人工智能 (AI) 的監(jiān)管和負(fù)責(zé)任使用一直是 2023 年的熱門話題��,促使 NIST 發(fā)布 AI 風(fēng)險(xiǎn)管理框架����,以幫助組織保護(hù)這項(xiàng)新興技術(shù)�����。更多的標(biāo)準(zhǔn)正在制定中����,以滿足實(shí)施保障措施的需求�,包括ISO/IEC 42001�����,以解決人工智能系統(tǒng)在其整個(gè)生命周期中的安全性�、安全性、隱私性�����、公平性��、透明度和數(shù)據(jù)質(zhì)量��。
ISO 在那些對網(wǎng)絡(luò)安全感興趣和投資的人中已經(jīng)廣為人知�����,因?yàn)樗峁┝擞糜趯?shí)施不同管理系統(tǒng)的框架��,可以幫助您改進(jìn)組織的不同方面�����。現(xiàn)在���,通過即將發(fā)布的 ISO 42001�����,ISO 正在進(jìn)入 AI 游戲�����,最終將成為 AI 管理系統(tǒng) (AIMS) 的最佳實(shí)踐���。
雖然我們?nèi)匀徊淮_定這個(gè)標(biāo)準(zhǔn)何時(shí)發(fā)布——盡管我們應(yīng)該在 12 月的投票期結(jié)束時(shí)更清楚地知道它是 2023 年還是 2024 年——但我們已經(jīng)知道了一些關(guān)于 ISO 42001 的細(xì)節(jié)以及它將帶來什么。
在這篇博文中�,我們將把這些已知的細(xì)節(jié)分解為 ISO 42001 的結(jié)構(gòu)、目標(biāo)和意圖���,以便您更好地了解即將推出的內(nèi)容以及該標(biāo)準(zhǔn)是否適合您的組織����。
什么是ISO 42001����?
作為一項(xiàng)新的人工智能管理體系標(biāo)準(zhǔn)(MSS)�,ISO 42001預(yù)計(jì)將要求組織采取基于風(fēng)險(xiǎn)的方法���,將要求應(yīng)用于人工智能的使用(因?yàn)閷IMS更廣泛地應(yīng)用于組織內(nèi)的所有用例可能會損害其他業(yè)務(wù)目標(biāo)����,而不會實(shí)現(xiàn)任何實(shí)際利益或引起額外的擔(dān)憂)����。
另一個(gè),也許也是最令人興奮的初步收獲可能是���,雖然ISO 42001將是一個(gè)可認(rèn)證的管理體系框架(上述目標(biāo))���,但該標(biāo)準(zhǔn)的起草方式便于與其他現(xiàn)有的MSS集成,例如:
-
ISO 27001(信息安全)
-
ISO 27701(隱私)
-
ISO 9001(質(zhì)量)
由于圍繞人工智能在安全����、隱私和質(zhì)量等方面的問題和風(fēng)險(xiǎn)不應(yīng)該單獨(dú)管理人工智能,而應(yīng)該從整體上管理�����,因此采用AIMS可以提高組織在這些領(lǐng)域的現(xiàn)有管理系統(tǒng)的有效性���,以及您的整體合規(guī)狀況���。
話雖如此,需要注意的是����,ISO 42001 并不要求將其他 MSS 作為先決條件實(shí)施/認(rèn)證,ISO 42001 也無意取代或取代現(xiàn)有的質(zhì)量�����、安全���、安保�、隱私或其他 MSS����。
盡管如此,這種集成的潛力將幫助那些需要滿足兩個(gè)或多個(gè)此類標(biāo)準(zhǔn)要求的組織�,盡管每個(gè)實(shí)施的MSS的重點(diǎn)必須保持獨(dú)特,例如���,ISO 27001的信息安全��。如果您選擇遵守 ISO 42001�,則需要將要求的應(yīng)用重點(diǎn)放在 AI 獨(dú)有的功能以及使用過程中產(chǎn)生的問題和風(fēng)險(xiǎn)上。
