ISO/IEC 42001:2023 je norma určená k pomoci podnikům a společnosti bezpečně a efektivně maximalizovat hodnotu, kterou přináší používání umělé inteligence (AI). Tato globální norma specifikuje požadavky pro zřízení, implementaci, udržování a neustálé zlepšování Systému řízení umělé inteligence (AIMS). Hlavním cílem ISO/IEC 42001 je zajistit, aby organizace i společnost mohly z AI získat co největší užitek, zároveň ujišťuje zúčastněné strany, že systémy AI jsou vyvíjeny a používány zodpovědně. Co obsahuje norma ISO/IEC 42001:2023 pro Řízení systémů umělé inteligence (AI), jaký je její účel a proč ji implementovat do podniku?
S rozvojem popularity umělé inteligence se národní legislativa vyspělých zemí snaží vytvářet pravidla pro její efektivní využití a omezení nežádoucích efektů. K tomu se přidala i Mezinárodní organizace pro standartizaci (ISO) a vydala ve spolopráci s IEC novou normu ISO/IEC 42001:2023. Cílem je pomoci podnikům a společnosti získat co největší užitek z umělé inteligence (AI) a ujistit zúčastněné strany, že jejich systémy jsou vyvíjeny zodpovědně.
Co obsahuje norma ISO/IEC 42001:2023?
Specifikuje požadavky a poskytuje pokyny pro vytvoření, implementaci, údržbu a neustálé zlepšování systému řízení umělé inteligence. ISO/IEC 42001:2023 může organizacím pomoci vyvíjet nebo používat systémy umělé inteligence zodpovědně při plnění jejich cílů a zároveň plnit regulační požadavky, jakož i povinnosti a očekávání zainteresovaných stran. Norma se zaměřuje na následující klíčové aspekty spojené s používáním a řízením systémů umělé inteligence (AI):
- Základní požadavky a pokyny: Norma specifikuje požadavky a poskytuje pokyny pro zřízení, implementaci, udržování a neustálé zlepšování systému řízení AI.
- Integrace s jinými systémy řízení: ISO 42001 je navržena tak, aby byla integrovatelná s jinými existujícími systémy řízení, jako jsou ISO 27001 (informační bezpečnost) a ISO 9001 (kvalita).
- Struktura a kontroly: Norma obsahuje klauzule 4-10 a přílohu A, která uvádí seznam kontrol, pomáhajících splnit cíle související s používáním AI a řešit obavy identifikované během procesu hodnocení rizik.
- Obsah přílohy A: Příloha A zahrnuje 39 kontrolních bodů, které se týkají oblastí jako jsou politiky související s umělou inteligencí, interní organizace, zdroje pro AI systémy, analýza dopadů a životní cyklus AI systémů.
- Přílohy B, C a D: Příloha B poskytuje implementační pokyny pro kontroly uvedené v příloze A, příloha C nastiňuje potenciální organizační cíle a zdroje rizik, příloha D se věnuje používání systému řízení umělé inteligence napříč obory nebo sektory.
- Cíle a rizika: Mezi potenciální cíle a zdroje rizik patří spravedlnost, bezpečnost, ochrana soukromí, robustnost, transparentnost a vysvětlitelnost, odpovědnost, dostupnost, udržitelnost, dostupnost a kvalita tréninkových dat včetně odbornosti v oblasti AI.
- Zaměření na zodpovědné používání AI: Norma klade důraz na zodpovědné a etické používání umělé inteligence, zahrnující otázky jako je spravedlnost, nediskriminace a respektování soukromí při nasazování těchto systémů.
Proč implementovat ISO/IEC 42001:2023?
ISO/IEC 42001:2023 existuje, aby pomohla podnikům a společnosti jako celku bezpečně a efektivně odvodit maximální hodnotu z používání AI. Standard může uživatelům pomoci:
- zlepšit kvalitu, bezpečnost, sledovatelnost, transparentnost a spolehlivost aplikací umělé inteligence a vyřešit některé problémy s implementací;
- vybudovat větší důvěru v systémy AI v samotné firmě a u zákazníků;
- snížit náklady na vývoj a implementaci AI;
- udržvat požadavky národní legislativy;
- zpepšit očekávání zákazníků, zaměstnanců a dalších zúčastněných stran ohledně etického a odpovědného používání AI;
- zlepšit efektivitu a řízení rizik spojených s použitím AI .
