I
Impetora

ISO/IEC 42001 ir ISO/IEC 27001: kas skiriasi ir kas sutampa

By Impetora -

ISO/IEC 42001:2023 yra dirbtinio intelekto valdymo sistemos standartas, paskelbtas 2023 m. gruodį [1]. ISO/IEC 27001:2022 yra informacijos saugumo valdymo sistemos standartas, įmonių saugumo sertifikavimo pagrindas nuo 2005 metų [2]. Abu standartai naudoja vienodą Annex SL valdymo sistemos struktūrą ir gerai integruojasi, tačiau apima skirtingas sritis. Daugumai DI sistemų diegėjų 2026 metais reikia abiejų: 27001 duomenims ir infrastruktūrai, 42001 - DI gyvavimo ciklui, sąžiningumui ir atskaitomybei.

93 priemonės
ISO 27001:2022 A priedo kontrolės priemonės keturiose temose
ISO
38 priemonės
ISO 42001:2023 A priedo DI specifinės kontrolės priemonės
ISO
2026-08
ES DI akto aukšto rizikos sistemų prievolės įsigalioja
EUR-Lex

Ką apima ISO/IEC 27001?

ISO/IEC 27001:2022 nustato informacijos saugumo valdymo sistemą (ISVS). Jos apimtis yra informacijos turto konfidencialumas, vientisumas ir prieinamumas, nepriklausomai nuo to, ar tai popieriniai įrašai, duomenų bazės, programinis kodas, debesų aplinkos darbo krūviai ar apmokyti modeliai. Standartą sudaro valdymo sistemos branduolys 4-10 punktuose ir A priedo kontrolės priemonių katalogas su 93 priemonėmis, suskirstytomis į keturias temas: organizacines (37), žmonių (8), fizines (14) ir technologines (34) [2].

Sertifikavimo ekosistema yra brandi. ISO 27001 nuo 2005 metų peržiūros (anksčiau BS 7799 ir ISO/IEC 17799) yra pasaulinis įmonių saugumo standartas. Visos didelės sertifikavimo įstaigos, įskaitant BSI, DNV, TUV, Bureau Veritas, AENOR ir SGS, vykdo aktyvią 27001 schemą su viešais auditorių sąrašais ir žinomomis kainomis.

27001 yra technologijų požiūriu neutralus. Jis nurodo organizacijai identifikuoti informacijos turtą, įvertinti rizikas, parinkti ir įdiegti kontrolės priemones bei vykdyti valdymo ciklą, palaikantį garantijas laiku. Standartas neįpareigoja konkrečių įrankių ar tiekėjų, todėl gerai dera su sektoriniais priedais, tokiais kaip ISO 27017, ISO 27018, ISO 27701 ir dabar ISO/IEC 42001.

Ką apima ISO/IEC 42001?

ISO/IEC 42001:2023 nustato dirbtinio intelekto valdymo sistemą (DIVS). Jos apimtis yra DI sistemų gyvavimo ciklas organizacijoje, įskaitant etinį naudojimą, skaidrumą, atskaitomybę, sąžiningumą, duomenų kokybę ir žmogaus priežiūrą. Standartas pakartoja Annex SL struktūrą, naudojamą 27001 ir 9001, ir prideda 38 DI specifines A priedo kontrolės priemones, B priedo įgyvendinimo gaires bei C priedo DI organizacinių tikslų ir rizikų katalogą [1].

Sertifikavimo ekosistema dar formuojasi. ISO paskelbė 42001 standartą 2023 metų gruodį, o IAF 2024 metais paskelbė privalomą dokumentą dėl DI valdymo sistemų sertifikavimo [3]. BSI, DNV, TUV Nord, Bureau Veritas ir AENOR paskelbė 42001 schemas, tačiau auditorių grupė nedidelė, o pasaulinė pajėgumo riba 2026 metais yra reali.

42001 apima tai, ko 27001 sąmoningai nenagrinėja: modelio gyvavimo ciklo valdymą, mokymo duomenų kokybę, algoritminį šališkumą, DI specifinį skaidrumą ir žmogaus priežiūros projektavimą. Standartas aiškiai nurodo DI rizikas, neturinčias atitikmens saugumo standartuose, įskaitant atsirandantį elgesį, duomenų pasiskirstymo poslinkį ir socialinį automatizuotų sprendimų poveikį.

Palyginimas šalia vienas kito

Toliau pateikta lentelė apibendrina praktinius skirtumus, su kuriais susiduria pirkėjai planuodami programą.

