人工智能 管理體系 征求意見(jiàn)稿

1GB/TXXXXX—XXXX/ISO/IEC42001:XXXX人工智能管理體系本文件規(guī)定了在組織范圍內(nèi)建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)人工智能管理系統(tǒng)的要求并提供了指導(dǎo)。本文件適用于提供或使用人工智能系統(tǒng)的產(chǎn)品或服務(wù)的組織。本文件旨在幫助組織負(fù)責(zé)任地開(kāi)發(fā)、提供或使用人工智能系統(tǒng)，以實(shí)現(xiàn)其目標(biāo)，并滿足與利益相關(guān)方相關(guān)的適用法規(guī)要求、義務(wù)和期望。本文件適用于任何提供或使用人工智能系統(tǒng)的產(chǎn)品或服務(wù)的組織，無(wú)論其規(guī)模、類型和性質(zhì)如何。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅注日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。ISO/IEC22989:2022信息技術(shù)人工智能人工智能概念和術(shù)語(yǔ)（Informationtechnology—Artificialintelligence—Artificialintelligenceconceptsandterminology）3術(shù)語(yǔ)和定義ISO/IEC22989:2022界定的及下列術(shù)語(yǔ)和定義適用于本文件。3.1組織organization為實(shí)現(xiàn)目標(biāo)（3.6），由職責(zé)、權(quán)限和相互關(guān)系構(gòu)成自身功能的一個(gè)人或一組人。注1：組織的概念包括，但不限于個(gè)體經(jīng)營(yíng)者、公司、集團(tuán)公司、商行、企事業(yè)單位、權(quán)力機(jī)構(gòu)、合伙企業(yè)、慈善機(jī)構(gòu)或研究機(jī)構(gòu)，或上述組織的部分或組合，無(wú)論是否具有法人資3.2相關(guān)方interestedparty能夠影響決策、被影響或認(rèn)為自己受到?jīng)Q策或活動(dòng)影響的人或組織(3.1)3.3最高管理者topmanagement在最高層指揮并控制組織(3.1)的一個(gè)人或一組人。2GB/TXXXXX—XXXX/ISO/IEC42001:XXXX3.4管理體系managementsystem組織(3.1)為確立方針(3.5)和目標(biāo)(3.6)以及實(shí)現(xiàn)這些目標(biāo)的過(guò)程(3.8)所形成的相互關(guān)聯(lián)或相互作用的一組要件。3.5方針policy由最高管理者(3.3)正式表述的組織(3.1)的意圖和方向。3.6目標(biāo)objective要實(shí)現(xiàn)的結(jié)果。注2：目標(biāo)可能涉及不同的主題(如財(cái)務(wù)、健康和安全、環(huán)境)3.7風(fēng)險(xiǎn)risk不確定性的影響。注2：不確定性是指對(duì)某一事件、其后果或可能性缺乏相關(guān)信息、3.8過(guò)程process使用或轉(zhuǎn)化輸入以實(shí)現(xiàn)結(jié)果的一組相互關(guān)聯(lián)或相互作用的活動(dòng)。3.9能力competence3GB/TXXXXX—XXXX/ISO/IEC42001:XXXX應(yīng)用知識(shí)和技能實(shí)現(xiàn)預(yù)期結(jié)果的本領(lǐng)。3.10文件化信息documentedinformation組織(3.1)需要控制和維護(hù)的信息及其載體。3.11績(jī)效performance可測(cè)量的結(jié)果。注2:績(jī)效可能與活動(dòng)、過(guò)程（3.8）、產(chǎn)品、服注3:在本文件中，績(jī)效既指使用人工智能系統(tǒng)取得的結(jié)果，也指與人工智能管理體系相關(guān)的結(jié)果（3.4）。該術(shù)語(yǔ)3.12持續(xù)改進(jìn)continualimprovement提高績(jī)效（3.11）的循環(huán)活動(dòng)。3.13有效性effectiveness完成策劃的活動(dòng)和實(shí)現(xiàn)策劃的結(jié)果的程度。3.14要求/需求requirement規(guī)定的、不言而喻的或有義務(wù)履行的需求或期望。注1：不言而喻的或有義務(wù)履行的需要或期望是指需求。其中，“不言而喻”是指組慣例或一般做法，不言而喻的需求或期望是3.15符合conformity滿足要求(3.14)。3.164GB/TXXXXX—XXXX/ISO/IEC42001:XXXX不符合nonconformity未滿足要求(3.14)。3.17糾正措施correctiveaction為消除不符合(3.16)的原因并防止再次發(fā)生而采取的措施。3.18審核audit獲取審核證據(jù)并對(duì)其進(jìn)行客觀評(píng)價(jià)，以確定審核準(zhǔn)則滿足程度所進(jìn)行的系統(tǒng)的、獨(dú)立的過(guò)程（3.8）。注1：注1：審核可能為內(nèi)部（第一方）審核或外部（第二方或第三方）審核，也可能為多體系審核（合并兩個(gè)或3.19測(cè)量measurement確定數(shù)值的過(guò)程（3.8）。3.20監(jiān)視monitoring確定體系、過(guò)程(3.8)或活動(dòng)的狀態(tài)。3.21控制control<風(fēng)險(xiǎn)>維持和/或修改風(fēng)險(xiǎn)（3.7）的措施。3.22治理機(jī)構(gòu)governingbody對(duì)組織的績(jī)效和一致性負(fù)責(zé)的人或一組人。注2：治理機(jī)構(gòu)可以包括但不限于董事會(huì)、董3.235GB/TXXXXX—XXXX/ISO/IEC42001:XXXX信息安全informationsecurity保持信息的保密性、完整性和可用性。[來(lái)源:ISO/IEC27000:23.24人工智能體系影響評(píng)估AIsystemimpactassessment由開(kāi)發(fā)、提供或使用人工智能產(chǎn)品或服務(wù)的組織識(shí)別、評(píng)估和解決對(duì)個(gè)人(或個(gè)人群體)和社會(huì)的影響的正式的、文件化的過(guò)程。3.25數(shù)據(jù)質(zhì)量dataquality符合組織在特定情況下數(shù)據(jù)需求的一種數(shù)據(jù)特征。[來(lái)源:ISO/IEC5259-1,3.4]3.26適用性聲明statementofapplicability所有必要控制（3.23），以及包括或排除控制的理由的文件化。注2：所有已識(shí)別的風(fēng)險(xiǎn)，組織應(yīng)按本文件的要求形成文件。所有已識(shí)別的風(fēng)險(xiǎn)和為解決這些風(fēng)險(xiǎn)而制定的風(fēng)險(xiǎn)管4組織環(huán)境4.1理解組織及其環(huán)境組織應(yīng)確定與其宗旨相關(guān)的，并影響其實(shí)現(xiàn)人工智能管理體系預(yù)期結(jié)果的能力的內(nèi)部和外部事項(xiàng)。組織應(yīng)考慮組織開(kāi)發(fā)、提供或使用的人工智能系統(tǒng)的預(yù)期目的。組織應(yīng)確定其在人工智能系統(tǒng)中的角色。為了了解組織及其環(huán)境，組織確定其相對(duì)于人工智能系統(tǒng)的角色可能會(huì)有所幫助。這些角色可以包括但不限于以下一種或多種:—人工智能提供商，包括人工智能平臺(tái)提供商、人工智能產(chǎn)品或服務(wù)提供商;—人工智能生產(chǎn)者，包括人工智能開(kāi)發(fā)者、人工智能設(shè)計(jì)師、人工智能運(yùn)營(yíng)商、人工智能測(cè)試和評(píng)估人員、人工智能部署人員、人工智能人為因素專業(yè)人員、領(lǐng)域?qū)＜?、人工智能影響評(píng)估人員、采購(gòu)人員、人工智能治理和監(jiān)督專業(yè)人員;—人工智能客戶，包括人工智能用戶;—人工智能合作伙伴，包括人工智能系統(tǒng)集成商和數(shù)據(jù)提供商;—人工智能主體，包括數(shù)據(jù)主體和其他主體;—相關(guān)監(jiān)管機(jī)構(gòu)，包括政策制定者和監(jiān)管機(jī)構(gòu)。6GB/TXXXXX—XXXX/ISO/IEC42001:XXXXISO/IEC22989提供了這些角色的詳細(xì)描述。此外，角色類型及其與人工智能系統(tǒng)生命周期的關(guān)系也在NIST人工智能風(fēng)險(xiǎn)管理框架中進(jìn)行了描述[28]。組織的角色可以確定本文件中的要求和控制的適用性和適用性程度。注1：根據(jù)本條款要解決的外部和內(nèi)部問(wèn)題可能因組織的角色和管轄權(quán)及其對(duì)其實(shí)現(xiàn)人工智能管理體系預(yù)期結(jié)果的能力的影響而有所不同。這些可以包括但不限于:a)外部環(huán)境相關(guān)的考慮，如:1)適用的法律要求，包括禁止使用人工智能;2)監(jiān)管機(jī)構(gòu)的政策、指導(dǎo)方針和決定對(duì)人工智能系統(tǒng)開(kāi)發(fā)和使用中法律要求的解釋或執(zhí)行產(chǎn)生影響;3)與人工智能系統(tǒng)的預(yù)期目的和使用相關(guān)的激勵(lì)或后果;4)人工智能發(fā)展和使用方面的文化、傳統(tǒng)、價(jià)值觀、規(guī)范和倫理;5)使用人工智能系統(tǒng)的新產(chǎn)品和服務(wù)的競(jìng)爭(zhēng)格局和趨勢(shì)。b)內(nèi)部環(huán)境相關(guān)的考慮，如:1)組織環(huán)境、治理、目標(biāo)(見(jiàn)6.2)、方針和程序;2)合同義務(wù);3)擬開(kāi)發(fā)或使用人工智能系統(tǒng)的預(yù)期目的。4.2理解相關(guān)方的需求和期望組織應(yīng)確定：—與人工智能管理體系有關(guān)的相關(guān)方；—這些相關(guān)方的有關(guān)需求；—哪些需求將通過(guò)人工智能管理體系予以解決。4.3確定人工智能管理體系的范圍組織應(yīng)確定人工智能管理體系的邊界和適用性，以確定其范圍。組織應(yīng)根據(jù)以下內(nèi)容確定人工智能管理體系的范圍：—4.1提及的內(nèi)部和外部事項(xiàng)；—4.2提到的需求。范圍應(yīng)作為文件化信息可獲取。人工智能管理體系的范圍應(yīng)根據(jù)本文件對(duì)人工智能管理體系、領(lǐng)導(dǎo)、策劃、支持、運(yùn)行、績(jī)效、評(píng)價(jià)、改進(jìn)、控制和目標(biāo)的要求確定組織的活動(dòng)。4.4人工智能管理體系組織應(yīng)按照本文件的要求，建立、實(shí)施、保持、持續(xù)改進(jìn)人工智能管理體系，包括所需的過(guò)程及其相互作用，并形成文件。5領(lǐng)導(dǎo)作用5.1領(lǐng)導(dǎo)作用和承諾最高管理者應(yīng)通過(guò)以下方式展示對(duì)人工智能管理體系的領(lǐng)導(dǎo)作用和承諾：7GB/TXXXXX—XXXX/ISO/IEC42001:XXXX—確保制定人工智能政策（見(jiàn)5.2）和人工智能目標(biāo)（見(jiàn)6.2），并與組織的戰(zhàn)略方向保持一致；—確保將人工智能管理體系的要求納入組織的業(yè)務(wù)流程；—確保具備人工智能管理體系所需的資源；—傳達(dá)有效的人工智能管理和符合人工智能管理體系要求的重要性；—確保人工智能管理體系達(dá)到預(yù)期效果；—指導(dǎo)和支持有關(guān)人員促進(jìn)人工智能管理體系的有效性；—促進(jìn)持續(xù)改進(jìn)；—支持其他相關(guān)人員在其職責(zé)范圍內(nèi)發(fā)揮領(lǐng)導(dǎo)作用。注2：在組織內(nèi)部建立、鼓勵(lì)和構(gòu)建一種文化，以負(fù)責(zé)任的方式使用、開(kāi)發(fā)和治理人工智能系統(tǒng)，這是最高管理層承諾和領(lǐng)導(dǎo)力的重要體現(xiàn)。