Біз туралыСтандарттарБлог ✦ ЖИ бағалауБаға алу →
Басты бет  /  Блог  /  ISO 42001 түсіндірмесі

ISO 42001 түсіндірмесі — жасанды интеллектті басқарудың жаңа стандарты

ISO/IEC 42001:2023 — жасанды интеллект саласындағы әлемдегі алғашқы халықаралық басқару жүйесі стандарты. Ол ЖИ жүйелерін әзірлейтін, ұсынатын немесе пайдаланатын ұйымдарға тәуекелдерді басқаруға, жауапты тәжірибелерді қамтамасыз етуге және сенімділікті көрсетуге арналған құрылымдық шеңберді қамтамасыз етеді. Бұл нұсқаулық стандарттың нені қамтитынын, кімге қажет екенін және сертификаттауды қалай жүзеге асыру керектігін түсіндіреді.

ЖИ ЖӘНЕ КОМПЛАЕНС ISO 42001 EU AI Act

 ·  10 мин оқу

ЖИ басқару стандарттарының дамуы

Жасанды интеллект зерттеу зертханаларынан бизнес операцияларының өзегіне ауысты. Сақтандырудағы автоматтандырылған андеррайтингтен бастап, өндірістегі болжамды техникалық қызмет көрсетуге дейін, денсаулық сақтаудағы клиникалық шешімдерді қолдаудан бастап, қаржыдағы алгоритмдік сауда-саттыққа дейін — ЖИ жүйелері қазір күн сайын миллиондаған адамдарға әсер ететін шешімдер қабылдайды немесе оларға ықпал етеді. Бұл қабылдаумен бірге тәуекелдер де келеді — шешім қабылдаудағы біржақтылық, ашықтықтың жоқтығы, қауіпсіздік осалдықтары, құпиялылықты бұзу және нақты зиян келтіретін күтпеген салдарлар.

Бүкіл әлемдегі реттеу органдары жауап берді. Еуропалық Одақтың ЖИ туралы заңы 2024 жылдың тамызында күшіне енді, тәуекелге негізделген реттеу шеңберін орнатып, сәйкессіздік үшін елеулі айыппұлдар белгіледі. Ұқсас заңнама Ұлыбританияда, Канадада, Бразилияда және Азия-Тынық мұхит аймағында ілгерілетілуде. Бірақ реттеу ғана ұйымдарға ЖИ-ды жауапкершілікпен қалай басқару керектігін айтпайды. Дәл осы жерде ISO/IEC 42001 көмекке келеді.

2023 жылдың желтоқсанында жарияланған ISO/IEC 42001 «Ақпараттық технологиялар — Жасанды интеллект — Жасанды интеллект үшін басқару жүйесі» деп аталады. Бұл сертификатталатын басқару жүйесі стандарты, яғни ұйымдар үшінші тарап аудиттерінен өтіп, ресми сертификат ала алады — дәл ISO 27001 ақпараттық қауіпсіздік немесе ISO 9001 сапа менеджменті сияқты.

ISO 42001 нені қамтиды

ISO 42001 барлық ISO басқару жүйесі стандарттарына ортақ Гармонизацияланған құрылымды (HS) ұстанады. Егер сіздің ұйымыңыз ISO 27001 немесе ISO 9001 сертификатына ие болса, құрылым бірден таныс болады. Стандартта келесі негізгі тараулар бар:

  • 4-тарау — Ұйым контексті: ЖИ басқару жүйесіне (AIMS) әсер ететін ішкі және сыртқы факторларды түсіну, мүдделі тараптарды және олардың талаптарын анықтау, AIMS ауқымын белгілеу және басқару жүйесін құру.
  • 5-тарау — Көшбасшылық: Жоғарғы басшылық AIMS-ке адалдығын көрсетуі, жауапты ЖИ әзірлеу және пайдалану қағидаттарын қамтитын ЖИ саясатын белгілеуі және рөлдерді, жауапкершіліктерді және өкілеттіктерді тағайындауы тиіс.
  • 6-тарау — Жоспарлау: ЖИ мақсаттарын белгілеу және оларға жету жоспарларын қоса алғанда, ЖИ жүйелеріне тән тәуекелдер мен мүмкіндіктерді бағалауды қарастырады. Бұл жерде ЖИ-ға тән тәуекелдерді бағалау әдістемесі анықталады.
  • 7-тарау — Қолдау: Ресурстарды, құзыреттілікті, хабардарлықты, коммуникацияны және құжатталған ақпаратты қамтиды. Атап айтқанда, ЖИ-ға қатысты құзыреттілік талаптары нақты — ұйым ЖИ жүйелерімен жұмыс істейтін қызметкерлердің машиналық оқыту, деректер ғылымы, этика және пән бойынша сараптама салаларында тиісті дағдыларға ие болуын қамтамасыз етуі керек.
  • 8-тарау — Операция: ЖИ жүйелерінің бүкіл өмірлік циклі бойынша операциялық жоспарлау және бақылау. Бұған ЖИ жүйесіне әсерді бағалау, ЖИ-ны әзірлеу үшін пайдаланылатын деректерді басқару және ЖИ жүйесін әзірлеу, орнату және пайдалану кезінде қолданылатын бақылаулар кіреді.
  • 9-тарау — Өнімділікті бағалау: AIMS және ЖИ жүйесінің өнімділігін мониторингтеу, өлшеу, талдау және бағалау. Ішкі аудит талаптары мен басшылық шолуды қамтиды.
  • 10-тарау — Жақсарту: Сәйкессіздіктерді басқару, түзету әрекеттері және AIMS-ті үнемі жетілдіру.

А қосымшасы: ЖИ бақылау анықтамасы

ISO 27001 сияқты, ISO 42001 де анықтамалық бақылаулар жиынтығын ұсынатын А қосымшасын қамтиды. Бұл бақылаулар ЖИ басқарудың нақты мәселелеріне сәйкес ұйымдастырылған:

Бақылау саласы Фокус
ЖИ саясаттары Әділдікті, ашықтықты, есеп берушілікті, қауіпсіздікті және құпиялылықты қарастыратын жауапты ЖИ саясаттарын белгілеу. Бұл саясаттар барлық тиісті тараптарға хабарлануы тиіс.
Ішкі ұйым ЖИ басқару үшін рөлдер мен жауапкершіліктерді анықтау, оның ішінде қадағалау функциялары, ЖИ этикасы кеңестері және ЖИ-ға қатысты мәселелер бойынша шиеленісу рәсімдері.
ЖИ жүйелеріне арналған ресурстар ЖИ жүйелеріне қажет есептеу, деректер және құралдар ресурстарын басқару. Бұған деректер сапасын басқару, деректер шығу тегі және инфрақұрылым талаптары кіреді.
ЖИ жүйесіне әсерді бағалау ЖИ жүйелерінің жеке адамдарға, топтарға және қоғамға ықтимал әсерін бағалау. Бұл көзделген және көзделмеген салдарларды ескеруі тиіс.
ЖИ жүйесінің өмірлік циклі Толық өмірлік циклді қамтитын бақылаулар: жобалау, деректерді жинау және дайындау, модельді құру және валидация, орнату, пайдалану, мониторинг және пайдаланудан шығару.
ЖИ жүйелеріне арналған деректер Деректерді басқару бақылаулары, оның ішінде деректер сапасы, оқыту деректеріндегі біржақтылықты анықтау, деректер жолы, келісім басқару және деректерді қорғау шаралары.
Үшінші тарап және тұтынушы қатынастары Жеткізу тізбегіндегі ЖИ-ға қатысты тәуекелдерді басқару, оның ішінде үшінші тараптың ЖИ компоненттеріне, API-ларына және алдын ала оқытылған модельдерге қойылатын талаптар.

Стандарт сонымен қатар B қосымшасын (ЖИ мақсаттары және тәуекел көздері), C қосымшасын (ЖИ-ға тән анықтамалық процестер) және D қосымшасын (AIMS-тің салалар бойынша қолданылуы) қамтиды. Бұл қосымшалар қосымша міндетті талаптардан гөрі іске асыру бойынша практикалық нұсқаулық береді.

