我第一次接触ISO管理体系,还是在上大四的那一年,因为我学的是食品科学与工程专业,所以在那一年我学习了ISO 9001和HACCP的课程,虽然当时什么都没学明白,对学习的内容也都是懵懵懂懂的,但是自那以后,似乎我对ISO管理体系留下了特别深刻的印象,也注定了我的整个职业生涯也将围绕着ISO管理体系打转。

后来,我大学毕业之后,第一份工作是在一家餐饮服务公司做QC,工作半年之后,便辞职了。在那段没有工作的日子里,或多或少是有点迷茫,但是我最终下定了决心,决定往ISO体系这个方向去找工作。最终,通过我的自学,以及不断尝试去投递体系工程师的岗位,最终获得了一家不是特别大的电子工厂的体系工程师岗位的录用。

就这样,我就正式踏入了ISO管理体系这个行当。在此后的十几年,我一直是在电子制造行业和通信服务行业从事ISO 9001,ISO 14001和ISO 45001(OHSAS 18001)等常规ISO管理体系的工作。直到2018年,一次偶然的机会,一家电子制造企业,看我过往的经历有接触ISO/IEC 27001这个管理体系,当时这家企业正在导入ISO/IEC 27001信息安全管理体系,以及即将要面对华为的信息安全审核,在这样的情形之下,我也很顺利地获得了去这家企业工作地机会。

虽然我之前接触过ISO/IEC 27001,但毕竟我的重心还是放在ISO 9001,ISO 14001和ISO 45001(OHSAS 18001)等常规ISO管理体系之上,对于ISO/IEC 27001并没有很深的了解。因此,为了更好地完成工作任务,我当时把网上为数不多的有关ISO/IEC 27001的书籍全都买来学习了,最后也是顺利地完成了工作任务,这家企业顺利地通过了ISO/IEC 27001认证审核,以及华为的信息安全审核。

经过那段时间的学习和工作,发现当时能够精通ISO/IEC 27001的几乎没有,大多是懂点皮毛,包括我之前购买的书籍,好多都是东抄抄西抄抄,滥竽充数的,当时经过我的努力学习之后,发现原来我都成了ISO/IEC 27001这个领域的“顶尖高手”了,这不免有点让我自信心暴涨,也让我萌生了从质量管理转战信息安全的想法。

2019年,春节过完之后,我又再次来到了深圳,不久之后,我就获得了一家大型制造企业信息安全岗位的工作机会。在此后的数年,我的工作都是专注在ISO/IEC 27001 信息安全管理体系领域。

由于工作和不断学习的原因,这些年我也深入地学习了我之前了解不多的,一些非主流的,但是近些年越来越流行的ISO管理标准,诸如ISO/IEC 20000-1,ISO 22301,ISO/IEC 27701,以及ISO/IEC 42001等,然后我就发现,这些管理体系领域也存在着和ISO/IEC 27001一样的现象,就是当今中国能够把这些标准讲解彻彻底底讲解清楚的是非常少见的,大多数都只是懂点皮毛,因为我发现,不管是在现实中接触到的案例,还是我查找到的资料,又或者是我购买的相关书籍,几乎都是残缺不全的,东拼西凑的,没有严密的逻辑思维的,没有清晰的实践思路的。

所以后来,我便决定编写一套有关这些非主流但却越来越流行的ISO管理体系标准理解和实施的书籍,未来希望这套书籍能够帮助读者提供理解这些标准的严密逻辑思维,以及实践这些标准的清晰思路。

对于这套书籍的质量目标,我一开始的想法,就是要比照那些常规ISO管理体系(诸如ISO 9001,ISO 14001和ISO 45001等)相关参考资料的质量标准的。意想不到的是,最后编写出来的效果和质量,是超过我的预期目标的,因为在编写这些非主流的ISO管理体系标准理解和实施的书籍时,我顺带以同样的质量标准把一些常见的ISO管理体系标准(诸如ISO 9001,ISO 14001,ISO 45001和IATF 16949)的理解和实施的文章也写了一下,并且在网络上进行了发布,结果得到了很多网友的极高评价,这些网友评价说道,我写的那些文章对标准的精准解读,以及逻辑的严密程度,都超越了他们在其他地方看到的资料。

人工智能是这些年新兴起的一个领域,ISO/IEC 42001更是一个全新的标准,因而今天没有所谓的ISO/IEC 42001专家。所以,能不能把ISO/IEC 42001这个标准的底层逻辑讲解清楚,以及能不能提供符合企业业务环境的ISO/IEC 42001实践方案,所依靠的不完全是以往的经历和实践,而是需要依赖大量的阅读,不断的探索,以及孜孜不倦的钻研。

ISO/IEC 42001: 2023这个标准在2023颁布的时候,我就在尝试着讲英文版标准翻译成中文,当时还不觉得这个标准存在很多不妥之处,可能当时心思的全部都放在翻译的事情上面,并没有过多的关注标准的内容。在今年,发现ISO/IEC 42001: 2023对应的国家标准GB/T 45081—2024在2024年也颁布了,便找来了GB/T 45081—2024这个标准仔细阅读了几遍,然后发现ISO/IEC 42001: 2023(GB/T 45081—2024)这个标准确实存在不少谬误之处。

ISO/IEC 42001: 2023这个标准是完全参照ISO/IEC 27001: 2022这个标准来编写的,但是在编写ISO/IEC 42001: 2023这个标准的时候,由于没有掌握ISO管理体系的底层逻辑和底层意涵(当然编写人员也许都是人工智能领域的技术专家,但是或许对于ISO管理体系标准还是了解的不够深入),导致编写出来的标准是徒有其形,而没有其义,通俗一点来讲,就是只是参照ISO/IEC 27001: 2022结构和形态去堆砌文字,而没有按照ISO管理体系的底层逻辑和底层意涵去编写标准,因而导致ISO/IEC 42001: 2023这个标准的底层逻辑经不起推敲。

当时,我便针对ISO/IEC 42001: 2023这个标准中的不足,写了几篇谬误辨析的文章,谁知后面越写越多,加上发现在国内还没有ISO/IEC 42001: 2023理解和实施相关的书籍出版,就索性整合了ISO/IEC 42001: 2023谬误辨析的内容,以及其理解和实施的内容,编写成了本书《ISO/IEC 42001: 2023人工智能管理体系标准的谬误辨析与实施详解》。

在编写本书的过程中,难免存在疏漏和错误,也无法做到万无一失,完美无缺,对于这些资料我也是无时无刻不在进行修正和完善的。每一次阅读,每一次思考,每一次整理,都会有新的收获和更完美的理解。但就是这样,也还是无法做到在编写本书的过程中,不会存在一丝错误的地方,不会有一点不完善的地方。如果读者在阅读本书的过程中,发现书中的错误和不完善的地方,还请您不吝赐教,可以联系我提出您的宝贵见解和建议。

Sky Huang

2025年12月于深圳