Jakie są kluczowe kroki przy zapewnieniu zgodności z ISO/IEC 42001?

Nowa norma ISO/IEC 42001, która pokazała się w końcówce roku 2023 podobnie jak każda norma dotycząca systemów zarządzania oparta jest na strukturze HLS, czyli składa się z 8 artykułów, które stanowią wymagania. Te 8 artykułów stanowiące bazę podstawowych wymagań pozwala zbudować system zarządzania. ISO/IEC 42001jest międzynarodową normą określającą wymagania dotyczące ustanawiania, wdrażania, utrzymywania i ciągłego doskonalenia Systemu Zarządzania Sztuczną Inteligencją (AIMS) w organizacjach. Jej główną rolą jest zapewnienie odpowiedzialnych i etycznych praktyk w zakresie AI poprzez dostarczenie ram zarządzania systemami AI przez cały ich cykl życia. Norma wymaga wprowadzenia solidnych struktur zarządzania, procesów zarządzania ryzykiem oraz protokołów zgodności w celu rozwiązania złożoności związanych z AI. Kluczowe obszary obejmują analizę kontekstu organizacyjnego i interesariuszy, opracowanie polityki AI, zaangażowanie kierownictwa, ocenę ryzyka związanego z AI oraz audyty wewnętrzne. Podkreśla również znaczenie szkoleń i programów podnoszenia świadomości, aby zapewnić pracownikom zrozumienie etycznych aspektów i uprzedzeń w systemach AI.

Wdrażając ISO/IEC 42001, organizacje mogą wykazać swoje zaangażowanie w etyczny rozwój i użytkowanie AI, budując tym samym zaufanie i odpowiedzialność w swoich operacjach związanych z AI. Oto szczegółowe wyjaśnienie każdego kluczowego kroku dla zgodności z ISO/IEC 42001:

1. Zrozumienie organizacji i jej kontekstu:

• Ten krok polega na identyfikacji zarówno czynników zewnętrznych, jak i wewnętrznych, które mogą wpływać na system zarządzania AI organizacji. Czynniki zewnętrzne mogą obejmować wymagania regulacyjne i warunki rynkowe, podczas gdy czynniki wewnętrzne mogą dotyczyć kultury organizacyjnej i zdolności technologicznych. Celem jest zapewnienie, że system zarządzania AI jest odpowiedni i skuteczny w swoim konkretnym kontekście.

2. Identyfikacja zainteresowanych stron:

• Określenie, kto jest interesariuszem, w tym klientów, regulatorów, pracowników i partnerów, którzy mogą wpływać na system zarządzania AI lub być przez niego dotknięci. Zrozumienie ich potrzeb i oczekiwań oraz zdecydowanie, które z nich będą adresowane przez system zarządzania AI. To zapewnia, że system spełnia szersze oczekiwania i wymagania.

3. Określenie zakresu:

• Jasne zdefiniowanie, które części organizacji i jakie działania związane z AI są objęte systemem zarządzania AI. Uwzględnienie odpowiednich kwestii i wymagań interesariuszy zidentyfikowanych we wcześniejszych krokach. Dokumentowanie zakresu zapewnia klarowność i skupienie w realizacji systemu.

4. Przywództwo i zaangażowanie:

• Najwyższe kierownictwo musi wykazywać aktywne zaangażowanie i wsparcie dla systemu zarządzania AI, dostosowując go do celów strategicznych organizacji. Powinni ustanowić politykę AI, zapewnić niezbędne zasoby i przypisać jasno określone role i odpowiedzialności. Zaangażowanie kierownictwa jest kluczowe dla skutecznej realizacji i integracji z procesami biznesowymi.

5. Planowanie:

• Polega na identyfikacji potencjalnych ryzyk i szans związanych z AI oraz opracowaniu planów ich rozwiązania. Przeprowadzenie dokładnych ocen i zarządzania ryzykiem, aby nimi zarządzać. Ustalenie konkretnych, mierzalnych celów AI zgodnych z ogólną polityką i zaplanowanie wszelkich zmian wymaganych w systemie.

6. Wsparcie:

• Zapewnienie odpowiednich zasobów, w tym personelu, infrastruktury i wsparcia finansowego dla systemu zarządzania AI. Zapewnienie kompetencji całemu personelowi zaangażowanemu poprzez szkolenia i rozwój. Utrzymanie skutecznej komunikacji i dokumentacji wspierającej działanie systemu.