ISO 42001結(jié)構(gòu)
更重要的是����,最終的ISO 42001的結(jié)構(gòu)對于那些已經(jīng)通過ISO 27001認(rèn)證的人來說似乎非常熟悉,因?yàn)镮SO 42001還具有以下特點(diǎn):
-
第4-10條;和
-
附件 A 列出了可以幫助組織*的以下兩項(xiàng)控制措施:
-
實(shí)現(xiàn)與人工智能使用相關(guān)的目標(biāo);和
-
解決在風(fēng)險(xiǎn)評估過程中發(fā)現(xiàn)的與人工智能系統(tǒng)設(shè)計(jì)和運(yùn)行相關(guān)的問題�����。
* 不需要使用這些特定的控件����,而是作為參考,您可以根據(jù)需要自由設(shè)計(jì)和實(shí)現(xiàn)控件���。
在當(dāng)前的 ISO 42001 草案中��,39 附錄 A 控制*涉及以下領(lǐng)域:
-
與人工智能相關(guān)的政策
-
內(nèi)部組織(例如�����,角色和職責(zé)��、問題報(bào)告)
-
人工智能系統(tǒng)資源(例如���,數(shù)據(jù)�����、工具、人類)
-
人工智能系統(tǒng)對個(gè)人��、群體和社會的影響分析
-
人工智能系統(tǒng)生命周期
-
人工智能系統(tǒng)數(shù)據(jù)
-
為人工智能系統(tǒng)相關(guān)方提供的信息
-
人工智能系統(tǒng)的使用(例如���,負(fù)責(zé)任/預(yù)期用途��、目標(biāo))
-
第三方關(guān)系(例如����,供應(yīng)商����、客戶)
* 最終標(biāo)準(zhǔn)發(fā)布后,最終控制和主題的數(shù)量都可能發(fā)生變化�����。
ISO 42001 還包含附錄 B 和附錄 C:
|
附件B
|
附件C
|
|
為附件A所列控制措施提供實(shí)施指南
(這類似于 ISO 27001 附錄 A 的單獨(dú) ISO 27002 標(biāo)準(zhǔn)�����。
|
概述:
-
潛在的組織目標(biāo)
-
風(fēng)險(xiǎn)來源
-
在管理與使用人工智能相關(guān)的風(fēng)險(xiǎn)時(shí)可以考慮的描述。
|
ISO 42001目標(biāo)和風(fēng)險(xiǎn)來源
附件C中提及的潛在目標(biāo)和風(fēng)險(xiǎn)來源涉及以下領(lǐng)域:
|
目標(biāo)
|
風(fēng)險(xiǎn)來源
|
-
公平
-
安全
-
安全
-
隱私
-
魯棒性
-
透明度和可解釋性
-
問 責(zé)
-
可用性
-
可維護(hù)性
-
訓(xùn)練數(shù)據(jù)的可用性和質(zhì)量
-
人工智能專業(yè)知識
|
-
自動化水平
-
缺乏透明度和可解釋性
-
IT環(huán)境的復(fù)雜性
-
系統(tǒng)生命周期問題
-
系統(tǒng)硬件問題
-
技術(shù)就緒
-
與ML相關(guān)的風(fēng)險(xiǎn)
|
最后���,ISO 42001 包含一個(gè)附件 D�����,其中涉及跨領(lǐng)域或部門使用 AIMS�。
ISO 42001 的意圖
隨著人工智能使用的整體持續(xù)擴(kuò)大�,實(shí)現(xiàn)這些目標(biāo)并減輕 ISO 42001 框架中概述的這些風(fēng)險(xiǎn)源的組織將有所幫助——這項(xiàng)技術(shù)越來越多地應(yīng)用于利用 IT 的所有部門,趨勢表明它有望成為未來幾年的主要經(jīng)濟(jì)驅(qū)動力之一���。
因此�����,ISO 42001 的目的是幫助組織負(fù)責(zé)任地履行其在使用���、開發(fā)、監(jiān)控或提供利用人工智能的產(chǎn)品或服務(wù)方面的作用����,以確保技術(shù)安全�����。
通過ISO 42001框架的特別關(guān)注可以幫助組織實(shí)施人工智能的某些功能可能需要的不同保護(hù)措施���,這些功能在特定流程或系統(tǒng)中增加了額外的風(fēng)險(xiǎn)(與傳統(tǒng)上在沒有應(yīng)用和使用人工智能的情況下執(zhí)行相同任務(wù)的方式相比)。
這些需要采取具體保障措施的“某些特征”的例子有:
-
自動決策 – 當(dāng)以不透明和不可解釋的方式完成時(shí)���,可能需要超出傳統(tǒng) IT 系統(tǒng)的特定管理和監(jiān)督。
-
數(shù)據(jù)分析�����、洞察和機(jī)器學(xué)習(xí) (ML) – 當(dāng)用于代替人工編碼的邏輯來設(shè)計(jì)系統(tǒng)時(shí)����,它們會改變此類系統(tǒng)的開發(fā)、合理化和部署方式�����,從而可能需要不同的保護(hù)���。
-
持續(xù)學(xué)習(xí) – 執(zhí)行持續(xù)學(xué)習(xí)的人工智能系統(tǒng)在使用過程中會改變其行為�����,并且需要特殊考慮以確保其負(fù)責(zé)任的使用在不斷變化的行為狀態(tài)下繼續(xù)進(jìn)行�。
可用的 AI 網(wǎng)絡(luò)安全指南/法規(guī)可以提供幫助
組織需要盡快開始確保其 AI 的使用,雖然 ISO 42001 的第一次迭代可能會有所幫助——當(dāng)它發(fā)布時(shí)——現(xiàn)在可以考慮其他重要的發(fā)展:
-
NIST AI 風(fēng)險(xiǎn)管理框架 (AI RMF 1.0):今年 1 月���,NIST 發(fā)布了這個(gè)新框架����,以更好地管理與 AI 相關(guān)的個(gè)人�����、組織和社會風(fēng)險(xiǎn)��。對于自愿使用��,NIST AI RMF 可以改進(jìn)將可信度考慮因素納入 AI 產(chǎn)品�����、服務(wù)和系統(tǒng)的設(shè)計(jì)���、開發(fā)����、使用和評估中。
-
拜登行政命令(2023 年 10 月):拜登總統(tǒng)發(fā)布的這項(xiàng)廣泛命令建立在先前舉措的基礎(chǔ)上�,并提供了全面的戰(zhàn)略,以幫助利用人工智能的潛力��,同時(shí)管理其相關(guān)風(fēng)險(xiǎn)��。
-
歐盟人工智能法案:在本博客發(fā)表時(shí)�����,歐盟也正在最終確定自己的人工智能使用法規(guī)��,該法規(guī)以卓越和信任為中心���,旨在提高研究和工業(yè)能力,同時(shí)確保安全和基本權(quán)利��。
ISO 42001 的下一步是什么
即使有所有這些關(guān)于人工智能的重大新里程碑���,美國似乎仍堅(jiān)定地致力于進(jìn)一步發(fā)展��,如果副總統(tǒng)卡瑪拉·哈里斯(Kamala Harris)最近的評論有任何跡象的話:
“歷史表明��,在缺乏監(jiān)管和強(qiáng)有力的政府監(jiān)督的情況下�����,一些科技公司選擇將利潤置于客戶福祉�����、社區(qū)安全和民主國家的穩(wěn)定之上......除了我們已經(jīng)完成的工作之外����,應(yīng)對這些挑戰(zhàn)的一個(gè)重要方法是通過立法。在不扼殺創(chuàng)新的情況下加強(qiáng)人工智能安全的立法���。
本文來源于網(wǎng)絡(luò)
