人工智能 (AI) 的監(jiān)管和負(fù)責(zé)任使用一直是 2023 年的熱門(mén)話(huà)題����,促使 NIST 發(fā)布 AI 風(fēng)險(xiǎn)管理框架���,以幫助組織保護(hù)這項(xiàng)新興技術(shù)���。更多的標(biāo)準(zhǔn)正在制定中,以滿(mǎn)足實(shí)施保障措施的需求����,包括ISO/IEC 42001,以解決人工智能系統(tǒng)在其整個(gè)生命周期中的安全性�、安全性、隱私性�����、公平性����、透明度和數(shù)據(jù)質(zhì)量��。
ISO 在那些對(duì)網(wǎng)絡(luò)安全感興趣和投資的人中已經(jīng)廣為人知���,因?yàn)樗峁┝擞糜趯?shí)施不同管理系統(tǒng)的框架,可以幫助您改進(jìn)組織的不同方面����。現(xiàn)在,通過(guò)即將發(fā)布的 ISO 42001���,ISO 正在進(jìn)入 AI 游戲����,最終將成為 AI 管理系統(tǒng) (AIMS) 的最佳實(shí)踐��。
雖然我們?nèi)匀徊淮_定這個(gè)標(biāo)準(zhǔn)何時(shí)發(fā)布——盡管我們應(yīng)該在 12 月的投票期結(jié)束時(shí)更清楚地知道它是 2023 年還是 2024 年——但我們已經(jīng)知道了一些關(guān)于 ISO 42001 的細(xì)節(jié)以及它將帶來(lái)什么���。
在這篇博文中����,我們將把這些已知的細(xì)節(jié)分解為 ISO 42001 的結(jié)構(gòu)���、目標(biāo)和意圖����,以便您更好地了解即將推出的內(nèi)容以及該標(biāo)準(zhǔn)是否適合您的組織����。
什么是ISO 42001?
作為一項(xiàng)新的人工智能管理體系標(biāo)準(zhǔn)(MSS)��,ISO 42001預(yù)計(jì)將要求組織采取基于風(fēng)險(xiǎn)的方法��,將要求應(yīng)用于人工智能的使用(因?yàn)閷IMS更廣泛地應(yīng)用于組織內(nèi)的所有用例可能會(huì)損害其他業(yè)務(wù)目標(biāo)�,而不會(huì)實(shí)現(xiàn)任何實(shí)際利益或引起額外的擔(dān)憂(yōu))。
另一個(gè)��,也許也是最令人興奮的初步收獲可能是�,雖然ISO 42001將是一個(gè)可認(rèn)證的管理體系框架(上述目標(biāo)),但該標(biāo)準(zhǔn)的起草方式便于與其他現(xiàn)有的MSS集成��,例如:
-
ISO 27001(信息安全)
-
ISO 27701(隱私)
-
ISO 9001(質(zhì)量)
由于圍繞人工智能在安全����、隱私和質(zhì)量等方面的問(wèn)題和風(fēng)險(xiǎn)不應(yīng)該單獨(dú)管理人工智能,而應(yīng)該從整體上管理��,因此采用AIMS可以提高組織在這些領(lǐng)域的現(xiàn)有管理系統(tǒng)的有效性,以及您的整體合規(guī)狀況�。
話(huà)雖如此,需要注意的是��,ISO 42001 并不要求將其他 MSS 作為先決條件實(shí)施/認(rèn)證�,ISO 42001 也無(wú)意取代或取代現(xiàn)有的質(zhì)量、安全��、安保����、隱私或其他 MSS。
盡管如此����,這種集成的潛力將幫助那些需要滿(mǎn)足兩個(gè)或多個(gè)此類(lèi)標(biāo)準(zhǔn)要求的組織,盡管每個(gè)實(shí)施的MSS的重點(diǎn)必須保持獨(dú)特����,例如,ISO 27001的信息安全�。如果您選擇遵守 ISO 42001,則需要將要求的應(yīng)用重點(diǎn)放在 AI 獨(dú)有的功能以及使用過(guò)程中產(chǎn)生的問(wèn)題和風(fēng)險(xiǎn)上��。