ISO 42001 бойынша ЖИ тәуекелдерін басқару

Тәуекелдерді басқару ISO 42001-дің өзегінде тұр, бірақ ЖИ тәуекелінің сипаты дәстүрлі ақпараттық қауіпсіздік немесе операциялық тәуекелден түбегейлі ерекшеленеді. Стандарт ұйымдардан ЖИ-ға тән тәуекелдердің бірнеше санатын ескеруді талап етеді:

  • Біржақтылық және әділдік тәуекелі: ЖИ жүйелері біржақты оқыту деректеріне, ақаулы модель дизайнына немесе сәйкес емес белгілер таңдауына байланысты кемсітушілік нәтижелер шығаруы мүмкін. Стандарт ұйымдардан ЖИ-ның бүкіл өмірлік циклі бойынша біржақтылықты бағалауды және азайтуды талап етеді.
  • Ашықтық және түсіндірілу тәуекелі: Көптеген ЖИ жүйелері, әсіресе терең оқыту модельдері, «қара жәшіктер» ретінде жұмыс істейді. ISO 42001 ұйымдардан әр ЖИ жүйесі үшін оның тәуекел профиліне және мүдделі тараптардың қажеттіліктеріне негізделген тиісті түсіндіру деңгейін анықтауды талап етеді.
  • Беріктік және сенімділік тәуекелі: ЖИ жүйелері оқыту деректерінен ерекшеленетін деректерге тап болғанда күтпеген тәртіп көрсетуі мүмкін. Стандарт шекаралық жағдайларды, қарсылық кірістерін және таралу дрифтін тексеруді талап етеді.
  • Құпиялылық тәуекелі: ЖИ жүйелері жиі жеке деректерді өңдейді, ал модельді инверсия немесе мүшелікке қорытынды жасау сияқты әдістер оқытылған модельдерден жеке ақпаратты алуға мүмкіндік береді. ISO 42001 ЖИ жүйелері үшін құпиялылықтың әсерін бағалауды және тиісті техникалық қорғаныс шараларын талап етеді.
  • Қауіпсіздік тәуекелі: Денсаулық сақтау, автономды көлік құралдары және өнеркәсіптік автоматтандыру сияқты салаларда ЖИ ақаулары физикалық зиян келтіруі мүмкін. Стандарт жүйе ақаулығының ықтимал салдарына пропорционалды қауіпсіздік бағалауларын талап етеді.
  • Есеп берушілік тәуекелі: ЖИ жүйелері шешімдер қабылдағанда немесе оларға ықпал еткенде, есеп берушіліктің нақты желілері сақталуы тиіс. Стандарт адамның қадағалау механизмдерінің орнатылуын және ЖИ нәтижелері үшін жауапкершіліктің анық белгіленуін талап етеді.
  • Экологиялық тәуекел: Ірі ЖИ модельдерін оқыту және пайдалану елеулі энергия тұтынады. Бұл әлі негізгі фокус болмаса да, стандарт кеңірек әсерді бағалаудың бөлігі ретінде экологиялық мәселелерді мойындайды.

ЖИ жүйесіне әсерді бағалау

ISO 42001-дегі ең маңызды талаптардың бірі — ЖИ жүйесіне әсерді бағалау (AISIA). Бұл дәстүрлі тәуекелді бағалаудан тыс, ЖИ жүйесінің жеке адамдарға, топтарға, қоғамдастықтарға және қоғамға ықтимал әсерін бағалайды. AISIA ЖИ жүйесі орнатылмас бұрын жүргізілуі және мерзімді түрде немесе елеулі өзгерістер болған кезде қайта қаралуы тиіс.

Әсерді бағалау тікелей әсерлерді (ЖИ жүйесінің көзделген әсерлері), жанама әсерлерді (бірден байқалмайтын қосалқы әсерлер), жинақталған әсерлерді (ЖИ жүйесінің басқа жүйелермен және процестермен біріктірілген әсері) және жүйелік әсерлерді (нарықтарға, әлеуметтік жүйелерге немесе демократиялық процестерге кеңірек әсерлер) ескеруі тиіс.

ЕО ЖИ туралы заңының ауқымына жататын ұйымдар үшін AISIA тікелей 27-бапқа сәйкес жоғары тәуекелді ЖИ жүйелері үшін талап етілетін негізгі құқықтарға әсерді бағалауға сәйкес келеді. Бұл ISO 42001 сертификаттауын реттеу талаптарына сәйкестікті көрсетудің практикалық жолына айналдырады.

