第二章 ISO/IEC 42001: 2023标准正文部分的谬误辨析与实施详解
第五节 领导作用
5 领导作用
5.3 岗位、职责和权限
最高管理者应确保在组织内部分配并沟通相关岗位的职责和权限。
最高管理者应分配职责和权限,以便:
a) 确保人工智能管理体系符合本文件的要求;
b) 向最高管理者报告人工智能管理体系的绩效。
注:表A.1 中 A.3.2 提供了规定和分配岗位与职责的控制。B.3.2 提供了该控制的实施指南。
【谬误辨析】
谬误九:画蛇添足和荒谬绝伦的注解
(1)其实完全可以和其他ISO管理体系标准一样,对5.3不添加任何的注解,所以在这里添加注解纯粹是画蛇添足。
(2)一定要在5.3添加注解也不是不可以,但是不能凭感觉,凭想象,毫无专业水准地添加一个荒谬绝伦的注解。
(3)添加的这个注解,其实跟上面的5.2一样,犯了同样一个错误,就是编写标准的人,完全没有弄清楚ISO/IEC 42001: 2023中的附录A的真正作用是何在。附录A不是用来控制正文条款实施过程的,而是用来控制业务执行层面涉及的人工智能相关的风险的。
(4)这群编写ISO/IEC 42001: 2023标准的人,之所以多次犯这样低级和严重的错误,就是对ISO管理体系标准完全不懂,只知道照着ISO/IEC 27001这个葫芦进行画瓢。
(5)在ISO/IEC 27001标准的正文部分和附录A部分的确都有相关“角色、职位和权限”的内容,但是他们其实不是一回事。正文部分的“角色、职位和权限”涉及的层次相对较高,指的是整个管理体系的职责和权限的分配,主要涉及组织管理层,体系管理部门,各业务部门的职责和权限的分配;而附录A部分的“角色、职位和权限”涉及的层次相对较低,指的是附录A各个控制项要求的控制措施相关的职责和权限的分配,主要涉及的是业务活动执行者的相关职责和权限的分配。
(6)因此,ISO/IEC 42001: 2023,5.3这里添加的这个注解不仅是多余的,而是错误的。
【标准理解】
(1)最高管理者,应分配和沟通好与人工智能管理体系有关的职责和权限,如最高管理者的职责和权限、组织参与人工智能管理体系的部门及其负责人的职责和权限、人工智能管理体系管理者代表(如有)的职责和权限,人工智能管理体系所有过程涉及的职责和权限,人工智能管理委员会的职责和权限,人工智能管理部门的职责和权限,人工智能管理专职和兼职岗位的职责和权限等。
(2)最高管理者分配职责和权限的目的有两方面:一是确保人工智能管理体系符合ISO/IEC 42001: 2023要求,二是以便向最高管理者报告人工智能管理体系绩效和改进机会。
(3)向最高管理者报告人工智能管理体系绩效和改进机会的职责,通常由管理者代表或人工智能管理部门的负责人承担。
(4)职责和权限的变更,应按照条款6.3的要求进行变更。
【行动要点】
(1)建立职责和权限分配管理过程。
(2)形成书面的《职责和权限分配管理流程》或《职责和权限分配管理程序》。
(3)按照《职责和权限分配管理流程》或《职责和权限分配管理程序》,建立人工智能管理组织,任命人工智能管理关键岗位,划分各过程职责,并进行相应的授权等,并输出相应的记录。
【输出文档】
(1)《职责和权限分配管理流程》或《职责和权限分配管理程序》。
(2)人工智能管理组织(信息安全管理委员会)架构图及其权限和职责说明。
(3)管理者代表任命书及其权限和职责说明(可选)。
(4)人工智能管理体系各部门职责分配表。
(5)人工智能管理关键岗位,如各部门负责人,人工智能管理专职岗位,人工智能管理兼职岗位等的职责说明。
【审核要点】
(1)是否有建立人工智能管理组织(如人工智能管理委员会,或人工智能管理小组),并明确其权限和职责,能否提供书面的记录。
(2)是否有人工智能管理部门,其权限和职责是否有明确,能否提供相应的书面记录。
(3)是否有明确各过程/各部门/主要管理岗位/关键岗位职责,能否提供相关的书面文件。
