Skip to content 
Wprowadzenie do tematu AI w standardach ISO
O tej normie bardzo szybko zapominano, bo wydana w kwietniu 2022 roku nie wpadła jeszcze w nurt zainteresowania sztuczną inteligencją. Z drugiej strony jest to norma kooperacyjna dwóch podkomitetów ISO/IEC JTC 1/SC 42 Artificial intelligence) oraz ISO/IEC JTC 1/SC 40 (IT service management and IT governance), a one zwykle łatwo nie mają, są jak „niechciane” dzieci. Norma ISO/IEC 38507:2022 – Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations (w dalszej części ISO 38507), bo o niej jest ten artykuł została przywołana w najnowszym, kwartalnym (Lipiec-Wrzesień 2023) wydaniu magazynu “Risk&Compliance”, w artykule „The ISO’s AI governance standard explained” autorstwa Sam De Silva oraz Barbara Zapisetskaya. To rzadka sytuacja, ale pokazująca przydatność tego standardu w odniesieniu do wykorzystania sztucznej inteligencji w zarządzaniu, podobnie jak będzie to możliwe w jej wykorzystaniu przy systemach zintegrowanych ISO 27001, ISO 22301, ISO 37301, etc.
Wykładniczy wzrost zainteresowania sztuczną inteligencją potwierdzony badaniem firmy Gartner w zakresie planowanych inwestycji firm w tym kierunku, jak również prace legislacyjne w tym związane odsłaniają nam potrzebę zrozumienia i zarządzania wykorzystaniem jej tak skutecznie, jak to możliwe, rozważając najbardziej odpowiednią formę zarządzania nią. Dlatego standardy i standaryzacja mogą odgrywać ważną rolę w zarządzaniu AI i pomagać w łagodzeniu niektórych zagrożeń związanych z jej wykorzystaniem. Dobrze, że takie wskazania pojawiają się w przestrzeni publicznej, bo pojawia się szansa wykorzystania standardów w kodyfikacji tematu, czy też wypracowaniu rozwiązań mających charakter dobrych praktyk. Warto już zauważyć, że nawet krajowe rozwiązania w zakresie AI, jak np. w Wielkiej Brytanii która wydała w tym zakresie białą księgę, podkreślają pozytywne znaczenie standardów technicznych.
O czym jest standard ISO 38507?
Norma ISO 38507 definiuje sztuczną inteligencję jako „rodzinę technologii, które łączą moc obliczeniową, skalowalność, sieci, połączone urządzenia i interfejsy, wraz z ogromnymi ilościami danych” i stara się zająć zarządzaniem sztuczną inteligencją w organizacjach na szerokiej podstawie koncepcyjnej. Jest to istotne, aby pozostać na bieżąco w dynamicznym świecie technologii i uniknąć przestarzałości wraz z ewolucją sztucznej inteligencji i jej zastosowań.
Celem normy ISO 38507 jest zapewnienie wytycznych dla organu zarządzającego organizacją, która wykorzystuje lub rozważa wykorzystanie sztucznej inteligencji, a także zachęca organizacje do stosowania odpowiednich standardów w celu wsparcia zarządzania wykorzystaniem sztucznej inteligencji. Norma skupia się na istocie i mechanizmach sztucznej inteligencji, aby umożliwić zrozumienie implikacji związanych z jej wykorzystaniem. Pytania, na które norma stara się odpowiedzieć, to: Jakie są dodatkowe możliwości, zagrożenia i obowiązki związane z wykorzystaniem sztucznej inteligencji?
Jednym z kluczowych aspektów, które norma ISO 38507 podkreśla, jest różnica między sztuczną inteligencją a innymi technologiami. Podejmowanie decyzji to jedna z kluczowych zalet sztucznej inteligencji, wynikająca z jej zdolności do pracy z uczeniem maszynowym i przewidywania wyników za pomocą obliczeń prawdopodobieństwa. To właśnie szybkość tych decyzji odróżnia sztuczną inteligencję od innych technologii, a także od człowieka, co stanowi jedną z jej najważniejszych zalet.
