(1)确定组织在人工智能领域的角色定位
在建立人工智能管理体系时,组织首先应就自身在人工智能系统领域的角色进行定位,建立和实施人工智能管理体系的内容。下图诠释了人工智能系统各相关方角色,供组织在确定自身角色定位时参考。
(2)理解组织面临的内外部问题
确定角色定位后,组织应进一步分析在人工智能管理领域所面临的内外部问题,从而为建立人工智能管理体系提供必要的输入。
(3)理解组织利益相关方需求与期望
组织应识别与人工智能管理的利益相关方,理解各相关方针对人工智能系统的管理需求与期望。如组织是人工智能平台提供商,则需要考虑人工智能平台用户、人工智能平台合作方、人工智能合规监管者的需求与期望,这些需求与期望可能包括个人隐私保护、事件处理的透明性、合规管理等等。
(4)制定人工智能管理方针
与所有其他管理体系标准一样,组织在建立人工智能管理体系时,其最高管理者应制定人工智能领域的管理方针,典型的人工智能管理方针可考虑包含:
目标和原则、数据管理、系统设计、透明性和可解释性、道德和法律合规、培训和教育、监督和评估。
(5)进行人工智能风险评估,对人工智能系统可能产生的影响进行评价
组织应对人工智能风险进行识别、分析与评价。制定人工智能风险评估流程,明确人工智能风险准则,并按照风险评估流程与准则开展人工智能风险评估工作。组织针对不可接受的风险应参照标附录A选择风险控制措施,制定详细的风险处置计划,按照控制措施选择结果制定《人工智能管理体系适用性声明书》。人工智能风险评估的具体方法可参考国际标准化组织于2023年初发布的一份标准《ISO/IEC23984:2023 信息技术 - 人工智能 - 风险管理指南》的内容。
(6)人工智能目标管理
组织策划人工智能管理体系过程时需要基于内外部环境分析、相关方需求及期望以及风险评估结果制定管理目标,明确实现管理目标的措施、责任及时间表。
(7)人工智能管理体系标准“支持”条款
该标准还明确了为支持管理体系有效运行的支持要求(或者说是赋能要求),包括:资源、能力、意识、沟通及文件化信息。
(8)人工智能管理体系运行
人工智能管理体系运行部分的要求与ISO27001:2022信息安全管理体系标准几乎相同,人工智能管理体系运行取决于风险评估结果及风险处置要求,而风险处置措施的执行就是体系运行的要求,风险处置的内容实际是附录A控制措施的内容。
(9)人工智能管理体系绩效评估与持续改进
人工智能管理体系绩效评估与持续改进部分的要求与ISO27001:2022信息安全管理体系标准相同,标准明确规定对管理体系绩效进行持续监视、测量与评价,对管理体系执行的有效性进行定期的内部审核,高层管理定期对管理体系适宜性、有效性及充分性进行评审,对体系运行、绩效评估、内审、管理评审等过程的各类不符合采取纠正及纠正措施,从而持续改进人工智能管理体系的适宜性、充分性和有效性。
颐卓咨询管理集团-广州总部
总部地址:广州市海珠区琶洲数字科技产业园A15-2栋
联系方式:13622221264(张小姐)或13433933194(廖经理)
邮 箱:eyzo@chinakec.com
公司官网:www.chinakec.com
集团分支机构:深圳、成都、重庆、佛山、东莞、长沙、武汉、北京、昆山、厦门等