Aspektas ISO/IEC 27001:2022 ISO/IEC 42001:2023
ApimtisInformacijos turtas (KVT triada)DI sistemų gyvavimo ciklas ir valdymas
A priedo kontrolės priemonės93 keturiose temose38 DI specifinės
Audito ciklas1 etapas + 2 etapas, kasmetinė priežiūra, recertifikavimas trečiaisiais metaisTas pats Annex SL ciklas; galimas integruotas auditas
Pagrindinis dėmesysKonfidencialumas, vientisumas, prieinamumasPatikimumas, sąžiningumas, atskaitomybė
BrandaBrandus, nuo 2005 m.Naujas, 2023 m. gruodis
SuderinamumasAnnex SL suderinta struktūraAnnex SL suderinta struktūra (sukurta integruoti)

Kur abu standartai sutampa?

Abu standartai naudoja Annex SL suderintą struktūrą, todėl 4-10 punktai (organizacijos kontekstas, vadovavimas, planavimas, palaikymas, veikimas, rezultatų vertinimas, gerinimas) skaitomi beveik vienodai. Organizacija gali vesti vieną integruotą valdymo sistemą, apimančią abu standartus, su vienu rizikų registru, viena vidaus audito programa, vienu vadovybės peržiūros procesu ir viena neatitikčių tvarka.

Konkrečios kontrolės priemonės dengiasi labai aiškiai. ISO 27001 priemonė A.5.34 (privatumas ir asmens duomenų apsauga) tiesiogiai maitina 42001 duomenų valdymo reikalavimus. 27001 turto valdymo priemonės palaiko modelių ir duomenų rinkinių inventorizaciją pagal 42001. Tiekėjų santykių priemonės dengia subprocesorius abiejuose režimuose. Incidentų valdymas, veiklos tęstinumas ir prieigos kontrolė perkeliami su minimaliu įrodymų dubliavimu.

Praktinė išvada: organizacija, jau turinti tvarkingą 27001 ISVS, atliko maždaug 40-60 procentų dokumentinio darbo, reikalingo 42001, priklausomai nuo to, kaip brandus buvo jos DI valdymas prieš sertifikavimo apimties nustatymą.

Kur jie skiriasi?

ISO 27001 nenagrinėja algoritminio šališkumo, modelio gyvavimo ciklo, mokymo duomenų kokybės ar DI specifinio skaidrumo. Jo kontrolės priemonės nieko nesako apie tai, ar modelis vienodai elgiasi su saugomomis grupėmis, ar mokymo duomenys yra reprezentatyvūs, ar modelio rezultatas pasislinko, ar galutiniai vartotojai informuoti, kad bendrauja su DI sistema. Būtent šias spragas užpildo 42001.

Atvirkščiai, ISO 42001 giliai nenagrinėja tinklų saugumo, kriptografijos, fizinės prieigos kontrolės ar pažeidžiamumų valdymo. Jis daro prielaidą, kad žemesnio lygmens informacinę infrastruktūrą valdo atskira ISVS arba lygiavertė sistema. Naudoti 42001 atskirai, be 27001 ar panašios saugumo užtikrinimo sistemos, techniškai leidžiama, bet sukuria silpną bendrą padėtį ir paprastai nepraeina įmonių pirkimo patikros.

Todėl dauguma analitikų ir sertifikavimo įstaigų rekomenduoja šiuos du standartus kaip papildančius vienas kitą, o ne kaip alternatyvas.

Kurį sertifikuoti pirmiau?

Atsakymas priklauso nuo DI sistemų brandos. Naujai pradedanti DI organizacija arba bet kuri organizacija be esamos ISVS pirmiausia turėtų sertifikuoti ISO 27001. Tai pamatas, auditorių grupė didelė, o maždaug pusė valdymo sistemos dokumentų bus pakartotinai panaudoti 42001. Bandymas vykdyti 42001 ant nestabilaus saugumo pagrindo sukuria perdarymą, kai vėliau pridedamas 27001.

Organizacija, jau turinti 27001 sertifikatą ir dabar diegianti DI, gali eiti tiesiai į 42001. Annex SL struktūra reiškia, kad esami ISVS 4-10 punktai perkeliami su nedideliais apimties pakeitimais, o darbas koncentruojasi ties 38 DI specifinėmis A priedo priemonėmis, duomenų valdymo, modelio gyvavimo ciklo ir žmogaus priežiūros sritimis.

