第三章 ISO/IEC 42001: 2023标准附录A的谬误辨析与应用详解
第一节 概述
A.1 概述
表A.1详细列出的控制为组织提供了一个参考,以实现组织目标和应对与人工智能系统的设计和运行有关的风险。表A.1中列出的所有控制目标和控制并非都必须使用,组织能设计和实施自己的控制(见6.1.3)。
附录B提供了表A.1 列出的所有控制的实施指南。
表 A.1 控制目标和控制
[表A.1内容在此处省略,在后面章节会展示相应的内容]
【标准理解】
(1)本标准的附录A包括了10个部分,A.1为附录A的概述,A.2 — A.10为控制执行层面人工智能风险的9个控制域,这些控制域在附录A的表A.1中进行展示了,包含了控制目标和控制项。
(2)我相信熟悉或精通ISO/IEC 27001这个标准的人,都能一眼看出ISO/IEC 42001完全是参照ISO/IEC 27001编制而成的,因此ISO/IEC 42001才会和ISO/IEC 27001一样有了附录A这部分或不可缺的内容,这一点是和其他ISO管理体系标准是不一样的。
(3)在前面也多次提到参与编写ISO/IEC 42001的人员,并非是精通ISO管理体系标准的人员,当然也许他们都是人工智能方面的技术专家。因此,在此情形下编出来的ISO/IEC 42001这个标准,出现的很多谬误也是必然,包括这里的附录A,也不免有些东施效颦。
(4)ISO/IEC 27001与其他ISO管理体系标准比较,之所以多出了一个附录A,那是因为与ISO/IEC 27001自身的发展历程有关。最开始,是各个企业为了控制信息安全风险,通过东一榔头西一锤子的实践,慢慢积累了一些控制信息安全风险的控制措施,后面这些措施被编制成了标准,这便是所谓的信息安全最佳实践的标准,这些内容对应的并非现在的ISO/IEC 27001正文部分的内容,而是对应的ISO/IEC 27001附录A中的那些控制项,再后来,当从最佳实践向管理体系转换之时,便将最佳实践的那些内容作为附录A保留在ISO/IEC 27001中。
(5)因此ISO/IEC 27001附录A是通过实践积累的精华,这也是为什么后来会以附录的形式保留在ISO/IEC 27001标准中的一个重要原因。而如今,在全球范围内,人工智能相关的管理,可谓是一片空白,在此情形之下,仍然盲目参照ISO/IEC 27001弄出一个附录A,其效果也只会是东施效颦。
(6)在谬误一中已经详细阐述了,ISO/IEC 42001: 2023在编写的过程中,就没有明确其核心目标是什么,但是我们可以很清楚地知道ISO/IEC 27001的核心目标是管理业务过程中所涉及的信息资产安全属性被破坏的风险的。这样在确定ISO/IEC 27001附录A中控制项时,就会有明确的方向(保护信息资产的保密性,完整性和可用性),而ISO/IEC 42001: 2023的核心目标本身就是模糊不清的,加上企业人工智能管理完全是一片空白,这样照葫芦画瓢编制出来的附录A,必定也是存在诸多问题的,例如内容混乱,不够全面,滥竽充数等问题。
(7)在谬误四中已经有提到,对于附录中的控制项,应区分不同的角色所适用的控制项,因为不同的角色面对的人工智能风险是不一样的,需要使用到的控制项也是不一样的,例如ISO/IEC 27701: 2025附录A的控制项适用于隐私信息控制者,而ISO/IEC 27701: 2025附录B的控制项适用于隐私信息的处理者。
(8)如果是精通ISO管理体系标准的人员来编写ISO/IEC 42001: 2023这个标准的话,也许该标准就不会出现附录A这样的怪胎了,前面也已经指出了ISO/IEC 27001中的附录A是因为其自身的发展历程而产生的特殊情形。
(9)以我的经历了解到,在今天的中国,无论是甲方企业,还是认证机构,抑或是咨询机构,几乎所有的人都把ISO/IEC 27001附录A当作标准的条款的来理解和使用,但其实这是错误的,附录A中的控制项和正文中的条款是一样的,而只是用来控制业务执行过程中涉及的信息安全风险的参考控制项而已,组织需要利用这些控制项来形成适用性声明(SOA),然后使用适用性声明(SOA)中的控制措施来应对风险评估过程中输出的信息安全风险的。基于正文条款和附录A的差异,接下来大家会看到ISO/IEC 42001: 2023附录A的解读模式与前面ISO/IEC 42001: 2023正文条款的解读模式稍微会有些不一样。
