ISO/IEC 42001: 2023 谬误辨析与实施详解（02）4 组织环境/4.1 理解组织及其环境

4 组织环境/4.1 理解组织及其环境

4.1 理解组织及其环境 组织应确定与其宗旨相关的，并影响其实现人工智能管理体系预期结果的能力的内部和外部事项。 组织应确定气候变化是否是一个相关因素。 组织应顾及组织开发、提供或使用人工智能系统的预期目的。组织应确定其在人工智能系统中的角色。 注1:组织确定其相对于人工智能系统的角色有助于理解组织及其环境。这些角色包括但不限于以下一种或多种： ——人工智能提供方，包括人工智能平台提供方、人工智能产品或服务提供方； ——人工智能生产方，包括人工智能开发方、人工智能设计方、人工智能运营方、人工智能测试和评估机构、人工智能部署方、人工智能人因研究机构、领域专家、人工智能影响评估机构、采购方、人工智能治理和监督专业机构； ——人工智能客户，包括人工智能用户； ——人工智能合作伙伴，包括人工智能系统集成商和数据提供商； ——人工智能主体，包括数据主体和其他主体； ——相关监管机构，包括方针制定者和监管方。 ISO/IEC 22989:2022提供了这些角色的详细描述。此外，角色类型及其与人工智能系统生存周期的关系也在美国国家标准与技术研究院(NIST) 发布的《人工智能风险管理框架》中进行了描述。组织的角色能确定本文件中的要求和控制的适用性和适用性程度。 注2:根据本条要解决的外部和内部因素可能因组织的角色和管辖权及其对实现人工智能管理体系预期结果的能力的影响而有所不同。这些包括但不限于如下内容。 a) 外部环境相关的考虑，如： 1) 适用的法律要求，包括禁止使用人工智能； 2)监管机构的方针、指南和决定对人工智能系统开发和使用中法律要求的解释或执行产生影响； 3) 与人工智能系统的预期目的和使用相关的激励或后果； 4)人工智能开发和使用方面的文化、传统、价值观、规范和伦理； 5)使用人工智能系统的新产品和服务的竞争格局和趋势。 b) 内部环境相关的考虑，如： 1) 组织环境、治理、目标(见6.2)、方针和程序； 2) 合同义务； 3)拟开发或使用人工智能系统的预期目的。 注3:角色的确定能通过与组织处理的数据类别相关的义务来确定[例如，在处理个人可识别信息时，个人可识别信息处理者或个人可识别信息控制者]。有关个人可识别信息和相关角色，见ISO/IEC29100 。 角色也能通过特定于人工智能系统的法律要求来了解。

【谬误辨析】

谬误一：注解对于组织角色的定义或确定方法是不清晰的

（1）注1根据ISO/IEC 22989:2022列举了诸如人工智能提供方，人工智能生产方，人工智能客户等组织角色，而注3又提到了可以使用ISO/IEC 27701中定义的组织角色，如个人身份信息控制者和个人身份信息处理者。

（2）标准给出的组织角色定义或确定方法的不清晰，将导致组织在实施本条款时，无法清晰准确地定位组织自身的角色，从而影响整个人工智能管理体系的实施。

（3）标准应该参考ISO/IEC 27701: 2019 那样，对组织的角色给出明确的定义，比如个人身份信息控制者，和个人身份信息处理者，这样组织在实施标准要求时，可以快速清晰地定位组织自身的角色。

谬误二：注解对于组织角色确定的作用描述不恰当

（1）在注1中有一句关于组织角色确定的作用描述，即“组织的角色能确定本文件中的要求和控制的适用性和适用性程度”，这句话说的没有错，但是放的位置不太恰当。

（2）本条款的要求是理解组织及其环境，识别出组织角色有关的内部/外部因素，正如注2所说的，组织的角色不同，识别出的内外部因素也是不一样的，至于“本文件中的要求和控制的适用性和适用性程度”则与本条款要求是无关的。

（3）“组织的角色能确定本文件中的要求和控制的适用性和适用性程度”，这句话应拆为两个部分，即“所有角色的组织都应满足本文件正文条款4至条款10的要求，否则组织不能声称符合本文件的要求”和“组织应根据确定的角色，在附录A中选择控制人工智能风险的控制项”。

（4）“所有角色的组织都应满足本文件正文条款4至条款10的要求，否则组织不能声称符合本文件的要求”这句话，应放到“01 范围”里面。

（5）“组织应根据确定的角色，在附录A中选择控制人工智能风险的控制项”这句话，应放到“6.1.3 人工智能风险应对”里面。

【标准理解】

（1）与人工智能管理体系相关的组织意图（或宗旨），主要有三个，即组织的战略目标，组织的业务目标和组织人工智能管理体系的预期结果，这也是实施4.1需要输入的主要资料；

（2）组织应根据其意图（或宗旨）确定组织在人工智能系统中的角色。

（3）组织应根据组织的战略目标，组织的业务目标，组织人工智能管理体系的预期结果和组织在人工智能系统中的角色，识别出影响组织实现人工智能管理体系预期结果能力的内部和外部事项（或因素），输出内外部因素清单；

（4）4.1中“事项”，部分地方也翻译成“因素”，如外部因素，国际和国家法律法规，技术以及市场等外部因素，又如内部因素，企业文化，公司治理，财务状况，公司战略，人员素质等内部因素；

（5）组织应定期更新和评审内外部因素清单；

（6）组织应根据其在人工智能系统中的角色，确定气候变化是否是组织实施的人工智能管理体系的一个内外部因素，例如人工智能生产方训练AI模型时，消耗大量电源会增加碳排放。

（7）组织应建立环境分析管理过程，并形成书面的文件，以明确内外部因素识别的职责，时机，频率及绩效等。

【行动要点】

（1）建立组织环境分析管理过程；

（2）形成书面的《环境分析管理流程》或《环境分析管理程序》；

（3）按照《环境分析管理流程》，进行内外部因素识别和分析工作；

（4）输出书面的《内外部因素清单》，并进行评审。

【输出文档】

（1）《环境分析管理流程》或《环境分析管理程序》；

（2）《内外部因素清单》；

（3）《内外部因素清单》评审记录。

【审核要点】

（1）是否建立环境分析管理过程，并形成书面的《环境分析管理流程》或《环境分析管理程序》;

（2）《环境分析管理流程》是否明确内外因素识别和分析的职责和频率；

（3）能否提供《内外部因素清单》；

（4）《内外部因素清单》是否有评审，并提供评审记录以验证。