第四章 ISO/IEC 42001人工智能管理体系导入实施案例
第六节 人工智能管理体系范围的确定
通过前面输出的信息,即组织内外因素清单和相关方要求清单,就基本可以确定组织人工智能管理体系的范围了。
ISO管理体系范围通常包含边界信息和适用性信息两部分,ISO/IEC 42001人工智能管理体系也是如此。
边界信息通常包括:组织名称(如XX公司等)、组织地址、具体的产品和服务提供过程(如XXX人工智能产品的设计,生产和销售等;或XXX人工智能平台的设计和开发,部署,以及运营等)、以及涉及的支持过程(如人力资源,采购,行政,IT)等。
适用性信息指的是ISO/IEC 42001标准条款对于组织的适用性。组织要建立业务连续性管理体系,要声称符合ISO/IEC 42001: 2023要求,就不能排除ISO/IEC 42001: 2023中的条款4至条款10的任何条款要求,也就是说,ISO 22301: 2019标准中的条款4至条款10所有条款都适用于所有的组织。所以,组织在确定人工智能管理体系范围的时候,不能声称对ISO/IEC 42001: 2023标准中的条款4至条款10中的要求进行删减。
对于ISO/IEC 42001: 2023附录A中的控制,组织需要在适用性声明(SOA)中明确其中的哪些控制是组织适用的,哪些控制是组织不适用的,需要进行删除的。
人工智能管理体系范围示例如下:
组织名称:深圳***股份有限公司
组织场所:深圳市**区**街道**路369号5-6栋
业务活动:**人工智能产品的设计,生产和销售过程中涉及的人工智能管理活动
支持过程:采购,行政,人力资源,IT,物流,设备,品质,信息安全
组织部门:研发部,销售部,生产部,品质部,行政部,IT部,设备部,人力资源部,物流部,采购部,信息安全部
条款删减:ISO/IEC 42001: 2023标准中的条款4至条款10全部适用于本公司的人工智能管理体系,故未对标准的条款要求进行删减。对于附录A中控制的删减情况,详见公司最新版的人工智能管理体系的适用性声明(SOA)。
体系认证的证书中一般只会体现人工智能管理体系范围中的“组织名称”,“业务活动”和“组织场所”,但是组织需要在其文件化的信息(例如人工智能管理手册)中明确以上人工智能管理体系范围示例中的全部信息。