ISO 42001結(jié)構(gòu)
更重要的是����,最終的ISO 42001的結(jié)構(gòu)對(duì)于那些已經(jīng)通過(guò)ISO 27001認(rèn)證的人來(lái)說(shuō)似乎非常熟悉����,因?yàn)镮SO 42001還具有以下特點(diǎn):
-
第4-10條;和
-
附件 A 列出了可以幫助組織*的以下兩項(xiàng)控制措施:
-
實(shí)現(xiàn)與人工智能使用相關(guān)的目標(biāo);和
-
解決在風(fēng)險(xiǎn)評(píng)估過(guò)程中發(fā)現(xiàn)的與人工智能系統(tǒng)設(shè)計(jì)和運(yùn)行相關(guān)的問(wèn)題����。
* 不需要使用這些特定的控件�����,而是作為參考����,您可以根據(jù)需要自由設(shè)計(jì)和實(shí)現(xiàn)控件。
在當(dāng)前的 ISO 42001 草案中����,39 附錄 A 控制*涉及以下領(lǐng)域:
-
與人工智能相關(guān)的政策
-
內(nèi)部組織(例如,角色和職責(zé)��、問(wèn)題報(bào)告)
-
人工智能系統(tǒng)資源(例如�����,數(shù)據(jù)、工具��、人類(lèi))
-
人工智能系統(tǒng)對(duì)個(gè)人����、群體和社會(huì)的影響分析
-
人工智能系統(tǒng)生命周期
-
人工智能系統(tǒng)數(shù)據(jù)
-
為人工智能系統(tǒng)相關(guān)方提供的信息
-
人工智能系統(tǒng)的使用(例如,負(fù)責(zé)任/預(yù)期用途����、目標(biāo))
-
第三方關(guān)系(例如,供應(yīng)商�、客戶(hù))
* 最終標(biāo)準(zhǔn)發(fā)布后,最終控制和主題的數(shù)量都可能發(fā)生變化�。
ISO 42001 還包含附錄 B 和附錄 C:
|
附件B
|
附件C
|
|
為附件A所列控制措施提供實(shí)施指南
(這類(lèi)似于 ISO 27001 附錄 A 的單獨(dú) ISO 27002 標(biāo)準(zhǔn)。
|
概述:
-
潛在的組織目標(biāo)
-
風(fēng)險(xiǎn)來(lái)源
-
在管理與使用人工智能相關(guān)的風(fēng)險(xiǎn)時(shí)可以考慮的描述��。
|
ISO 42001目標(biāo)和風(fēng)險(xiǎn)來(lái)源
附件C中提及的潛在目標(biāo)和風(fēng)險(xiǎn)來(lái)源涉及以下領(lǐng)域:
|
目標(biāo)
|
風(fēng)險(xiǎn)來(lái)源
|
-
公平
-
安全
-
安全
-
隱私
-
魯棒性
-
透明度和可解釋性
-
問(wèn) 責(zé)
-
可用性
-
可維護(hù)性
-
訓(xùn)練數(shù)據(jù)的可用性和質(zhì)量
-
人工智能專(zhuān)業(yè)知識(shí)
|
-
自動(dòng)化水平
-
缺乏透明度和可解釋性
-
IT環(huán)境的復(fù)雜性
-
系統(tǒng)生命周期問(wèn)題
-
系統(tǒng)硬件問(wèn)題
-
技術(shù)就緒
-
與ML相關(guān)的風(fēng)險(xiǎn)
|
最后�����,ISO 42001 包含一個(gè)附件 D���,其中涉及跨領(lǐng)域或部門(mén)使用 AIMS�����。
ISO 42001 的意圖
隨著人工智能使用的整體持續(xù)擴(kuò)大��,實(shí)現(xiàn)這些目標(biāo)并減輕 ISO 42001 框架中概述的這些風(fēng)險(xiǎn)源的組織將有所幫助——這項(xiàng)技術(shù)越來(lái)越多地應(yīng)用于利用 IT 的所有部門(mén)�,趨勢(shì)表明它有望成為未來(lái)幾年的主要經(jīng)濟(jì)驅(qū)動(dòng)力之一。
