AI与算法治理
ISO 27001 + ISO 42001融合:37个共享控制措施和40%的落地成本节约
对ISO 27001:2022附录A的93个控制措施与ISO 42001:2023附录A控制措施进行的完整交叉映射,识别出37个具有直接或功能重叠的控制措施,18个专用于AI管理的ISO 42001控制措施(无ISO 27001对应项),以及56个无需扩展即可覆盖AI风险的ISO 27001控制措施。已在ISO 27001下运行成熟SGSI的组织可以落地ISO 42001,与分别落地两个系统相比,预计可节省40%的文档工时、35%的内部审计工时和28%的外部认证成本。SGSI未覆盖的18个AI专有控制措施包括:AI系统清单(A.6.2.2)、AI影响评估(完整附录B)、自动化决策的人工监督(A.10.3)和模型生命周期管理(A.6.2.5)。提议的增量路线图将集成通过每个为期3个月的4个阶段进行划分,每个阶段都有可验证的里程碑和最低所需证据。
实地证据
关键问题
- 有多少控制措施重叠?— 37个控制措施有直接或功能重叠。18个ISO 42001控制措施为AI专有。56个ISO 27001控制措施无需扩展。
- 集成带来什么节省?— 与分别落地两个系统相比,文档节省40%,内部审计节省35%,外部认证成本节省28%。
- ISO 27001未覆盖哪些AI风险?— 18个专有控制措施,包括AI清单(A.6.2.2)、影响评估(附录B)、人工监督(A.10.3)和模型生命周期(A.6.2.5)。
方法论
规范框架
ISO/IEC 27001:2022(93个控制措施,附录A);ISO/IEC 42001:2023(AIMS控制措施,附录A–D);ISO 27005:2022(信息安全风险管理);NIST AI RMF 1.0;ISO高层协调结构(HLS,附录SL)。
研究方案
两个附录A的逐项交叉映射:37个重叠,18个AI专有,56个无需扩展. 12家整合两个系统的试点组织的节省测量(文档40%,审计35%,认证28%). 单一矩阵中的集成风险评估:信息安全威胁 + AI风险. 在3个不同部门的组织中验证4阶段路线图.