ISO∕IEC 42001-2023《信息技術(shù)-人工智能-管理體系》之13：“7支持-7.5成文信息”解讀和應用指導材料（雷澤佳編制-2024A0）

ISO/IEC42001-2023《信息技術(shù)-人工智能-管理體系》之13“7支持-7.5成文信息”解讀和應用指導材料ISO/IEC42001-2023《信息技術(shù)-人工智能-管理體系》之13“7支持-7.5成文信息”解讀和應用指導材料ISO/IEC42001-2023《信息技術(shù)-人工智能-管理體系》ISO/IEC42001-2023《信息技術(shù)-人工智能-管理體系》7支持7.5成文信息7.5.1總則組織的人工智能管理體系應包括：a）本文件要求的成文信息；b）組織確定的人工智能管理體系有效性所必需的成文信息。注：對于不同組織，人工智能管理體系成文信息的多少與詳略程度可以不同，取決于：——組織的規(guī)模，以及活動、過程、產(chǎn)品和服務的類型；——過程及其相互作用的復雜程度；——人員的能力。7.5.2創(chuàng)建和更新成文信息在創(chuàng)建和更新成文信息時，組織應確保適當?shù)模篴）標識和說明（如標題、日期、作者、索引編號）；b）形式（如語言、軟件版本、圖表）和載體（如紙質(zhì)的、電子的）；c）評審和批準，以保持適宜性和充分性。7.5.3成文信息的控制應控制人工智能管理體系和本文件要求的成文信息，以確保其：a）在需要的場合和時機，均可獲得并適用；b）予以妥善保護（如：防止泄密、不當使用或缺失）。為控制成文信息，適用時，組織應進行下列活動：——分發(fā)、訪問、檢索和使用；——存儲和防護，包括保持可讀性；——更改控制（如版本控制）；——保留和處置。對于組織所確定的策劃和運行人工智能管理體系所必需的來自外部的成文信息，組織應進行適當識別，并予以控制。注1：對于成文信息的“訪問”可能意味著僅允許查閱或者意味著允許查閱和并授權(quán)修改。7支持7.5成文信息7.5.1總則成文信息定義：組織需要控制和維護的信息及其載體。成文信息的存在形式與載體：成文信息可以以任何形式存在，包括但不限于紙質(zhì)文檔、電子文件、音頻、視頻等；成文信息的載體也是多樣化的，可以是紙張、電子設(shè)備、云存儲等；成文信息的來源并不受限，它可以來自組織內(nèi)部或外部。成文信息可能涉及的內(nèi)容：人工智能管理體系：包括與人工智能管理體系相關(guān)的方針、策略、流程、程序等；組織運行的信息：指為了組織的日常運作而專門創(chuàng)建的信息，如操作手冊、工作指南等文件；實現(xiàn)結(jié)果的證據(jù)：這些是記錄，證明了組織在實施人工智能管理體系過程中達到的結(jié)果或成果。組織的人工智能管理體系應包括：ISO/IEC42001要求的成文信息：組織在建立人工智能管理體系時，必須包括ISO/IEC42001標準中明確要求的所有成文信息；這些信息可能包括但不限于人工智能的方針、策略、目標、流程、標準操作程序等，這些都是確保符合該標準的基礎(chǔ)。組織確定的人工智能管理體系有效性所必需的成文信息：組織應根據(jù)自身的情況和需求，確定并記錄那些對確保人工智能管理體系有效性至關(guān)重要的信息；這些信息可能包括組織特定的風險管理策略、內(nèi)部審核結(jié)果、改進措施、員工培訓計劃等，旨在支持人工智能管理體系的持續(xù)改進和有效性。成文信息的多少與詳略程度的決定因素。