ISO 42001 ir ES DI aktas: suderinamumo žemėlapis
ISO/IEC 42001:2023 yra pirmasis tarptautinis dirbtinio intelekto valdymo sistemos standartas, paskelbtas 2023 m. gruodį. Įmonėms, kurios privalo atitikti ES DI akto aukšto rizikos sistemų reikalavimus, ISO 42001 yra natūraliausias karkasas, nes jis perkelia akto prievoles į audituojamą vidinį procesą su nuolatinio gerinimo ciklu. Šis puslapis paaiškina, kaip ISO 42001 punktai susiejami su ES DI akto straipsniais ir kuri sutartis ar dokumentas gimsta kiekviename žingsnyje.
Kas yra ISO/IEC 42001:2023
ISO/IEC 42001:2023 yra valdymo sistemos standartas (panašus į ISO 27001 informacijos saugumui) skirtas dirbtinio intelekto sistemoms. Standartas reikalauja organizacijos politikos, tikslų, vaidmenų ir atsakomybių, rizikos valdymo proceso, periodinės peržiūros ir nuolatinio gerinimo. Sertifikavimas atliekamas akredituotos sertifikavimo įstaigos, du audito etapai (pirmas - dokumentacijos, antras - praktikos), atstatymo auditas kasmet, pakartotinis sertifikavimas kas trejus metus.
ISO 42001 punktai prieš ES DI akto straipsnius
ISO 42001 5 punktas (vadovavimas) - ES DI akto 17 straipsnis (kokybės valdymo sistema) ir 26 straipsnis (diegėjų prievolės). 6 punktas (planavimas, įskaitant rizikos vertinimą) - 9 straipsnis (rizikos valdymo sistema). 7 punktas (palaikymas, dokumentacija) - 11 ir 12 straipsniai (techninė dokumentacija ir įrašų laikymas). 8 punktas (eksploatacija) - 13 straipsnis (skaidrumas) ir 14 straipsnis (žmogaus priežiūra). 9 punktas (veiklos vertinimas) - 15 straipsnis (tikslumas ir kibernetinis saugumas) ir 72 straipsnis (po pateikimo rinkai stebėjimas). 10 punktas (gerinimas) - 73 straipsnis (rimtų incidentų pranešimas).
Bendras kontrolių rinkinys
ISO 42001 A priedas pateikia 38 kontrolės tikslus, sugrupuotus pagal sritis: A.2 (DI politikos), A.3 (vidinė organizacija), A.4 (DI sistemos ištekliai), A.5 (poveikio vertinimas), A.6 (DI sistemos gyvenimo ciklas), A.7 (DI sistemos veikimo duomenys), A.8 (informacija suinteresuotoms šalims), A.9 (DI sistemos naudojimas), A.10 (trečiosios šalies santykiai). Daugiau nei 75 % šių kontrolių tiesiogiai dengia ES DI akto reikalavimus, likusios papildo akto silpnesnes vietas (pvz., tiekimo grandinės skaidrumas).
Kodėl ISO 42001 yra praktiškiausias kelias
ES DI aktas reikalauja kokybės valdymo sistemos pagal 17 straipsnį, bet aktas neapibrėžia, kaip ji atrodo. ISO 42001 sertifikavimas yra rinkos pripažintas įrodymas, kad sistema yra. Be to, ISO 42001 valdo atvejus, kuriuos aktas tik trumpai paliečia: tiekėjų valdymas, vidinė kvalifikacija, atskaitomybės grandinė. Akredituota sertifikavimo įstaiga taip pat suteikia trečiojo šalies pasitikėjimo lygį, kurio reikalauja didieji klientai ir Lietuvos bankas.
Pakeliui esantys atitikties dokumentai
ISO 42001 įgyvendinimas natūraliai sukuria visą ES DI akto IV priedo techninės dokumentacijos rinkinį: DI sistemos aprašymą, projektavimo dokumentaciją, mokymo metodologiją, vertinimo rezultatus, rizikos valdymo sistemą, žmogaus priežiūros priemones, kibernetinio saugumo įvertinimą. Tas pats dokumentų rinkinys naudojamas atitikties vertinime, ES atitikties deklaracijoje ir CE žymėjime. Vienas darbas, du atitikties tikslai.
Praktinis Impetora požiūris
Kiekvieną aukšto rizikos projektą struktūrizuojame pagal ISO 42001 nuo pirmos dienos. Pažinties etape paruošiame valdysenos memorandumą su politika, vaidmenimis ir rizikos vertinimo karkasu. Diegimo etape įrašome kontrolinių priemonių dokumentaciją kartu su kodu. Eksploatavimo etape pristatome ketvirtines peržiūras, kurios kartu yra ISO 42001 9 punkto (veiklos vertinimas) ir ES DI akto 72 straipsnio (po pateikimo rinkai stebėjimas) atskaitomybės. Klientai, pasiruošę formalų sertifikavimą, gauna paruoštą dokumentų paketą, su kuriuo akredituota sertifikavimo įstaiga gali pradėti audito pirmą etapą.
Lietuviška versija nuolat plečiama. Konkrečiam projektui kvietime pažintiniam pokalbiui arba rašykite info@ainora.lt.