Sztuczna inteligencja opiera się na analizie dużych zbiorów danych w celu ciągłego doskonalenia swoich umiejętności. Jednak gromadzenie takiej ilości danych wiąże się z wyzwaniem złożoności zbiorów danych, które często wykraczają poza ludzkie zrozumienie. Dodatkowo, konieczne jest przetwarzanie i przechowywanie ogromnych ilości danych, co stawia przed organizacjami kolejne wyzwania. Każda organizacja ma swoje unikatowe zastosowania sztucznej inteligencji, co powoduje, że zestaw danych ulega ciągłym zmianom. Ta dynamika może wpłynąć na zdolność sztucznej inteligencji do adaptacji, automatyzacji podejmowania decyzji oraz wykorzystania analizy danych i uczenia maszynowego do rozwiązywania problemów i podejmowania decyzji.
Kolejnym ważnym aspektem, na który zwraca uwagę norma, jest adaptacyjny charakter sztucznej inteligencji. Jest to zdolność sztucznej inteligencji do rozwijania własnej wydajności poprzez proces samouczenia się. Jednak adaptacja ta może prowadzić do ucieczki od istniejących procedur zarządzania i kontroli, dlatego też norma podkreśla potrzebę wprowadzenia przejrzystości do systemu sztucznej inteligencji. Przejrzystość ta jest szczególnie ważna, aby zachować odpowiednią kontrolę nad sztuczną inteligencją i zapewnić jej zgodność z etycznymi i prawnymi normami.
Norma nie ma struktury norm ISO 27001, oraz ISO 22301, czy też innych tworzonych na bazie struktury ramowej, ale ich powiązanie z nimi ma być realizowane na bazie polityk, co przedstawiono w art. 6.
Jak zarządzać AI wg ISO 38507?
Zarządzanie sztuczną inteligencją zgodnie z normą ISO 38507 wymaga, aby organ zarządzający organizacją brał na siebie pełną odpowiedzialność za jej wykorzystanie, unikając delegowania tego zadania na niższe instancje lub samą sztuczną inteligencję. Organ zarządzający powinien zapewnić odpowiedzialność na każdym etapie cyklu życia sztucznej inteligencji, począwszy od jej wdrożenia i podjęcia decyzji o wykorzystaniu w organizacji, aż po wpływ na systemy, procesy oraz środki bezpieczeństwa w celu ograniczenia ryzyka. Brak odpowiedzialności i odpowiednich mechanizmów nadzoru może prowadzić do eskalacji ryzyka i szkód.
Z uwagi na różnorodne zastosowania sztucznej inteligencji oraz jej kompleksowość, organizacje muszą uwzględnić różnorodne czynniki przy podejmowaniu decyzji o odpowiednim poziomie nadzoru. Należy brać pod uwagę: rodzaj wykorzystywanej sztucznej inteligencji i jej cel; przewidywane ryzyko i korzyści związane z systemem sztucznej inteligencji; wykorzystywaną funkcjonalność ekosystemu sztucznej inteligencji; oraz rolę organizacji w łańcuchu wartości sztucznej inteligencji, taką jak klient, producent lub dostawca, oraz etap wdrażania systemu sztucznej inteligencji.
Wdrożenie sztucznej inteligencji wymaga pełnej troski o zgodność z przepisami, etycznymi standardami oraz aspektami bezpieczeństwa. Organ zarządzający musi zapewnić odpowiednie procedury oceny ryzyka i monitorowania działania sztucznej inteligencji, aby minimalizować negatywne konsekwencje. Ponadto, należy przewidywać możliwość wdrażania mechanizmów dostosowanych do konkretnych zastosowań sztucznej inteligencji, aby zapewnić maksymalną skuteczność i optymalizację jej funkcjonowania.
Wnioski z zarządzania sztuczną inteligencją w organizacjach są kluczowe dla ciągłego doskonalenia procesów i systemów, a także dla adaptacji do zmieniających się potrzeb i wymagań. Organ zarządzający musi być gotowy na innowacje i kreatywne podejście do wykorzystania sztucznej inteligencji w celu uzyskania konkurencyjnej przewagi na rynku. Jednakże, zawsze należy zachować ostrożność i dbać o zgodność z normami etycznymi oraz prawem, aby zapewnić uczciwość i rzetelność w działaniu sztucznej inteligencji.
