Wprowadzenie do AI w ujęciu ISO 42001
Jest to już prawda obiektywna, że sztuczna inteligencja (AI) staje się kluczowym elementem w sektorach technologicznych, wpływając na gospodarkę i społeczeństwo. Organizacje muszą więc odpowiedzialnie zarządzać AI, co obejmuje m.in. opracowywanie, monitorowanie, i dostarczanie usług. AI wiąże się z wyzwaniami, takimi jak nieprzejrzystość w podejmowaniu decyzji i zmieniające się zachowania systemów uczących się. Nowy standard ISO/IEC 42001:2023 (w skrócie ISO 42001, lub norma) koncentruje się na zarządzaniu AI w organizacjach, podkreślając potrzebę unikalnego podejścia do jej specyficznych cech, takich jak ciągłe uczenie się i brak przejrzystości. Organizacje powinny dostosować system zarządzania AI, biorąc pod uwagę ich potrzeby, cele, wielkość, strukturę i oczekiwania zainteresowanych stron. Ważne jest znalezienie równowagi między zarządzaniem a innowacjami, przyjmując podejście oparte na ryzyku.
System zarządzania AI powinien być zintegrowany z procesami organizacji, uwzględniając kwestie takie jak zarządzanie ryzykiem, bezpieczeństwem, uczciwością, przejrzystością, jakością danych i systemów AI. Kluczowe procesy zarządzania obejmują określanie celów, zarządzanie dostawcami i partnerami oraz wspieranie odpowiedzialności i rozliczalności organizacji w zakresie AI. ISO 42001 nie dostarcza szczegółowych wytycznych, lecz stanowi ramy wspierające organizacje w wdrażaniu kluczowych procesów. Zastosowano zharmonizowaną strukturę, aby ułatwić zgodność z innymi standardami zarządzania. Zawiera ona wymagania specyficzne dla AI, pomagając organizacjom w odpowiedzialnym wykorzystywaniu tej technologii. Norma jest skierowana do każdej organizacji i specjalisty, którzy planują bezpieczne wdrożenie sztucznej inteligencji (AI). Ze względu na złożoność systemów AI, wdrożenie Systemu Zarządzania Sztuczną Inteligencją (AIMS) wymaga interdyscyplinarnego podejścia. W praktyce, może to oznaczać współpracę osób odpowiedzialnych za kwestie prawne, prywatności, operacje, marketing, badania i rozwój, sprzedaż, HR, IT oraz zarządzanie ryzykiem.
Kluczowe korzyści płynące z ISO 42001
Obejmują one głównie:
- Bezpieczne wdrażanie AI, z zapewnieniem odpowiedzialności i rozliczalności.
- Uwzględnienie bezpieczeństwa, uczciwości, przejrzystości, a także jakości danych i systemów AI na każdym etapie ich cyklu życia.
- Traktowanie wdrożenia AI jako strategicznej decyzji z klarownie określonymi celami.
- Silne zarządzanie w obszarze AI.
- Utrzymywanie równowagi między zarządzaniem a innowacjami.
- Zapewnienie odpowiedzialnego używania AI, szczególnie w kontekście jej ciągłego uczenia się.
- Łączenie sprawdzonych ram zarządzania z doświadczeniem organizacji w celu implementacji kluczowych procesów, takich jak zarządzanie ryzykiem, cyklem życia i jakością danych.
Certyfikacja ISO 42001, czyli System Zarządzania Sztuczną Inteligencją (AIMS), która jest naturalną konsekwencją wdrożenia standardu gwarantuje, że systemy AI są rozwijane i stosowane odpowiedzialnie. To raczej pieśń już niedalekiej, ale jednak przyszłości, gdyż wcześniej powinniśmy poznać regulacje prawne, które będą kształtować otoczenie biznesowe w tym temacie.
Dlatego też w odpowiedzi na dynamiczny rozwój AI i towarzyszące mu wyzwania, ISO i IEC opracowały normę ISO 42001, która ma zintegrować wiele działań w tym zakresie, a jednocześnie być odpowiedzią na wymagania prawne. Standard ten dostarcza ram AIMS, ułatwiających organizacjom i społeczeństwu maksymalizację korzyści z AI, zapewniając jednocześnie, że systemy są rozwijane i wykorzystywane w sposób odpowiedzialny. Trzeba pamiętać jednak, że standard ma charakter fakultatywny, a więc nieobowiązkowy.
ISO 42001 wspiera również realizację Celów Zrównoważonego Rozwoju ONZ, w tym celów nr 5, 7, 8, 9, 10, 12 i 14, które powoli stają się codziennością wymagań na poziomie ponadnarodowym. Unia Europejska również podjęła kroki w kierunku pierwszego na świecie kompleksowego prawodawstwa dotyczącego AI. Po intensywnych negocjacjach ustalono zasady dotyczące AI, które będą miały zastosowanie do systemów takich jak ChatGPT i rozpoznawanie twarzy. Przepisy mają wejść w życie w 2025 roku, po głosowaniu Parlamentu Europejskiego w 2024 roku.
Norma ISO 42001, jako globalny standard, określa wymagania dla AIMS, obejmujące ustanawianie, wdrażanie, utrzymanie i ciągłe doskonalenie systemu. Jej celem jest wspieranie organizacji i społeczeństwa w czerpaniu korzyści ze sztucznej inteligencji, jednocześnie zapewniając, że systemy są opracowywane i wykorzystywane w sposób etyczny i odpowiedzialny.
Jak już wspomniałem powyżej struktura te normy jest dokładnie taka sama jak wynika to z innych standardów wysokiego poziomu HLS, czyli artykuły 4-10 stanowią wymagania, jednakże wzorem normy ISO/IEC 27001 najbardziej kluczowymi elementami normy są załączniki normatywne, czyli dodatkowe wymagania:
- Załącznik A – Referencyjne cele kontroli i zabezpieczeń,
- Załacznik B – Wytyczne dotyczące wdrażania zabezpieczeń sztucznej inteligencji,
I to one dostarczają najwięcej informacji co do specyfiki standardu w ujęciu AI. Pozostałe wymagania mają charakter ogólny, dlatego tylko kontekstowo różnią się od pozostałych norm wysokiego poziomu – HLS: np. ISO/IEC 27001. Warto jednak zwrócić tutaj uwagę, że norma odwołuje się do kilku norm, które będą musiały być wzięte pod uwagę w trakcie wdrożenia, gdyż to one opisują dokładnie wymagania dla takich działań jak:
- ISO/IEC 23894, Technologia informacyjna – Sztuczna inteligencja – Wytyczne dotyczące zarządzania ryzykiem,
- ISO/IEC 5338, Technologia informacyjna – Sztuczna inteligencja – Proces cyklu życia systemu sztucznej inteligencji,
- ISO/IEC 5259 (wszystkie części 2), Jakość danych dla analityki i uczenia maszynowego (ML) – w trakcie procesowania (obecnie na etapie DIS).
Zapraszamy do współpracy i kontaktu,
Zespół Centre of Excellence & QSCert
Bibliografia:
- ISO/IEC 42001:2023 – Information technology. Artificial intelligence. Management system, https://www.iso.org/standard/81230.html;
- ISO/IEC 5338:2023 – Information technology. Artificial intelligence. AI system life cycle processes, https://www.iso.org/standard/81118.html;
- ISO/IEC 23894:2023 – Information technology. Artificial intelligence. Guidance on risk management, https://www.iso.org/standard/77304.html.