(yīng)在策劃的時(shí)間間隔內(nèi)對(duì)組織的人工智能管理體系進(jìn)行評(píng)審，以確保人工智能管理體