第第頁ISO42001-2023人工智能管理體系內(nèi)部審核檢查表內(nèi)審員：內(nèi)審組長：內(nèi)審日期：條款檢查內(nèi)容檢查記錄符合性4.1理解組織及其環(huán)境組織應(yīng)確定與其宗旨相關(guān)的，并影響其實現(xiàn)人工智能管理體系預(yù)期結(jié)果的能力的內(nèi)部和外部事項?！董h(huán)境分析管理程序》，組織環(huán)境分析表沒考慮氣候變化的影響不符合組織應(yīng)確定氣候變化是否是一個相關(guān)因素。組織應(yīng)顧及組織開發(fā)、提供或使用人工智能系統(tǒng)的預(yù)期目的。組織應(yīng)確定其在人工智能系統(tǒng)中的角色。a)外部環(huán)境相關(guān)的考慮，如：1)適用的法律要求，包括禁止使用人工智能；2)監(jiān)管機構(gòu)的方針、指南和決定對人工智能系統(tǒng)開發(fā)和使用中法律要求的解釋或執(zhí)行產(chǎn)生影響；3)與人工智能系統(tǒng)的預(yù)期目的和使用相關(guān)的激勵或后果；4)人工智能開發(fā)和使用方面的文化、傳統(tǒng)、價值觀、規(guī)范和倫理；5)使用人工智能系統(tǒng)的新產(chǎn)品和服務(wù)的競爭格局和趨勢。b)內(nèi)部環(huán)境相關(guān)的考慮，如：1)組織環(huán)境、治理、目標(biāo)(見6.2)、方針和程序；2)合同義務(wù)；3)擬開發(fā)或使用人工智能系統(tǒng)的預(yù)期目的。4.2理解相關(guān)方的需求和期望組織應(yīng)確定：《相關(guān)方要求管理程序》，相關(guān)方需求和期望分析表符合——與人工智能管理體系有關(guān)的相關(guān)方；——這些相關(guān)方的有關(guān)需求；——哪些需求將通過人工智能管理體系予以解決。4.3確定人工智能管理體系的范圍組織應(yīng)確定人工智能管理體系的邊界和適用性，以確定其范圍。管理手冊，《AIMS范圍管理程序》符合組織應(yīng)根據(jù)以下內(nèi)容確定人工智能管理體系的范圍：——4.1提及的內(nèi)部和外部因素；——4.2提及的需求。范圍應(yīng)作為文件化信息可獲取。人工智能管理體系的范圍應(yīng)根據(jù)本文件對人工智能管理體系、領(lǐng)導(dǎo)、策劃、支持、運行、績效、評價、改進、控制和目標(biāo)的要求確定組織的活動。4.4人工智能管理體系組織應(yīng)按本文件的要求，建立、實施、維護和持續(xù)改進人工智能管理體系，包括所需的過程及其相互作用。管理手冊，《AIMS過程策劃管理程序》符合5.1領(lǐng)導(dǎo)作用和承諾最高管理者應(yīng)通過以下方面證實其對人工智能管理體系的領(lǐng)導(dǎo)作用和承諾：管理手冊《領(lǐng)導(dǎo)和承諾管理程序》符合——確保制定人工智能方針(見5.2)和人工智能目標(biāo)(見6.2),并與組織的戰(zhàn)略方向一致；——確保將人工智能管理體系要求融入組織的業(yè)務(wù)過程；——確保人工智能管理體系所需的資源可獲??；——就有效的人工智能管理的重要性以及符合人工智能管理體系要求的重要性進行溝通；——確保人工智能管理體系實現(xiàn)其預(yù)期結(jié)果；——指導(dǎo)和支持人員為人工智能管理體系的有效性作出貢獻(xiàn)；——促進持續(xù)改進；——支持其他相關(guān)崗位在職責(zé)范圍內(nèi)證實其領(lǐng)導(dǎo)作用。5.2人工智能方針最高管理者應(yīng)確立人工智能方針，該方針：管理手冊《AI方針管理程序》AI方針符合a)適合于組織的宗旨；b)為設(shè)定人工智能目標(biāo)提供框架(見6.2);c)包括滿足適用需求的承諾；d)包括持續(xù)改進人工智能管理體系的承諾。人工智能方針應(yīng)：——作為文件化信息可獲??；——參考其他相關(guān)的組織方針；——在組織內(nèi)予以溝通；——視情況，可被相關(guān)方獲取。5.3崗位、職責(zé)和權(quán)限最高管理者應(yīng)確保在組織內(nèi)部分配并溝通相關(guān)崗位的職責(zé)和權(quán)限?！堵氊?zé)和權(quán)限分配管理程序》崗位職責(zé)說明書符合最高管理者應(yīng)分配職責(zé)和權(quán)限，以便：a)確保人工智能管理體系符合本文件的要求；b)向最高管理者報告人工智能管理體系的績效。