7. Działanie:

• Planowanie i kontrolowanie procesów niezbędnych do spełnienia wymagań systemu zarządzania AI oraz wdrożenie działań zarządzania ryzykiem. Regularne przeprowadzanie ocen i zarządzania ryzykiem AI w miarę potrzeb. Ocena wpływu systemów AI na jednostki, grupy i społeczeństwa, zapewniając ich bezpieczne i etyczne wykorzystanie.

8. Ocena wydajności:

• Monitorowanie i mierzenie wydajności systemu zarządzania AI, aby upewnić się, że spełnia on swoje cele. Przeprowadzanie audytów wewnętrznych w celu weryfikacji zgodności i skuteczności. Regularne przeglądy zarządzania są konieczne, aby ocenić i poprawić odpowiedniość i wydajność systemu.

9. Doskonalenie:

• Ciągłe doskonalenie systemu zarządzania AI poprzez naukę z doświadczeń i wdrażanie usprawnień. Szybkie rozwiązywanie niezgodności i podejmowanie działań korygujących, aby zapobiec ich powtórzeniu. To zapewnia, że system ewoluuje i dostosowuje się do zmieniających się warunków i wymagań.

Te kroki, gdy są realizowane systematycznie, pomagają organizacjom ustanowić solidny system zarządzania AI zgodny z ISO 42001, zapewniając odpowiedzialne i skuteczne wykorzystanie AI. Ale to nie wszystkie wymagania  tej normy. Pozostają jeszcze 2 załączniki – A i B.

Załącznik A: Referencyjne cele i mechanizmy kontroli.

Dostarcza on kontrolne cele i kontrole, które organizacje mogą wdrażać w celu osiągnięcia celów organizacyjnych i zarządzania ryzykiem związanym z projektowaniem i operacjami systemów AI. Obejmuje on szeroki zakres obszarów, które są istotne dla zarządzania AI, w tym:

1. Polityki związane z AI (A.2)

– Dokumentacja polityki AI

– Uzgodnienie z innymi politykami organizacyjnymi

– Przegląd polityki AI

2. Organizacja wewnętrzna (A.3)

– Definiowanie ról i odpowiedzialności dla AI

– Proces zgłaszania obaw związanych z AI

3. Zasoby dla systemów AI (A.4)

– Dokumentacja zasobów, w tym zasobów danych, narzędzi, systemów i zasobów obliczeniowych oraz zasobów ludzkich

4. Ocena wpływu systemów AI (A.5)

– Proces oceny potencjalnych skutków dla jednostek i społeczeństwa

– Dokumentowanie wyników ocen wpływu systemów AI

5. Cykl życia systemu AI (A.6)

– Identyfikacja celów dla odpowiedzialnego rozwoju systemu AI

– Definiowanie procesów dla odpowiedzialnego projektowania i rozwoju

– Specyfikacja i dokumentacja wymagań systemu AI

6. Dane dla systemów AI (A.7)

– Zarządzanie danymi, ich jakością i pochodzeniem

– Przygotowanie danych

7. Informacje dla zainteresowanych stron (A.8)

– Dostarczanie informacji użytkownikom i innym zainteresowanym stronom

– Zgłaszanie incydentów i komunikacja

8. Użycie systemów AI (A.9)

– Definiowanie procesów dla odpowiedzialnego użycia systemów AI

– Identyfikacja celów dla odpowiedzialnego użycia

9. Relacje z trzecią stroną i klientami (A.10)

– Przydzielanie odpowiedzialności w cyklu życia systemu AI

– Procesy zapewniające, że usługi dostawców są zgodne z podejściem organizacji do AI

Załącznik B: Wskazówki dotyczące wdrażania kontroli sztucznej inteligencji. Dostarcza on szczegółowych wskazówek dotyczących wdrażania kontroli wymienionych w Załączniku A.

Obejmuje on praktyczne wytyczne, które pomagają organizacjom w efektywnym wdrażaniu kontroli i osiąganiu zamierzonych celów.

1. Polityki związane z AI (B.2)

– Polityka AI powinna być informowana przez strategię biznesową, wartości organizacyjne i poziom ryzyka akceptowany przez organizację.

– Polityka AI powinna zawierać zasady, procesy obsługi odstępstw i wyjątków oraz powinna być regularnie przeglądana

2. Organizacja wewnętrzna (B.3)

– Definiowanie ról i odpowiedzialności jest kluczowe dla zapewnienia odpowiedzialności w całej organizacji.

– Mechanizmy raportowania powinny obejmować opcje poufności lub anonimowości, być dostępne dla pracowników i podwykonawców oraz zawierać mechanizmy ochrony przed odwetem.

3. Zasoby dla systemów AI (B.4)

– Dokumentacja zasobów powinna obejmować komponenty systemu AI, zasoby danych, narzędzia, zasoby systemowe i obliczeniowe oraz zasoby ludzkie.