Podobnie w kwestii tematu akapitu powiązań do ISO 27001, oraz ISO 22301, itp. w przedmiocie, do którego chcemy włączyć AI warto wykorzystać wskazówki z art. 4 – Konsekwencje organizacyjnego wykorzystania sztucznej inteligencji dla zarządzania, czy kolejnego art.5 – Przegląd systemów AI.
Ryzyko związane z wykorzystaniem AI?
Zgodnie z normą ISO 38507 w celu złagodzenia potencjalnych ryzyk i ograniczeń związanych z wykorzystaniem sztucznej inteligencji, organizacje mogą podjąć następujące kroki.
- Po pierwsze, zwiększyć nadzór nad zgodnością. Organ zarządzający powinien określić skuteczną indywidualną i zbiorową odpowiedzialność w łańcuchu zarządzania, który jest dostosowany do kontekstu wykorzystania sztucznej inteligencji.
- Po drugie, skupić się na zakresie stosowania sztucznej inteligencji. Obejmuje to określenie odpowiednich założeń dotyczących danych, przeprowadzenie wcześniejszej oceny jakości i ilości danych oraz zbadanie potencjalnych uprzedzeń. Opis systemu sztucznej inteligencji za pomocą jego algorytmów, danych i modeli może zapewnić przejrzystość i zgodność z przeznaczeniem.
- Po trzecie, ocenić wpływ na interesariuszy. Organ zarządzający odpowiada za kształtowanie kultury organizacji, która wpływa na interesariuszy. Zaangażowanie człowieka w proces sztucznej inteligencji, monitorowanie i korekta systemów AI są ważne. Rada ds. kultury i wartości lub etyki może pomóc w tym procesie.
- Po czwarte, określić wymogi prawne i obowiązki związane z korzystaniem z technologii. Sztuczna inteligencja i powiązane technologie podlegają regulacjom, więc organizacje muszą być zgodne z przepisami.
- Wreszcie, analizować dodatkowe ryzyka związane z wykorzystaniem sztucznej inteligencji.
Organizacje powinny działać w ramach swojego apetytu na ryzyko i wprowadzać odpowiednie procesy i kontrole. Dbałość o te aspekty pozwoli na odpowiedzialne i zgodne z wartościami organizacji wykorzystanie sztucznej inteligencji. Norma zawiera odniesienia do opublikowanej później normy ISO/IEC 23894:2023 – Information technology — Artificial intelligence — Guidance on risk management, ale nie przesądza to wykorzystanie metodyk stosowanych w ramach ISO 27001, czy ISO 22301.
Podsumowanie
Zarządzanie sztuczną inteligencją wymaga odpowiedzialności, elastyczności i zrozumienia złożoności tej technologii. Organizacje muszą działać świadomie, dbając o każdy aspekt związany z wykorzystaniem sztucznej inteligencji, aby osiągnąć jej pełny potencjał i korzyści, jednocześnie minimalizując ryzyko i negatywne skutki.
Patrząc w pierwszej kolejności na wymagania prawne, które określą nam bariery wykorzystania sztucznej inteligencji w biznesie poszukujmy także rozwiązań organizacyjnych, podejść i dobrych praktyk w standardach ISO, których jest już blisko 20, a w trakcie projektów następnych tyle, albowiem mają charakter kierunkowy. Warto też zwrócić przy okazji na fakt, że wykorzystanie AI w systemie bezpieczeństwa informacji wg ISO 27001, czy też innych, jak np. ISO 22301, ISO 37301 też wymagają uregulowania poprzez polityki.
Zachęcam do przeczytania artykułu w oryginale, szczególnie tych, którzy blisko związani są z rynkiem brytyjskim, gdyż wspomniana biała księga „Proinnowacyjne podejście do regulacji sztucznej inteligencji” oraz norma ISO 38507 dobrze się integrują w przedmiocie sprawy.
Zespół Centre of Excellence i QSCert
Zapraszam do współpracy
Bibliografia:
- ISO/IEC 38507:2022 – Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations – https://www.iso.org/standard/56641.html?browse=tc
- The ISO’s AI governance standard explained – By Sam De Silva And Barbara Zapisetskaya > Cms Cameron Mckenna Nabarro Olswang LLP – „Risk&Compliance” July-September 2023.
- Policy paper “A pro-innovation approach to AI regulation” Updated 22 June 2023 – https://www.gov.uk/government/publications/ai-regulation-a-pro-innovation-approach/white-paper