第二章 ISO/IEC 42001: 2023标准正文部分的谬误辨析与实施详解
第六节 策划
6 策划
6.1 应对风险和机会的措施
6.1.1 通则
在策划人工智能管理体系时,组织应根据4.1中提及的事项和4.2中提及的需求,并确定需要应对的风险和机会以便:
——确保人工智能管理体系能够实现预期结果;
——预防或减少不利影响;
——实现持续改进。
组织应建立和维护人工智能风险准则,以支持以下工作:
——区分可接受与不可接受的风险;
——进行人工智能风险评估;
——实施人工智能风险应对;
——评估人工智能风险的影响。
注1:ISO/IEC 38507和ISO/IEC 23894中提供了确定组织愿意追求或保留的风险数量和类型的考虑因素。
组织应根据以下因素确定风险和机会:
——人工智能系统的领域和应用环境;
——预期用途;
——4.1中描述的外部和内部环境。
注 2:在人工智能管理体系的范围内能考虑不止一个人工智能系统。在这种情况下,针对每个人工智能系统或人工智能系统组确定机会和用途。
组织应计划:
a) 应对这些风险和机会的措施;
b) 如何做:
1)将这些措施纳入其人工智能管理体系过程并加以实施;
2) 评价这些措施的有效性。
组织应保留为识别和应对人工智能风险和机会而采取的措施的文件化信息。
注3 :关于如何为开发、提供或使用人工智能产品、系统和服务的组织实施风险管理的指导见ISO/IEC 23894。
注4:组织及其活动的环境会对组织的风险管理活动产生影响。
注5:不同部门和行业对风险的规定以及风险管理的设想可能有所不同。3.7中对风险的规范性规定允许对风险有一个广泛的认识,以适应任何部门,如附录D中 D.1 中提到的部门。在任何情况下,作为风险评估的一部分,组织的职责是首先采用适合其环境的风险观。这能包括通过人工智能系统为之开发和使用的部门所使用的规定来看待风险,见ISO/IEC Guide 51中的规定。
【谬误辨析】
谬误十:杂乱堆砌内容违背了ISO管理体系标准的结构逻辑
(1)本条款是将多方面的内容堆砌和杂糅在一起,无疑使得要理解和实施该条款的难度都将大大增加,要是没有过一二十年对ISO管理体系标准潜心钻研经历的人,恐怕是很难对此条款弄清楚和搞透彻的。
(2)ISO管理体系中的风险管理是有多个层次的,例如决策层面的风险管理,执行层面的风险管理和项目层面的风险管理,ISO 9001只要求了决策层面的风险管理,而ISO/IEC 27001和IATF 16949对以上三个层面的风险管理都有明确的要求。
(3)下面以ISO/IEC 27001:2022为例说明什么是决策层面的风险管理,执行层面的风险管理和项目层面的风险管理以及这三者之间的区别:
决策层面的风险管理:涉及ISO/IEC 27001:2022标准中的条款4.1,4.2和6.1.1,主要是按照6.1.1的要求识别4.1和4.2输出信息中的相关风险和机遇,并制措施以应对这些风险和机遇。其主要目的,一是为ISO/IEC 27001:2022,7.1资源的规划提供必要的输入信息,二是为ISO/IEC 27001:2022,8.1 运行的策划提供必要的输入信息。
执行层面的风险管理:涉及ISO/IEC 27001:2022标准中的条款6.1.2,6.1.3,8.2和8.3,6.1.2和6.1.3是执行层面风险管理的策划要求,是为8.2和8.3做准备的,而8.2和8.3则是执行层面风险管理的实施要求。其主要目的是要识别和控制组织业务活动中的重要信息资产的安全属性被破坏的风险。
项目层面的风险管理:涉及ISO/IEC 27001:2022附录A中的5.8,主要是要求在新项目开展时,需要同步对项目过程中涉及的重要信息资产的安全属性被破坏的风险进行识别和控制,所以其实也是属于执行层面的风险管理要求,只是风险管理针对的对象和范围是不一样的,这里只涉及新项目的相关业务过程,而上面则是针对的整个体系覆盖范围内的所有业务过程。
(4)上面通过案例说明了ISO管理体系几个层面的风险管理,现在就抽丝剥茧,对ISO/IEC 42001: 2023,6.1.1的内容进行拆解和分离。按照ISO管理体系标准的结构逻辑,6.1.1是属于决策层面风险管理的要求,而在ISO/IEC 42001: 2023,6.1.1中,却将决策层面,执行层面和项目层面这三个层面的风险管理相关的内容混淆在一起,相关内容应分离如下:
ISO/IEC 42001: 2023,6.1.1中涉及决策层面风险管理的文字描述如下:
在策划人工智能管理体系时,组织应根据4.1中提及的事项和4.2中提及的需求,并确定需要应对的风险和机会以便:
——确保人工智能管理体系能够实现预期结果;
——预防或减少不利影响;
——实现持续改进。
组织应计划:
a) 应对这些风险和机会的措施;
b) 如何做:
1)将这些措施纳入其人工智能管理体系过程并加以实施;
2) 评价这些措施的有效性。
组织应保留为识别和应对人工智能风险和机会而采取的措施的文件化信息。
ISO/IEC 42001: 2023,6.1.1中涉及执行层面风险管理的文字描述如下:
组织应建立和维护人工智能风险准则,以支持以下工作:
——区分可接受与不可接受的风险;
——进行人工智能风险评估;
——实施人工智能风险应对;
——评估人工智能风险的影响。
注1:ISO/IEC 38507和ISO/IEC 23894中提供了确定组织愿意追求或保留的风险数量和类型的考虑因素。
注3 :关于如何为开发、提供或使用人工智能产品、系统和服务的组织实施风险管理的指导见ISO/IEC 23894。
注4:组织及其活动的环境会对组织的风险管理活动产生影响。
注5:不同部门和行业对风险的规定以及风险管理的设想可能有所不同。3.7中对风险的规范性规定允许对风险有一个广泛的认识,以适应任何部门,如附录D中 D.1 中提到的部门。在任何情况下,作为风险评估的一部分,组织的职责是首先采用适合其环境的风险观。这能包括通过人工智能系统为之开发和使用的部门所使用的规定来看待风险,见ISO/IEC Guide 51中的规定。
以上文字是属于执行层面风险管理相关的描述,涉及风险评估准则的相关内容,应并入6.1.2,涉及风险应对(或处置)准则的相关内容,应并入6.1.3。
ISO/IEC 42001: 2023,6.1.1中涉及项目层面风险管理的文字描述如下:
组织应根据以下因素确定风险和机会:
——人工智能系统的领域和应用环境;
——预期用途;
——4.1中描述的外部和内部环境。
注 2:在人工智能管理体系的范围内能考虑不止一个人工智能系统。在这种情况下,针对每个人工智能系统或人工智能系统组确定机会和用途。
以上文字是项目层面风险管理实施相关的描述,是属于体系运行阶段的要求,不能放在“6 策划“中,现在直接放到6.1.1中,更是荒谬至极,只能像IATF 16949一样放到”8 运行“中,或者像ISO/IEC 27001一样放到附录A中。
在上面这段有关项目层面风险管理实施的文字描述中,还有一个错误。在项目层面的风险管理中,并不需要去关注机会,只需要关注项目相关的人工智能风险即可。关注机会是决策阶段的事情,那是属于决策层面风险管理的范畴。如果等到项目都要开展了或者已经在开展了,再去识别机会的话,这个不仅不符合ISO管理体系标准条款之间的内在逻辑,也违背了企业管理的基本常识。