Reguliuojama organizacija, dirbanti pagal sektorinius pagrindus (DORA finansų sektoriuje, NIS2 ypatingos svarbos infrastruktūroje, MDR medicinos prietaisuose), turėtų eiliškumą rinkti pagal artimiausią reguliacinį terminą, paprastai 27001 kaip prielaidą, o 42001 kaip DI sluoksnį.

Kaip ISO 42001 susijęs su ES DI aktu?

ISO 42001 A priedo priemonės susijungia su keliais pagrindiniais ES DI akto straipsniais aukšto rizikos sistemoms: 9 straipsniu (rizikos valdymas), 10 straipsniu (duomenys ir duomenų valdymas), 11 straipsniu (techninė dokumentacija), 12 straipsniu (įrašų vedimas), 13 straipsniu (skaidrumas ir informavimas), 14 straipsniu (žmogaus priežiūra), 15 straipsniu (tikslumas, atsparumas ir kibernetinis saugumas) ir 17 straipsniu (kokybės valdymo sistema) [4].

Susiejimas yra naudingas įrodymas, bet ne automatinis atitikimas. Aktas skiria suderintus standartus (suteikiančius atitikties prielaidą, kai jie cituojami Oficialiajame leidinyje) nuo nesuderintų standartų, tokių kaip 42001 šiandien. ISO 42001 sertifikatas yra stiprus įrodymų rinkinys atitikties vertinimo procedūroje pagal Aktą, tačiau pačios procedūros nepakeičia.

Europos Komisijos DI biuras ir CEN-CENELEC JTC 21 rengia suderintus standartus, kurie galiausiai nurodys 42001. Iki tol traktuokite sertifikatą kaip patikimumo daugiklį pirkimuose ir audituose, o ne kaip reguliacinį trumpinį.

Kaip ISO 42001 susijęs su NIST AI RMF?

ISO 42001 ir NIST dirbtinio intelekto rizikos valdymo sistema (AI RMF 1.0 ir 2024 metais paskelbtas Generatyvinio DI profilis NIST.AI.600-1) yra giliai suderinti, ypač tarp 42001 A priedo ir NIST GOVERN funkcijos [5]. Organizacijos, įdiegusios NIST GOVERN, MAP, MEASURE ir MANAGE funkcijas, ras dokumentinį žingsnį iki 42001 valdomą.

Šie du dokumentai yra papildantys, o ne dubliuojantys. NIST AI RMF yra savanoriškas ir geriausiai naudojamas kaip vidinė valdymo priemonė. ISO 42001 yra sertifikuojama valdymo sistema. Įprastas 2026 metų modelis: NIST AI RMF kaip vidinis veikimo modelis ir 42001 kaip išorinis užtikrinimo apvalkalas.

Kaina ir trukmė

ISO 27001 atveju įprastas vidutinio dydžio organizacijos sertifikavimas trunka nuo 9 iki 15 mėnesių nuo 0 etapo pasirengimo iki sertifikato išdavimo. Orientacinė konsultavimo kaina yra 15-50 tūkstančių eurų, auditorių mokesčiai pirmajam ciklui - 8-25 tūkstančiai eurų, priklausomai nuo apimties, darbuotojų skaičiaus ir fizinių vietų skaičiaus.

ISO 42001 atveju organizacija, jau turinti 27001 sertifikatą, paprastai gali pasiekti 42001 sertifikatą per 6-12 mėnesių, konsultavimo kaina yra 20-60 tūkstančių eurų. Platus diapazonas atspindi kvalifikuotų konsultantų trūkumą 2026 metais ir poreikį subrandinti DI valdymo praktikas, kurių anksčiau galėjo nebūti.

Vykdyti abu sertifikavimus integruotoje programoje (o ne nuosekliai) yra ekonomiškiau pradedant nuo nulio, bet reikia kompetentingo integruoto vadovo ir vienos dokumentų architektūros. Daugelis organizacijų nuoseklų kelią laiko lengviau valdomu ir tik šiek tiek brangesniu.

Pavyzdinis taikytinumo pareiškimo susiejimas

Toliau pateiktas iliustracinis ištraukimas, kaip organizacija, turinti tvarkingą ISO 27001 ISVS, susieja esamas kontrolės priemones su naujais 42001 reikalavimais nedubliuodama įrodymų.