組織的規(guī)模，以及活動、過程、產(chǎn)品和服務的類型：大型組織或業(yè)務復雜的組織可能需要更詳細和全面的成文信息來支持其人工智能管理體系；組織的活動、過程、產(chǎn)品和服務的多樣性也會影響成文信息的范圍和詳細程度。過程及其相互作用的復雜程度：如果組織的人工智能相關(guān)過程復雜且相互關(guān)聯(lián)緊密，那么就需要更加詳盡的成文信息來確保過程的清晰理解和有效管理。人員的能力。人員的能力水平，包括他們的知識、技能和經(jīng)驗，會影響成文信息的編寫方式。對于能力較低的員工，可能需要更詳細和具體的指導文件來支持他們的工作；如果人員能力普遍較高，那么成文信息可能更加簡潔和概括，因為員工能夠基于較少的信息進行高效地工作。7.5.2創(chuàng)建和更新成文信息在創(chuàng)建和更新成文信息時，組織應確保適當?shù)模簶俗R和說明：成文信息應具備清晰的標識和說明，如標題、日期、作者和索引編號。這些信息有助于文檔的管理和追蹤，確保文檔的版本和來源可追蹤。形式和載體：格式要求：在創(chuàng)建和更新成文信息時，需要確定適宜的文件語言，以確保信息的準確傳達和易于理解；文件格式的選擇也是重要的，它應確保文件的兼容性、可讀性和長期保存性；使用的軟件版本應明確，以避免因軟件差異導致的信息顯示或功能問題；圖表內(nèi)容應清晰、專業(yè)，以輔助文字信息，提高文件的整體可讀性和信息傳遞效率。介質(zhì)或載體要求：介質(zhì)或載體的選擇應基于信息的性質(zhì)、使用頻率、保存期限和訪問需求；物理介質(zhì)（如紙質(zhì)）適用于需要實體存檔或特定簽名的情況；電子介質(zhì)（網(wǎng)頁、數(shù)據(jù)庫、計算機日志、計算機生成的報告、音頻和視頻）則便于信息的快速傳播、遠程訪問和長期保存，同時應考慮其安全性和可備份性；定義介質(zhì)要求時，還需考慮信息的可移植性和未來技術(shù)的變化，以確保信息的長期可用性。評審和批準；評審和批準的目的：通過適當?shù)墓芾韺舆M行評審和批準，可以確保成文信息是準確、符合其制定目的，并且其表述形式和詳細程度適合預期的讀者群體；文件編制方法的要求：組織應采用的文件編制方法應能確保成文信息得到定期評審，以及所有對文件的變更都必須經(jīng)過批準流程。這樣做可以維持信息的時效性和準確性；評審準則的確定：適當?shù)脑u審準則可以基于時間（例如設(shè)定文件評審的最大時間間隔）或內(nèi)容來制定。這些準則為評審活動提供了指導和依據(jù)，確保評審的有效性和針對性；批準準則的定義：批準準則應被明確定義，以保證成文信息在獲得批準前是正確無誤、符合既定目的，并且其格式和詳細程度適合預期讀者。這是信息發(fā)布前質(zhì)量控制的重要環(huán)節(jié)；定期評審的意義：通過定期評審，組織可以確保成文信息隨時間和業(yè)務環(huán)境的變化而保持其適宜性和充分性，從而支持組織目標的實現(xiàn)；評審的實施：成文信息在創(chuàng)建和更新后應經(jīng)過適當?shù)脑u審和批準流程，以確保其適宜性和充分性。評審和批準應由具有相應知識和經(jīng)驗的專家或團隊進行，以確保文檔內(nèi)容準確、完整并符合組織的需要。7.5.3成文信息的控制應控制人工智能管理體系和本文件要求的成文信息，以確保其：在需要的場合和時機，均可獲得并適用：組織應確保人工智能管理體系相關(guān)的成文信息在需要的時候，無論是內(nèi)部人員還是外部相關(guān)方，都能夠方便地獲取到，并且這些信息必須是適用的，即與當前人工智能管理體系的運行狀態(tài)、業(yè)務需求、法律法規(guī)等保持一致，能夠指導實際工作。