在开发或使用人工智能的组织特定背景下分析ISO 42001和ISO 27001。AI风险覆盖、特定控制、差距和双重实施策略。
许多使用人工智能的组织认为ISO 27001足以管理其AI系统风险。虽然ISO 27001涵盖信息安全,但不处理算法偏见、可解释性、公平性或伦理影响等特定风险。ISO 42001正是为填补这些空白而设计的。
对于开发或使用AI系统的组织,ISO 27001是必要的但不充分。ISO 27001保护基础设施和数据;ISO 42001治理AI的负责任使用。建议策略是以集成方式实施两者。
ISO 27001涵盖数据安全(机密性、完整性、可用性),但不处理这些数据馈入AI模型后的用途。训练数据偏见、数据集质量、样本代表性和模型决策风险属于ISO 42001的范畴。
可以,ISO 42001是独立的,不需要ISO 27001作为正式前提。但在实践中,在AI系统中处理敏感数据的组织非常受益于将ISO 27001作为安全基础。