  • 27001 A.5.9 (informacijos ir kito susijusio turto inventorizacija) dengia 42001 modelių ir duomenų rinkinių inventorių. Vienas turto registras; pridėkite laukus apie modelio tipą, mokymo duomenų kilmę ir numatytą paskirtį.
  • 27001 A.5.34 (privatumas ir asmens duomenų apsauga) dengia 42001 duomenų valdymą. Pakartotinai naudokite asmens duomenų priemonę su DI specifiniu papildymu apie reprezentatyvumą ir sutikimą mokymui.
  • 27001 A.5.19-A.5.23 (tiekėjų santykiai) dengia 42001 subprocesorių ir pamatinio modelio tiekėjo nuostatas. Pakartotinai naudokite sutartis su DI specifiniu priedu apie mokymo duomenis, derinimo teises ir pranešimus apie incidentus.
  • 27001 A.8.16 (stebėsenos veikla) dengia dalį 42001 stebėsenos po įdiegimo, bet papildykite modelio veikimo metrikomis, dreifo aptikimu ir sąžiningumo rodikliais.
  • 27001 A.5.25-A.5.27 (incidentų valdymas) dengia 42001 DI incidentų pranešimą. Pakartotinai naudokite procesą; pridėkite kategorijas žalingam išėjimui, šališkumo incidentui ir paaiškinamumo skundui.

Likusios 42001 priemonės be 27001 atitikmenų (DI sistemų poveikio vertinimas, žmogaus priežiūros projektavimas, skaidrumo prievolės, DI specifiniai ištekliai ir kompetencija) reikalauja naujos dokumentacijos, bet paprastai pakartotinai naudoja esamus valdymo sistemos procesus.

Dažniausiai užduodami klausimai

Ar vienas auditorius gali sertifikuoti ir ISO 27001, ir ISO 42001?
Taip, praktiškai. Daugelis didelių sertifikavimo įstaigų (BSI, DNV, TUV, Bureau Veritas, AENOR) moko auditorius pagal abi schemas ir siūlo integruotus auditus, kai valdymo sistemos punktai tikrinami kartą, o A priedo priemonės - atskirai kiekvienam standartui. Tai paprastai sutaupo 20-30 procentų audito dienų, lyginant su dviem nesusijusiais sertifikavimais. 2024 metais paskelbtas IAF privalomas dokumentas dėl DI valdymo sistemų sertifikavimo įformina 42001 auditorių kompetencijos reikalavimus.
Kurios sertifikavimo įstaigos siūlo ISO 42001 2026 metais?
BSI, DNV, TUV Nord, TUV Rheinland, TUV SUD, Bureau Veritas, AENOR, SGS ir keletas regioninių įstaigų yra paskelbę ISO 42001 schemas. Auditorių grupė vis dar maža, palyginti su 27001, o pasaulinis pajėgumas 2026 metais yra ribotas. Planuokite 2 etapo auditą anksti programoje, nes datos gali nuslysti keliais mėnesiais.
Ar ISO 42001 automatiškai suteikia atitiktį ES DI aktui?
Ne. ISO 42001 šiuo metu yra nesuderintas standartas, todėl sertifikavimas nesukuria atitikties prielaidos pagal DI akto 40 straipsnį. Tačiau tai stipriausias prieinamas įrodymų rinkinys atitikties vertinimo procedūrai aukšto rizikos sistemoms pagal VI priedą (vidaus kontrolė) arba VII priedą (trečiosios šalies). CEN-CENELEC JTC 21 rengia suderintus standartus, kurie ateityje gali nurodyti 42001.
Jei biudžetas leidžia tik vieną sertifikavimą, kurį pasirinkti?
Rinkitės ISO 27001, nebent jūsų verslas iš esmės yra DI tiekėjas, kurio klientai pirkimuose aiškiai reikalauja 42001. 27001 yra platesnis garantijos pagrindas ir atveria daug daugiau pardavimo pokalbių. DI diegėjai, kurių rizikos profilį dominuoja duomenų ir infrastruktūros klausimai, daugiau pirkimo svertų gauna iš 27001. Grynos DI produktų bendrovės, kurių klientai jautrūs DI specifiniam valdymui (reguliuojami finansai, sveikatos apsauga, viešasis sektorius), turėtų teikti pirmenybę 42001.
Kaip tai veikia subprocesorių prievoles?
Abu standartai reikalauja oficialių tiekėjų santykių kontrolės priemonių. Pagal 27001 dėmesys skiriamas informacijos saugumo nuostatoms sutartyse ir tiekėjo rizikos vertinimui. Pagal 42001 dėmesys plečiasi į DI specifinius subprocesorius, įskaitant pamatinių modelių tiekėjus, mokymo duomenų brokerius ir derinimo tiekėjus, su aiškiomis sutartinėmis nuostatomis dėl mokymo duomenų kilmės, saugojimo, modelio atnaujinimo pranešimų ir DI incidentų pranešimo. Tikėkitės iš naujo derinti DI tiekėjų sutartis 42001 diegimo metu.
Kiek kainuoja kasmetinė priežiūra kiekvienam standartui?
Kasmetiniai priežiūros auditai paprastai kainuoja 30-50 procentų pradinio 1 etapo ir 2 etapo mokesčio. Vidutinio dydžio organizacijai tai apie 4-12 tūkstančių eurų vienam standartui per metus, o recertifikavimas trečiaisiais metais artėja prie pradinio 2 etapo kainos. Integruoti auditai abiems standartams sumažina bendrą priežiūros mokestį 15-25 procentais.
Ar verta siekti ISO 42001 prieš paskelbiant suderintus standartus?
Taip, daugumai reguliuojamų DI diegėjų. Sertifikatas jau yra patikimas įmonių pirkimuose, tai labiausiai pagrindžiamas įrodymų rinkinys DI akto atitikties vertinimui pagal VI priedą, o dokumentinis darbas paruošia organizaciją suderintiems standartams, kai jie atsiras. Laukimas neša riziką, kad auditorių pajėgumai dar labiau susitrauks, kai atsiras suderintos nuorodos.
Ar 42001 pakeičia privatumo ar saugumo standartus?
Ne. ISO 42001 sėdi ant ISO 27001, ISO 27701 (privatumas) ir sektorinių sistemų, o ne jas pakeičia. Jis daro prielaidą, kad žemiau veikia ISVS. Organizacijos, bandančios naudoti 42001 vietoj saugumo ir privatumo užtikrinimo, sukuria silpnus įrodymus ir paprastai nepraeina įmonių patikros.
Impetora