因此��,ISO 42001 的目的是幫助組織負(fù)責(zé)任地履行其在使用����、開(kāi)發(fā)����、監(jiān)控或提供利用人工智能的產(chǎn)品或服務(wù)方面的作用,以確保技術(shù)安全��。
通過(guò)ISO 42001框架的特別關(guān)注可以幫助組織實(shí)施人工智能的某些功能可能需要的不同保護(hù)措施��,這些功能在特定流程或系統(tǒng)中增加了額外的風(fēng)險(xiǎn)(與傳統(tǒng)上在沒(méi)有應(yīng)用和使用人工智能的情況下執(zhí)行相同任務(wù)的方式相比)��。
這些需要采取具體保障措施的“某些特征”的例子有:
-
自動(dòng)決策 – 當(dāng)以不透明和不可解釋的方式完成時(shí)����,可能需要超出傳統(tǒng) IT 系統(tǒng)的特定管理和監(jiān)督。
-
數(shù)據(jù)分析�、洞察和機(jī)器學(xué)習(xí) (ML) – 當(dāng)用于代替人工編碼的邏輯來(lái)設(shè)計(jì)系統(tǒng)時(shí)��,它們會(huì)改變此類(lèi)系統(tǒng)的開(kāi)發(fā)����、合理化和部署方式�����,從而可能需要不同的保護(hù)����。
-
持續(xù)學(xué)習(xí) – 執(zhí)行持續(xù)學(xué)習(xí)的人工智能系統(tǒng)在使用過(guò)程中會(huì)改變其行為,并且需要特殊考慮以確保其負(fù)責(zé)任的使用在不斷變化的行為狀態(tài)下繼續(xù)進(jìn)行���。
可用的 AI 網(wǎng)絡(luò)安全指南/法規(guī)可以提供幫助
組織需要盡快開(kāi)始確保其 AI 的使用����,雖然 ISO 42001 的第一次迭代可能會(huì)有所幫助——當(dāng)它發(fā)布時(shí)——現(xiàn)在可以考慮其他重要的發(fā)展:
-
NIST AI 風(fēng)險(xiǎn)管理框架 (AI RMF 1.0):今年 1 月�,NIST 發(fā)布了這個(gè)新框架,以更好地管理與 AI 相關(guān)的個(gè)人����、組織和社會(huì)風(fēng)險(xiǎn)。對(duì)于自愿使用��,NIST AI RMF 可以改進(jìn)將可信度考慮因素納入 AI 產(chǎn)品、服務(wù)和系統(tǒng)的設(shè)計(jì)�、開(kāi)發(fā)、使用和評(píng)估中����。
-
拜登行政命令(2023 年 10 月):拜登總統(tǒng)發(fā)布的這項(xiàng)廣泛命令建立在先前舉措的基礎(chǔ)上,并提供了全面的戰(zhàn)略�����,以幫助利用人工智能的潛力���,同時(shí)管理其相關(guān)風(fēng)險(xiǎn)。
-
歐盟人工智能法案:在本博客發(fā)表時(shí)����,歐盟也正在最終確定自己的人工智能使用法規(guī),該法規(guī)以卓越和信任為中心���,旨在提高研究和工業(yè)能力�,同時(shí)確保安全和基本權(quán)利��。
ISO 42001 的下一步是什么
即使有所有這些關(guān)于人工智能的重大新里程碑���,美國(guó)似乎仍堅(jiān)定地致力于進(jìn)一步發(fā)展��,如果副總統(tǒng)卡瑪拉·哈里斯(Kamala Harris)最近的評(píng)論有任何跡象的話(huà):
“歷史表明�,在缺乏監(jiān)管和強(qiáng)有力的政府監(jiān)督的情況下,一些科技公司選擇將利潤(rùn)置于客戶(hù)福祉��、社區(qū)安全和民主國(guó)家的穩(wěn)定之上......除了我們已經(jīng)完成的工作之外����,應(yīng)對(duì)這些挑戰(zhàn)的一個(gè)重要方法是通過(guò)立法。在不扼殺創(chuàng)新的情況下加強(qiáng)人工智能安全的立法��。
本文來(lái)源于網(wǎng)絡(luò)