6.1應(yīng)對風(fēng)險和機會的措施6.1.1通則在策劃人工智能管理體系時，組織應(yīng)根據(jù)4.1中提及的事項和4.2中提及的需求，并確定需要應(yīng)對的風(fēng)險和機會以便：《風(fēng)險和機遇管理程序》風(fēng)險和機遇識別評價及應(yīng)對措施表，因4.1考慮氣候變化的影響導(dǎo)致風(fēng)險評估也沒考慮氣候變化影響的風(fēng)險評估不符合——確保人工智能管理體系能夠?qū)崿F(xiàn)預(yù)期結(jié)果；——預(yù)防或減少不利影響；——實現(xiàn)持續(xù)改進。組織應(yīng)建立和維護人工智能風(fēng)險準(zhǔn)則，以支持以下工作：——區(qū)分可接受與不可接受的風(fēng)險；——進行人工智能風(fēng)險評估；——實施人工智能風(fēng)險應(yīng)對；——評估人工智能風(fēng)險的影響。組織應(yīng)根據(jù)以下因素確定風(fēng)險和機會：——人工智能系統(tǒng)的領(lǐng)域和應(yīng)用環(huán)境；——預(yù)期用途；——4.1中描述的外部和內(nèi)部環(huán)境。組織應(yīng)計劃：a)應(yīng)對這些風(fēng)險和機會的措施；b)如何做：1)將這些措施納入其人工智能管理體系過程并加以實施；2)評價這些措施的有效性。組織應(yīng)保留為識別和應(yīng)對人工智能風(fēng)險和機會而采取的措施的文件化信息。6.1.2人工智能風(fēng)險評估組織應(yīng)規(guī)定并建立人工智能風(fēng)險評估過程，該過程應(yīng)：《AI風(fēng)險評估策劃管理程序》AI風(fēng)險評估策劃表a)參考并符合人工智能方針(見5.2)和人工智能目標(biāo)(見6.2);b)在策劃上使重復(fù)的人工智能風(fēng)險評估能夠產(chǎn)生一致、有效和可比較的結(jié)果；c)識別有助于或妨礙實現(xiàn)人工智能目標(biāo)的風(fēng)險；d)分析人工智能風(fēng)險，以便：1)評估如果確定的風(fēng)險成為現(xiàn)實，將對組織、個人和社會造成的潛在后果；2)酌情評估已識別風(fēng)險的現(xiàn)實可能性；3)確定風(fēng)險等級。e)評價人工智能風(fēng)險，以便：1)將風(fēng)險分析結(jié)果與風(fēng)險準(zhǔn)則(見6.1.1)進行比較；2)對評估的風(fēng)險進行優(yōu)先排序，以便進行風(fēng)險應(yīng)對。組織應(yīng)保留有關(guān)人工智能風(fēng)險評估過程的文件化信息。6.1.3人工智能風(fēng)險應(yīng)對考慮到風(fēng)險評估結(jié)果，組織應(yīng)確定人工智能風(fēng)險應(yīng)對過程，以便：《AI風(fēng)險處置策劃管理程序》AI風(fēng)險處置策劃表a)選擇適當(dāng)?shù)娜斯ぶ悄茱L(fēng)險應(yīng)對方案；b)確定實施所選人工智能風(fēng)險應(yīng)對方案所必需的所有控制，并將這些控制與附錄A中的控制進行比較，以核實沒有遺漏任何必要的控制；c)考慮附錄A中與實施人工智能風(fēng)險應(yīng)對方案相關(guān)的控制；d)確定除了附錄A中的控制外，是否還需要其他控制，以實施所有風(fēng)險應(yīng)對備選方案；e)參考附錄B,了解b)和c)中確定的控制的實施指南；f)編制一份適用性聲明，其中包含必要的控制(見b]、c)和d]],并說明納入和排除控制的理由；排除的理由能包括風(fēng)險評估認(rèn)為不需要的控制，以及適用的外部要求不需要(或?qū)儆诶馇闆r)的控制；g)制定人工智能風(fēng)險應(yīng)對辦法。獲得指定管理層對人工智能風(fēng)險應(yīng)對計劃和接受殘余人工智能風(fēng)險的批準(zhǔn)。必要的控制應(yīng)：——與6.2中的目標(biāo)相一致；——作為文件化信息可獲?。弧诮M織內(nèi)予以溝通；——視情況，可被相關(guān)方獲取。組織應(yīng)保留有關(guān)人工智能風(fēng)險應(yīng)對過程的文件化信息。6.1.4人工智能系統(tǒng)影響評估組織應(yīng)制定一個過程，用于評估開發(fā)、提供或使用人工智能系統(tǒng)可能對個人和(或)群體和社會造成的潛在影響?！