第二章 ISO/IEC 42001: 2023标准正文部分的谬误辨析与实施详解
第六节 策划
6 策划
6.1 应对风险和机会的措施
6.1.3 人工智能风险应对
考虑到风险评估结果,组织应确定人工智能风险应对过程,以便:
a) 选择适当的人工智能风险应对方案;
b) 确定实施所选人工智能风险应对方案所必需的所有控制,并将这些控制与附录A 中的控制进行比较,以核实没有遗漏任何必要的控制;
注1:附录A 提供了实现组织目标和处理与人工智能系统的设计和使用有关的风险的参考控制。
c) 考虑附录A 中与实施人工智能风险应对方案相关的控制;
d) 确定除了附录A 中的控制外,是否还需要其他控制,以实施所有风险应对备选方案;
e) 参考附录B, 了解b) 和c) 中确定的控制的实施指南;
注 2:控制目标隐含在所选择的控制中。组织能根据需要选择附录A 中列出的控制目标和控制。附录A 中的控制并非详尽无遗,可能还需要额外的控制目标和控制。如果需要附录A以外的不同或额外控制,组织能策划此类控制或从现有来源获取。如适用,人工智能风险管理可纳入其他管理系统。
f) 编制一份适用性声明,其中包含必要的控制(见b)、c]和d]], 并说明纳入和排除控制的理由;排除的理由能包括风险评估认为不需要的控制,以及适用的外部要求不需要(或属于例外情况)的控制;
注3:组织能提供文件证明排除一般或特定人工智能系统控制目标的理由,不论是附录A 中列出的还是组织自己制定的。
g) 制定人工智能风险应对办法。
获得指定管理层对人工智能风险应对计划和接受残余人工智能风险的批准。必要的控制应:
——与6.2中的目标相一致;
——作为文件化信息可获取;
——在组织内予以沟通;
——视情况,可被相关方获取。
组织应保留有关人工智能风险应对过程的文件化信息。
【谬误辨析】
谬误十二:内容混乱,画蛇添足
(1)本条款(6.1.3)和前一条款(6.1.2)存在同样的问题,一是部分要求写到了条款6.1.1中(见谬误十),二是部分内容是多余的,纯属画蛇添足。
欲阅读全部内容,请前往微信公众号购买付费合集,合集链接如下:
