Rozszerzona SoA jako profil kontroli AI Security dla ISO 27001

AI Security nie znosi próżni. Jeżeli w organizacji działają modele językowe, Copiloty, chatboty, systemy RAG albo pierwsi agenci AI, klasyczna Deklaracja Stosowania może pokazywać tylko część mapy ryzyka — a decyzje zapadają na podstawie tej części, którą widać. W tekście będziemy stosować zamiennie „Augmented -> Rozszerzona” deklaracja stosowania, albowiem w polskiej przestrzeni security termin „rozszerzona” praktycznie nie występuje, a „augmented” w rozwiązaniach międzynarodowych w zaawansowanych systemach to już norma. Jego potrzeba wynika ze stosowania w sytuacjach wdrażania wybranego frameworku – np. ISO/IEC 27001 bez integracji z wieloma standardami.

Znamy to z praktyki

To podstawowa możliwość doskonalenia dlaSZBI, który jest otwarty na bezpieczeństwo w nowych technologiach

AI weszła do firm szybciej, niż systemy zarządzania zdążyły ją opisać

W większości organizacji sztuczna inteligencja pojawiła się nie jako projekt, lecz jako fakt. Najpierw ktoś zaczął używać asystenta do pisania kodu, potem dział obsługi wdrożył chatbota, marketing sięgnął po generatywne narzędzia, a zespół produktowy podłączył model do wewnętrznej bazy wiedzy przez RAG. Zanim powstała jakakolwiek polityka, AI już przetwarzała dane i uczestniczyła w procesach.

Problem w tym, że system AI to nie jest „jeszcze jedna aplikacja”. Model, prompt systemowy, dane treningowe, embeddingi, baza wektorowa, pipeline MLOps, konfiguracja agenta i narzędzia, które agent może wywołać — to wszystko staje się albo nowym aktywem, albo nowym kanałem przetwarzania danych, albo nowym punktem, w którym można organizację skompromitować. A jeżeli SZBI tych elementów nie widzi w inwentarzu, ocenie ryzyka i Deklaracji Stosowania, to formalnie ich nie chroni.

To jest sedno luki: nie brak polityki, lecz brak widoczności technicznej powierzchni ataku w dokumentach, na których opiera się zarządzanie bezpieczeństwem.

AISEC Control Profile

ISO/IEC 27090 — ważny drogowskaz, nie lekarstwo

Dobra wiadomość jest taka, że normalizacja zaczyna nadążać. ISO/IEC 27090 porządkuje temat zagrożeń specyficznych dla systemów AI i przesuwa rozmowę z ogólnego „bezpieczeństwa informacji” na konkretne mechanizmy naruszeń: zatrucie danych i modelu, ataki uchylające (evasion), ekstrakcję i kradzież modelu, wnioskowanie o przynależności do zbioru treningowego (membership inference), prompt injection oraz ujawnianie danych przez output modelu.

Warto jednak od razu ustawić właściwe oczekiwania. Po pierwsze, w chwili pisania tego tekstu norma jest wciąż na etapie FDIS (Final Draft International Standard) — głosowanie nad projektem trwa, a publikacja spodziewana jest w drugiej połowie 2026 roku. Po drugie, i ważniejsze: ISO/IEC 27090 to dokument o charakterze wytycznych. Jest informacyjny, nie zawiera wymagań typu „shall” i nie jest normą certyfikowalną — nie da się „uzyskać certyfikatu ISO 27090” tak, jak uzyskuje się certyfikat ISO/IEC 27001 czy ISO/IEC 42001.

Wniosek dla praktyka jest prosty: 27090 to cenna taksonomia zagrożeń i inspiracja dla kontrolek, ale nie gotowa architektura bezpieczeństwa AI ani zamiennik dla SZBI. Dojrzałe podejście łączy kilka źródeł — ISO/IEC 27001 jako szkielet systemu, ISO/IEC 42001 jako ramę zarządzania AI, ISO/IEC 23894 jako podejście do ryzyka AI, CSA AI Controls Matrix jako najbliższy praktyce katalog kontrolny oraz OWASP Top 10 for LLM Applications, MITRE ATLAS i NIST AI RMF (wraz z NIST AI 100‑2) jako źródła scenariuszy technicznych i terminologii.

Dlaczego klasyczna SoA przestaje wystarczać

Deklaracja Stosowania jest jednym z filarów ISO/IEC 27001. Pokazuje, które zabezpieczenia z Annex A organizacja stosuje, dlaczego je stosuje i jak uzasadnia ewentualne wyłączenia. Kłopot zaczyna się w momencie, gdy AI traktuje się jako drobny dopisek do istniejących kontrolek — bo pozornie „mieści się” w tym, co już mamy.

Weźmy inwentarz aktywów. Formalnie system AI można w nim ująć. Ale czy ten wpis naprawdę obejmuje modele, datasety, prompty systemowe, embeddingi, mechanizmy RAG, agentów i zewnętrznych dostawców modeli? Albo logowanie i monitoring: kontrolka pokrywa aplikację, ale czy widzi prompt, output, wywołania narzędzi przez agenta, anomalie w zapytaniach i próby ekstrakcji modelu? W praktyce doklejanie coraz większej liczby ryzyk AI do klasycznego Annex A prowadzi do jednego skutku — Deklaracja przestaje być czytelna. Audytor nie wie już, gdzie kończy się wymaganie normy, a gdzie zaczyna interpretacja organizacji.

Augmented SoA dla AI Security

Augmented SoA — rozszerzenie bez deformowania Annex A

Dojrzalszą odpowiedzią jest Augmented SoA, czyli rozszerzona Deklaracja Stosowania. Nie chodzi w niej o przerabianie Annex A ani o sugerowanie, że ISO/IEC 27001 zawiera szczegółowe kontrolki AI. Annex A pozostaje szkieletem certyfikacyjnym w niezmienionej postaci. Obok niego powstaje osobna, wyraźnie oznaczona gałąź kontrolek AI Security, zmapowana do istniejących zabezpieczeń, do ryzyk i do dowodów.

Zaletą tego modelu jest przejrzystość — i to jest zaleta przede wszystkim audytowa. Audytor od razu widzi, co jest wymaganiem lub zabezpieczeniem z ISO/IEC 27001, a co świadomie dodanym profilem kontrolnym organizacji. Zarząd widzi, że ryzyka AI zostały nazwane i mają właścicieli. Zespół techniczny dostaje konkret: threat modelling dla systemów AI, red teaming, monitoring promptów, kontrolę outputów, ochronę przed ekstrakcją modelu, ograniczenie autonomii agentów.

ryzyko AI → kontrolka AISEC → powiązanie z Annex A → źródło inspiracji → dowód audytowy → status wdrożenia → luka → plan działań.

To nie jest kolejna tabela zgodności. To ścieżka, którą da się przejść w audycie od pojedynczego ryzyka aż do dowodu, że coś z nim zrobiono.

AISECControl Mapping Matrix ISO 27001

Profil AISEC — jak wyglądają kontrolki AI Security

AISEC nie jest oficjalnym załącznikiem do żadnej normy i nie udaje, że nim jest. To profil kontrolny — zestaw kontrolek, który organizacja buduje na bazie dostępnych standardów i dobrych praktyk, po to, by uszczelnić miejsca, w których klasyczny SZBI nie widzi specyfiki AI. Jego celem nie jest zastąpienie ISO/IEC 27001, lecz jego uzupełnienie.

Typowe obszary, które taki profil obejmuje, to m.in.: inwentarz systemów i aktywów AI, przypisanie właścicielstwa, ocena ryzyka AI Security, integralność i pochodzenie danych, ochrona przed zatruciem danych, ochrona modelu jako aktywa, ochrona przed ekstrakcją modelu, ochrona przed prompt injection, bezpieczne przetwarzanie outputów, logowanie i monitoring AI, obsługa incydentów AI‑specific oraz kontrola autonomii agentów.

Kilka przykładów pokazuje, jak konkretnie może to wyglądać:

Kluczowa zasada jest jedna: każda kontrolka musi mieć cel, właściciela, określoną stosowalność, powiązane ryzyko i dowód. Bez tego „AI Security” pozostaje hasłem na slajdzie. Z tymi elementami staje się mechanizmem, który da się zaudytować.

Od macierzy do działania — cztery kroki

Profil kontrolny ma wartość dopiero wtedy, gdy zostanie użyty. W praktyce sprowadza się to do czterech ruchów.

Krok pierwszy — inwentarz AI. Ustal, gdzie faktycznie używacie AI, jakie dane są przetwarzane, kto jest właścicielem danego przypadku użycia i jaki ma on charakter: pomocniczy, produkcyjny, krytyczny czy wysokiego wpływu. To bank, z którego czerpie cała reszta.

Krok drugi — ocena ryzyka AI. Ogólne „awaria systemu” i „wyciek danych” tu nie wystarczą. Trzeba nazwać scenariusze właściwe dla AI: zatrucie danych, prompt injection, nadmierną autonomię (excessive agency), inwersję modelu, membership inference, ekstrakcję modelu i kompromitację łańcucha dostaw AI.

Krok trzeci — dobór kontrolek AISEC i mapowanie do SoA. Nie zmieniasz treści Annex A. Pokazujesz, że klasyczne zabezpieczenia zostały uzupełnione o mechanizmy adekwatne do nowej technologii — i że wiesz, które są które.

Krok czwarty — właściciele, dowody, status, plan. Dopiero przypisanie odpowiedzialności, dowodów i planu działań zamienia macierz z tabeli zgodności w realne narzędzie zarządcze.

Tło regulacyjne: NIS2, DORA, AI Act

AI Security nie istnieje w regulacyjnej próżni. NIS2 zaostrza wymagania wobec zarządzania ryzykiem cyberbezpieczeństwa, DORA wymusza odporność cyfrową w sektorze finansowym, a AI Act porządkuje odpowiedzialność za systemy AI i ich ryzyka. Nie oznacza to, że każda organizacja musi wdrożyć identyczny katalog kontrolek. Oznacza natomiast coś innego: brak widoczności AI w SZBI będzie coraz trudniej obronić jako podejście dojrzałe — zarówno przed audytorem, jak i przed regulatorem.