ISO 42001 мен ISO 27001 арасындағы қарым-қатынас

ISO 42001 мен ISO 27001 — бір-бірін толықтыратын стандарттар, бәсекелестер емес. ISO 27001 ақпараттық қауіпсіздікті — ақпараттық активтерді қауіптерден қорғауды қарастырады. ISO 42001 ЖИ басқаруды — ЖИ жүйелерін олардың бүкіл өмірлік циклі бойынша жауапты басқаруды қарастырады. Іс жүзінде, ЖИ жүйелерін орнатқан ұйымдардың көпшілігіне екеуі де қажет болады.

Қабаттасу бірнеше салада байқалады. Деректерді қорғау және құпиялылық бақылаулары екі стандартқа да қатысты. Қол жеткізуді бақылау және қауіпсіздікті мониторингтеу ЖИ жүйелеріне басқа ақпараттық жүйелер сияқты қолданылады. Жеткізу тізбегінің қауіпсіздігі (ISO 27001:2022 жаңа А қосымшасында маңызды) үшінші тараптың ЖИ компоненттерін басқаруға тікелей қатысты.

Екі стандарт та Гармонизацияланған құрылымды ұстанғандықтан, оларды бірыңғай басқару жүйесіне тиімді біріктіруге болады. Контекстті талдау, көшбасшылық міндеттемесі, ресурстарды басқару, ішкі аудит және басшылық шолу процестері екі стандартқа бір мезгілде қызмет ете алады. Тек пәнге тән бақылаулар (әр стандарттың А қосымшасы) бөлек өңдеуді талап етеді.

ISO 27001 сертификаты бар ұйымдар ISO 42001 бойынша елеулі артықшылыққа ие. Басқару жүйесінің инфрақұрылымы қазірдің өзінде бар — қосымша жұмыс ЖИ-ға тән саясаттарға, әсерді бағалауға және өмірлік цикл бақылауларына бағытталған.

ISO 42001 сертификаты кімге қажет?

ISO 42001 ЖИ жүйелерін әзірлейтін, ұсынатын немесе пайдаланатын кез келген ұйымға қатысты. Стандарт тәуекелдер мен жауапкершіліктер әр түрлі болғандықтан, осы үш рөлді ажыратады:

  • ЖИ әзірлеушілері ЖИ модельдері мен жүйелерін жасайды. Олар әділдікке, ашықтыққа және беріктікке әсер ететін дизайн шешімдері үшін жауапкершілік алады. Бұған технологиялық компаниялар, ЖИ зерттеу ұйымдары және кәсіпорындардағы ішкі ЖИ топтары кіреді.
  • ЖИ провайдерлері ЖИ жүйелерін басқаларға өнімдер, қызметтер немесе API арқылы қолжетімді етеді. Олар өз ұсыныстарының тұтынушылар мен реттеушілер күтетін басқару талаптарына сәйкес келуін қамтамасыз етуі тиіс. Бұған SaaS жеткізушілері, бұлтты ЖИ қызмет провайдерлері және платформа компаниялары кіреді.
  • ЖИ пайдаланушылары ЖИ жүйелерін бизнес процестерінде орнатады және пайдаланады. Олар ЖИ-ны әзірлемесе де, оның өз контекстінде қалай қолданылатынына, қадағаланатынына және басқарылатынына жауапты. Бұл ЖИ-ға негізделген құралдарды пайдаланатын іс жүзінде барлық ірі кәсіпорындарды қамтиды.

Сертификаттау реттелетін салалардағы ұйымдар (қаржы қызметтері, денсаулық сақтау, фармацевтика, сақтандыру), кәсіпорын тұтынушыларына ЖИ жүйелерін жеткізетін ұйымдар, ЖИ туралы заңның ЕО-да жұмыс істейтін компаниялар және жауапты ЖИ тәжірибелері негізінде өзін ерекшелендіргісі келетін кез келген ұйым үшін ерекше құнды.

ЕО ЖИ туралы заңымен сәйкестік

ЕО ЖИ туралы заңы ЖИ жүйелерін төрт тәуекел санатына жіктейді: қабылданбайтын тәуекел (тыйым салынған), жоғары тәуекел (кеңейтілген талаптарға тәуелді), шектеулі тәуекел (ашықтық міндеттемелері) және ең аз тәуекел (нақты талаптар жоқ). Жоғары тәуекелді ЖИ жүйелері үшін Заң тәуекелдерді басқару, деректерді басқару, техникалық құжаттама, жазбаларды жүргізу, ашықтық, адам қадағалауы, дәлдік, беріктік және киберқауіпсіздік бойынша талаптар белгілейді.