Účelem ISO/IEC 42001 je vést organizace k tomu jak implementovat a udržovat vlastní i dodávané informační systémy se zapojením AI. Protože používání AI a ML (strojové učení, což je podstatná podmnožina AI) vyvolává několik následujících otázek:
- Jak řídit transparentnost a vysvětlitelnost automatizovaných rozhodovacích systémů?
- Jak efektivně využívat výstupy jako je analýza dat z ML systémů, které jsou z dat jednorázově nebo průběžně trénovány a přizpůsobovány změnám ve svých vstupech? To se liší od tradičního procedurálního programování, protože systém AI může v průběhu používání změnit své chování.
- Jak určit stupeň autonomie systému AI, co mu vše svěříme?
- Jak zapojit kontrolní systémy, které podpoří firemní důvěru v data používaná takovými systémy?
Organizace by se měla snažit o to, aby jejich systémy AI byly důvěryhodné. Člověk může považovat osobu za „důvěryhodnou“, pokud je spolehlivá a zodpovědná. U systémů umělé inteligence je pojem důvěryhodnosti složitější a zahrnuje etické, technické a rizikové prvky.
Řízení systémů umělé inteligence pomocí ISO/IEC 42001
ISO/IEC 42001 klade důraz na integraci systému řízení umělé inteligence se stávajícími strukturami organizace. V normě je systém managementu definován jako „vzájemně propojené nebo interagující prvky v organizaci za účelem stanovení politiky a cílů, jakož i procesů k dosažení cílů“.
Základní část normy je relativně obecná a pro stanovení rolí AI je nutno použít přílohy normy a další dokumenty ISO/IEC. Jedním ze způsobů, jak toto řešit, je vytvoření checklistu podle požadavů těchto příloh a prostřednictvím interních auditů ověřit systém v organizaci, kde je zapojená AI. Mimo jiné to je přesně to, co by organizace měla dělat pro správu všech svých počítačových systémů, bez ohledu na to, zda obsahuje komponentu AI.
Norma má čtyři přílohy. Důvěryhodná umělá inteligence je zmíněna v příloze A jako součást příručky pro správu vývoje systému umělé inteligence. V příloze B, která se zabývá implementačními pokyny pro kontroly umělé inteligence, jsou zmíněna konkrétní opatření týkající se AI/ML. Zejména se vyžaduje, aby dokumentace údajů používaných v organizaci zahrnovala objekty a data používané pro ML a proces školení a testování.
Pokud jde o hodnocení dopadu systémů umělé inteligence na skupiny a jednotlivce, norma zmiňuje několik oblastí důvěryhodnosti, jako je spravedlnost, transparentnost, vysvětlitelnost, dostupnost a bezpečnost. Norma zmiňuje mnoho dalších důležitých oblastí dopadů, jako je vliv na životní prostředí, potenciální dezinformace, bezpečnostní problémy a vliv na zdraví.
Zajímavým kontrolním prvkem je poskytnout odůvodnění pro zavedení systému umělé inteligence, včetně vysvětlení, kdy a proč bude systém používán, a seznamu metrik, které by měly být použity k měření, zda je výkon systému kompatibilní s těmito cíli. Z toho plyne otázka, zda známé metriky používané pro softwarové systémy jsou dostatečné pro systémy obsahující AI.
Kromě toho je třeba zdokumentovat název a vývoj sytému, což zahrnuje zejména podrobnosti o metodě ML. V tomto ohledu je také důležité hodnocení systému umělé inteligence, které bude zahrnovat specifická opatření pro umělou inteligenci.
Pro nasazení AI je nutné model vytvořený strojovým učením pravidelně nebo dokonce průběžně přeškolovat. Proto je třeba systém umělé inteligence průběžně monitorovat, aby bylo možné posoudit účinek výkonu systému.
Příloha B se také zabývá procesy správy dat, které by měly být využity. Ty zahrnují specifické pokyny pro systémy AI, které zahrnují transparentnost, vysvětlitelnost a vzorová trénovací data. Zahrnuje také pokyny pro přípravu dat včetně statistického přezkoumání dat.