(5)以上花了将近两千字抽丝剥茧,将ISO/IEC 42001: 2023,6.1.1中杂乱无序,任意堆砌的文字进行了肢解和分离,并提出了相应的改进方案。只有按照改进方案对标准进行理解和实施,才能打通ISO/IEC 42001: 2023的任督二脉,才有可能真正实现人工智能管理体系的落地。不过有一点没想到是,虽然ISO管理体系领域这些年,不管是认证机构,咨询机构,还是甲方企业,都盛行着不重实践只顾务虚的风气,可是如今ISO管理体系标准的编制机构竟然也是如此,编制的ISO/IEC 42001: 2023标准,既不符合ISO管理体系标准的结构逻辑,也不符合企业管理实践的基本常识。这些年,因为工作的原因,不管是在现实中,还是在互联网上,都接触了不少信息技术领域的人,其中不少人认为ISO管理体系是没有用的和是很简单的,我想他们大概是把务虚当成真理了吧,他们这群人在工作中对于ISO管理体系就是搞务虚的,然后加上他们对于ISO管理体系根本就还没有入门,所以以他们的经历,层次和认知,得出ISO管理体系是很简单的和没有什么用处这样的结论,其实一点也不意外,就是把他们的务虚当成了真理。其实,对于ISO管理体系这个领域,没有十年二十年的积累和钻研,本来也就搞不出什么名堂的,五六年的经历也只能在企业勉强独立开展相关的工作,最奇葩是现在一些咨询机构和一些认证机构,都基本是招聘的是应届生或者刚毕业没两年的人,如此看来,ISO管理体系的确是很简单的,也的确是没什么用处的,但这不是真理,只是务虚风气盛行而已。
【标准理解】
(1)ISO/IEC 42001: 2023,6.1.1包含了决策层面的风险管理,执行层面的风险管理和项目层面的风险管理三部分内容,当然这个是由于标准编写存在瑕疵导致的,按照ISO管理体系标准的结构逻辑,这三部分内容是需要分别编写到不同的条款的。
(2)组织应根据本条款的要求,识别4.1和4.2输出的内外因素清单和相关方要求涉及的风险和机遇,并制定相应的应对措施。
(3)应对措施需要整合到人工智能管理体系的各个过程之中,并在适合的二阶文件中明确这些措施。
(4)组织应定期对这些风险和机遇应对措施的有效性进行评价。
(5)组织应根据这些风险和机遇应对措施,规划人工智能管理体系所需资源(条款7.1的要求)。
(6)ISO/IEC 42001: 2023,6.1.1涉及执行层面的风险管理内容(例如风险评估准则和风险应对准则的确定等),在实施时,需要结合6.1.2和6.1.3,并将这部分内容并入到6.1.2和6.1.3进行实施。
(7)ISO/IEC 42001: 2023,6.1.1还要求需要对于与人工智能有关的项目进行风险评估,但是此要求放在6.1.1不合适(在【谬误辨析】中以进行了详细阐述)。
【行动要点】
(1)建立风险和机遇管理过程。
(2)形成书面的《风险和机遇管理流程》或《风险和机遇管理程序》。
(3)按照《风险和机遇管理流程》,对风险和机遇进行识别,提出应对措施,并制定措施的实现方案(整合到相应的过程和二阶文件之中),以及定期对应对措施的有效性进行评价。
(4)按照《风险和机遇管理流程》,对涉及人工智能相关的项目进行人工智能风险的评估。
【输出文档】
(1)《风险和机遇管理流程》或《风险和机遇管理程序》。
(2)风险和机遇识别记录(含应对措施和实现方案)。
(3)风险和机遇应对措施的有效性评价记录。
(4)人工智能系统项目风险评估记录。
【审核要点】
(1)是否有形成书面的《风险和机遇管理流程》或《风险和机遇管理程序》。
(2)是否按照《风险和机遇管理程序》或《风险和机遇管理程序》输出书面的风险和机遇识别记录,包括应对措施和实现方案。
(3)是否有对应对风险和机遇的措施进行有效性的评价,能否提供评价记录。