確保意識(shí)到并遵守這種負(fù)責(zé)任的方法，并通過(guò)領(lǐng)導(dǎo)支持有助于人工智能管理系統(tǒng)5.2人工智能政策方針最高管理者應(yīng)制定一項(xiàng)人工智能政策方針，該方針：a)適合于組織的宗旨；b)為制定人工智能目標(biāo)提供一個(gè)框架（見(jiàn)6.2）；c)包括滿足適用要求的承諾；d)包括對(duì)持續(xù)改進(jìn)人工智能管理體系的承諾。人工智能方針應(yīng)：—作為文件資料提供；—參考其他相關(guān)的組織政策；—在組織內(nèi)部傳達(dá)；—酌情提供給有關(guān)各方。A.2提供了制定人工智能政策的控制目標(biāo)和控制。這些控制的實(shí)施指南見(jiàn)B.2。5.3崗位、職責(zé)和權(quán)限最高管理者應(yīng)確保在組織內(nèi)部分配并溝通相關(guān)崗位的職責(zé)和權(quán)限。最高管理者應(yīng)分配職責(zé)和權(quán)限，以便：a)確保人工智能管理體系符合本文件的要求；b)向最高管理者報(bào)告人工智能管理體系的績(jī)效。附件A（A.3.2）提供了定義和分配角色與責(zé)任的控制。B.3.2提供了該控制的實(shí)施指南。6策劃6.1識(shí)別風(fēng)險(xiǎn)和機(jī)會(huì)的措施6.1.1通則在對(duì)人工智能管理體系進(jìn)行策劃時(shí)，組織應(yīng)考慮4.1中提及的問(wèn)題和4.2中提及的要求，并確定需要應(yīng)對(duì)的風(fēng)險(xiǎn)和機(jī)遇，以便：—確保人工智能管理體系能夠?qū)崿F(xiàn)其預(yù)期結(jié)果；—防止或減少不利影響；8GB/TXXXXX—XXXX/ISO/IEC42001:XXXX—實(shí)現(xiàn)持續(xù)改進(jìn)。組織應(yīng)建立和維護(hù)人工智能風(fēng)險(xiǎn)標(biāo)準(zhǔn)，以支持以下工作：—區(qū)分可接受與不可接受的風(fēng)險(xiǎn)；—進(jìn)行人工智能風(fēng)險(xiǎn)評(píng)估；—實(shí)施人工智能風(fēng)險(xiǎn)處理；—評(píng)估人工智能風(fēng)險(xiǎn)的影響。組織應(yīng)根據(jù)以下因素確定風(fēng)險(xiǎn)和機(jī)遇：—人工智能系統(tǒng)的領(lǐng)域和應(yīng)用背景；—預(yù)期用途；—4.1中描述的外部和內(nèi)部環(huán)境。注2：在人工智能管理體系的范圍內(nèi)可考慮不止一個(gè)人工智能系統(tǒng)。在這種情況下，應(yīng)針對(duì)每個(gè)人工智能系統(tǒng)或人組織應(yīng)計(jì)劃：a)應(yīng)對(duì)這些風(fēng)險(xiǎn)和機(jī)遇的行動(dòng)；b)如何做：1）將這些行動(dòng)納入其人工智能管理體系流程并加以實(shí)施；2）評(píng)估這些行動(dòng)的有效性。組織應(yīng)保留為識(shí)別和應(yīng)對(duì)人工智能風(fēng)險(xiǎn)和機(jī)會(huì)而采取的行動(dòng)的記錄信息。注4：組織及其活動(dòng)的背景會(huì)對(duì)組織的風(fēng)險(xiǎn)注5：注5不同部門和行業(yè)對(duì)風(fēng)險(xiǎn)的定義以及風(fēng)險(xiǎn)管理的設(shè)想可能有所不同。3.7中對(duì)風(fēng)險(xiǎn)的規(guī)范性定義允許對(duì)分，組織的職責(zé)是首先采用適合其環(huán)境的風(fēng)險(xiǎn)觀。這可以包括6.1.2人工智能風(fēng)險(xiǎn)評(píng)估組織應(yīng)定義并建立人工智能風(fēng)險(xiǎn)評(píng)估流程，該流程應(yīng)：a)參考并符合人工智能政策（見(jiàn)5.2）和人工智能目標(biāo)（見(jiàn)6.2）;b)在設(shè)計(jì)上使重復(fù)的人工智能風(fēng)險(xiǎn)評(píng)估能夠產(chǎn)生一致、有效和可比較的結(jié)果；c)識(shí)別有助于或妨礙實(shí)現(xiàn)人工智能目標(biāo)的風(fēng)險(xiǎn)；d)分析人工智能風(fēng)險(xiǎn)，以便：1）評(píng)估如果確定的風(fēng)險(xiǎn)成為現(xiàn)實(shí)，將對(duì)組織、個(gè)人和社會(huì)造成的潛在后果；2）酌情評(píng)估已識(shí)別風(fēng)險(xiǎn)的現(xiàn)實(shí)可能性；3）確定風(fēng)險(xiǎn)等級(jí)。e)評(píng)估人工智能風(fēng)險(xiǎn)，以便：1）將風(fēng)險(xiǎn)分析結(jié)果與風(fēng)險(xiǎn)準(zhǔn)則（見(jiàn)6.1.1）進(jìn)行比較；2）對(duì)評(píng)估的風(fēng)險(xiǎn)進(jìn)行優(yōu)先排序，以便進(jìn)行風(fēng)險(xiǎn)處理。組織應(yīng)保留有關(guān)人工智能風(fēng)險(xiǎn)評(píng)估過(guò)程的文件化信息。6.1.3人工智能風(fēng)險(xiǎn)處理9GB/TXXXXX—XXXX/ISO/IEC42001:XXXX考慮到風(fēng)險(xiǎn)評(píng)估結(jié)果，組織應(yīng)確定人工智能風(fēng)險(xiǎn)處理流程，以便：a)選擇適當(dāng)?shù)娜斯ぶ悄茱L(fēng)險(xiǎn)處理方案；b)確定實(shí)施所選人工智能風(fēng)險(xiǎn)處理方案所必需的所有控制，并將這些控制與附件A中的控制進(jìn)行比較，以核實(shí)沒(méi)有遺漏任何必要的控制。c)考慮附件A中與實(shí)施人工智能風(fēng)險(xiǎn)處理方案相關(guān)的控制；d)確定除了附件A中的控制外，是否還需要其他控制，以實(shí)施所有風(fēng)險(xiǎn)處理備選方案；控制目標(biāo)隱含在所選擇的控制中。組織可根據(jù)需要選擇附件A中列出的控制目標(biāo)和控制。附件A中的控制并非詳盡無(wú)遺，可能還需要額外的控制目標(biāo)和控制。如果需要附件A以外的不同或額外控制，組織可設(shè)計(jì)此類控制或從現(xiàn)有來(lái)源獲取。如適用，人工智能風(fēng)險(xiǎn)管理可納入其他管理系統(tǒng)。e)編制一份適用性聲明，其中包含必要的控制[見(jiàn)b)、c)和d)]，并說(shuō)明納入和排除控制的理由。排除的理由可包括風(fēng)險(xiǎn)評(píng)估認(rèn)為不需要的控制，以及適用的外部要求不需要（或?qū)儆诶馇闆r）的控制。注3：組織可提供文件證明排除一般或特定人工智能系統(tǒng)控制目標(biāo)的理由，不論是附件A中列出的還是組織自己f)制定人工智能風(fēng)險(xiǎn)處理辦法；獲得指定管理層對(duì)人工智能風(fēng)險(xiǎn)處理計(jì)劃和接受殘余人工智能風(fēng)險(xiǎn)的批準(zhǔn)。必要的控制應(yīng)：—與6.2中的目標(biāo)相一致；—作為文件信息提供；—在組織內(nèi)部傳達(dá)；—酌情提供給有關(guān)各方。組織應(yīng)保留有關(guān)人工智能風(fēng)險(xiǎn)處理流程的文件化信息。6.1.4人工智能系統(tǒng)影響評(píng)估組織應(yīng)確定一個(gè)程序，用于評(píng)估開(kāi)發(fā)、提供或使用人工智能系統(tǒng)可能對(duì)個(gè)人和社會(huì)造成的潛在后果。人工智能系統(tǒng)影響評(píng)估應(yīng)確定人工智能系統(tǒng)的部署、預(yù)期使用和可預(yù)見(jiàn)的濫用對(duì)個(gè)人和社會(huì)造成的潛在后果。影響評(píng)估應(yīng)考慮到部署人工智能系統(tǒng)的具體技術(shù)和社會(huì)背景以及適用的管轄范圍。系統(tǒng)影響評(píng)估的結(jié)果應(yīng)記錄在案。在適當(dāng)情況下，可將系統(tǒng)影響評(píng)估的結(jié)果提供給組織規(guī)定的相關(guān)利益方。注1：組織應(yīng)在風(fēng)險(xiǎn)評(píng)估中考慮人工智能系統(tǒng)影響評(píng)估結(jié)果（見(jiàn)6.1.2）。A.5提供了評(píng)估人工智能系統(tǒng)影響的控注2：在某些情況下（如對(duì)安全或隱私至關(guān)重要的人工智能系統(tǒng)），組織可要求進(jìn)行特定學(xué)科的人工智能系統(tǒng)影響評(píng)估（如物理安全、隱私或信息安全影響），作6.2人工智能目標(biāo)及其實(shí)現(xiàn)的策劃組織應(yīng)在相關(guān)職能和層面制定人工智能目標(biāo)。人工智能目標(biāo)應(yīng)：a)符合人工智能政策（見(jiàn)5.2）；b)可衡量（如可行）；c)考慮到適用的要求；d)受到監(jiān)督；GB/TXXXXX—XXXX/ISO/IEC42001:XXXXe)進(jìn)行溝通；f)酌情更新；g)作為文件信息提供。在規(guī)劃如何實(shí)現(xiàn)其人工智能目標(biāo)時(shí)，組織應(yīng)確定：—要做什么；—需要哪些資源；—由誰(shuí)負(fù)責(zé)；—何時(shí)完成；—如何評(píng)估結(jié)果。注：附件C提供了與風(fēng)險(xiǎn)管理有關(guān)的人工智能目標(biāo)的非排他性清單。附件A（A.6.1和A.9.3）提供了確定負(fù)責(zé)任地開(kāi)發(fā)和使用人工智能系統(tǒng)的控制目標(biāo)和控制。B.6.1和B.9.3提供了這些6.3變更的策劃當(dāng)組織確定有必要更改人工智能管理體系時(shí)，應(yīng)按計(jì)劃進(jìn)行更改。7.1資源組織應(yīng)確定并提供建立、實(shí)施、保持和持續(xù)改進(jìn)人工智能管理體系所需的資源。人工智能資源的控制目標(biāo)和控制方法見(jiàn)A.4。B.4提供了這些控制的實(shí)施指南。7.2能力組織應(yīng):—確定在其控制下從事影響其人工智能性能的工作的人員的必要能力;—確保這些人員在適當(dāng)?shù)慕逃⑴嘤?xùn)或經(jīng)驗(yàn)的基礎(chǔ)上勝任;—適用時(shí)，采取措施以獲得必要的能力，并評(píng)價(jià)所采取措施的有效性。應(yīng)有適當(dāng)?shù)奈募畔⒆鳛閯偃文芰Φ淖C據(jù)。B.4.6提供了關(guān)于人力資源的實(shí)施指導(dǎo)，包括考慮必要的專門知識(shí)。7.3意識(shí)在組織控制下工作的人員應(yīng)了解:—人工智能方針(見(jiàn)5.2)；—他們對(duì)人工智能管理體系有效性的貢獻(xiàn)，包括提高人工智能績(jī)效的好處；—不符合人工智能管理體系要求的影響。7.4溝通組織應(yīng)確定與人工智能管理體系相關(guān)的內(nèi)部和外部溝通，包括:—它將傳達(dá)什么;—何時(shí)溝通;—與誰(shuí)交流;—如何溝通。GB/TXXXXX—XXXX/ISO/IEC42001:XXXX7.5文件化信息7.5.1通則組織的人工智能管理體系應(yīng)包括:a)本文件要求的形成文件的信息;b)組織確定的人工智能管理體系有效性所必需的形成文件的信息。注：人工智能管理體系文件化信息的程度可能因組織而異，原因如下:—組織的規(guī)模及其活動(dòng)、過(guò)程、產(chǎn)品和服務(wù)的類型;—過(guò)程及其相互作用的復(fù)雜性;—人的能力。7.5.2創(chuàng)建和更新文件化信息在創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保適當(dāng):—識(shí)別和描述(例如標(biāo)題、日期、作者或參考編號(hào));—格式(例如語(yǔ)言、軟件版本、圖形)和媒體(例如紙張、電子);—審查和批準(zhǔn)適宜性和充分性。7.5.3文件化信息的控制應(yīng)控制人工智能管理體系和本文件要求的文件化信息，以確保其：a)在需要的場(chǎng)所和時(shí)間均可獲得并適于使用；b)得到充分保護(hù)(例如，防止泄密、不當(dāng)使用或完整性受損)。為了控制文件化信息，組織應(yīng)開(kāi)展以下適用的活動(dòng)：—分發(fā)、訪問(wèn)、檢索和使用；—存儲(chǔ)和防護(hù)，包括保持易讀性；—對(duì)變更的控制(例如，版本控制)；—保留和處置。