（基于1S0/IEC42001-2023《人工智能管理体系》的附录A、附录B》整理编写） 《IS0/IEC42001-2023》表A.1-控制目标和控制对应IS0/IEC42001 人工智能控制的实施指南 序号 主题 控制 A.2与人工智能相关的方针 5.2人工智能方针 A2.1目标：根据业务需求，为人工智能系统提供管 理指导和支持。 (1)人工智能方针应参考以下内容： 业务战略： 组织的价值观和文化，以及组织愿意承担或保留的风险程度： 人工智能系统带来的风险程度； 法律要求，包括合同： 组织的风险环境； 对相关方的影响（见6.1.4）。 (2)人工智能方针应包括： 适合于组织的宗旨： 组织应制定开发或使用人工智能 A. 2. 2 人工智能方针 为制定人工智能目标提供一个框架（见6.2）： 系统的方针。 包括满足适用要求的承诺： 包括对持续改进人工智能管理体系的承诺； 指导组织与人工智能有关的所有活动的原则： -指导人工智能系统的开发、购买、运行和使用； 处理偏离方针和例外情况的程序， (3)必要时，人工智能方针应考虑特定主题方面，以提供更多指导或提供与涉及这些方面的其他方针的交叉参考。此类主题的例子包括 人工智能资源和资产；人工智能系统影响评估（见6.1.4)： 人工智能系统开发。 (4)人工智能方针应：作为文件资料提供；引用其他相关的组织政策；在组织内得到沟通；适宜时，可为有关相关方所获取。 ） 组织应确定其他方针的哪些方面 与其他组织方 前方针是否以及在哪些方面存在必然交叉，并在需要更新时更新这些方针，或在人工智能方针中融入相关规定 A. 2. 3 受到组织在人工智能系统方面目 针保持一致 (2)治理机构为AI方针提供参考：治理机构代表组织制定的方针应为人工智能方针提供参考。IS0/IEC38507为治理管理机构的成员提供了指导，以便在 标的影响或适用于该目标。 人工智能系统的整个生命周期内启用和治理人工智能系统。 《1S0/IEC42001-2023》表A.1-控制目标和控制对应IS0/IEC42001 人工智能控制的实施指南 人工智能方针应按计划的时间间 (1)应由管理层批准的一个角色负责人工智能方针或其组成部分的制定、评审和评估； 人工智能方针隔进行评审，或根据需要进行额 A. 2. 4 (2)评审应包括根据组织环境、业务情况、法律条件或技术环境的变化，评估机会以改进组织的人工智能系统管理方针和方法的机会： 的评审 外评审，以确保其持续的适宜性 (3)人工智能方针的评审应考虑到管理评审的结果。 充分性和有效性。 A.3内部组织 A3.1目标：在组织内部建立责任制，坚持以负责任的方 式实施、运行和管理人工智能系统。 (1)规定岗位和职责对于确保整个组织中与人工智能系统全生命周期有关的岗位责任制至关重要； (2)在分配岗位和职责时，组织应考虑人工智能方针、人工智能目标和已识别的风险，以确保涵盖所有相关领域 (3）组织可优先考虑如何分配岗位和职责。需要明确岗位和职责的示例包括： 风险管理； 人工智能系统影响评估： 资产和资源管理； 信息安全； 人工智能的岗应根据组织的需要确定和分配人5.3岗位、职责和权物理安全； A. 3. 2 位和职责 工智能的岗位和职责。 限 隐私： 开发； 绩效： 人员监督； 供方关系： 证明其有能力始终如一地满足法律要求； 数据质量管理（整个生命周期）。 (4)各种岗位的职责应界定到适合个人履行其职责的程度， (1)报告机制应具备以下功能： (a)可选择保密或匿名或两者兼有： (b)向受雇人员和合同人员提供并宣传； 组织应制定并落实一组过程，以 便组织中的员工报告与人工智能 (c)配备合格的工作人员 A.3.3报告关切 系统全生命周期有关的组织中的 (d)为(b)中提到的人员规定适当的调查和解决权限； 岗位的关切。 (e)规定及时向管理层报告和上报的机制； (f)为报告和调查相关人员提供有效保护，使其免遭报复（如允许匿名和保密报告）： (g）根据4.4和（如适用）（e)提供报告；同时保持（a)中的保密性和匿名性，并尊重通用的商业机密考虑因素； 《1S0/IEC42001-2023》表A.1-控制目标和控制对应IS0/IEC42001 人工智能控制的实施指南 (h)在适当的时限内提供回应机制。 (2)组织可利用现有的报告机制作为该流程的一部分。 (3)除本条款提供的实施指南外，组织还应进一步考虑IS037002-2021《举报管理体系一一指南》。 A.4人工智能系统的资源 7.1资源 A4.1目标：确保组织考虑人工智能系统的资源（包括人工 智能系统组件和资产），以充分理解并应对风险和影响。 (1)记录AI系统资源的重要性； 记录人工智能系统的资源对于了解风险以及人工智能系统对个人和社会的潜在影响（包括正面和负面影响）至关重要： 记录此类资源（可利用数据流图或系统架构图等）可为人工智能系统影响评估提供信息； 记录资源也有助于确定是否有可用资源，如果没有可用资源，组织应修改人工智能系统的设计规范或其部署要求。 组织应确定并记录特定人工智能 (2)资源可包括但不限于： 系统生命周期阶段的活动以及与 A. 4. 2 资源记录 人工智能系统组件： 组织相关的其他人工智能相关活 数据资源，即在人工智能系统生命周期的任何阶段使用的数据； 动所需的相关资源。 工具资源（如人工智能算法、模型或工具）： 系统和计算资源（如开发和运行人工智能模型的硬件、数据存储和工具资源）； 人力资源，即与组织在整个人工智能系统生命周期中的作用有关的、具有必要专业知识的人员（如开发、销售、培训、运行和维护人工智能系统）。 (3)资源可以由组织本身、客户或第三方提供。 数据文档应包括但不限于以下内容： 数据的出处； 数据最后更新或修改的日期（如元数据中的日期标签）； 对于机器学习，数据类别（如训练、验证、测试和生产数； 作为资源识别的一部分，组织应 数据类别（如IS0/IEC19944-1《云计算和分布式平台 数据流、数据类别和数据使用第1部分：基础》中定义的类别）； 数据资源 记录有关人工智能系统所使用的 A. 4. 3 标注数据的过程； 数据资源的信息。 数据的预期用； 数据的质量（如IS0/IEC259系列中的描述； 适用的数据保留和处置政策； 数据中已知或潜在的偏差问题； 一数据准备。 作为资源识别的一部分，组织应 (1)人工智能系统特别是机器学习的工具资源可包括但不限于： 工具资源 记录有关人工智能系统所使用的 . 4. 4 算法类型和机器学习模型； 工具资源的信息。 一数据调节工具或流程： 《1S0/IEC42001-2023》表A.1-控制目标和控制对应IS0/IEC42001 人工智能控制的实施指南 优化方法评估方法： 资源配置工具： 辅助模型开发的工具； 用于人工智能系统设计、开发和部署的软件和硬件。 (2）IS0/IEC23053:2022《运用机器学习的人工智能系统框架》为机器学习各种工具资源的类型、方法和途径提供了详细指导。 (1)人工智能系统的系统和计算资源信息可包括但不限于以下内容： 人工智能系统的资源要求（即帮助确保系统可在资源有限的设备上运行）： 作为资源识别的一部分，组织应 系统和计算资源的位置（如本地、云计算或边缘计算）； 系统和计算资 记录有关人工智能系统所使用的 处理资源（包括网络和存储）： A. 4. 5 源 用于运行人工智能系统工作负载的硬件的影响（例如，通过使用或制造硬件或使用硬件的成本对环境造成的影响）。 系统和计算资源的信息。 (2)组织应考虑可能需要不同的资源，以便不断改进人工智能系统。系统的开发、部署和运行可能会有不同的系统需求和要求； (3)IS0/IEC22989:2022《信息技术人工智能人工智能概念和术语》描述了各种系统资源考虑因素。 (1)组织应考虑对不同专业知识的需求，并融入系统所需的角色类型。例如，如果与用于训练机器学习模型的数据集相关的特定人口群体是系统设计的必 要组成部分，则组织可将其融入其中； 作为资源识别的一部分，组织应 (2)必要的人力资源包括但不限于： 记录开发、部署、运行、变更管 数据科学家； A. 4. 6 人力资源 理、维护、转让和退役以及验证 与人工智能系统人工监督相关的角色； 和集成人工智能系统所使用的人 一信息安全、物理安全和隐私等可信赖领域的专家； 力资源及其能力的相关信息。 人工智能研究人员和专家，以及与人工智能系统相关的领域专家。 (3)在人工智能系统生命周期的不同阶段，可能需要不同的资源。 6.1.4人工智能系统 A.5评估人工智能系统的影响 影响评估 A5.1目标：评估人工智能系统在其整个生命周期内对受 其影响的个人和社会的影响 (1)由于人工智能系统可能对个人、个人群体和社会产生重大影响，提供和使用此类系统的组织应根据这些系统的预期目的和用途，评估这些系统对这些 群体的潜在影响： 组织应建立过程，以评估人工智 (2）组织应考虑人工智能系统是否会影响以下方面： 人工智能系统 能系统在其整个生命周期内可能 个人的法律地位或生活机会； A. 5. 2 影响评估过程 对个人和社会造成的潜在后果。 个人的身心健康； 普遍人权； 卜社会。 人工智能控制的实施指南 《IS0／IEC42001-2023》表A.1-控制目标和控制对应IS0／IEC42001 (3)对于某些领域或组织来说，详细考虑对个人和社会的影响是风险管理的一部分，特别是在信息安全、物理安全和环境管理等领域。组织应确定，作为 此类风险管理过程一部分的特定领域影响评估是否充分融入了对这些特定方面（如隐私）的