第四章 ISO/IEC 42001人工智能管理体系导入实施案例
第十四节 人工智能风险评估的策划和实施
本节中的风险评估是ISO/IEC 42001人工智能管理体系执行层面的风险管理,主要包括四个部分:人工智能风险评估的策划(ISO/IEC 42001: 2023,6.1.2),人工智能风险处置的策划(ISO/IEC 42001: 2023,6.1.3),人工智能风险评估的实施(ISO/IEC 42001: 2023,8.2),以及人工智能风险处置的实施(ISO/IEC 42001: 2023,8.3)。
在进行人工智能系统影响评估的时候,是以人工智能系统作为参照对象的,而进行人工智能风险评估,则是以人工智能管理体系所覆盖的范围内的业务场景(或业务活动)作为参照对象的,在进行相关策划时,要特别注意这一点。
在实施人工智能风险评估策划时,需要确定和输出人工智能风险评估方案,包括人工智能风险评估流程和人工智能风险评估准则(包含风险接受、风险评估执行、风险识别、风险分析、风险评价准则、以及风险评估表单模板等内容)。
在实施人工智能风险处置策划时,需要确定和输出人工智能风险处置方案,包括人工智能风险处置流程和人工智能风险评估准则(包含风险处置选项、适用性声明、风险处置计划编写准则、风险评估报告编写准则、残余风险评估报告编写准则、以及风险处置计划表、风险评估报告和残余风险评估报告模板等内容)。
然后按照输出的人工智能风险评估方案和人工智能风险处置方案,定期进行人工智能风险评估和人工智能风险处置的实施,主要是填写(或更新)人工智能风险评估表(如表三十二)和人工智能风险评估报告(如表三十三)。
人工智能风险处置计划,可以单独编制,也可以合并到人工智能风险评估表(如表三十二)中。人工智能残余风险报告,可以单独编制,也可以合并到人工智能风险评估报告(如表三十三)中。
在进行人工智能风险处置时,应参考人工智能系统影响评估的结果,例如对于影响级别为严重和重大的潜在影响涉及的风险,不能有残余风险,必须投入资源对风险进行控制,直到风险降低到可接受的范围(例如低风险)。
人工智能管理体系的风险管理有三个层面,到这里已经介绍了决策面的风险管理和执行层面的风险管理是如何实施的,那么还有一个项目层面的风险管理是如何实施的呢?
本质上项目层面的风险管理也是属于执行层面的风险管理一种情形,只是这二者的实施时机和实施范围是不一样的。执行层面的风险管理是定期进行的,而项目层面的风险评估是在项目开展前进行的;执行层面的风险管理考虑的范围是体系覆盖的所有业务场景,而项目层面的风险评估只需要考虑项目的所有业务场景。因此,完全可以按照执行层面的风险管理流程和准则,进行项目层面的风险管理。
……
欲阅读全部内容,请前往微信公众号购买付费合集,合集链接如下:
