W erze gwałtownego rozwoju technologii sztucznej inteligencji (SI), coraz więcej organizacji staje przed wyzwaniem odpowiedzialnego i etycznego wdrażania systemów SI. Odpowiedzią na te potrzeby jest norma ISO/IEC 42001:2023 „Systemy zarządzania sztuczną inteligencją — Wymagania i wytyczne stosowania” (ang. „Artificial intelligence — Management system — Requirements and guidance for use”).

Norma ta ustanawia międzynarodowy standard dla systemów zarządzania SI, zapewniając organizacjom ramy do efektywnego i odpowiedzialnego wykorzystania technologii SI. Poznaj wymagania ISO/IEC 42001 rozdział po rozdziale i przykłady ich spełnienia.

Rozdział 1: Zakres normy

Ten rozdział określa ogólny zakres stosowania normy ISO/IEC 42001:2023. Norma ta ma zastosowanie do wszystkich organizacji, niezależnie od ich typu, rozmiaru czy sektora, które chcą wdrożyć, utrzymywać i ciągle doskonalić system zarządzania SI.

Przykład: Zarówno mała firma technologiczna rozwijająca aplikację do rozpoznawania obrazów, jak i duża korporacja bankowa wykorzystująca SI do analizy ryzyka kredytowego, mogą skorzystać z wytycznych tej normy.

---

---

Rozdział 2: Powołania normatywne

W tym rozdziale wymienione są inne normy i dokumenty, które są niezbędne do pełnego zrozumienia i zastosowania ISO/IEC 42001:2023.

Przykład: Firma opiera swoje działania o normy dotyczące zarządzania ryzykiem, bezpieczeństwa informacji czy ciągłości działania.

Rozdział 3: Terminy i definicje

Ten rozdział zawiera kluczowe definicje i terminy używane w normie. Jest to szczególnie istotne w kontekście SI, gdzie wiele pojęć może być nowych lub niejasnych dla osób spoza branży.

Przykład: Firma technologiczna zaznajamia swoich pracowników z terminami takimi jak „sztuczna inteligencja”, „uczenie maszynowe”, „big data” czy „etyka SI”, aby wszyscy jednoznacznie rozumieli pojęcia używane w systemie zarządzania SI.

Rozdział 4: Kontekst organizacji

Rozdział ten koncentruje się na zrozumieniu organizacji i jej kontekstu w odniesieniu do wykorzystania SI. Wymaga od organizacji:

4.1 Zrozumienia organizacji i jej kontekstu

Organizacja musi określić zewnętrzne i wewnętrzne czynniki, które mają wpływ na jej zdolność do osiągania zamierzonych wyników systemu zarządzania SI. Musi zrozumieć kontekst, w jakim działa, aby skutecznie zarządzać systemami sztucznej inteligencji.

Przykład 1: Firma prowadzi analizę SWOT, uwzględniającą czynniki takie jak regulacje prawne dotyczące SI, dostępność talentów w dziedzinie SI czy konkurencję na rynku.

Przykład 2: Firma analizuje regulacje prawne, rynkowe trendy oraz wewnętrzne procedury operacyjne, aby dostosować swój system zarządzania sztuczną inteligencją do specyficznych warunków funkcjonowania.

4.2 Zrozumienia potrzeb i oczekiwań stron zainteresowanych

Organizacja powinna zidentyfikować strony zainteresowane, które są istotne dla systemu zarządzania SI, oraz określić ich wymagania. Obejmuje to klientów, dostawców, pracowników i organy regulacyjne.

Przykład: Przedsiębiorstwo produkcyjne regularnie konsultuje się z klientami i dostawcami, aby zrozumieć ich wymagania dotyczące systemów AI, szczególnie w kontekście bezpieczeństwa, etyki i przejrzystości algorytmów.

4.3 Określenie zakresu systemu zarządzania SI

Organizacja musi określić granice i zastosowanie systemu zarządzania SI.

Przykład: Firma usługowa określa, że jej system zarządzania SI obejmuje wszystkie działy operacyjne oraz systemy IT, ale wyłącza obszary, które nie mają bezpośredniego wpływu na rozwój i wdrażanie AI.

4.4 System zarządzania SI

Organizacja powinna ustanowić, wdrożyć, utrzymywać i ciągle doskonalić system zarządzania SI.