對(duì)于組織確定的，策劃和運(yùn)行人工智能管理體系必要的、來(lái)自外部的文件化信息，應(yīng)視情況進(jìn)行識(shí)別，并予以控制。8運(yùn)行8.1運(yùn)行的策劃和控制組織應(yīng)策劃、實(shí)施和控制滿足要求和實(shí)施第6條確定的措施所需的過(guò)程，通過(guò):—建立過(guò)程準(zhǔn)則;—根據(jù)準(zhǔn)則實(shí)施過(guò)程控制。組織應(yīng)實(shí)施根據(jù)6.2.3確定的與人工智能管理體系運(yùn)行相關(guān)的控制(如與人工智能系統(tǒng)開(kāi)發(fā)和使用生命周期相關(guān)的控制)。應(yīng)監(jiān)視這些控制的有效性，如果未能達(dá)到預(yù)期結(jié)果，應(yīng)考慮采取糾正措施。附件A列出了參考控制，附件B提供了實(shí)施指南。形成文件的信息應(yīng)達(dá)到必要的程度，以確信過(guò)程按計(jì)劃得到了執(zhí)行。組織應(yīng)控制策劃的變更，評(píng)審非預(yù)期變更的后果，必要時(shí)采取措施減輕任何不利影響。GB/TXXXXX—XXXX/ISO/IEC42001:XXXX組織應(yīng)確保與人工智能管理體系相關(guān)的外部提供的過(guò)程、產(chǎn)品或服務(wù)得到控制。8.2人工智能風(fēng)險(xiǎn)評(píng)估組織應(yīng)按照6.1.2的規(guī)定計(jì)劃的時(shí)間間隔內(nèi)或在提出重大變更時(shí)，進(jìn)行人工智能風(fēng)險(xiǎn)評(píng)估。組織應(yīng)保留所有人工智能風(fēng)險(xiǎn)評(píng)估結(jié)果的文件化信息。8.3人工智能風(fēng)險(xiǎn)處理組織應(yīng)按6.1.3實(shí)施人工智能風(fēng)險(xiǎn)處理計(jì)劃，并驗(yàn)證其有效性。當(dāng)風(fēng)險(xiǎn)評(píng)估識(shí)別出需要處理的新風(fēng)險(xiǎn)時(shí)，應(yīng)對(duì)這些風(fēng)險(xiǎn)執(zhí)行6.1.3的風(fēng)險(xiǎn)處理過(guò)程。當(dāng)風(fēng)險(xiǎn)處理計(jì)劃確定的風(fēng)險(xiǎn)處理方案無(wú)效時(shí)，應(yīng)按照6.1.3的風(fēng)險(xiǎn)處理流程對(duì)這些風(fēng)險(xiǎn)處理方案進(jìn)行評(píng)審和重新驗(yàn)證，并更新風(fēng)險(xiǎn)處理計(jì)劃。組織應(yīng)保留所有人工智能風(fēng)險(xiǎn)處理結(jié)果的文件化信息。8.4人工智能系統(tǒng)影響評(píng)估組織應(yīng)根據(jù)6.1.4按照計(jì)劃的時(shí)間間隔或在提出重大變更時(shí)執(zhí)行人工智能系統(tǒng)影響評(píng)估。組織應(yīng)保留所有人工智能系統(tǒng)影響評(píng)估結(jié)果的文件化信息。9績(jī)效評(píng)價(jià)9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)組織應(yīng)確定:—需要監(jiān)視和測(cè)量什么；—適用的監(jiān)視、測(cè)量、分析和評(píng)價(jià)方法，以確保有效的結(jié)果；—何時(shí)實(shí)施監(jiān)視和測(cè)量；—何時(shí)對(duì)監(jiān)視和測(cè)量的結(jié)果進(jìn)行分析和評(píng)價(jià)。文件化信息應(yīng)作為結(jié)果證據(jù)可獲取。組織應(yīng)評(píng)價(jià)人工智能管理體系的績(jī)效和有效性。9.2內(nèi)部審計(jì)9.2.1通則組織應(yīng)按計(jì)劃的時(shí)間間隔進(jìn)行內(nèi)部審計(jì)，以提供人工智能管理體系是否:a)符合:1)組織自身對(duì)人工智能管理體系的要求;2)本文件的要求;b)有效地實(shí)施和保持。9.2.2內(nèi)部審計(jì)程序組織應(yīng)策劃、建立、實(shí)施和保持審計(jì)方案，包括審計(jì)頻率、方法、職責(zé)、策劃要求和報(bào)告。在制定內(nèi)部審計(jì)方案時(shí)，組織應(yīng)考慮相關(guān)過(guò)程的重要性和以往審計(jì)的結(jié)果。組織應(yīng):a)確定每次審計(jì)的審計(jì)目標(biāo)、準(zhǔn)則和范圍;GB/TXXXXX—XXXX/ISO/IEC42001:XXXXb)選擇審計(jì)員并實(shí)施審計(jì)，確保審計(jì)過(guò)程的客觀性和公正性;c)確保將審計(jì)結(jié)果報(bào)告給相關(guān)管理者。應(yīng)提供形成文件的信息，作為審計(jì)方案實(shí)施和審計(jì)結(jié)果的證據(jù)。9.3管理評(píng)審9.3.1通則最高管理者應(yīng)在策劃的時(shí)間間隔內(nèi)對(duì)組織的人工智能管理體系進(jìn)行評(píng)審，以確保人工智能管理體系持續(xù)的適宜性、充分性和有效性。9.3.2管理評(píng)審輸入管理評(píng)審應(yīng)包括:a)以往管理評(píng)審所采取措施的狀態(tài);b)與人工智能管理體系相關(guān)的外部和內(nèi)部問(wèn)題的變化;c)與人工智能管理體系相關(guān)的相關(guān)方的需求和期望的變化;d)人工智能管理體系績(jī)效信息，包括以下方面的趨勢(shì):1）不符合項(xiàng)及糾正措施；2）監(jiān)視和測(cè)量結(jié)果；3）審計(jì)結(jié)果；e)持續(xù)改進(jìn)的機(jī)會(huì)。9.3.3管理評(píng)審結(jié)果管理評(píng)審的結(jié)果應(yīng)包括持續(xù)改進(jìn)的機(jī)會(huì)，以及變更人工智能管理體系的任何需要的決定。文件化信息應(yīng)作為管理評(píng)審結(jié)果證據(jù)可獲取。10.1持續(xù)改進(jìn)組織應(yīng)持續(xù)改進(jìn)人工智能管理體系的適宜性、充分性和有效性。10.2不符合和糾正措施發(fā)生不符合時(shí)，組織應(yīng)：a）對(duì)不符合做出反應(yīng)，并且如適用：1）采取控制和糾正措施；2）處置后果；b）通過(guò)以下活動(dòng)評(píng)價(jià)采取措施的需要，以消除產(chǎn)生不符合的原因，避免其再次發(fā)生或在其他地方發(fā)生；1）評(píng)審不符合；2）確定產(chǎn)生不符合的原因；3）確定是否存在或可能發(fā)生類似的不符合；GB/TXXXXX—XXXX/ISO/IEC42001:XXXXc）實(shí)施任何所需的措施；d）評(píng)審所采取的任何糾正措施的有效性；e）如必要，變更人工智能管理體系。糾正措施應(yīng)與不符合產(chǎn)生的影響相適應(yīng)。文件化信息應(yīng)作為以下事項(xiàng)的證據(jù)可獲?。骸环系男再|(zhì)和所采取的任何后續(xù)措施；—任何糾正措施的結(jié)果。GB/TXXXXX—XXXX/ISO/IEC42001:XXXX（規(guī)范性）參考控制目標(biāo)與控制A.1概述表A.1詳細(xì)列出的控制為組織提供了一個(gè)參考，以實(shí)現(xiàn)組織目標(biāo)和應(yīng)對(duì)與人工智能系統(tǒng)的設(shè)計(jì)和運(yùn)行有關(guān)的風(fēng)險(xiǎn)。并非表A.1中列出的所有控制目標(biāo)和控制都必須使用，組織可以設(shè)計(jì)和實(shí)施自己的控制（見(jiàn)6.1.3）。附件B提供了表A.1所列所有控制的實(shí)施指南。表A.1-控制目標(biāo)和控制A.2與人工智能相關(guān)的政策目標(biāo)：根據(jù)業(yè)務(wù)需求，為人工智能系統(tǒng)提供管理指導(dǎo)和支持。人工智能方針應(yīng)按計(jì)劃的時(shí)間間隔進(jìn)行評(píng)審，或根據(jù)需要進(jìn)行額外評(píng)審，以確保其持續(xù)的適宜性、充A.3內(nèi)部組織應(yīng)根據(jù)組織的需要確定和分配人工智能的崗位和職組織應(yīng)制定并落實(shí)一套流程，以便組織中的員工報(bào)告與人工智能系統(tǒng)全生命周期有關(guān)的組織中的崗位A.4人工智能系統(tǒng)的資源GB/TXXXXX—XXXX/ISO/IEC42001:XXXX作為資源識(shí)別的一部分，該組織應(yīng)記錄有關(guān)人工智作為資源識(shí)別的一部分，組織應(yīng)記錄開(kāi)發(fā)、部署、運(yùn)行、變更管理、維護(hù)、轉(zhuǎn)讓和退役以及驗(yàn)證和集成人工智能系統(tǒng)所使用的人力資源及其能力的相關(guān)A.5評(píng)估人工智能系統(tǒng)的影響組織應(yīng)建立一個(gè)流程，以評(píng)估人工智能系統(tǒng)在其整組織應(yīng)記錄人工智能系統(tǒng)影響評(píng)估的結(jié)果，并在規(guī)評(píng)估人工智能系統(tǒng)對(duì)個(gè)人和群組織應(yīng)評(píng)估并記錄人工智能系統(tǒng)在整個(gè)系統(tǒng)生命周組織應(yīng)評(píng)估并記錄其人工智能系統(tǒng)在整個(gè)生命周期A.6人工智能系統(tǒng)生命周期負(fù)責(zé)任地開(kāi)發(fā)人工智能系統(tǒng)的組織應(yīng)識(shí)別并記錄目標(biāo)，以指導(dǎo)可信賴人工智能系統(tǒng)的開(kāi)發(fā)，并在開(kāi)發(fā)生命周期中考慮這些目標(biāo)，并可信賴人工智能系統(tǒng)設(shè)計(jì)和開(kāi)組織應(yīng)定義并記錄負(fù)責(zé)任的人工智能系統(tǒng)設(shè)計(jì)和開(kāi)組織應(yīng)規(guī)定并記錄新的人工智能系統(tǒng)或?qū)ΜF(xiàn)有系統(tǒng)GB/TXXXXX—XXXX/ISO/IEC42001:XXXX人工智能系統(tǒng)的設(shè)計(jì)和開(kāi)發(fā)記錄組織應(yīng)定義并記錄人工智能系統(tǒng)的驗(yàn)證和確認(rèn)措組織應(yīng)記錄部署計(jì)劃，并確保在部署前滿足適當(dāng)?shù)慕M織應(yīng)確定并記錄人工智能系統(tǒng)持續(xù)運(yùn)行的必要要素。至少應(yīng)包括系統(tǒng)和性能監(jiān)視、維修、更新和支組織應(yīng)確定用戶、合作伙伴、監(jiān)管機(jī)構(gòu)等各類相關(guān)方需要的人工智能系統(tǒng)技術(shù)記錄，并以適當(dāng)形式向組織應(yīng)確定在人工智能系統(tǒng)生命周期的哪些階段應(yīng)啟用事件日志記錄，但至少應(yīng)在人工智能系統(tǒng)使用A.7人工智能系統(tǒng)的數(shù)據(jù)用于開(kāi)發(fā)和增強(qiáng)人工智能系統(tǒng)組織應(yīng)定義、記錄和實(shí)施與開(kāi)發(fā)人工智能系統(tǒng)有關(guān)組織應(yīng)確定并記錄人工智能系統(tǒng)所用數(shù)據(jù)的采集和組織應(yīng)定義和記錄數(shù)據(jù)質(zhì)量要求，并確保用于開(kāi)發(fā)組織應(yīng)定義并記錄一個(gè)流程，用于記錄人工智能系統(tǒng)中使用的數(shù)據(jù)在數(shù)據(jù)和人工智能系統(tǒng)生命周期中組織應(yīng)定義并記錄其選擇數(shù)據(jù)準(zhǔn)備及要使用的數(shù)據(jù)A.8人工智能系統(tǒng)相關(guān)方的信息GB/TXXXXX—XXXX/ISO/IEC42001:XXXX組織應(yīng)確定并記錄向有關(guān)各方報(bào)告人工智能系統(tǒng)信A.9人工智能系統(tǒng)的使用負(fù)責(zé)任地使用人工智能系統(tǒng)的組織應(yīng)定義并記錄負(fù)責(zé)任地使用人工智能系統(tǒng)的過(guò)負(fù)責(zé)任地使用人工智能系統(tǒng)的組織應(yīng)識(shí)別并記錄指導(dǎo)可問(wèn)責(zé)地使用人工智能系統(tǒng)組織應(yīng)確保按照人工智能系統(tǒng)及其附帶文件的預(yù)期A.10第三方及客戶關(guān)系組織應(yīng)確保在其人工智能系統(tǒng)生命周期內(nèi)的責(zé)任被分配在組織、其合作伙伴、供應(yīng)商、客戶和第三方產(chǎn)品或材料的使用符合組織負(fù)責(zé)任地開(kāi)發(fā)和使用人組織應(yīng)確保其開(kāi)發(fā)和使用人工智能系統(tǒng)的負(fù)責(zé)任方GB/TXXXXX—XXXX/ISO/IEC42001:XXXX（規(guī)范性）人工智能控制的實(shí)施指南B.1概述本附件中記錄的實(shí)施指南與附件A中列出的控制有關(guān)。