禔I系統(tǒng)影響評價策劃管理程序》AI系統(tǒng)影響評價策劃表人工智能系統(tǒng)影響評估應(yīng)確定人工智能系統(tǒng)的部署、預(yù)期使用和可預(yù)見的濫用對個人和(或)群體和社會造成的潛在影響。影響評估應(yīng)顧及人工智能系統(tǒng)的具體技術(shù)和社會環(huán)境以便人工智能系統(tǒng)可在管轄范圍內(nèi)部署和適用。人工智能系統(tǒng)影響評估的結(jié)果應(yīng)記錄在案。在適當(dāng)情況下，能將人工智能系統(tǒng)影響評估的結(jié)果提供給組織規(guī)定的相關(guān)方。組織應(yīng)在風(fēng)險評估中考慮人工智能系統(tǒng)影響評估結(jié)果(見6.1.2)。表A.1中A.5提供了評估人工智能系統(tǒng)影響的控制。6.2人工智能目標(biāo)及其實現(xiàn)的策劃組織應(yīng)在相關(guān)職能和層級上確立人工智能目標(biāo)。管理手冊《AI目標(biāo)管理程序》AI總目標(biāo)和各部門分目標(biāo)AI目標(biāo)測量表人工智能目標(biāo)應(yīng)：a)與人工智能方針一致(見5.2);b)可測量(如果可行);c)體現(xiàn)適用的需求；d)予以監(jiān)視；e)予以溝通；f)視情況予以更新；g)作為文件化信息可獲取。策劃如何實現(xiàn)人工智能目標(biāo)時，組織應(yīng)確定：——要做什么;——需要什么資源；——由誰負(fù)責(zé)；——何時完成；——如何評價結(jié)果。6.3變更的策劃當(dāng)組織確定需要變更人工智能管理體系時，應(yīng)對這些變更的實施進行策劃?！禔I變更管理程序》AI變更申請表7.1資源為建立、實施、保持和持續(xù)改進人工智能管理體系，組織應(yīng)確定并提供所需的資源?！禔I規(guī)劃管理程序》7.2能力組織應(yīng)：《人力資源管理程序》——確定在其控制下工作、影響人工智能績效的人員所需的能力；——確保這些人員在適當(dāng)?shù)慕逃?、培?xùn)或經(jīng)驗的基礎(chǔ)上勝任工作；——適用時，采取措施獲得所需的能力，并評價所采取措施的有效性。適當(dāng)?shù)奈募畔?yīng)作為能力證據(jù)可獲取。7.3意識在組織控制下工作的人員應(yīng)知道：《人力資源管理程序》——人工智能方針(見5.2);——他們對人工智能管理體系有效性的貢獻(xiàn)，包括改善人工智能績效帶米的效益；——不符合人工智能管理體系要求的后果。7.4溝通組織應(yīng)確定與人工智能管理體系有關(guān)的內(nèi)部和外部溝通，包括：《AI溝通管理程序》內(nèi)部聯(lián)絡(luò)單會議記錄——溝通什么;——何時溝通；——與誰溝通；——如何溝通。7.5文件化信息7.5.1通則組織的人工智能管理體系應(yīng)包括：管理手冊相關(guān)程序文件相關(guān)作業(yè)指導(dǎo)書a)本文件要求的文件化信息；b)組織確定的，對于人工智能管理體系有效性所必需的文件化信息?！M織的規(guī)模及其活動、過程、產(chǎn)品和服務(wù)的類型；——過程及其相互作用的復(fù)雜度；——人員的能力。7.5.2文件化信息的創(chuàng)建和更新在創(chuàng)建和更新文件化信息時，組織應(yīng)確保適當(dāng)?shù)模骸段募畔⒐芾沓绦颉贰獦?biāo)記和說明(例如，標(biāo)題、日期、作者或文件編號);——形式(例如，語言文字、軟件版本、圖形)和載體(例如，紙質(zhì)的、電子的);——針對適宜性和充分性的評審和批準(zhǔn)。7.5.3文件化信息的控制應(yīng)控制人工智能管理體系和本文件要求的文件化信息，以確保其：文件清單文件發(fā)放回收記錄記錄清單a)在需要的場所和時間均可獲得并適于使用；b)得到充分保護(例如，防止泄密、不當(dāng)使用或完整性受損)。為了控制文件化信息，組織應(yīng)開展以下適用的活動：——分發(fā)、訪問、檢索和使用；——存儲和防護，包括保持易讀性；——對變更的控制(例如，版本控制);——保留和處置。對于組織確定的，策劃和運行人工智能管理體系必要的、來自外部的文件化信息，應(yīng)視情況進行識別，并予以控制。8.1運行的策劃和控制為滿足要求和實施第6章確定的措施，組織應(yīng)通過以下方式策劃、實施和控制所需的過程：《AIMS運行管理程序》《AI策略管理程序》《AI系統(tǒng)設(shè)計和開發(fā)管理程序》《AI系統(tǒng)數(shù)據(jù)管理程序》《AI系統(tǒng)使用管理程序》《第三方和顧客關(guān)系管理程序》——對過程確立準(zhǔn)則；——按準(zhǔn)則對過程實施控制。組織應(yīng)實施根據(jù)6.1.3確定的與人工智能管理體系運行相關(guān)的控制(如與人工智能系統(tǒng)開發(fā)和使用生存周期相關(guān)的控制)。應(yīng)監(jiān)視這些控制的有效性，如果未能達(dá)到預(yù)期結(jié)果，應(yīng)顧及采取糾正措施。附錄A列出了參考控制，附錄B提供了控制的實施指南。文件化信息應(yīng)根據(jù)必要程度可獲取，以便確認(rèn)過程已按策劃得到實施。組織應(yīng)控制策劃的變更，并評審非預(yù)期變更的后果，必要時采取措施減輕不利影響。組織應(yīng)確保與人工智能管理體系相關(guān)的，由外部提供的產(chǎn)品、過程或服務(wù)受控。8.2人工智能風(fēng)險評估組織應(yīng)按計劃的時間間隔或在提出重大變更時，根據(jù)6.1.2進行人工智能風(fēng)險評估?！禔I風(fēng)險評估實施管理程序》AI風(fēng)險評估表組織應(yīng)保留所有人工智能風(fēng)險評估結(jié)果的文件化信息。8.3人工智能風(fēng)險應(yīng)對組織應(yīng)按6.1.3實施人工智能風(fēng)險應(yīng)對計劃，并驗證其有效性。《AI風(fēng)險處置實施管理程序》AI風(fēng)險處置實施表當(dāng)風(fēng)險評估識別出需要處理的新風(fēng)險時，應(yīng)對這些風(fēng)險執(zhí)行6.1.3的風(fēng)險應(yīng)對過程。當(dāng)風(fēng)險應(yīng)對計劃確定的風(fēng)險應(yīng)對方案無效時，應(yīng)按6.1.3的風(fēng)險應(yīng)對過程對這些風(fēng)險應(yīng)對方案進行評審和重新驗證，并更新風(fēng)險應(yīng)對計劃。組織應(yīng)保留所有人工智能風(fēng)險應(yīng)對結(jié)果的文件化信息。8.4人工智能系統(tǒng)影響評估組織應(yīng)按計劃的時間間隔或在提出重大變更時，根據(jù)6.1.4進行人工智能系統(tǒng)影響評估?！禔I系統(tǒng)影響評價實施管理程序》AI系統(tǒng)影響評價表組織應(yīng)保留所有人工智能系統(tǒng)影響評估結(jié)果的文件化信息。9.1監(jiān)視、測量、分析和評價組織應(yīng)確定：《AI監(jiān)視和測量管理程序》目標(biāo)測量記錄——需要監(jiān)視和測量什么;——適用的監(jiān)視、測量、分析和評價方法，以確保有效的結(jié)果；——何時實施監(jiān)視和測量；——何時對監(jiān)視和測量的結(jié)果進行分析和評價。文件化信息應(yīng)作為可獲取的結(jié)果證據(jù)。組織應(yīng)評價人工智能管理體系的績效和有效性。9.2內(nèi)部審核9.2.1通則組織應(yīng)在策劃的時間間隔內(nèi)實施內(nèi)部審核，以便為人工智能管理體系提供以下信息?！秲?nèi)部審核管理程序》a)是否符合：1)組織自身對人工智能管理體系的要求；2)本文件的要求。b)是否得到了有效地實施和維護。9.2.2內(nèi)部審核程序組織應(yīng)策劃、確立、實施和維護審核方案，包括頻次、方法、職責(zé)、策劃要求和報告。內(nèi)審計劃方案首末次會議記錄內(nèi)審檢查表不符合項報告內(nèi)審報告組織應(yīng)根據(jù)相關(guān)過程的重要性和以往審核的結(jié)果，確立內(nèi)部審核方案。組織應(yīng)：a)界定每次審核的目標(biāo)、準(zhǔn)則和范圍；b)選擇審核員并實施審核，以確保審核過程的客觀性和公正性；c)確保向相關(guān)管理者報告審核結(jié)果。文件化信息應(yīng)作為實施審核方案和審核結(jié)果的證據(jù)可獲取。9.3管理評審9.3.1通則最高管理者應(yīng)在策劃的時間間隔內(nèi)對組織的人工智能管理體系進行評審，以確保人工智能管理體系持續(xù)的適宜性、充分性和有效性?！豆芾碓u審管理程序》管理評審計劃各部門管理評審提交資