Przykład: Firma IT tworzy kompleksowy system zarządzania sztuczną inteligencją, który obejmuje stworzenie dedykowanego zespołu ds. SI, opracowanie polityki SI i procedur, czy ustanowienie procesów monitorowania i audytu systemów SI. Zarząd zapewnia zasoby na te działania.

Rozdział 5: Przywództwo

Ten rozdział podkreśla kluczową rolę kierownictwa w skutecznym wdrażaniu i utrzymaniu systemu zarządzania SI.

5.1 Przywództwo i zaangażowanie

Najwyższe kierownictwo musi wykazać przywództwo i zaangażowanie w odniesieniu do systemu zarządzania SI.

Przykład: Dyrektor generalny regularnie uczestniczyćw spotkaniach dotyczących strategii SI, publicznie komunikuje znaczenie odpowiedzialnego SI dla firmy czy zapewniaa odpowiednie zasoby dla inicjatyw związanych z SI, np. szkolenia, czy technologie zabezpieczające.

5.2 Polityka SI

Kierownictwo powinno ustanowić politykę SI, która jest odpowiednia do celów organizacji i wspiera jej strategiczne kierunki.

Przykład: Firma telekomunikacyjna opracowuje politykę SI, która jasno określa cele, takie jak odpowiedzialne korzystanie z AI, zgodność z przepisami oraz minimalizacja ryzyka. Polityka SI obejmuje zobowiązania do etycznego wykorzystania SI, ochrony prywatności danych czy ciągłego doskonalenia kompetencji w zakresie SI.

5.3 Role, odpowiedzialności i uprawnienia

Najwyższe kierownictwo powinno zapewnić, że odpowiedzialności i uprawnienia dla odpowiednich ról są przypisane i zakomunikowane w organizacji.

Przykład: Firma handlowa powołuje pełnomocnika ds. SI, który nadzoruje system. Określenie też odpowiedzialności za bezpieczeństwo danych w projektach SI.
Definiuje również role i odpowiedzialności dla każdego działu w zakresie zarządzania SI, co pozwala na skuteczne wdrażanie polityk i procedur.

Rozdział 6: Planowanie

Ten rozdział koncentruje się na planowaniu działań w ramach systemu zarządzania SI.

6.1 Działania odnoszące się do ryzyk i szans

Organizacja powinna określić ryzyka i szanse, które należy zaadresować, aby zapewnić, że system zarządzania SI może osiągnąć zamierzone wyniki.

Przykład: Dział IT w banku identyfikuje ryzyko błędów w algorytmach SI prowadzących do dyskryminacji klientów, ale także szansę na wykorzystanie SI do poprawy efektywności operacyjnej.

6.2 Cele SI i planowanie ich osiągnięcia

Organizacja powinna ustanowić cele systemu zarządzania SI, które są mierzalne i zgodne z Polityką SI.

Przykład: Firma ubezpieczeniowa ustanawia sobie cele dotyczący redukcji liczby błędów w systemach SI o 50% w ciągu roku, zwiększenie transparentności decyzji podejmowanych przez SI czy wdrożenie SI w nowych obszarach działalności.

Rozdział 7: Wsparcie

Ten rozdział dotyczy zasobów i wsparcia niezbędnych do skutecznego funkcjonowania systemu zarządzania SI.

7.1 Zasoby

Organizacja powinna określić i zapewnić zasoby potrzebne do ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania SI.

Przykład: Firma technologiczna inwestuje w szkolenia pracowników, narzędzia analityczne, infrastrukturę IT i zatrudnia specjalistów SI.

7.2 Kompetencje

Organizacja powinna określić niezbędne kompetencje osób wykonujących pracę pod jej nadzorem, które mają wpływ na działanie systemu zarządzania SI.

Przykład: Dział HR w firmie technologicznej opracowuje program szkoleń z zakresu SI dla pracowników zgodny z ich rolami w firmie. Regularnie organizuje te szkolenia.
Firma współpracuje z uczelniami w celu pozyskania talentów i wprowadza system certyfikacji wewnętrznej dla specjalistów SI.

7.3 Uświadamianie

Osoby wykonujące pracę dla organizacji powinny być świadome polityki SI, celów systemu zarządzania SI oraz swojego wkładu w skuteczność tego systemu.

Przykład: Firma prowadzi regularne sesje informacyjne, dystrybuuje newslettery o inicjatywach SI i organizuje wewnętrzne kampanie uświadamiające, dotyczące odpowiedzialnego korzystania z SI.