Pasiruošę aptarti savo projektą? Pateikite trumpą santrauką - atsakysime per vieną darbo dieną.

Cituoti šaltiniai

Šaltiniai (8) - rodyti
  1. ISO/IEC 42001:2023 Informacinės technologijos. Dirbtinis intelektas. Valdymo sistema. Tarptautinė standartizacijos organizacija, 2023-12. https://www.iso.org/standard/81230.html
  2. ISO/IEC 27001:2022 Informacijos saugumo valdymo sistemos. Reikalavimai. Tarptautinė standartizacijos organizacija, 2022-10. https://www.iso.org/standard/27001
  3. IAF MD 22:2023 ISO/IEC 17021-1 taikymas DI valdymo sistemoms sertifikuoti. Tarptautinis akreditavimo forumas, 2024-04. https://iaf.nu/iaf_system/uploads/documents/IAF_MD_22_AIMS.pdf
  4. Reglamentas (ES) 2024/1689 (Dirbtinio intelekto aktas). Europos Sąjunga, Oficialusis leidinys, 2024-07-12. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
  5. Dirbtinio intelekto rizikos valdymo sistema. Generatyvinio DI profilis (NIST.AI.600-1). Nacionalinis standartų ir technologijų institutas (NIST), 2024-07. https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.600-1.pdf
  6. BSI pristato ISO/IEC 42001 DI valdymo sistemos sertifikavimą. BSI Group, 2024-02. https://www.bsigroup.com/en-GB/iso-42001-ai-management-system/
  7. DNV skelbia ISO/IEC 42001 sertifikavimo paslaugas. DNV, 2024-05. https://www.dnv.com/services/iso-iec-42001-ai-management-system-certification/
  8. DI rizikos valdymo sistema (AI RMF 1.0). Nacionalinis standartų ir technologijų institutas (NIST), 2023-01. https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.100-1.pdf
Apie Impetora
Impetora projektuoja, kuria ir diegia pritaikytas dirbtinio intelekto sistemas įmonėms reguliuojamuose sektoriuose. Veikiame iš Vilniaus ir o, dirbame penkiomis kalbomis.
Pažintinis pokalbis

Užsisakykite pažintinį pokalbį

Papasakokite, ką norėtumėte sukurti. Atsakome per vieną darbo dieną.

30 minučių pokalbis. Nemokamai. Be įsipareigojimų.