它提供了支持實(shí)施附件A中列出的控制和實(shí)現(xiàn)控制目標(biāo)的信息，但組織不必在適用性聲明中記錄或證明納入或不納入附件B中的實(shí)施指南（見(jiàn)6.1.3）。實(shí)施指南并非在所有情況下都適用或充分，也并非總能滿足組織的具體控制要求。組織可根據(jù)其具體要求和風(fēng)險(xiǎn)處理需要，擴(kuò)展或修改實(shí)施指南，或自行定義控制的實(shí)施。附件B可作為在本文件定義的人工智能管理體系中確定和實(shí)施人工智能風(fēng)險(xiǎn)應(yīng)對(duì)控制的指南。除本附件所列控制外，還可確定其他組織上和技術(shù)上的控制（見(jiàn)6.1.3中的人工智能系統(tǒng)管理風(fēng)險(xiǎn)應(yīng)對(duì)）。本附件可視為制定組織特定控制實(shí)施的起點(diǎn)。B.2與人工智能相關(guān)的方針根據(jù)業(yè)務(wù)需求，為人工智能系統(tǒng)提供管理指導(dǎo)和支持。B.2.2人工智能政策控制組織應(yīng)制定開(kāi)發(fā)或使用人工智能系統(tǒng)的方針。實(shí)施指南人工智能方針應(yīng)參考以下內(nèi)容：—組織的價(jià)值觀和文化，以及組織愿意承擔(dān)或保留的風(fēng)險(xiǎn)程度；—人工智能系統(tǒng)帶來(lái)的風(fēng)險(xiǎn)程度；—法律要求，包括合同；—組織的風(fēng)險(xiǎn)環(huán)境；—對(duì)相關(guān)利益方的影響（見(jiàn)6.1.4）。人工智能方針應(yīng)包括（除5.2中的要求外）：—指導(dǎo)組織與人工智能有關(guān)的所有活動(dòng)的原則；—處理偏離方針和例外情況的程序。必要時(shí)，人工智能方針應(yīng)考慮特定主題方面，以提供更多指導(dǎo)或提供與涉及這些方面的其他方針的交叉參考。此類主題的例子包括：—人工智能資源和資產(chǎn)；—人工智能系統(tǒng)影響評(píng)估(見(jiàn)6.1.4)；—人工智能系統(tǒng)開(kāi)發(fā)。相關(guān)方針應(yīng)指導(dǎo)人工智能系統(tǒng)的開(kāi)發(fā)、購(gòu)買、運(yùn)行和使用。B.2.3與其他組織方針保持一致GB/TXXXXX—XXXX/ISO/IEC42001:XXXX控制組織應(yīng)確定其他方針的哪些方面受到組織在人工智能系統(tǒng)方面目標(biāo)的影響或適用于該目標(biāo)。實(shí)施指南許多領(lǐng)域都與人工智能有交叉，包括質(zhì)量、信息安全、物理安全和隱私。組織應(yīng)考慮進(jìn)行全面分析，以確定當(dāng)前方針是否以及在哪些方面存在必然交叉，并在需要更新時(shí)更新這些方針，或在人工智能方針中納入相關(guān)規(guī)定。其他信息治理機(jī)構(gòu)代表組織制定的方針應(yīng)為人工智能方針提供參考。ISO/IEC38507為治理管理機(jī)構(gòu)的成員提供了指導(dǎo)，以便在人工智能系統(tǒng)的整個(gè)生命周期內(nèi)啟用和治理人工智能系統(tǒng)。B.2.4人工智能方針的評(píng)審控制人工智能方針應(yīng)按計(jì)劃的時(shí)間間隔進(jìn)行評(píng)審，或根據(jù)需要進(jìn)行額外評(píng)審，以確保其持續(xù)的適宜性、充分性和有效性。實(shí)施指南應(yīng)由管理層批準(zhǔn)的一個(gè)角色負(fù)責(zé)人工智能方針或其組成部分的制定、審查和評(píng)估。評(píng)審應(yīng)包括根據(jù)組織環(huán)境、業(yè)務(wù)情況、法律條件或技術(shù)環(huán)境的變化，評(píng)估機(jī)會(huì)以改進(jìn)組織的人工智能系統(tǒng)管理方針和方法的機(jī)會(huì)。人工智能方針的評(píng)審應(yīng)考慮到管理評(píng)審的結(jié)果。B.3內(nèi)部組織在組織內(nèi)部建立問(wèn)責(zé)制，堅(jiān)持以負(fù)責(zé)任的方式實(shí)施、運(yùn)行和管理人工智能系統(tǒng)。B.3.2人工智能的崗位和職責(zé)控制實(shí)施指南定義崗位和職責(zé)對(duì)于確保整個(gè)組織中與人工智能系統(tǒng)全生命周期有關(guān)的崗位可問(wèn)責(zé)至關(guān)重要。在分配角色和責(zé)任時(shí)，組織應(yīng)考慮人工智能政策、人工智能目標(biāo)和已識(shí)別的風(fēng)險(xiǎn)，以確保涵蓋所有相關(guān)領(lǐng)域。組織可優(yōu)先考慮如何分配崗位和職責(zé)。需要明確角色和職責(zé)的示例包括：—人工智能系統(tǒng)影響評(píng)估；—資產(chǎn)和資源管理；—供應(yīng)商關(guān)系；—證明其有能力始終如一地滿足法律要求；GB/TXXXXX—XXXX/ISO/IEC42001:XXXX—數(shù)據(jù)質(zhì)量管理（整個(gè)生命周期）。各種崗位的職責(zé)應(yīng)界定到適合個(gè)人履行其職責(zé)的程度。B.3.3報(bào)告關(guān)切控制實(shí)施指南報(bào)告機(jī)制應(yīng)具備以下功能：a)可選擇保密或匿名或兩者兼有；b)向受雇人員和合同人員提供并宣傳；c)配備合格的工作人員d)為b)中提到的人員規(guī)定適當(dāng)?shù)恼{(diào)查和解決權(quán)力；e)規(guī)定及時(shí)向管理層報(bào)告和上報(bào)的機(jī)制；f)為報(bào)告和調(diào)查相關(guān)人員提供有效保護(hù)，使其免遭報(bào)復(fù)（如允許匿名和保密報(bào)告）；g)根據(jù)4.4和（如適用）e)提供報(bào)告；同時(shí)保持a)中的保密性和匿名性，并尊重一般的商業(yè)機(jī)密考慮因素h)在適當(dāng)?shù)臅r(shí)限內(nèi)提供回應(yīng)機(jī)制。注組織可利用現(xiàn)有的報(bào)告機(jī)制作為該流程的一部分。其他信息除本條款提供的實(shí)施指南外，組織還應(yīng)進(jìn)一步考慮ISO37002。B.4人工智能系統(tǒng)的資源確保組織考慮人工智能系統(tǒng)的資源（包括人工智能系統(tǒng)組件和資產(chǎn)）進(jìn)行核算，以充分了解和應(yīng)對(duì)風(fēng)險(xiǎn)和影響。B.4.2資源記錄控制組織應(yīng)確定并記錄特定人工智能系統(tǒng)生命周期階段活動(dòng)所需的相關(guān)資源，以及與組織相關(guān)的其他人工智能相關(guān)活動(dòng)。實(shí)施指南記錄人工智能系統(tǒng)的資源對(duì)于了解風(fēng)險(xiǎn)以及人工智能系統(tǒng)對(duì)個(gè)人和社會(huì)的潛在影響（包括正面和負(fù)面影響）至關(guān)重要。記錄此類資源（可利用數(shù)據(jù)流圖或系統(tǒng)架構(gòu)圖等）可為人工智能系統(tǒng)影響評(píng)估提供信息（見(jiàn)B.5）。資源可包括但不限于：—人工智能系統(tǒng)組件；—數(shù)據(jù)資源，即在人工智能系統(tǒng)生命周期的任何階段使用的數(shù)據(jù)；—工具資源（如人工智能算法、模型或工具）；—系統(tǒng)和計(jì)算資源（如開(kāi)發(fā)和運(yùn)行人工智能模型的硬件、數(shù)據(jù)存儲(chǔ)和工具資源）；—人力資源，即與組織在整個(gè)人工智能系統(tǒng)生命周期中的作用有關(guān)的、具有必要專業(yè)知識(shí)的人員（如開(kāi)發(fā)、銷售、培訓(xùn)、運(yùn)行和維護(hù)人工智能系統(tǒng)）。GB/TXXXXX—XXXX/ISO/IEC42001:XXXX資源可以由組織本身、客戶或第三方提供。其他信息記錄資源也有助于確定是否有可用資源，如果沒(méi)有可用資源，組織應(yīng)修改人工智能系統(tǒng)的設(shè)計(jì)規(guī)范或其部署要求。B.4.3數(shù)據(jù)資源控制作為資源識(shí)別的一部分，組織應(yīng)記錄有關(guān)人工智能系統(tǒng)所使用的數(shù)據(jù)資源的信息。實(shí)施指南數(shù)據(jù)文檔應(yīng)包括但不限于以下內(nèi)容：—數(shù)據(jù)的出處；—數(shù)據(jù)最后更新或修改的日期（如元數(shù)據(jù)中的日期標(biāo)簽）；—對(duì)于機(jī)器學(xué)習(xí)，數(shù)據(jù)類別（如訓(xùn)練、驗(yàn)證、測(cè)試和生產(chǎn)數(shù)據(jù)）；—數(shù)據(jù)類別（如ISO/IEC19944-1中定義的類別）；—標(biāo)注數(shù)據(jù)的過(guò)程；—數(shù)據(jù)的預(yù)期用途；—數(shù)據(jù)的質(zhì)量（如ISO/IEC5259系列中的描述）；—適用的數(shù)據(jù)保留和處置政策；—數(shù)據(jù)中已知或潛在的偏差問(wèn)題；B.4.4工具資源控制作為資源識(shí)別的一部分，組織應(yīng)記錄有關(guān)人工智能系統(tǒng)所使用的工具資源的信息。實(shí)施指南人工智能系統(tǒng)特別是機(jī)器學(xué)習(xí)的工具資源可包括但不限于—算法類型和機(jī)器學(xué)習(xí)模型；—數(shù)據(jù)調(diào)節(jié)工具或流程—資源配置工具；—輔助模型開(kāi)發(fā)的工具；—用于人工智能系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)和部署的軟件和硬件；其他信息ISO/IEC23053為機(jī)器學(xué)習(xí)各種工具資源的類型、方法和途徑提供了詳細(xì)指導(dǎo)。B.4.5系統(tǒng)和計(jì)算資源控制作為資源識(shí)別的一部分，該組織應(yīng)記錄有關(guān)人工智能系統(tǒng)所使用的系統(tǒng)和計(jì)算資源的信息。實(shí)施指南人工智能系統(tǒng)的系統(tǒng)和計(jì)算資源信息可包括但不限于以下內(nèi)容：—人工智能系統(tǒng)的資源要求（即幫助確保系統(tǒng)可在資源有限的設(shè)備上運(yùn)行）；GB/TXXXXX—XXXX/ISO/IEC42001:XXXX—系統(tǒng)和計(jì)算資源的位置（如本地、云計(jì)算或邊緣計(jì)算）；—處理資源（包括網(wǎng)絡(luò)和存儲(chǔ)）；—用于運(yùn)行人工智能系統(tǒng)工作負(fù)載的硬件的影響（例如，通過(guò)使用或制造硬件或使用硬件的成本對(duì)環(huán)境造成的影響）。組織應(yīng)考慮可能需要不同的資源，以便不斷改進(jìn)人工智能系統(tǒng)。系統(tǒng)的開(kāi)發(fā)、部署和運(yùn)行可能會(huì)有不同的系統(tǒng)需求和要求。注ISO/IEC22989描述了各種系統(tǒng)資源考慮因素。B.4.6人力資源控制作為資源識(shí)別的一部分，組織應(yīng)記錄開(kāi)發(fā)、部署、運(yùn)行、變更管理、維護(hù)、轉(zhuǎn)讓和退役以及驗(yàn)證和集成人工智能系統(tǒng)所使用的人力資源及其能力的相關(guān)信息。實(shí)施指南組織應(yīng)考慮對(duì)不同專業(yè)知識(shí)的需求，并納入系統(tǒng)所需的角色類型。例如，如果與用于訓(xùn)練機(jī)器學(xué)習(xí)模型的數(shù)據(jù)集相關(guān)的特定人口群體是系統(tǒng)設(shè)計(jì)的必要組成部分，則組織可將其納入其中。必要的人力資源包括但不限于：—數(shù)據(jù)科學(xué)家；—與人工智能系統(tǒng)人工監(jiān)督相關(guān)的角色；—信息安全、物理安全和隱私等可信賴領(lǐng)域的專家；—人工智能研究人員和專家，以及與人工智能系統(tǒng)相關(guān)的領(lǐng)域?qū)＜?。在人工智能系統(tǒng)生命周期的不同階段，可能需要不同的資源。B.5評(píng)估人工智能系統(tǒng)的影響評(píng)估人工智能系統(tǒng)在其整個(gè)生命周期內(nèi)對(duì)受其影響的個(gè)人和社會(huì)的影響。B.5.2人工智能系統(tǒng)影響評(píng)估過(guò)程控制組織應(yīng)建立一個(gè)流程，以評(píng)估人工智能系統(tǒng)在其整個(gè)生命周期內(nèi)可能對(duì)個(gè)人和社會(huì)造成的潛在后實(shí)施指南由于人工智能系統(tǒng)可能對(duì)個(gè)人、個(gè)人群體和社會(huì)產(chǎn)生重大影響，提供和使用此類系統(tǒng)的組織應(yīng)根據(jù)這些系統(tǒng)的預(yù)期目的和用途，評(píng)估這些系統(tǒng)對(duì)這些群體的潛在影響。組織應(yīng)考慮人工智能系統(tǒng)是否會(huì)影響以下方面：—個(gè)人的法律地位或生活機(jī)會(huì)；—個(gè)人的身心健康；組織的流程應(yīng)包括但不限于：a)應(yīng)進(jìn)行人工智能系統(tǒng)影響評(píng)估的情況，包括但不限于：1)使用人工智能系統(tǒng)的預(yù)期目的和背景的關(guān)鍵性，或這些方面的任何重大變化；GB/TXXXXX—XXXX/ISO/IEC42001:XXXX2)人工智能技術(shù)的復(fù)雜性和人工智能系統(tǒng)的自動(dòng)化程度，或這方面的任何重大變化；3）人工智能系統(tǒng)處理的數(shù)據(jù)類型和來(lái)源的敏感性或任何重大變化。b)作為人工智能系統(tǒng)影響評(píng)估過(guò)程一部分的要素，可包括：1)識(shí)別（如來(lái)源、事件和結(jié)果）；2）分析（如后果和可能性）3）評(píng)估（如接受決定和優(yōu)先級(jí)）；4）處理（如緩解措施）；5）記錄、報(bào)告和溝通（見(jiàn)7.4、7.5和B.3.3）；c)由誰(shuí)進(jìn)行人工智能系統(tǒng)影響評(píng)估；d)如何利用人工智能系統(tǒng)影響評(píng)估[例如，如何為系統(tǒng)的設(shè)計(jì)或使用提供信息（見(jiàn)B.6和B.9），是否可以觸發(fā)審查和批準(zhǔn)]；e)根據(jù)系統(tǒng)的預(yù)期目的、用途和特點(diǎn)，可能受到影響的個(gè)人和社會(huì)（例如，針對(duì)個(gè)人、個(gè)人群體或社會(huì)的評(píng)估）。影響評(píng)估應(yīng)考慮到人工智能系統(tǒng)的各個(gè)方面，包括用于開(kāi)發(fā)人工智能系統(tǒng)的數(shù)據(jù)、使用的人工智能技術(shù)和整個(gè)系統(tǒng)的功能。根據(jù)組織的角色、人工智能應(yīng)用領(lǐng)域以及影響評(píng)估的具體學(xué)科（如信息安全、隱私和物理安全流程可能會(huì)有所不同。其他信息對(duì)于某些學(xué)科或組織來(lái)說(shuō)，詳細(xì)考慮對(duì)個(gè)人和社會(huì)的影響是風(fēng)險(xiǎn)管理的一部分，特別是在信息安全、物理安全和環(huán)境管理等學(xué)科。組織應(yīng)確定，作為此類風(fēng)險(xiǎn)管理過(guò)程一部分的特定學(xué)科影響評(píng)估是否充分納入了對(duì)這些特定方面（如隱私）的人工智能考慮。注ISO/IEC23894描述了組織如何對(duì)組織本身以及個(gè)人和社會(huì)進(jìn)行影響分析，作為整體風(fēng)險(xiǎn)管理流程的一部分。B.5.3人工智能系統(tǒng)影響評(píng)估記錄控制組織應(yīng)記錄人工智能系統(tǒng)影響評(píng)估的結(jié)果，并在規(guī)定期限內(nèi)保留結(jié)果。實(shí)施指南這些文件有助于確定應(yīng)傳達(dá)給用戶和其他有關(guān)方面的信息。人工智能系統(tǒng)影響評(píng)估應(yīng)按照B.5.2中記錄的人工智能系統(tǒng)影響評(píng)估要素保留并在需要時(shí)更新。保留期限可遵循組織保留時(shí)間表，或根據(jù)法律要求或其他要求確定。組織應(yīng)考慮記錄的項(xiàng)目包括但不限于：—人工智能系統(tǒng)的預(yù)期用途和可合理預(yù)見(jiàn)的濫用；—人工智能系統(tǒng)對(duì)相關(guān)個(gè)人和社會(huì)的積極和消極影響；—可預(yù)測(cè)的故障、其潛在影響以及為減輕故障而采取的措施；—系統(tǒng)適用的相關(guān)人口群體；—系統(tǒng)的復(fù)雜性；—人在系統(tǒng)關(guān)系中的作用，包括人的監(jiān)督能力、程序和工具，可用于避免負(fù)面影響；—就業(yè)和員工技能。B.5.4評(píng)估人工智能系統(tǒng)對(duì)個(gè)人和群體的影響控制GB/TXXXXX—XXXX/ISO/IEC42001:XXXX組織應(yīng)評(píng)估并記錄人工智能系統(tǒng)在整個(gè)系統(tǒng)生命周期內(nèi)對(duì)個(gè)人或群體的潛在影響。實(shí)施指南在評(píng)估對(duì)個(gè)人的影響時(shí)，組織應(yīng)考慮其治理原則、人工智能政策和目標(biāo)。使用人工智能系統(tǒng)的個(gè)人或其PII被人工智能系統(tǒng)處理的個(gè)人，可能對(duì)人工智能系統(tǒng)的可信度抱有期望。應(yīng)考慮到兒童、殘疾人、老年人和工人等群體的特殊保護(hù)需求。作為系統(tǒng)影響評(píng)估的一部分，組織應(yīng)評(píng)估這些期望，并考慮解決這些期望的方法。根據(jù)人工智能系統(tǒng)的目的和使用范圍，作為評(píng)估一部分需要考慮的影響領(lǐng)域可以包括但不限于以下方面：—透明度和可解釋性；其他信息必要時(shí)，組織應(yīng)咨詢專家(如研究人員、主題專家和用戶)，以充分了解體系對(duì)個(gè)人的潛在影響。B.5.5評(píng)估人工智能系統(tǒng)的社會(huì)影響控制組織應(yīng)評(píng)估并記錄其人工智能系統(tǒng)在整個(gè)生命周期中可能產(chǎn)生的社會(huì)影響。實(shí)施指南社會(huì)影響因組織背景和人工智能系統(tǒng)類型的不同而大相徑庭。人工智能系統(tǒng)的社會(huì)影響既可能是有益的，也可能是有害的。這些潛在社會(huì)影響的例子包括—環(huán)境可持續(xù)性（包括對(duì)自然資源和溫室氣體排放的影響）；—經(jīng)濟(jì)（包括獲得金融服務(wù)、就業(yè)機(jī)會(huì)、稅收、貿(mào)易和商業(yè)）；—政府（包括立法程序、為政治利益提供錯(cuò)誤信息、國(guó)家安全和刑事司法系統(tǒng)—健康與安全（包括獲得醫(yī)療保健、醫(yī)療診斷和治療，以及潛在的身心傷害）；—規(guī)范、傳統(tǒng)、文化和價(jià)值觀（包括導(dǎo)致偏見(jiàn)或?qū)€(gè)人造成傷害的錯(cuò)誤信息）。其他信息人工智能系統(tǒng)的開(kāi)發(fā)和使用可能是計(jì)算密集型的，會(huì)對(duì)環(huán)境可持續(xù)性產(chǎn)生相關(guān)影響（例如，因用電量增加而產(chǎn)生的溫室氣體排放，對(duì)水、土地、動(dòng)植物的影響）。同樣，人工智能系統(tǒng)也可用于改善其他系統(tǒng)的環(huán)境可持續(xù)性（如減少與建筑和運(yùn)輸有關(guān)的溫室氣體排放）。組織應(yīng)結(jié)合其總體環(huán)境可持續(xù)性目標(biāo)和戰(zhàn)略，考慮其人工智能系統(tǒng)的影響。組織應(yīng)考慮如何預(yù)防濫用人工智能系統(tǒng)造成社會(huì)危害，以及如何利用人工智能系統(tǒng)解決歷史遺留問(wèn)題。例如，人工智能系統(tǒng)能否阻止人們獲得貸款、贈(zèng)款、保險(xiǎn)和投資等金融服務(wù)，同樣，人工智能系統(tǒng)能否改善人們獲得這些工具的途徑？人工智能系統(tǒng)已被用于影響選舉結(jié)果和制造錯(cuò)誤信息（如數(shù)字媒體中的深度偽造從而導(dǎo)致政治和社會(huì)動(dòng)蕩。政府將人工智能系統(tǒng)用于刑事司法目的，暴露了對(duì)個(gè)人和群體的偏見(jiàn)風(fēng)險(xiǎn)。本組織應(yīng)分析不良行為者如何濫用人工智能系統(tǒng)，以及人工智能系統(tǒng)如何強(qiáng)化不受歡迎的歷史性社會(huì)偏見(jiàn)。GB/TXXXXX—XXXX/ISO/IEC42001:XXXX人工智能系統(tǒng)可用于診斷和治療疾病，并確定享受健康福利的資格。人工智能系統(tǒng)還可用于發(fā)生故障可能導(dǎo)致人員傷亡的場(chǎng)景（如自動(dòng)駕駛汽車、人機(jī)協(xié)作）。組織在使用人工智能系統(tǒng)時(shí)，如在與健康和安全相關(guān)的場(chǎng)景中，應(yīng)同時(shí)考慮積極和消極的結(jié)果。注ISO/IECTR24368提供了與人工智能系統(tǒng)和應(yīng)用有關(guān)的倫理和社會(huì)問(wèn)題的高級(jí)概述。B.6人工智能系統(tǒng)生命周期B.6.1人工智能系統(tǒng)開(kāi)發(fā)管理指南B.6.1.1目標(biāo)確保組織識(shí)別和記錄目標(biāo)并實(shí)施負(fù)責(zé)任的人工智能系統(tǒng)設(shè)計(jì)和開(kāi)發(fā)過(guò)程。B.6.1.2負(fù)責(zé)任地開(kāi)發(fā)人工智能系統(tǒng)的目標(biāo)控制組織應(yīng)識(shí)別并記錄指導(dǎo)開(kāi)發(fā)可信賴人工智能系統(tǒng)的目標(biāo)，并在開(kāi)發(fā)生命周期中考慮到這些目標(biāo)，并納入實(shí)現(xiàn)這些目標(biāo)的措施。實(shí)施指南組織應(yīng)確定影響人工智能系統(tǒng)設(shè)計(jì)和開(kāi)發(fā)過(guò)程的目標(biāo)（見(jiàn)6.2）。這些目標(biāo)應(yīng)在設(shè)計(jì)和開(kāi)發(fā)過(guò)程中加以考慮。例如，如果一個(gè)組織將"公平性"定義為目標(biāo)之一，則應(yīng)將其納入需求說(shuō)明、數(shù)據(jù)采集、數(shù)據(jù)調(diào)節(jié)、模型訓(xùn)練、驗(yàn)證和確認(rèn)等過(guò)程中。組織應(yīng)提供必要的要求和指南，以確保在各個(gè)階段都有相應(yīng)的措施（例如，要求使用特定的測(cè)試工具或方法來(lái)解決不公平或不必要的偏差），從而實(shí)現(xiàn)這些目標(biāo)。其他信息人工智能技術(shù)正被用于增強(qiáng)安全措施，如威脅預(yù)測(cè)檢測(cè)和安全攻擊預(yù)防。這是人工智能技術(shù)的一種應(yīng)用，可用于加強(qiáng)安全措施，保護(hù)人工智能系統(tǒng)和傳統(tǒng)的非人工智能軟件系統(tǒng)。附件C提供了管理風(fēng)險(xiǎn)的組織目標(biāo)示例，有助于確定人工智能系統(tǒng)開(kāi)發(fā)的目標(biāo)。B.6.1.3可信賴人工智能系統(tǒng)設(shè)計(jì)和開(kāi)發(fā)流程控制組織應(yīng)定義并記錄負(fù)責(zé)任的人工智能系統(tǒng)設(shè)計(jì)和開(kāi)發(fā)的具體流程。實(shí)施指南負(fù)責(zé)任的人工智能系統(tǒng)流程開(kāi)發(fā)應(yīng)包括但不限于考慮以下方面：—生命周期階段（ISO/IEC22989提供了通用的人工智能系統(tǒng)生命周期模型，但組織可指定自己的生命周期階段）；—測(cè)試要求和計(jì)劃測(cè)試手段；—人工監(jiān)督要求，包括流程和工具，特別是當(dāng)人工智能系統(tǒng)可能對(duì)自然人產(chǎn)生影響時(shí)；—應(yīng)在哪些階段進(jìn)行人工智能系統(tǒng)影響評(píng)估；—培訓(xùn)數(shù)據(jù)預(yù)期和規(guī)則（如可使用哪些數(shù)據(jù)、經(jīng)批準(zhǔn)的數(shù)據(jù)供應(yīng)商和標(biāo)簽）；—人工智能系統(tǒng)開(kāi)發(fā)人員所需的專業(yè)知識(shí)（主題領(lǐng)域或其他）或培訓(xùn)，或兩者兼而有之；—各階段所需的批準(zhǔn)和簽核；—可用性和可控性；—有關(guān)各方的參與。GB/TXXXXX—XXXX/ISO/IEC42001:XXXX具體的設(shè)計(jì)和開(kāi)發(fā)流程取決于人工智能系統(tǒng)打算使用的功能和人工智能技術(shù)。B.6.2人工智能系統(tǒng)生命周期B.6.2.1目標(biāo)定義人工智能系統(tǒng)生命周期各階段的標(biāo)準(zhǔn)和要求。B.6.2.2人工智能系統(tǒng)的要求和規(guī)范控制組織應(yīng)規(guī)定并記錄新的人工智能系統(tǒng)或?qū)ΜF(xiàn)有系統(tǒng)的重大改進(jìn)的要求。實(shí)施指南組織應(yīng)記錄開(kāi)發(fā)人工智能系統(tǒng)的理由及其目標(biāo)。應(yīng)考慮、記錄和理解的一些因素包括：a)為什么要開(kāi)發(fā)人工智能系統(tǒng)，例如，是受業(yè)務(wù)案例、客戶要求還是政府政策的驅(qū)動(dòng)；b)如何訓(xùn)練模型以及如何實(shí)現(xiàn)數(shù)據(jù)要求。應(yīng)明確人工智能系統(tǒng)的要求，并應(yīng)貫穿整個(gè)人工智能系統(tǒng)的生命周期。如果所開(kāi)發(fā)的人工智能系統(tǒng)無(wú)法按預(yù)期運(yùn)行，或出現(xiàn)了可用于更改和改進(jìn)要求的新信息，則應(yīng)重新審視這些要求。例如，從財(cái)務(wù)角度看，開(kāi)發(fā)人工智能系統(tǒng)可能變得不可行。其他信息ISO/IEC5338:-[正在編寫中。出版時(shí)的階段：ISO/IECDIS5338]提供了描述人工智能系統(tǒng)生命周期的流程。有關(guān)交互系統(tǒng)以人為本設(shè)計(jì)的更多信息，請(qǐng)參見(jiàn)ISO9241-210。B.6.2.3人工智能系統(tǒng)的設(shè)計(jì)和開(kāi)發(fā)記錄控制組織應(yīng)根據(jù)組織目標(biāo)、文件化的要求和規(guī)范標(biāo)準(zhǔn)，記錄人工智能系統(tǒng)的設(shè)計(jì)和開(kāi)發(fā)。實(shí)施指南人工智能系統(tǒng)有許多必要的設(shè)計(jì)選擇，包括但不限于—機(jī)器學(xué)習(xí)方法（如監(jiān)督式與非監(jiān)督式）；—所使用的機(jī)器學(xué)習(xí)模型的學(xué)習(xí)算法和類型；—模型的訓(xùn)練方式和數(shù)據(jù)質(zhì)量（見(jiàn)B.7）；—模型的評(píng)估和改進(jìn)；—硬件和軟件組件；—在整個(gè)人工智能系統(tǒng)生命周期中考慮的安全威脅；人工智能系統(tǒng)特有的安全威脅包括數(shù)據(jù)中毒、模型竊取或模型反轉(zhuǎn)攻擊；—界面和輸出展示；—人類如何與系統(tǒng)互動(dòng)；—互操作性和可移植性方面的考慮。在設(shè)計(jì)和開(kāi)發(fā)之間可能會(huì)有多次迭代，但應(yīng)保留各階段的文檔，并提供最終的系統(tǒng)架構(gòu)文檔。其他信息有關(guān)交互系統(tǒng)以人為本設(shè)計(jì)的更多信息，請(qǐng)參閱ISO9241-210。B.6.2.4人工智能系統(tǒng)的驗(yàn)證和確認(rèn)控制組織應(yīng)定義并記錄人工智能系統(tǒng)的驗(yàn)證和確認(rèn)措施，并規(guī)定其使用標(biāo)準(zhǔn)。GB/TXXXXX—XXXX/ISO/IEC42001:XXXX實(shí)施指南核查和驗(yàn)證措施可包括但不限于：—測(cè)試方法和工具；—測(cè)試數(shù)據(jù)的選擇及其在預(yù)期使用領(lǐng)域的代表性；—發(fā)布標(biāo)準(zhǔn)要求。組織應(yīng)定義和記錄評(píng)估標(biāo)準(zhǔn)，如但不限于：—評(píng)估人工智能系統(tǒng)組件和整個(gè)人工智能系統(tǒng)對(duì)個(gè)人和社會(huì)影響風(fēng)險(xiǎn)的計(jì)劃；—評(píng)估計(jì)劃可基于以下因素，例如：—人工智能系統(tǒng)的可靠性和安全性要求，包括人工智能系統(tǒng)性能的可接受誤差率；—負(fù)責(zé)任的人工智能系統(tǒng)開(kāi)發(fā)和使用目標(biāo)，如B.6.1.2和B.9.3中的目標(biāo)；—操作因素，如數(shù)據(jù)質(zhì)量、預(yù)期用途，包括每個(gè)操作因素的可接受范圍；—任何可能需要定義更嚴(yán)格操作要素的預(yù)期用途，包括不同的操作要素可接受范圍或較低的誤差率；—用于評(píng)估根據(jù)人工智能系統(tǒng)輸出結(jié)果作出決定或受制于決定的相關(guān)利益方是否能夠充分解釋人工智能系統(tǒng)輸出結(jié)果的方法、指導(dǎo)或衡量標(biāo)準(zhǔn)。應(yīng)根據(jù)人工智能系統(tǒng)影響評(píng)估的結(jié)果確定評(píng)估頻—任何可接受的因素，這些因素可能導(dǎo)致無(wú)法達(dá)到目標(biāo)的最低性能水平，特別是在評(píng)估人工智能系統(tǒng)對(duì)個(gè)人和社會(huì)的影響時(shí)（例如，計(jì)算機(jī)視覺(jué)系統(tǒng)圖像分辨率低或背景噪聲影響語(yǔ)音識(shí)別系統(tǒng)）。還應(yīng)記錄處理這些因素導(dǎo)致的人工智能系統(tǒng)性能低下的機(jī)制。人工智能系統(tǒng)應(yīng)根據(jù)記錄的評(píng)估標(biāo)準(zhǔn)進(jìn)行評(píng)估。如果人工智能系統(tǒng)不能滿足記錄在案的評(píng)估標(biāo)準(zhǔn)，特別是不能滿足負(fù)責(zé)任的人工智能系統(tǒng)開(kāi)發(fā)和使用目標(biāo)（見(jiàn)B.6.1.2，B.9.3組織應(yīng)重新考慮或管理人工智能系統(tǒng)預(yù)期用途的缺陷、其性能要求以及組織如何有效處理對(duì)個(gè)人和社會(huì)的影響。注：有關(guān)如何處理神經(jīng)網(wǎng)絡(luò)穩(wěn)健性的更多信息，請(qǐng)參閱ISO/IECTR24029-1。B.6.2.5人工智能系統(tǒng)的部署控制組織應(yīng)記錄部署計(jì)劃，并確保在部署前滿足適當(dāng)?shù)囊?。?shí)施指南人工智能系統(tǒng)可以在不同的環(huán)境中開(kāi)發(fā)，也可以在其他環(huán)境中部署（如在本地開(kāi)發(fā)，使用云計(jì)算部署組織在制定部署計(jì)劃時(shí)應(yīng)考慮到這些差異。他們還應(yīng)考慮組件是否分開(kāi)部署（例如，軟件和模型可以獨(dú)立部署）。此外，企業(yè)應(yīng)制定一套發(fā)布和部署前必須滿足的要求（有時(shí)稱為“發(fā)布標(biāo)準(zhǔn)”）。這可能包括必須通過(guò)的驗(yàn)證和確認(rèn)措施、必須達(dá)到的性能指標(biāo)、必須完成的用戶測(cè)試，以及必須獲得的管理審批和簽批。部署計(jì)劃應(yīng)考慮到相關(guān)利益方的觀點(diǎn)和影響。B.6.2.6人工智能系統(tǒng)的運(yùn)行和監(jiān)視控制組織應(yīng)確定并記錄人工智能系統(tǒng)持續(xù)運(yùn)行的必要要素。至少應(yīng)包括系統(tǒng)和性能監(jiān)視、維修、更新和支持。實(shí)施指南運(yùn)行和監(jiān)測(cè)的每項(xiàng)最低活動(dòng)都可以考慮各種因素。例如：GB/TXXXXX—XXXX/ISO/IEC42001:XXXX—系統(tǒng)和性能監(jiān)控可包括對(duì)一般錯(cuò)誤和故障的監(jiān)控，以及對(duì)系統(tǒng)是否按預(yù)期運(yùn)行生產(chǎn)數(shù)據(jù)的監(jiān)控。技術(shù)性能標(biāo)準(zhǔn)可包括解決問(wèn)題或完成任務(wù)的成功率或信任率。其他標(biāo)準(zhǔn)可能與滿足相關(guān)方的承諾或期望和需求有關(guān)，例如包括持續(xù)監(jiān)控，以確保符合客戶要求或適用的法律要求。—一些已部署的人工智能系統(tǒng)的性能會(huì)隨著人工智能的發(fā)展而不斷提高，其中生產(chǎn)數(shù)據(jù)和輸出數(shù)據(jù)被用于進(jìn)一步訓(xùn)練人工智能模型。在使用持續(xù)學(xué)習(xí)的情況下，組織應(yīng)監(jiān)控人工智能系統(tǒng)的性能，以確保其持續(xù)滿足設(shè)計(jì)目標(biāo)，并按照預(yù)期在生產(chǎn)數(shù)據(jù)上運(yùn)行?！行┤斯ぶ悄芟到y(tǒng)即使不使用持續(xù)學(xué)習(xí)，其性能也會(huì)發(fā)生變化，這通常是由于生產(chǎn)數(shù)據(jù)中的概念或數(shù)據(jù)漂移造成的。在這種情況下，監(jiān)控可以確定是否需要重新訓(xùn)練，以確保人工智能系統(tǒng)繼續(xù)實(shí)現(xiàn)其設(shè)計(jì)目標(biāo)，并按預(yù)期在生產(chǎn)數(shù)據(jù)上運(yùn)行。更多信息可參見(jiàn)ISO/IEC23053。—維修可包括對(duì)系統(tǒng)中的錯(cuò)誤和故障做出響應(yīng)。組織應(yīng)制定應(yīng)對(duì)和修復(fù)這些問(wèn)題的流程。此外，隨著系統(tǒng)的發(fā)展，或隨著發(fā)現(xiàn)的關(guān)鍵問(wèn)題減少，或由于外部發(fā)現(xiàn)的問(wèn)題（如不符合客戶期望或法律要求可能有必要進(jìn)行更新。應(yīng)制定更新系統(tǒng)的流程，包括受影響的組件、更新時(shí)間表、向用戶提供的關(guān)于更新內(nèi)容的信息?！到y(tǒng)更新還可包括系統(tǒng)操作的變更、新的或修改后的預(yù)期用途，或系統(tǒng)功能的其他變更。組織應(yīng)制定程序來(lái)處理操作變更，包括與用戶溝通?！獙?duì)系統(tǒng)的支持可以是內(nèi)部的、外部的或兩者兼有，這取決于組織的需求和系統(tǒng)的獲取方式。支持流程應(yīng)考慮用戶如何聯(lián)系適當(dāng)?shù)膸椭?、如何?bào)告問(wèn)題和事件、支持服務(wù)級(jí)別協(xié)議和衡量標(biāo)準(zhǔn)。—如果人工智能系統(tǒng)的使用目的與設(shè)計(jì)目的不同，或使用的方式未在預(yù)料之中，則應(yīng)考慮此類使用的適當(dāng)性。—應(yīng)識(shí)別與組織應(yīng)用和開(kāi)發(fā)的人工智能系統(tǒng)相關(guān)的人工智能特有的安全威脅。人工智能特有的安全威脅包括但不限于數(shù)據(jù)中毒、模型竊取和模型反轉(zhuǎn)攻擊。其他信息組織應(yīng)考慮可能影響相關(guān)方的運(yùn)行性能，并在設(shè)計(jì)和確定性能標(biāo)準(zhǔn)時(shí)考慮這一點(diǎn)。運(yùn)行中的人工智能系統(tǒng)的性能標(biāo)準(zhǔn)應(yīng)根據(jù)所考慮的任務(wù)來(lái)確定，如分類、回歸、排序、聚類或降維。性能標(biāo)準(zhǔn)可包括錯(cuò)誤率和處理持續(xù)時(shí)間等統(tǒng)計(jì)方面。對(duì)于每項(xiàng)標(biāo)準(zhǔn)，企業(yè)都應(yīng)確定所有相關(guān)指標(biāo)以及指標(biāo)之間的相互依賴關(guān)系。對(duì)于每個(gè)指標(biāo)，企業(yè)都應(yīng)根據(jù)領(lǐng)域?qū)＜业慕ㄗh和對(duì)相關(guān)方相對(duì)于現(xiàn)有非人工智能實(shí)踐的期望分析等，考慮可接受的值。例如，如ISO/IECTS4213所述，組織可根據(jù)其對(duì)假陽(yáng)性和假陰性影響的評(píng)估，確定F1分?jǐn)?shù)是一個(gè)合適的性能指標(biāo)。然后，組織可以確定人工智能系統(tǒng)應(yīng)達(dá)到的F1值。應(yīng)評(píng)估這些問(wèn)題是否可以通過(guò)現(xiàn)有措施來(lái)解決。如果不能，則應(yīng)考慮更改現(xiàn)有措施，或定義其他措施來(lái)檢測(cè)和處理這些問(wèn)題。組織應(yīng)考慮運(yùn)行中的非人工智能系統(tǒng)或流程的績(jī)效，并在制定績(jī)效標(biāo)準(zhǔn)時(shí)將其作為潛在的相關(guān)背此外，組織應(yīng)確保用于評(píng)估人工智能系統(tǒng)的手段和程序，包括酌情選擇和管理評(píng)估數(shù)據(jù)，以提高根據(jù)規(guī)定標(biāo)準(zhǔn)評(píng)估其績(jī)效的完整性和可靠性。績(jī)效評(píng)估方法的制定可以標(biāo)準(zhǔn)、度量和價(jià)值為基礎(chǔ)。這些標(biāo)準(zhǔn)、指標(biāo)和價(jià)值應(yīng)能為評(píng)估中使用的數(shù)據(jù)量和程序類型以及評(píng)估人員的作用和專業(yè)技能提供依據(jù)?？?jī)效評(píng)估方法應(yīng)盡可能地反映運(yùn)行和使用的屬性和特點(diǎn)，以確保評(píng)估結(jié)果的有用性和相關(guān)性。性能評(píng)估的某些方面可能需要有控制地引入錯(cuò)誤或虛假數(shù)據(jù)或流程，以評(píng)估對(duì)性能的影響。ISO/IEC25059:-[編寫中。出版時(shí)的階段：ISO/IECDIS25059。]中的質(zhì)量模型可用于定義性能標(biāo)B.6.2.7人工智能系統(tǒng)的技術(shù)記錄GB/TXXXXX—XXXX/ISO/IEC42001:XXXX控制組織應(yīng)確定用戶、合作伙伴、監(jiān)管機(jī)構(gòu)等各類相關(guān)方需要的人工智能系統(tǒng)技術(shù)記錄，并以適當(dāng)形式向他們提供技術(shù)文件。實(shí)施指南人工智能系統(tǒng)技術(shù)文件可包括但不限于以下內(nèi)容：—人工智能系統(tǒng)的一般說(shuō)明，包括其預(yù)期目的；—關(guān)于其部署和運(yùn)行的技術(shù)假設(shè)（運(yùn)行環(huán)境、相關(guān)軟件和硬件能力、對(duì)數(shù)據(jù)的假設(shè)等—技術(shù)限制（如可接受的錯(cuò)誤率、準(zhǔn)確性、可靠性、穩(wěn)健性）；—允許用戶或操作員影響系統(tǒng)運(yùn)行的監(jiān)控能力和功能。與所有人工智能系統(tǒng)生命周期階段有關(guān)的文檔要素（如ISO/IEC22989所定義）可包括但不限于以下內(nèi)容：—設(shè)計(jì)和系統(tǒng)架構(gòu)說(shuō)明；—在系統(tǒng)開(kāi)發(fā)過(guò)程中做出的設(shè)計(jì)選擇和采取的質(zhì)量措施；—系統(tǒng)開(kāi)發(fā)過(guò)程中使用的數(shù)據(jù)信息；—對(duì)數(shù)據(jù)質(zhì)量所作的假設(shè)和采取的質(zhì)量措施（如假設(shè)的統(tǒng)計(jì)分布）；—人工智能系統(tǒng)開(kāi)發(fā)或運(yùn)行過(guò)程中開(kāi)展的管理活動(dòng)（如風(fēng)險(xiǎn)管理）；—核實(shí)和驗(yàn)證記錄；—人工智能系統(tǒng)運(yùn)行時(shí)所作的改動(dòng)；—B.5所述的影響評(píng)估文件。組織應(yīng)記錄與負(fù)責(zé)任地運(yùn)行人工智能系統(tǒng)有關(guān)的技術(shù)信息。這可包括但不限于：—記錄管理先前未知故障的計(jì)劃。例如，這可能包括需要說(shuō)明人工智能系統(tǒng)的回滾計(jì)劃、關(guān)閉人工智能系統(tǒng)的功能、更新流程或?qū)⑷斯ぶ悄芟到y(tǒng)的變更通知客戶、用戶等的計(jì)劃、系統(tǒng)故障的最新信息以及如何緩解這些故障；—記錄監(jiān)測(cè)人工智能系統(tǒng)健康狀況的程序（即人工智能系統(tǒng)按預(yù)期并在正常運(yùn)行范圍內(nèi)運(yùn)行，也稱為可觀察性）和處理人工智能系統(tǒng)故障的程序；—記錄人工智能系統(tǒng)的標(biāo)準(zhǔn)操作程序，包括應(yīng)監(jiān)控哪些事件以及如何優(yōu)先處理和審查事件日志。還可包括如何調(diào)查故障和預(yù)防未來(lái)故障；—記錄負(fù)責(zé)人工智能系統(tǒng)操作的人員和負(fù)責(zé)系統(tǒng)使用的人員的職責(zé)，特別是在處理人工智能系統(tǒng)故障的影響或管理人工智能系統(tǒng)更新方面；—記錄系統(tǒng)更新，如系統(tǒng)操作的變化、新的或修改后的預(yù)期用途，或系統(tǒng)功能的其他變化。—組織應(yīng)制定適當(dāng)?shù)某绦騺?lái)解決操作上的變更，包括與用戶的溝通和對(duì)變更類型的內(nèi)部評(píng)估。文件應(yīng)及時(shí)更新并準(zhǔn)確無(wú)誤。文件應(yīng)得到組織內(nèi)相關(guān)管理層的批準(zhǔn)。作為用戶文檔的一部分提供時(shí)，應(yīng)考慮表A.1中提供的控制。B.6.2.8人工智能系統(tǒng)的事件記錄日志控制組織應(yīng)確定在人工智能系統(tǒng)生命周期的哪些階段應(yīng)啟用事件日志記錄，但至少應(yīng)在人工智能系統(tǒng)使用時(shí)啟用。實(shí)施指南GB/TXXXXX—XXXX/ISO/IEC42001:XXXX組織應(yīng)確保為其部署的人工智能系統(tǒng)記錄日志，以自動(dòng)收集和記錄與操作期間發(fā)生的某些事件相關(guān)的事件日志。此類日志記錄可包括但不限于以下內(nèi)容：—人工智能系統(tǒng)功能的可追溯性，以確保人工智能系統(tǒng)按預(yù)期運(yùn)行；—通過(guò)監(jiān)控人工智能系統(tǒng)的運(yùn)行，檢測(cè)人工智能系統(tǒng)在預(yù)期運(yùn)行條件之外的性能，這可能會(huì)導(dǎo)致生產(chǎn)數(shù)據(jù)的不良性能或?qū)ο嚓P(guān)利益方造成影響。人工智能系統(tǒng)事件日志可包括一些信息，如每次使用人工智能系統(tǒng)的時(shí)間和日期、人工智能系統(tǒng)運(yùn)行的生產(chǎn)數(shù)據(jù)、超出人工智能系統(tǒng)預(yù)期運(yùn)行范圍的輸出等。事件日志的保存時(shí)間應(yīng)根據(jù)人工智能系統(tǒng)的預(yù)期用途以及組織的數(shù)據(jù)保存政策和與數(shù)據(jù)保存相關(guān)的法律要求而定。其他信息某些人工智能系統(tǒng)（如生物識(shí)別系統(tǒng)）可能會(huì)根據(jù)管轄范圍而有額外的日志記錄要求。各組織應(yīng)了解這些要求。B.7人工智能系統(tǒng)的數(shù)據(jù)確保組織了解人工智能系統(tǒng)中的數(shù)據(jù)在人工智能系統(tǒng)的整個(gè)生命周期中的應(yīng)用、開(kāi)發(fā)、提供或使用中的作用和影響。B.7.2用于開(kāi)發(fā)和增強(qiáng)人工智能系統(tǒng)的數(shù)據(jù)控制組織應(yīng)定義、記錄和實(shí)施與人工智能系統(tǒng)開(kāi)發(fā)相關(guān)的數(shù)據(jù)管理流程。實(shí)施指南—數(shù)據(jù)管理可以包括各種控制，包括但不限于：—由于使用數(shù)據(jù)而影響到隱私和安全，其中一些數(shù)據(jù)在本質(zhì)上可能是敏感的；—依賴于數(shù)據(jù)的人工智能系統(tǒng)開(kāi)發(fā)可能產(chǎn)生的安全和安全威脅；—透明度和可解釋性方面，包括數(shù)據(jù)來(lái)源，以及如果系統(tǒng)需要透明度和可解釋性，則提供解釋數(shù)據(jù)如何用于確定人工智能系統(tǒng)的輸出的能力；—訓(xùn)練數(shù)據(jù)與運(yùn)行使用領(lǐng)域相比的代表性；—數(shù)據(jù)的準(zhǔn)確性和完整性。注：人工智能系統(tǒng)生命周期和數(shù)據(jù)管理概念的詳細(xì)信息由ISO/IEC22989提供。B.7.3數(shù)據(jù)采集控制該組織應(yīng)確定并記錄有關(guān)在人工智能系統(tǒng)中使用的數(shù)據(jù)的采集和選擇的細(xì)節(jié)。實(shí)施指南根據(jù)其人工智能系統(tǒng)的范圍和使用情況，該組織可能需要來(lái)自不同來(lái)源的不同類別的數(shù)據(jù)。關(guān)于數(shù)據(jù)采集的詳細(xì)信息可以包括：—人工智能系統(tǒng)所需的數(shù)據(jù)類別；—所需數(shù)據(jù)量；—數(shù)據(jù)源（例如：內(nèi)部、購(gòu)買、共享、開(kāi)放數(shù)據(jù)、合成）；—數(shù)據(jù)源的特性（例如，靜態(tài)、流式、收集、機(jī)器生成）；GB/TXXXXX—XXXX/ISO/IEC42001:XXXX—數(shù)據(jù)主體的人口統(tǒng)計(jì)學(xué)特征（如已知或潛在的偏差或其他系統(tǒng)錯(cuò)誤）；—事先處理數(shù)據(jù)（例如，以前的使用、符合隱私和安全要求）；—數(shù)據(jù)權(quán)利（如PII、版權(quán)）；—相關(guān)的元數(shù)據(jù)（例如，數(shù)據(jù)標(biāo)簽和增強(qiáng)的細(xì)節(jié)）；—數(shù)據(jù)的來(lái)源。其他信息ISO/IEC19944-1中的數(shù)據(jù)類別和數(shù)據(jù)使用的結(jié)構(gòu)可用于記錄有關(guān)數(shù)據(jù)采集和使用的細(xì)節(jié)。B.7.4人工智能系統(tǒng)的數(shù)據(jù)質(zhì)量控制組織應(yīng)定義和記錄數(shù)據(jù)質(zhì)量要求，并確保用于開(kāi)發(fā)和運(yùn)行人工智能系統(tǒng)的數(shù)據(jù)符合這些要求。實(shí)施指南用于開(kāi)發(fā)和操作人工智能系統(tǒng)的數(shù)據(jù)質(zhì)量可能會(huì)對(duì)系統(tǒng)輸出的有效性產(chǎn)生重大影響。ISO/IEC25024將數(shù)據(jù)質(zhì)量定義為在規(guī)定條件下使用時(shí)，數(shù)據(jù)特征滿足規(guī)定和隱含需求的程度。對(duì)于使用監(jiān)督或半監(jiān)督機(jī)器學(xué)習(xí)的人工智能系統(tǒng)，盡可能對(duì)訓(xùn)練、驗(yàn)證、測(cè)試和生產(chǎn)數(shù)據(jù)的質(zhì)量進(jìn)行定義、測(cè)量和改進(jìn)是很重要的，組織宜確保數(shù)據(jù)能達(dá)到其預(yù)期目的。組織應(yīng)考慮偏差對(duì)系統(tǒng)性能和系統(tǒng)公平性的影響，并對(duì)用于提高性能和公平性的模型和數(shù)據(jù)做出必要的調(diào)整，以便它們能夠被用例所接受。其他信息關(guān)于數(shù)據(jù)質(zhì)量的其他信息可在ISO/IEC5259關(guān)于分析和ML數(shù)據(jù)質(zhì)量的系列中獲得。關(guān)于在人工智能系統(tǒng)中使用的數(shù)據(jù)中不同形式的偏差的其他信息可參考ISO/IECTR24027。B.7.5數(shù)據(jù)來(lái)源控制該組織應(yīng)該定義并記錄一個(gè)流程，以記錄其人工智能系統(tǒng)在數(shù)據(jù)和生命周期中使用的數(shù)據(jù)的來(lái)源。