7.4 Komunikacja

Organizacja powinna określić potrzeby w zakresie komunikacji wewnętrznej i zewnętrznej istotne dla systemu zarządzania SI.

Przykład: Pełnomocnik ds. SI regularnie raportuje zarządowi o postępach w projektach SI. Firma prowadzi komunikację z klientami, publikując na stronie internetowej informacje o wykorzystaniu SI w produktach i dialog z regulatorami na temat praktyk SI firmy.

7.5 Udokumentowane informacje

Organizacja powinna utrzymywać udokumentowane informacje wymagane przez normę oraz uznane za niezbędne dla skuteczności systemu zarządzania SI.

Przykład: Firma IT prowadzi dokumentację algorytmów SI, rejestry szkoleń pracowników z zakresu SI, raporty z audytów systemów SI czy procedury zarządzania danymi.

Rozdział 8: Działania operacyjne

Ten rozdział koncentruje się na planowaniu i kontroli procesów niezbędnych do spełnienia wymagań systemu zarządzania SI.

8.1 Planowanie i nadzór nad działaniami operacyjnymi

Organizacja powinna planować, wdrażać i nadzorować procesy potrzebne do spełnienia wymagań i wdrożenia działań określonych w rozdziale 6.

Przykład: Firma telekomunikacyjna ustanawia procedury monitorowania systemów SI w celu wykrywania nieprawidłowości i szybkiego reagowania na incydenty.

8.2 Szacowanie ryzyka SI

Organizacje muszą regularnie oceniać ryzyko związane z systemami SI i podejmować działania w celu jego minimalizacji.

Przykład: Bank przeprowadza kwartalne oceny ryzyka, identyfikuje nowe zagrożenia związane z SI i aktualizuje swoje procedury ochrony danych.

8.3 Postępowanie z ryzykiem SI

Organizacje powinny opracować i wdrożyć plany działania w odpowiedzi na zidentyfikowane ryzyka związane z SI.

Przykład: Firma IT tworzy plan awaryjny na wypadek ataku cybernetycznego na swoje systemy AI, obejmujący kroki takie jak izolacja zainfekowanych systemów i przywracanie danych z kopii zapasowych.

8.4 Ocena wpływu systemu SI

Organizacje muszą przeprowadzać regularne oceny wpływu swoich systemów sztucznej inteligencji (SI) na otoczenie oraz interesariuszy. Ocena wpływu powinna obejmować analizę zarówno pozytywnych, jak i negatywnych skutków, jakie system może wywierać na użytkowników, społeczeństwo, środowisko oraz zgodność z przepisami prawnymi i regulacjami.

Przykład: Firma technologiczna wdrażająca system SI do analizy zachowań klientów przeprowadza ocenę wpływu, aby zrozumieć, jak system może wpłynąć na prywatność użytkowników, jakie są potencjalne zagrożenia związane z bezpieczeństwem danych, oraz czy system działa zgodnie z obowiązującymi przepisami o ochronie danych osobowych. Na podstawie wyników oceny firma wdraża środki zaradcze, takie jak dodatkowe warstwy zabezpieczeń oraz mechanizmy przejrzystości i odpowiedzialności, aby minimalizować negatywne skutki i maksymalizować korzyści płynące z używania systemu SI.

Rozdział 9: Ocena wyników

Ten rozdział dotyczy monitorowania, pomiaru, analizy i oceny działania systemu zarządzania SI.

9.1 Monitorowanie, pomiary, analiza i ocena

Organizacja powinna określić co należy monitorować i mierzyć, oraz metody monitorowania, pomiaru, analizy i oceny.

Przykład: Firma monitoruje dokładność prognoz systemów SI, czas odpowiedzi, zużycie zasobów, satysfakcję użytkowników czy zgodność z regulacjami. Stworzyła i wdrożyła narzędzia do automatycznego monitorowania wydajności SI, prowadzi regularne przeglądy przez zespół ds. SI i ankiety wśród użytkowników.

9.2 Audyt wewnętrzny

Organizacja powinna przeprowadzać audyty wewnętrzne w zaplanowanych odstępach czasu.

Przykład: Firma może ustanowić roczny plan audytów wewnętrznych obejmujący wszystkie kluczowe systemy SI, z wykorzystaniem zarówno wewnętrznych audytorów, jak i zewnętrznych ekspertów.