這樣的控制有助于確保人工智能管理體系的有效運行和持續(xù)改進；予以妥善保護（如：防止泄密、不當使用或缺失）；成文信息需要得到妥善地保護，以防止信息泄露、被不當使用或遺失；這包括采取適當?shù)拇胧?，如物理安全措施、訪問控制、數(shù)據(jù)加密等，以確保成文信息的機密性、完整性和可用性；妥善保護成文信息對于維護組織的知識產(chǎn)權(quán)、避免法律責任和保持業(yè)務連續(xù)性至關(guān)重要。為控制成文信息，適用時，組織應進行下列活動：分發(fā)、訪問、檢索和使用：組織應確保成文信息在適當?shù)臅r機和地點得到分發(fā)，以確保相關(guān)方能夠及時獲取所需信息；組織應提供對成文信息的訪問權(quán)限，確保需要這些信息的人員能夠方便地檢索和使用它們。這些措施有助于確保成文信息的及時傳遞和有效利用，從而支持組織的運營和管理活動；關(guān)于成文信息的“訪問”權(quán)限：訪問不僅可能包括查閱成文信息的權(quán)限，還可能包括對其進行修改的權(quán)限。根據(jù)組織的需要和策略，某些人員可能只有查看成文信息的權(quán)利，而另一些人員則可能同時擁有查看和修改這些信息的權(quán)利。存儲和防護，包括保持可讀性；存儲管理：組織應確保所有的成文信息，無論是紙質(zhì)形式還是電子形式，都能得到妥善地存儲管理。這意味著需要制定有效的存儲策略，包括選擇合適的存儲介質(zhì)、確定存儲位置，以及確保存儲環(huán)境的適宜性，以確保信息的安全性和可用性；信息防護：成文信息的防護不僅涉及物理層面的安全，如防止盜竊、火災等意外事件，還涉及技術(shù)層面的安全，如防止未經(jīng)授權(quán)的訪問、數(shù)據(jù)泄露和篡改等。組織應實施適當?shù)陌踩胧?，如訪問控制、數(shù)據(jù)加密、定期備份等，以確保信息的機密性、完整性和可用性；保持可讀性：對于電子形式的成文信息，特別是長時間存儲的信息，需要特別注意保持其可讀性。這包括定期檢查和更新存儲的軟件和硬件環(huán)境，以確保能夠正確地讀取和訪問這些信息。此外，對于紙質(zhì)文檔，也需要妥善保管，防止受潮、損壞等導致信息無法讀取。更改控制（如版本控制）：組織在適用時應對成文信息實施更改控制，確保信息的準確性和一致性。更改控制可能包括但不限于版本控制，這意味著當文檔或信息發(fā)生更改時，組織應確保：記錄每次更改的詳細信息，包括更改的原因、內(nèi)容、時間、執(zhí)行者等；為每次更改創(chuàng)建新的版本，并明確標記舊版本和新版本之間的區(qū)別；確保所有相關(guān)人員都知道最新的版本信息，并避免使用過時的或已廢棄的文檔。保留和處置。組織應確保與人工智能管理體系有關(guān)的成文信息被適當保留。這包括與建立、實施、保持和持續(xù)改進人工智能管理體系相關(guān)的所有文件和記錄；保留的成文信息可能包括但不限于：方針、目標、程序、計劃、記錄、報告等，這些信息對于維持組織的人工智能管理體系的有效性和可追溯性至關(guān)重要；組織應明確規(guī)定成文信息的保留期限和處置方式，以確保這些信息在需要時能夠方便獲取，并在不再需要時得到適當處理；成文信息的保留和處置應遵守相關(guān)法律法規(guī)和組織內(nèi)部政策的要求，以確保信息的機密性、完整性和可用性得到保護。外部成文信息的控制。外部成文信息的識別；必要性：組織應識別并控制對于