人工智能(AI)可能会改变我们的工作、创新和决策方式,但如果没有强大的治理、风险和合规(GRC)框架,这种转变可能会付出高昂的代价。从偏见和透明度到数据隐私和道德使用,人工智能带来的风险仅靠传统框架是无法管理的。
输入ISO/IEC 42001:2023--第一个人工智能管理系统(AIMS)国际标准。
让我们来探讨一下 ISO 42001 如何加强第三方风险管理计划,并为合规领导者提供可行的见解,帮助他们在快速发展的人工智能治理标准中保持领先地位。
免责声明:本内容仅供参考。请务必咨询您的内部审计或法律团队,以获得适合贵组织的指导。
什么是 ISO/IEC 42001?
ISO/IEC 42001:2023 由国际标准化组织 (ISO) 和国际电工委员会 (IEC) 发布,概述了建立、实施、维护和持续改进人工智能管理系统的要求。该标准包括
- 合乎道德的人工智能开发和使用
- 数据质量和透明度
- 风险和影响评估
- 组织问责制
- 第三方监督
它遵循 "计划-执行-检查-行动"(PDCA)结构,并与 ISO 27001(信息安全)、ISO 27701(隐私)和 ISO 23894(人工智能风险管理)等其他 ISO 标准保持一致。ISO 42001 虽然是自愿性的,但它提供了一个合规就绪的基础,与欧盟人工智能法案等强制性法律和NIST 人工智能 RMF等框架保持一致,并正在成为人工智能治理的全球基准。
ISO 42001 为何对风险与合规团队至关重要
人工智能风险不再是理论问题。当人工智能系统无法满足道德或运营预期时,企业将面临从声誉受损到监管处罚的现实后果。ISO 42001 使团队能够
- 将人工智能伦理和风险管理纳入核心业务流程
- 满足欧盟人工智能法案、NIST 人工智能 RMF 和 DORA 等框架的要求
- 在整个生命周期中主动识别、评估和降低人工智能风险
- 向监管机构、客户和利益相关者展示信任和问责
- 利用 ISO 42001 扩展第三方风险管理
ISO 42001 拓宽了第三方风险管理的范围,为供应商、供货商和合作伙伴管理的人工智能系统引入了具体的控制措施。第三方风险管理团队现在不仅要负责数据安全和合同合规,还要负责与公平性、可解释性、模型更新和道德使用相关的风险。
ISO 42001 对 TPRM 的主要要求
为与标准保持一致,您的 TPRM 计划应
- 在入职过程中评估供应商的人工智能管理实践
- 监控第三方人工智能模型的变化和使用情况
- 要求提供透明度、可解释性和道德控制的证据
- 包括处理事件响应和数据处理的合同条款
- 评估第四方(分包商)人工智能的使用和相关风险
与 ISO 42001 一致的 TPRM 最佳实践
要在供应链中有效管理人工智能,请考虑以下步骤:
-
确定范围
区分内部使用的人工智能(如 ChatGPT)和面向客户的工具中嵌入的人工智能
-
使用适用性声明(SOA)
明确记录范围内的系统和应用的控制措施
-
采用一致的风险标准
使用人工智能对所有供应商进行标准化评估
-
评估公平性和透明度
确保第三方模型可解释且无偏差
-
评估数据管理
检查所有供应商人工智能系统的数据质量、隐私和来源
-
持续监控供应商人工智能
纳入持续评估和模型更新的工具
-
更新接收表格
包括围绕模型类型、敏感性和使用案例的人工智能特定问题
-
制定人工智能供应商行为准则
符合 ISO 42001 附件 A 的原则
-
申请 ISO 42001 认证
要求关键人工智能供应商提供证书或 SOA
-
包含事件响应条款
在违约通知服务级别协议中处理人工智能故障情况
-
每季度更新供应商分层模型
反映人工智能应用和接触方面的变化
展望未来:实施 ISO 42001
对于利用人工智能的组织来说,采用 ISO 42001 不再是可有可无的选择。该标准为负责任的人工智能管理设定了期望值,涵盖了从道德原则和人为监督到第三方监控和模型性能评估等各个方面。
现在行动起来的组织将获得竞争优势--赢得信任、加快合规性和加强复原力。随着全球监管机构走向统一,包括将 ISO 42001 与欧盟人工智能法案、DORA 和 NIST AI RMF 等框架相协调,现在采用该标准将使组织领先于即将到来的任务,并加强其第三方生态系统的复原力。
Mitratech:您负责任的人工智能管理合作伙伴
Mitratech 的第三方风险管理平台可帮助企业信心十足地实施人工智能管理。从供应商入驻到持续监控和审计准备,我们帮助您满足不断发展的标准,保护您的企业。
准备好控制供应链中的人工智能风险了吗?立即申请TPRM 解决方案演示。
