在前一篇文章《ISO/IEC 42001是一群“文盲”为圈钱而编制的》中,我从整体上阐述了为什么这个标准是由一群“文盲”+草包编制的一个标准,而在接下来的一系列文章中,我将会逐个对ISO/IEC 42001: 2023存在的谬误进行指出和辨析。
在前一篇文章中,我也说了,像其他管理体系标准(诸如ISO/IEC 27001,ISO 22301,ISO 14001,以及ISO 45001等),都有明确的应用范围和核心目标(如ISO/IEC 27001是管理业务过程中的信息资产安全属性被破坏的风险,ISO 22301是管理业务过程中的业务活动被中断的风险,ISO 14001是管理业务过程中的环境因素及其相关的合规风险,ISO 45001是管理业务过程中的危险源及其相关的合规风险),这些体系标准的应用范围和核心目标,我们在阅读标准的时候都能明确地获取到,而ISO 42001这个标准我进行了反复的阅读,发现竟然不知道这个标准到底是用来干嘛的,我相信编写这个标准的人他们也是不清楚的。
虽然在ISO/IEC 42001: 2023条款“1 范围”中有写道:“本文件旨在帮助组织负责任地开发、提供或使用人工智能系统”,但是其应用范围和核心目标还是模糊不清的,例如在这句话中的“负责任地”并没有指明是哪个方面,是道德伦理方面,是信息安全方面,是隐私信息方面,是质量管理方面,是服务管理方面,是知识产权方面,还是其他方面,在这个地方不像其他管理体系标准,像前面所说的都有明确指出其应用范围和核心目标,因此这也导致ISO/IEC 42001: 2023这个标准的很多条款要求在制定的时候,也是模糊不清的,自然实施的时候也会无从下手。
比如在ISO/IEC 42001: 2023“条款6”和“条款8”都有提到要求实施风险评估和人工智能系统影响评价的活动,因为这个标准的应用范围和核心目标不清晰,那么实施实施风险评估和人工智能系统影响评价的时候也是无从下手的,风险评估和人工智能系统影响评价到底是要从哪个方面入手,是道德伦理方面,是信息安全方面,是隐私信息方面,是质量管理方面,是服务管理方面,是知识产权方面,还是其他方面,还是这些方面都需要考虑进去?
比如ISO 22301业务连续性管理体系这个标准,同样是要实施风险评估和业务影响评价的活动,因为这个标准已经明确了应用范围和核心目标,就是管理业务过程中业务活动被中断的风险,所以在做风险评估和业务影响评价的时候,我们就可以很清晰知道需要考虑业务活动中断带来的业务影响,以及需要识别造成关键业务活动中断的风险。
我们可以再拿SA 8000这个标准来举例,这个标准的也是包含多个方面的要求,主要是两个方面:一是劳工道德,二是劳工健康与安全,这个内容在SA 8000这个标准里是很清晰地明确了,并且标准里的主要条款要求也是按照这两个模块来编写的。
因此在ISO/IEC 42001: 2023这个标准中必须明确“负责任地”具体指的哪个方面,是道德伦理方面,是信息安全方面,是隐私信息方面,是质量管理方面,是服务管理方面,是知识产权方面,还是其他方面。否则,不仅是前面所说的风险评估和人工智能系统影响评价无所下手,其他条款也是一样无法进行实施,甚至这些人在编制标准的时候,也没有搞清楚这个问题,所以编写的标准大多是仿照其他标准的“形”,自以为是地胡乱编写地内容,而忽略了标准的内涵意义以及标准的内在逻辑。
最后再说两句,我虽然没有见过这群编写这个标准的“文盲”+草包,但其实这几年,在职场中,特别是信息安全这个领域见到的这种人还是超级多的,基本上可以断定是一群IT技术出身的人,对ISO管理体系,企业业务,企业管理,这群人基本上就是一个门外汉,可他们偏偏是一群对这些都嗤之以鼻的人,认为这些都是超级容易的事情,这群人对于ISO/IEC 27001这个标准都吃不透,都是只知其中的皮毛,就竟敢仿照ISO/IEC 27001这个标准去编造一个ISO/IEC 42001,结果就是编制出一个超级大笑话,这个标准真真切切的成为了一个国际大玩笑了。
