轉載「AI 國際標準呼之欲出，ISO 42001 即將公告 AI 管理解方」訊息

  AI 國際標準呼之欲出，ISO 42001 即將公告 AI 管理解方    

近年來，人工智慧（AI）應用推陳出新，大眾在看待 AI 新興科技的同時，也由不同的角度，如:安全、隱私、個資保護、法規遵循與風險等來檢視，以決定使用或接受 AI 與否，也因此，近來業界倡議「負責任的（Responsible）AI」，即期望 AI 的可信度（Trustworthiness），包含如：透通性（Transparency）、可解釋性（Explainability）、可控制性（Controllability）、威脅與風險（Threats and Risks）、可用性（Availability）、韌性（Resiliency）、可靠度（Reliability）、正確性（Accuracy）、安全（Safety）、資安（Security）、隱私（Privacy）等（可參考 2020 年公布的 ISO 24028 Overview of Trustworthiness in Artificial Intelligence）。

發展沿革 

也因此，使用管理系統有系統地達成 AI 可信度的目標，循數個前例，如：資通安全的ISO 27001 資訊安全管理系統（ISMS）、隱私與個資保護的 ISO 27701 隱私資訊管理系統（PIMS）、業務持續與韌性的 ISO 22301 業務持續管理系統（BCMS）等，便應運而生了 AIMS 人工智慧管理系統，自 2020 年 8 月建立了 AIMS 國際標準 ISO／IEC 42001發展專案至今。

 ISO 42001 自疫情漸緩後，發展進程（如圖A）也更積極，以支援國際間 AI 相關法規的進展，包括如：美國政府於 2020 年的第 13960 號總統令 Promoting the Use of Trustworthy AI in the Federal Government與AI in Government Act of 2020 （DIVISION U, TITLE I）來管制聯邦政府的 AI 使用，NIST 也發布了Artificial Intelligence Risk Management Framework 標準來支持 AI 所需要的風險管理作業，值此之際，美國 AI 的法制化仍在持續進行中。

 此外，以加拿大為例，Artificial Intelligence and Data Act（AIDA）正在法制化的過程中，AIDA 將要求企業由設計時期開始識別高衝擊的 AI 系統有關的傷害與偏差的風險，並於佈署時評鑑 AI 系統的預期使用及限制、確保使用者了解 AI 系統、施作適當的風險應對策略與確保 AI 系統的持續監控。同樣地，歐盟（EU）AI Act 也聚焦在高風險或高衝擊的AI系統。

適用範圍與目的 國際標準 ISO/IEC 42001（正發展中），由國際標準化組織（ISO）的 ISO/IEC JTC1/SC42 Artificial Intelligence 技術組主責，目前位於 FDIS（最終版國際標準草案）階段，預計於 2023 年第三季至 2024 年第一季間公告，此為國際標準（ISO/IEC）中針對 AI 的管理系統標準。 其中，ISO 42001 AIMS 旨在協助組織負責任地履行其在 AI 系統方面的角色（例如使用、開發、監控或提供利用 AI 的產品或服務），包括生成式（Generative） AI、機器學習（Machine Learning）、深度學習（Deep Learning）等。
ISO 42001的目的是指導組織如何管理（包括建立、部署、維護、持續改善），這即是專案管理中熟悉的Plan-Do-Check-Act（PDCA）過程，並提供要求（Requirements）。 在法規遵循的考量之下，管理系統被認為是針對合規（Compliance）所展現的有力方法，如同資訊安全管理系統 ISO 27001 對應於資通安全法規、隱私資訊管理系統 ISO 27701 對應於隱私與個資法規，人工智慧管理系統 ISO 42001 則對應於AI法規。 再者，ISO 42001 AIMS 並對組織的治理（Governance）、風險管理（Risk）及合規（Compliance）議題（簡稱 GRC），於 AI 領域提供了實踐的機制。
 

 AI 的合規面

 如同 ISMS／ISO 27001 包含資訊安全風險管理議題，PIMS／ISO 27701 包含隱私風險管理與隱私衝擊評鑑等議題；資訊安全風險管理可參考 ISO 31000 與 ISO 27005 標準，隱私風險管理與隱私衝擊評鑑可參考 ISO 31000 與 ISO 29134 等標準。對於AIMS／ISO 42001，則包含了 AI 風險管理與 AI 系統衝擊評鑑等議題。其中，AI 風險管理可參考 ISO 23894 標準（2023 年公告）、AI 系統衝擊評鑑可參考 ISO 42005 標準（目前正發展中）。

AI 相關標準共同對 AI 法規提供了有效的合規展現機制，以歐盟的 AI Act 為例，國際標準與其對應關係包含了對應於 Article 9 Risk Management System（與相關Articles）的 ISO 23894、對應於 Article 17 Quality Management System 的 ISO 42001 與對應於 Article 29 Obligations of Users of High-Risk AI systems 的 ISO 42005 及 ISO 29134（相關於 GDPR 的 Data Protection Impact Assessment），至於 AI 的概念與術語則列舉於 ISO 22989 標準（2022年公告）中供大眾檢閱。

 

 

【資安新聞-ciotaiwan】

AI 國際標準呼之欲出，ISO 42001 即將公告 AI 管理解方

詳細資訊請參考：https://www.cio.com.tw/the-international-standard-for-ai-is-so-close-that-iso-42001-is-about-to-announce-ai-management/