– Zasoby powinny być zidentyfikowane, aby umożliwić pełne zrozumienie i zarządzanie ryzykiem oraz wpływami systemów AI.

4. Ocena wpływu systemów AI (B.5)

– Proces oceny wpływu powinien uwzględniać potencjalne skutki dla jednostek i społeczeństwa, oraz obejmować identyfikację, analizę, ocenę i dokumentowanie tych wpływów.

– Dokumentacja ocen wpływu powinna być przechowywana przez określony czas i aktualizowana w miarę potrzeb

5. Zarządzanie cyklem życia systemu AI (B.6)

– Organizacja powinna definiować i dokumentować cele oraz procesy odpowiedzialnego projektowania i rozwoju systemów AI.

– Wymagania dla nowych systemów AI powinny być jasno określone i udokumentowane.

6. Dane dla systemów AI (B.7)

Wymagania w artykule B.7 koncentrują się na zarządzaniu danymi wykorzystywanymi w systemach AI. Organizacje są zobowiązane do zdefiniowania, udokumentowania i wdrożenia procesów związanych z pozyskiwaniem, zarządzaniem jakością, pochodzeniem oraz przygotowaniem danych. Celem tych wymagań jest zapewnienie, że dane używane w systemach AI są odpowiednio zarządzane przez cały cykl życia systemu AI, co przyczynia się do jego efektywności, bezpieczeństwa i zgodności z obowiązującymi normami oraz regulacjami.

7. Informacje dla zainteresowanych stron systemów AI B.8

Wymagania w artykule B.8 dotyczą dostarczania odpowiednich informacji wszystkim zainteresowanym stronom, które mogą mieć wpływ na systemy AI lub być pod ich wpływem. Organizacje muszą określić, jakie informacje są niezbędne dla użytkowników, jak komunikować incydenty związane z systemami AI oraz jak raportować skutki działania systemów AI. Celem tych wymagań jest zapewnienie transparentności oraz umożliwienie zainteresowanym stronom zrozumienia i oceny ryzyka oraz wpływu systemów AI, co ma na celu budowanie zaufania i odpowiedzialnego zarządzania systemami AI.

8. Użycie systemów AI B.9

Wymagania w artykule B.9 koncentrują się na odpowiedzialnym użyciu systemów AI. Organizacje muszą zdefiniować procesy, które zapewniają zgodność użycia systemów AI z politykami organizacyjnymi oraz regulacjami. Ponadto, muszą określić cele odpowiedzialnego użycia systemów AI i zapewnić, że systemy AI są używane zgodnie z ich zamierzonym przeznaczeniem i towarzyszącą dokumentacją. Celem tych wymagań jest zapewnienie, że systemy AI są stosowane w sposób odpowiedzialny i zgodny z ustalonymi standardami oraz wytycznymi.

9. Relacje z trzecią stroną i klientami B.10

Wymagania w artykule B.10 dotyczą zarządzania relacjami z dostawcami, partnerami, klientami i innymi stronami trzecimi w kontekście cyklu życia systemu AI. Organizacje muszą przydzielić odpowiedzialności za różne etapy cyklu życia systemu AI oraz zapewnić, że dostawcy i partnerzy działają zgodnie z podejściem organizacji do odpowiedzialnego rozwoju i użytkowania systemów AI. Celem tych wymagań jest jasne określenie ról i odpowiedzialności oraz zarządzanie ryzykami związanymi z zaangażowaniem stron trzecich w procesy związane z systemami AI.

10. Doskonalenie systemu zarządzania AI B.11

Wymagania w artykule B.11 koncentrują się na ciągłym doskonaleniu systemu zarządzania AI. Organizacje muszą wdrożyć procesy ciągłego doskonalenia, aby zapewnić, że system zarządzania AI pozostaje adekwatny, skuteczny i zgodny z celami organizacji oraz wymaganiami prawnymi i regulacyjnymi. Celem tych wymagań jest promowanie kultury ciągłego doskonalenia i adaptacji, aby systemy AI mogły ewoluować i pozostawać efektywne w dynamicznie zmieniającym się środowisku technologicznym i regulacyjnym.

Załączniki te dostarczają kompleksowych wytycznych dla organizacji dążących do odpowiedzialnego zarządzania i użytkowania systemów AI, podkreślając znaczenie dokumentacji, odpowiedzialności i ciągłego doskonalenia procesów. Wszystko to pozwoli na lepiej wypełnić wymagania AI Act.
Więcej na naszej stronie i blogu – zapraszamy: https://coe.biz.pl