最近发布了一项新标准 ISO 42001,用于管理组织内人工智能和语言学习模型的使用。该标准为组织制定了一个框架,以便以可信、合乎道德和负责任的方式管理、实施和不断改进人工智能系统。该标准与 ISO 27001 和 ISO 27701 标准相结合,正迅速成为现代治理的 "三大标准"。
Loading...
整合您的数据安全系统:将 ISO 42001 与 ISO 27001 和 ISO 27701 相结合
Loading...
这些标准的重点如下
| 标准 | 重点领域 |
|---|---|
| ISO/IEC 42001 | 人工智能管理系统 (AIMS) - 道德、透明、负责任的人工智能系统 |
| ISO 27001 | 信息安全管理体系(ISMS)--保护信息的机密性、完整性和可用性 |
| ISO 27701 | 隐私信息管理系统 (PIMS) - ISO 27001 的扩展,侧重于隐私控制 |
关键框架领域
由于 ISO 27001 和 ISO 42001 都遵循国际标准化组织引入的统一结构,因此可以非常简单地映射出关键领域。ISO 27701 是 ISO 27001 的扩展,因此也可以很容易地整合到对 PII 的额外关注上。
| 主题/领域 | ISO 42001(目标) | ISO 27001(管理系统) | ISO 27701(PIMS) | 注释 |
|---|---|---|---|---|
| 治理与管理框架 | 4.1-4.4(背景、领导、范围、管理系统的建立) | 4.1-4.4(背景、领导、范围、建立 ISMS) | 扩展 ISO 27001 第 4 和第 5 条的隐私治理作用 | 所有系统都共享这些关键条款,因此可以统一治理结构。 |
| 风险管理 | 6.1 (人工智能特定风险识别与评估) | 6.1 (信息安全风险评估与处理) | 5.4.1-5.4.6(隐私风险评估与处理) | 42001 专注于人工智能生命周期风险(偏差、对抗性输入);27001 涵盖更广泛的信息安全风险;27701 应用隐私风险叠加。 |
| 监控与测量 | 9.1 (人工智能系统性能监控) | 9.1 (ISMS 监控与测量) | 9.1 (PIMS 监控与测量) | 共同的 PDCA 测量周期允许整合度量仪表板。 |
| 持续改进 | 10.1 (不符合项和纠正措施) | 10.1 (不符合项和纠正措施) | 10.1 (不符合项和纠正措施) | 采用相同的方法,可轻松统一纠正措施流程。 |
管理体系流程
管理系统中用于降低已识别的关键风险的关键流程是相关的,可纳入单一流程,用于处理数据隐私和人工智能问题。另外,也可以将这些流程纳入现有流程,或对现有流程进行改进,以满足其他标准的要求。下文对此进行了概述:
ISO 42001 ↔ ISO 27001 ↔ ISO 27701 控制映射
| 主题/领域 | ISO 42001(目标) | ISO 27001(管理系统) | ISO 27701(PIMS) | 映射说明 | 应用实例 |
|---|---|---|---|---|---|
| 角色与责任 | 5.3 (人工智能管理角色、人工智能道德委员会) | A.6.1.1(信息安全的角色和责任) | 5.3.1-5.3.4(隐私角色、数据保护官、控制者/处理者) | 将安全、人工智能和隐私责任整合为一个 RACI 的机会。 | 将人工智能道德责任分配为安全治理的一部分。 |
| 政策与程序 | 5.2 (人工智能政策) | A.5.1(信息安全政策) | 5.2.x(隐私政策要求) | 可制定一个总体政策框架,并为人工智能和隐私的具体要求制定附录。 | 纳入 |
| 数据管理与质量 | A.7.2(人工智能培训和操作的数据质量) | A.5.34(PII 处理),A.8.10(信息分类) | 7.4.1-7.4.3(数据最小化、准确性、质量) | 42001 侧重于代表性和防止偏差;27701 增加了合法依据和最小化。 | 在将个人数据用于人工智能模型训练之前,对其进行匿名处理。 |
| 访问控制 | A.5.15、A.5.18、A.8.2、A.8.3、A.8.4、A.8.18 | 限制对人工智能数据集、API 和训练管道的访问。 | |||
| 人工智能资产的安全 | A.7.3(保护人工智能模型、训练数据、算法) | A.8.1-A.8.12(资产管理与技术控制) | 7.4.5-7.4.6(系统中的 PII 保护) | 特定于人工智能的资产保护与 27001 的资产管理和加密控制相对应。 | |
| 模型透明度和可解释性 | A.8.4(透明度措施、人工智能决策文件) | 不适用(A.5.2 用户意识除外) | 与 27701 7.3.1 项下的隐私通知间接相关 | 主要为 42001 所独有,但隐私披露义务可以一致。 | |
| 事件管理 | A.8.6(人工智能特定事件处理,例如模型漂移、偏差检测) | A.5.25-A.5.28(信息安全事件管理) | 7.4.7(PII 外泄通知) | 可将人工智能事件纳入更广泛的 ISMS 事件响应中,并触发隐私泄露报告。 | 为生产中检测到的人工智能相关事件定义升级路径。 将人工智能异常和事件纳入事件响应计划。
|
| 第三方和供应链 | A.7.4(供应商人工智能合规保证) | A.5.19-A.5.22(供应商安全控制) | 7.2.x(处理器和第三方隐私要求) | 所有这些都要求审查和监控供应商,但 42001 增加了人工智能特定要求(如模型出处)。 | 评估人工智能供应商是否符合隐私和安全标准。 在人工智能供应商合同中制定隐私条款。 对第三方人工智能供应商进行安全评估。 |
主要启示
- 结构兼容性:三者共享 ISO 统一结构,因此比非 ISO 框架更易于整合。
- 独特的补充:
- ISO 42001带来了人工智能伦理、偏见预防、透明度和生命周期特定风险控制。
- ISO 27001带来了深入的网络安全技术控制。
- ISO 27701带来了隐私设计和合法处理保障措施。
- 统一实施机会:通过创建共享的治理、风险管理、事故处理和供应商保证流程,您可以最大限度地减少重复,同时还能满足每个标准的独特要求。
作者
Brad Fabiny
Loading...