ISO 42001 ЕО ЖИ туралы заңына автоматты сәйкестікті қамтамасыз етпейді, бірақ ол Заңның көптеген талаптарына сәйкес келу үшін құрылымдық шеңбер ұсынады. Атап айтқанда:

  • ISO 42001-дегі ЖИ тәуекелдерін басқару процесі (6-тарау) ЕО ЖИ туралы заңының тәуекелдерді басқару талаптарына (9-бап) сәйкес келеді.
  • А қосымшасындағы деректерді басқару бақылаулары Заңның деректер сапасы талаптарына (10-бап) сәйкес келеді.
  • ЖИ жүйесіне әсерді бағалау негізгі құқықтарға әсерді бағалауға (27-бап) жауап береді.
  • Өмірлік цикл бақылаулары техникалық құжаттаманы (11-бап) және жазбаларды жүргізуді (12-бап) қамтиды.
  • Ашықтық және түсіндірілу талаптары Заңның ашықтық міндеттемелеріне (13-14 баптар) қолдау көрсетеді.
  • Адам қадағалау бақылаулары Заңның адам қадағалау талаптарына (14-бап) сәйкес келеді.

Еуропалық комиссия гармонизацияланған стандарттардың ЖИ туралы заңына сәйкестік презумпциясын орнатуда рөл атқаратынын көрсетті. ISO 42001 еуропалық гармонизацияланған стандарт емес (CEN/CENELEC қабылдауын талап ететін) халықаралық стандарт болса да, оның негіз болатыны немесе ақырында жарияланатын гармонизацияланған стандарттарға қатты ықпал ететіні кеңінен күтілуде.

Сертификаттау процесі

ISO 42001 сертификаттауы басқа ISO басқару жүйесі сертификаттаулары сияқты екі кезеңді аудит процесін ұстанады:

1-кезең — Құжаттаманы шолу: Сертификаттау органы ұйымның AIMS құжаттамасын, оның ішінде ЖИ саясатын, ауқым мәлімдемесін, тәуекелді бағалау әдістемесін, А қосымшасы бақылаулары бойынша қолданылу мәлімдемесін, ЖИ жүйелерінің тізімдемесін, әсерді бағалауларды және қолдау рәсімдерін тексереді. Аудитор басқару жүйесінің стандарт талаптарына сәйкес жобаланғанын тексереді және 2-кезеңге дейін назар аударуды қажет ететін бағыттарды анықтайды.

2-кезең — Іске асыруды аудиттеу: Аудиторлар AIMS-тің іске асырылғанын және тиімді екенін тексеру үшін жергілікті (немесе қашықтан) бағалау жүргізеді. Бұл қызметкерлермен сұхбат жүргізуді, жазбаларды тексеруді, ЖИ жүйелерін және олардың құжаттамасын зерттеуді және бақылаулардың тиімділігін тексеруді қамтиды. Аудит стандарттың барлық тарауларын және барлық қолданылатын А қосымшасы бақылауларын қамтиды.

Екі кезең де сәтті аяқталғаннан кейін ұйым жыл сайынғы бақылау аудиттеріне тәуелді үш жыл мерзімге жарамды сертификат алады. Бақылау аудиттері жыл сайын басқару жүйесінің бір бөлігін тексереді, толық жүйе үш жылдық циклде қамтылады.

Бастау үшін практикалық қадамдар

ISO 42001 сертификаттауын қарастыратын ұйымдар келесі дайындық қадамдарын жасауы тиіс:

  • ЖИ жүйелеріңізді тізімдеңіз. Білмейтін нәрсеңізді басқара алмайсыз. Пайдаланылып жатқан, әзірленіп жатқан немесе тұтынушыларға ұсынылатын барлық ЖИ жүйелерінің толық тізімдемесін жасаңыз. ЖИ түрі (машиналық оқыту, NLP, компьютерлік көру және т.б.), пайдаланылатын деректер, ықпал ететін шешімдер және әсерге ұшырайтын мүдделі тараптар туралы мәліметтерді қосыңыз.
  • Ағымдағы басқару жетілу деңгейін бағалаңыз. Көптеген ұйымдарда ЖИ басқару тәжірибелері бар, тіпті олар бейресми болса да. Бар нәрселерді құжаттаңыз және ISO 42001 талаптарына қарсы олқылықтарды анықтаңыз.
  • ЖИ саясатын белгілеңіз. Бұл сіздің ұйымыңыздың жауапты ЖИ-ға адалдығын білдіретін негізгі құжат. Ол әділдікті, ашықтықты, есеп берушілікті, қауіпсіздікті, құпиялылықты және адам қадағалауын қарастыруы тиіс.
  • ЖИ-ға әсерді бағалау жүргізіңіз. Әр ЖИ жүйесі үшін жеке адамдарға, топтарға және қоғамға ықтимал әсерлерді бағалаңыз. Жоғары тәуекелді жүйелерді дереу назар аударуға басымдық беріңіз.
  • Бар басқару жүйелерімен біріктіріңіз. Егер сізде ISO 27001 немесе басқа сертификаттар болса, AIMS-ті басынан бастап біріктіруді жоспарлаңыз. Бұл қайталауды болдырмайды және операциялық жүктемені азайтады.
  • Құзыреттілікті арттырыңыз. ЖИ басқару техникалық ЖИ сарапшылығын, құқықтық және реттеу білімін, этиканы және пәнге тән түсінікті біріктіруді талап етеді. Дағдылар олқылықтарын анықтаңыз және оқуға инвестиция салыңыз.
  • Басшылықты тартыңыз. ЖИ басқару IT жобасы емес — ол атқарушы демеушілік пен кросс-функционалды қатысуды талап етеді. Реттеу талаптарына сәйкестікті, тұтынушы сенімін және тәуекелдерді азайтуды қоса алғанда, бизнес кейсін ұсыныңыз.

BALTUM қалай көмектесе алады

BALTUM ISO 42001 сертификаттауын алғысы келетін ұйымдарға жан-жақты қолдау ұсынады. Біздің ЖИ басқару мамандарымыз тұтынушылармен бірнеше сала мен реттеу ортасында жұмыс істейді. Біздің қызметтерімізге мыналар кіреді:

  • ЖИ басқаруға дайындықты бағалау: Ағымдағы ЖИ тәжірибелеріңізді ISO 42001 талаптарына қарсы мұқият бағалау, басымдылық берілген іске асыру жол картасы ретінде ұсынылады.
  • AIMS іске асыруды қолдау: ЖИ басқару жүйеңізді жобалау және іске асыру бойынша практикалық нұсқаулық, оның ішінде саясатты әзірлеу, тәуекел әдістемесі, әсерді бағалау шеңберлері және бақылауларды іске асыру.
  • ЖИ жүйесіне әсерді бағалау: ЖИ жүйелеріңіз үшін әсерді бағалауды сарапшылық деңгейде жүргізу, әсіресе біржақтылық, әділдік, ашықтық және адам құқықтарына ерекше назар аудару.
  • Біріктірілген басқару жүйесін жобалау: ISO 27001 немесе басқа сертификаттары бар ұйымдар үшін қажетсіз қайталаусыз ЖИ басқаруды қамтитын біріктірілген басқару жүйелерін жобалаймыз.
  • ЕО ЖИ туралы заңына сәйкестікті салыстыру: AIMS-тің ЕО ЖИ туралы заң талаптарына сәйкестігін толық салыстыру, тек сертификаттау қамтымайтын олқылықтарды анықтау.
  • Сертификаттау алдындағы аудит: Сертификаттау органының келуіне дейін дайындықты қамтамасыз ету үшін тәжірибелі бағалаушылар жүргізетін толық сынақ аудиті.

Жауапты ЖИ басқару тек реттеу талабы ғана емес, бәсекеге қабілеттілік қажеттілігіне тез айналуда. Берік ЖИ басқару жүйелерін қазір орнататын ұйымдар ЖИ мүмкіндіктерін сеніммен кеңейтуге, дамып жатқан реттеу күтулеріне жауап беруге және тұтынушылардың, серіктестердің және жұртшылықтың сенімін жаулап алуға жақсы жағдайда болады. ISO 42001 шеңберді ұсынады — міндет оны технология талап ететін қатаңдықпен және адалдықпен іске асыру.