9.3 Przegląd zarządzania

Najwyższe kierownictwo powinno dokonywać przeglądu systemu zarządzania SI organizacji w zaplanowanych odstępach czasu.

Przykład: Kwartalny przegląd zarządzania może obejmować analizę wyników audytów, informacje zwrotne od klientów, postępy w realizacji celów SI, zmiany w otoczeniu regulacyjnym i technologicznym oraz rekomendacje dotyczące doskonalenia.

Rozdział 10: Doskonalenie

Ten rozdział skupia się na ciągłym doskonaleniu skuteczności systemu zarządzania SI.

10.1 Ciągłe doskonalenie

Organizacja powinna ciągle doskonalić system zarządzania SI, poprzez regularne przeglądy, analizy i usprawnienia.

Przykład: Firma e-commerce regularnie analizuje najnowsze trendy w SI, uczestniczy w konferencjach branżowych, prowadzić pilotażowe projekty z nowymi technologiami SI i systematycznie aktualizuje swoje procesy i praktyki na podstawie zdobytych doświadczeń.
Zbiera informację zwrotną od użytkowników i wdraża usprawnienia, aby system SI był bardziej efektywny i bezpieczny

10.2 Niezgodności i działania korygujące

Organizacja powinna reagować na niezgodności przez określenie przyczyn, podejmowanie działań korygujących i monitorowanie skuteczności tych działań.

Przykład: W przypadku wykrycia błędu w systemie SI prowadzącego do nieprawidłowych decyzji, firma może natychmiast zawiesić działanie systemu, przeprowadzić analizę przyczyn źródłowych, wprowadzić niezbędne poprawki w algorytmie i przetestować system przed ponownym uruchomieniem.

Wymagania ISO/IEC 42001 – podsumowanie

ISO/IEC 42001:2023 stanowi kompleksowe ramy dla organizacji chcących wdrożyć, utrzymać i doskonalić system zarządzania SI. Norma ta obejmuje wszystkie kluczowe aspekty zarządzania SI – od planowania strategicznego, przez operacje, po ciągłe doskonalenie.

Kluczowe elementy normy obejmują:

• Zrozumienie kontekstu organizacji i potrzeb zainteresowanych stron
• Silne przywództwo i zaangażowanie kierownictwa
• Planowanie uwzględniające ryzyka i szanse związane z SI
• Zapewnienie odpowiednich zasobów i kompetencji
• Skuteczna komunikacja wewnętrzna i zewnętrzna
• Staranne planowanie i nadzór nad działaniami operacyjnymi
• Regularna ocena efektów działania i audyty wewnętrzne
• Ciągłe doskonalenie systemu zarządzania SI

Wdrożenie ISO/IEC 42001:2023 może przynieść organizacjom wiele korzyści, w tym zwiększenie zaufania interesariuszy, lepsze zarządzanie ryzykiem związanym z SI, poprawę efektywności operacyjnej oraz zapewnienie etycznego i odpowiedzialnego wykorzystania technologii SI. Norma ta stanowi solidną podstawę dla organizacji chcących wykorzystać potencjał SI w sposób zrównoważony i zgodny z najlepszymi praktykami branżowymi.

Choć wdrożenie tej normy może wiązać się z pewnymi wyzwaniami, szczególnie dla organizacji na wczesnych etapach adopcji SI, korzyści długoterminowe mogą być znaczące. ISO/IEC 42001:2023 nie tylko pomaga organizacjom w skutecznym zarządzaniu SI, ale także przyczynia się do budowania zaufania społecznego do tej technologii.

W miarę jak SI staje się coraz bardziej powszechna i wpływowa w naszym życiu i biznesie, znaczenie odpowiedzialnego i etycznego zarządzania tą technologią będzie tylko rosnąć. Spełnione wymagania ISO/IEC 42001:2023 zapewniają organizacjom narzędzia i ramy potrzebne do sprostania tym wyzwaniom, jednocześnie umożliwiając im czerpanie korzyści z potencjału SI. Organizacje, które zdecydują się na wdrożenie tej normy, nie tylko zyskają konkurencyjną przewagę, ale także przyczynią się do kształtowania przyszłości, w której SI służy ludzkości w sposób etyczny i odpowiedzialny. W świecie, gdzie technologia rozwija się w zawrotnym tempie, ISO/IEC 42001:2023 stanowi latarnię, wskazującą drogę do odpowiedzialnego wykorzystania sztucznej inteligencji.