Augmented SoA pomaga połączyć trzy języki, które zwykle mówią osobno: język norm, język ryzyka i język technologii. Pokazuje, że organizacja nie czeka biernie na kolejne wytyczne, tylko używa tego, co już dostępne, do zamykania realnych luk.

ugmented SoA ISO 27001

Podsumowanie

ISO/IEC 27090 to ważny sygnał — ale biznes nie powinien czekać na idealną normę, tym bardziej że norma ta ma charakter wytycznych, a nie wymagań do certyfikacji. Systemy AI już działają w organizacjach, a razem z nimi działają nowe wektory ataku i nowe zależności technologiczne.

Dlatego AI Security warto opisać jako osobną, przejrzystą i audytowalną warstwę Augmented SoA. Annex A ISO/IEC 27001 pozostaje szkieletem systemu, a profil AISEC pokazuje, jak organizacja rozumie i kontroluje ryzyka związane z modelami, danymi, promptami, outputami, dostawcami i agentami AI. Governance definiuje odpowiedzialność. Security dowodzi, że kontrola faktycznie działa.

Materiał do pobrania — AISEC Control Mapping Matrix

Do artykułu dołączamy krótką, publiczną zapowiedź narzędzia, a pełną wersję udostępniamy klientom i partnerom jako materiał ekspercki. Macierz zawiera 32 kontrolki AISEC z mapowaniem do ISO/IEC 27001, ISO/IEC 42001, CSA AI Controls Matrix, OWASP, MITRE ATLAS i NIST, wraz z pytaniami audytowymi i listą wymaganych dowodów. Na pewno się przyda.

Bibliografia:

  1. ISO/IEC. ISO/IEC FDIS 27090 — Cybersecurity — Artificial Intelligence — Addressing security threats and compromises to artificial intelligence systems. Etap FDIS; publikacja spodziewana w drugiej połowie 2026 r. ISO.org
  2. ISO/IEC. ISO/IEC 27001:2022 — Information security, cybersecurity and privacy protection — Information security management systems — Requirements. ISO.org
  3. ISO/IEC. ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system. ISO.org
  4. ISO/IEC. ISO/IEC 23894:2023 — Information technology — Artificial intelligence — Guidance on risk management. ISO.org
  5. Cloud Security Alliance. AI Controls Matrix (AICM). CSA
  6. OWASP. Top 10 for Large Language Model Applications. OWASP
  7. MITRE. ATLAS — Adversarial Threat Landscape for Artificial-Intelligence Systems. MITRE ATLAS
  8. NIST. Artificial Intelligence Risk Management Framework (AI RMF 1.0). NIST
  9. NIST. NIST AI 100-2 E2025 — Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations. NIST CSRC
  10. Google Search Central. AI features and your website. Google Developers

Kontekst regulacyjny

  1. Parlament Europejski i Rada. Rozporządzenie (UE) 2024/1689 (AI Act). EUR-Lex
  2. Parlament Europejski i Rada. Dyrektywa (UE) 2022/2555 (NIS2). EUR-Lex
  3. Parlament Europejski i Rada. Rozporządzenie (UE) 2022/2554 (DORA). EUR-Lex

FAQ: Rozszerzona SoA

To rozszerzona Deklaracja Stosowania, w której klasyczne kontrolki ISO/IEC 27001 pozostają bez zmian, a organizacja dodaje osobną gałąź zabezpieczeń dla nowych obszarów ryzyka — takich jak AI Security. Dzięki temu system pozostaje przejrzysty i audytowalny.

Nie. ISO/IEC 27090 to wytyczne dotyczące zagrożeń specyficznych dla AI, w dodatku niecertyfikowalne. Nie zastępuje SZBI według ISO/IEC 27001. Najlepsze podejście łączy ISO/IEC 27001, ISO/IEC 42001 i praktyczne frameworki AI Security.

Punktowo można. Przy większej liczbie ryzyk AI prowadzi to jednak do utraty przejrzystości. Osobna gałąź AISEC jasno pokazuje, które zabezpieczenia są dodatkowymi kontrolkami organizacji, a które należą do klasycznego Annex A.

Minimum to: shadow AI, zatrucie danych, prompt injection, niebezpieczne przetwarzanie outputów, ujawnianie informacji wrażliwych, ekstrakcja modelu, kompromitacja łańcucha dostaw, dryf modelu oraz nadużycie autonomii agentów AI.

Tak — jako narzędzie pomocnicze do samooceny, audytu wewnętrznego lub rozmowy z klientem. To nie jest oficjalny Annex A, lecz profil kontrolny, który da się zmapować do ryzyk, SoA i dowodów audytowych.

Dariusz Rycek
Dariusz Rycek
MBA, CEO & Lead Auditor — Centre of Excellence & QSCert
Ekspert w zakresie systemów zarządzania ISO, cyberbezpieczeństwa, compliance i AI governance. Audytor, konsultant, trener.
Profil LinkedIn
Przewijanie do góry