實(shí)施指南根據(jù)ISO8000-2，數(shù)據(jù)來(lái)源的記錄可以包括關(guān)于數(shù)據(jù)控制的創(chuàng)建、更新、轉(zhuǎn)錄、抽象、驗(yàn)證和傳輸?shù)男畔?。此外，還可以在數(shù)據(jù)來(lái)源下考慮數(shù)據(jù)共享（不轉(zhuǎn)移控制）和數(shù)據(jù)轉(zhuǎn)換。根據(jù)數(shù)據(jù)來(lái)源、數(shù)據(jù)內(nèi)容和使用上下文等因素，組織應(yīng)該考慮是否需要采取驗(yàn)證數(shù)據(jù)來(lái)源的措施。B.7.6數(shù)據(jù)準(zhǔn)備控制組織應(yīng)定義并記錄其選擇數(shù)據(jù)準(zhǔn)備及要使用的數(shù)據(jù)準(zhǔn)備方法的準(zhǔn)則。實(shí)施指南在人工智能系統(tǒng)中使用的數(shù)據(jù)通常需要做好準(zhǔn)備，以使其可用于給定的人工智能任務(wù)。例如，機(jī)器學(xué)習(xí)算法有時(shí)不能容忍缺失或不正確的條目、非正態(tài)分布和廣泛變化的尺度。制備方法和變換可以用來(lái)提高數(shù)據(jù)的質(zhì)量。如果未能正確準(zhǔn)備好數(shù)據(jù)，可能會(huì)導(dǎo)致人工智能系統(tǒng)錯(cuò)誤。在人工智能系統(tǒng)中使用的數(shù)據(jù)的常用準(zhǔn)備方法和轉(zhuǎn)換包括：—對(duì)數(shù)據(jù)的統(tǒng)計(jì)探索（例如分布、平均值、中位數(shù)、標(biāo)準(zhǔn)差、范圍、分層、抽樣）和統(tǒng)計(jì)元數(shù)據(jù)（例如數(shù)據(jù)文檔計(jì)劃（DDI）規(guī)范[27])；—清理（即糾正條目，處理缺失的條目）；—估算（即用于填寫缺失條目的方法）；GB/TXXXXX—XXXX/ISO/IEC42001:XXXX—添加目標(biāo)變量的標(biāo)簽；—編碼（例如，將分類變量轉(zhuǎn)換為數(shù)字）。對(duì)于給定的人工智能任務(wù)，應(yīng)該記錄其選擇特定數(shù)據(jù)準(zhǔn)備方法和轉(zhuǎn)換的標(biāo)準(zhǔn)，以及在人工智能任務(wù)中使用的特定方法和轉(zhuǎn)換。注：關(guān)于機(jī)器學(xué)習(xí)特有的數(shù)據(jù)準(zhǔn)備的更多信息，請(qǐng)參見(jiàn)ISO/IEC5259系列和ISO/IEC23053。B.8人工智能系統(tǒng)相關(guān)方的信息確保有關(guān)各方掌握必要的信息，以了解和評(píng)估風(fēng)險(xiǎn)及其影響（正面和負(fù)面）。B.8.2為用戶提供的系統(tǒng)文件和信息控制組織應(yīng)確定并向系統(tǒng)的用戶提供必要的信息。實(shí)施指南關(guān)于人工智能系統(tǒng)的信息可以包括技術(shù)細(xì)節(jié)和說(shuō)明，以及對(duì)用戶正在與人工智能系統(tǒng)交互的一般通知，這取決于環(huán)境。這還可以包括系統(tǒng)本身，以及系統(tǒng)的潛在輸出（例如，通知用戶一個(gè)圖像是由人工智能創(chuàng)建的）。雖然人工智能系統(tǒng)可能很復(fù)雜，但用戶能夠理解他們何時(shí)與人工智能系統(tǒng)交互，以及該系統(tǒng)的工作原理是至關(guān)重要的。用戶還需要了解其預(yù)期目的和預(yù)期用途，以及其對(duì)用戶造成傷害或受益的可能性。一些系統(tǒng)文檔必須用于更多的技術(shù)用途（例如系統(tǒng)管理員組織應(yīng)該了解不同感興趣方的需求以及可理解性對(duì)他們意味著什么。這些信息也應(yīng)該是可訪問(wèn)的，無(wú)論是在查找它的易用性方面，還是對(duì)于那些可能需要額外的可訪問(wèn)性功能的用戶方面?？商峁┙o用戶的信息包括但不限于：—用戶正在與一個(gè)人工智能系統(tǒng)進(jìn)行交互；—如何與系統(tǒng)進(jìn)行交互；—如何以及何時(shí)覆蓋該系統(tǒng)；—系統(tǒng)運(yùn)行的技術(shù)要求，包括所需的計(jì)算資源，以及系統(tǒng)的限制及其預(yù)期壽命；—對(duì)人類監(jiān)督的需求；—關(guān)于準(zhǔn)確性和性能的信息；—來(lái)自影響評(píng)估的相關(guān)信息，包括潛在的好處和危害，特別是如果它們適用于特定的情況或某些人口群體(見(jiàn)B.5.2和B.5.4);—對(duì)系統(tǒng)的好處的修正；—更新和更改系統(tǒng)的工作方式，以及任何必要的維護(hù)措施，包括其頻率；—供系統(tǒng)使用的教育材料。組織用來(lái)決定是否提供什么信息的標(biāo)準(zhǔn)應(yīng)該被記錄下來(lái)。相關(guān)標(biāo)準(zhǔn)包括但不限于人工智能系統(tǒng)的預(yù)期用途和合理可預(yù)見(jiàn)的誤用、用戶的專業(yè)知識(shí)和人工智能系統(tǒng)的具體影響。GB/TXXXXX—XXXX/ISO/IEC42001:XXXX信息可以以多種方式提供給用戶，包括有記錄的使用說(shuō)明、系統(tǒng)本身內(nèi)置的警報(bào)和其他通知、網(wǎng)頁(yè)上的信息等。根據(jù)組織使用的提供信息的方法，它應(yīng)該驗(yàn)證用戶是否可以訪問(wèn)這些信息，并且所提供的信息是否是完整的、最新的和準(zhǔn)確的。B.8.3外部報(bào)告控制組織應(yīng)為相關(guān)方提供報(bào)告系統(tǒng)負(fù)面影響的能力。實(shí)施指南雖然應(yīng)監(jiān)測(cè)系統(tǒng)運(yùn)行是否存在報(bào)告的問(wèn)題和故障，但組織還應(yīng)為用戶或其他外部各方提供報(bào)告不利影響（例如，不公平）的能力。B.8.4事故通報(bào)控制組織應(yīng)確定并記錄向系統(tǒng)用戶溝通事故的計(jì)劃。實(shí)施指南與人工智能系統(tǒng)有關(guān)的事件可以是人工智能系統(tǒng)本身的特定事件，也可以是與信息安全或隱私有關(guān)的事件（如數(shù)據(jù)泄露）。組織應(yīng)根據(jù)系統(tǒng)運(yùn)行的具體情況，了解其在通知用戶和其他相關(guān)方有關(guān)事件方面的義務(wù)。例如，作為影響安全的產(chǎn)品一部分的人工智能組件發(fā)生事故時(shí)，其通知要求可能與其他類型的系統(tǒng)不同。法律要求（如合同）和監(jiān)管活動(dòng)可以適用，它們可以明確規(guī)定以下要求：—必須通報(bào)的事件類型；—通知的時(shí)限—是否必須通知有關(guān)當(dāng)局以及通知哪些當(dāng)局；—必須通報(bào)的詳細(xì)信息。組織可將人工智能的事件響應(yīng)和報(bào)告活動(dòng)整合到更廣泛的組織事件管理活動(dòng)中，但應(yīng)注意與人工智能系統(tǒng)或人工智能系統(tǒng)單個(gè)組件相關(guān)的獨(dú)特要求（例如，系統(tǒng)訓(xùn)練數(shù)據(jù)中的PII數(shù)據(jù)泄露可能會(huì)有與隱私相關(guān)的不同報(bào)告要求）。其他信息ISO/IEC27001和ISO/IEC27701分別提供了有關(guān)安全和隱私事件管理的更多詳細(xì)信息。B.8.5向有關(guān)各方提供信息控制該組織應(yīng)確定并記錄其向相關(guān)各方報(bào)告有關(guān)人工智能系統(tǒng)的信息的義務(wù)。實(shí)施指南在某些情況下，一個(gè)司法管轄區(qū)可能會(huì)要求與監(jiān)管機(jī)構(gòu)等權(quán)威機(jī)構(gòu)共享有關(guān)該系統(tǒng)的信息。信息可以在適當(dāng)?shù)臅r(shí)間框架內(nèi)報(bào)告給相關(guān)方，如客戶或監(jiān)管當(dāng)局。共享的信息可以包括，例如：—技術(shù)系統(tǒng)文件，包括但不限于，用于訓(xùn)練、驗(yàn)證和測(cè)試的數(shù)據(jù)集，以及算法選擇的理由和驗(yàn)證和驗(yàn)證記錄；—與本系統(tǒng)相關(guān)的風(fēng)險(xiǎn)；—影響評(píng)估結(jié)果；—日志和其他系統(tǒng)記錄。本組織應(yīng)了解其在這方面的義務(wù)，并確保與正確的當(dāng)局分享適當(dāng)?shù)男畔ⅰ４送?，該組織知道與執(zhí)法當(dāng)局共享的信息有關(guān)的司法要求。GB/TXXXXX—XXXX/ISO/IEC42001:XXXXB.9人工智能系統(tǒng)的使用確保組織負(fù)責(zé)任地和按照組織的政策使用人工智能系統(tǒng)。B.9.2系統(tǒng)的文檔和信息控制該組織應(yīng)該定義并記錄了負(fù)責(zé)任地使用人工智能系統(tǒng)的過(guò)程。實(shí)施指南根據(jù)其上下文，該組織在決定是否使用特定的人工智能系統(tǒng)時(shí)可以有許多考慮因素。無(wú)論人工智能系統(tǒng)是由組織本身開(kāi)發(fā)的還是來(lái)自第三方，組織都應(yīng)該清楚這些考慮是什么，并制定政策來(lái)解決這些問(wèn)題。例如：—要求的批準(zhǔn)；—成本（包括持續(xù)的監(jiān)測(cè)和維護(hù)費(fèi)用）；—批準(zhǔn)的采購(gòu)要求；—適用于本組織的法律要求。如果組織已經(jīng)接受了使用其他系統(tǒng)、資產(chǎn)等的策略，那么如果需要，可以合并這些策略。B.9.3負(fù)責(zé)任地使用人工智能系統(tǒng)的目標(biāo)控制該組織應(yīng)確定并記錄目標(biāo)，以指導(dǎo)負(fù)責(zé)任地使用人工智能系統(tǒng)。實(shí)施指南在不同的環(huán)境下運(yùn)作的組織可能對(duì)人工智能系統(tǒng)的負(fù)責(zé)任的發(fā)展有不同的期望和目標(biāo)。根據(jù)其上下文，組織應(yīng)確定其與可信使用相關(guān)的目標(biāo)。一些目標(biāo)包括：—魯棒性和冗余性；一旦定義，組織應(yīng)該實(shí)施機(jī)制來(lái)實(shí)現(xiàn)組織內(nèi)的目標(biāo)。這可以包括確定一個(gè)第三方解決方案是否滿足了組織的目標(biāo)，或者一個(gè)內(nèi)部開(kāi)發(fā)的解決方案是否適用于預(yù)期的用途。該組織應(yīng)確定在人工智能系統(tǒng)生命周期的哪個(gè)階段應(yīng)納入有意義的人類監(jiān)督目標(biāo)。這可以包括：—讓人類審查員檢查人工智能系統(tǒng)的輸出，包括有權(quán)推翻人工智能系統(tǒng)做出的決策；—如果需要根據(jù)與預(yù)期部署人工智能系統(tǒng)相關(guān)的指示或其他文件使用人工智能系統(tǒng)，確保包括人工監(jiān)督；GB/TXXXXX—XXXX/ISO/IEC42001:XXXX—監(jiān)控人工智能系統(tǒng)的性能，包括人工智能系統(tǒng)輸出的準(zhǔn)確性；—報(bào)告有關(guān)人工智能系統(tǒng)輸出的關(guān)切及其對(duì)相關(guān)利害關(guān)系方的影響；—報(bào)告人工智能系統(tǒng)正確輸出生產(chǎn)數(shù)據(jù)的性能或能力的變化；—考慮自動(dòng)決策是否適合于一種負(fù)責(zé)任的方法來(lái)使用人工智能系統(tǒng)和人工智能系統(tǒng)的預(yù)期使用。通過(guò)影響評(píng)估可以得知人類監(jiān)督的必要性（見(jiàn)B.5)。參與與人工智能系統(tǒng)相關(guān)的人工監(jiān)督活動(dòng)的人員應(yīng)被告知、培訓(xùn)和理解有關(guān)人工智能系統(tǒng)的指示和其他文件，以及它們?yōu)闈M足人類監(jiān)督目標(biāo)所執(zhí)行的職責(zé)。在報(bào)告性能問(wèn)題時(shí)，人工監(jiān)督可以增強(qiáng)自動(dòng)監(jiān)控。其他信息附件C提供了管理風(fēng)險(xiǎn)的組織目標(biāo)的例子，這可能有助于確定