Na konci roku 2023 byla vydána zcela nová norma ISO/IEC 42001:2023 Informační technologie – Umělá inteligence – Systém managementu, která specifikuje požadavky a poskytuje doporučení pro vytvoření, implementaci, udržování a neustálé zlepšování systému managementu umělé inteligence (AIMS). Norma je použitelná pro jakoukoli organizaci, která poskytuje nebo používá produkty nebo služby využívající systémy umělé inteligence.
Systém umělé inteligence je “inženýrský systém, který generuje výstupy, jako je obsah, předpovědi, doporučení nebo rozhodnutí pro daný soubor cílů definovaných člověkem”.
Umělá inteligence (AI) má obrovský potenciál podpořit ekonomiku a společnost v celé řadě odvětví a společenského života. Umělá inteligence však sebou přináší nová rizika. Proto s rozvojem systémů umělé inteligence roste potřeba účinné standardizace a regulace, která zajistí její odpovědné využívání.
Systém managementu umělé inteligence (AIMS) vytváří prostředí, které pomáhá organizacím zodpovědně plnit jejich úlohu ve vztahu k systémům AI (např. používat, vyvíjet, monitorovat nebo poskytovat produkty) a nabízí systematický a integrovaný přístup k řízení projektů umělé inteligence, od stanovení cílů, posouzení rizik a dopadů až po účinné řešení těchto rizik.
AIMS je aplikovatelný všemi organizacemi, které vyvíjejí, poskytují nebo používají produkty či služby využívající systém umělé inteligence. Je tedy potenciálně použitelný pro velké množství produktů a služeb v různých odvětvích, které jsou předmětem povinností (např. viz Akt o umělé inteligenci), správné praxe, očekávání nebo smluvních závazků vůči zainteresovaným stranám. Příklady odvětví jsou:
- zdravotnictví a sociální služby,
- obrana a vnitřní bezpečnost,
- doprava,
- finance a pojišťovnictví,
- zaměstnanost,
- energetika.
Akt o umělé inteligenci
AKT O UMĚLÉ INTELIGENCI (NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY, KTERÝM SE STANOVÍ HARMONIZOVANÁ PRAVIDLA PRO UMĚLOU INTELIGENCI A MĚNÍ URČITÉ LEGISLATIVNÍ AKTY UNIE) stanovuje (a) harmonizovaná pravidla pro uvádění systémů UI na trh a do provozu a pro jejich používání v Unii; (b) zákaz určitých postupů v oblasti umělé inteligence; (c) zvláštní požadavky na vysoce rizikové systémy UI a povinnosti provozovatelů těchto systémů; (d) harmonizovaná pravidla transparentnosti pro systémy UI určené k interakci s fyzickými osobami, pro systémy rozpoznávání emocí a pro systémy biometrické kategorizace, jakož i pro systémy UI používané k vytváření obrazového, zvukového nebo video obsahu nebo k manipulaci s ním; (e) pravidla monitorování trhu a dozoru nad ním.
Vysoce rizikovými systémy UI se rozumí systémy z těchto oblastí:
- Biometrická identifikace a kategorizace fyzických osob
- Řízení a provozování kritické infrastruktury
- Vzdělávání a odborná příprava
- Zaměstnávání, řízení pracovníků a přístup k samostatné výdělečné činnosti
- Přístup k základním soukromým a veřejným službám a dávkám
- Prosazování práva
- Migrace, azyl a správa hraničních kontrol
- Správa soudnictví a demokratické procesy
Akt o umělé inteligenci mimo jiné vyžaduje, aby vysoce rizikové systémy UI byly v souladu s nařízením, byl zaveden systém řízení rizik, byla používána kvalitní tréninková, ověřovací i testovací data nebo byla vedena technická dokumentace a příslušné záznamy.
Poskytovatelé vysoce rizikových systémů UI musí mít mj. zaveden systém managementu kvality, který splňuje příslušné požadavky nařízení.
Struktura normy
Norma ISO/IEC 42001 používá harmonizovanou strukturu (stejná čísla článků, názvy článků, texty a společné termíny a základní definice), která byla vyvinuta za účelem zvýšení souladu mezi normami systému managementu (MSS). Tento společný přístup usnadňuje implementaci a soulad s dalšími normami systému managementu.
- Kapitola 4: Kontext organizace
- Kapitola 5: Vedení a závazek
- Kapitola 6: Plánování
- Kapitola 7: Podpora
- Kapitola 8: Provoz
- Kapitola 9: Hodnocení výkonnosti
- Kapitola 10: Zlepšování
Norma obsahuje 4 přílohy, 2 jsou normativní a 2 informativní.
- Příloha A (normativní): Referenční cíle opatření a opatření, které mají organizace použít pro řízení rizik a dosažení cílů v oblasti AI.
- Příloha B (normativní): Pokyny k implementaci opatření z přílohy A, aby byla naplněnny cíle opatření.
- Příloha C (informativní): Potenciální organizační cíle a zdroje rizik související s umělou inteligencí, které mají být zohledněny v procesu řízení rizik.
- Příloha D (informativní): Používání systému managementu AI napříč oblastmi nebo odvětvími
Integrace systému managementu AI s ostatními standardy systému managementu
Při poskytování nebo používání systémů AI může mít organizace cíle nebo povinnosti související s aspekty, které jsou předmětem jiných norem pro systémy managementu, zejména pokud jde o informační a kybernetickou bezpečnost, ochranu soukromí, kvalitu. Tato témata jsou pokryta v normách:
- ISO/IEC 27001 – požadavky na systémy managementu informační bezpečnosti (ISMS)
- ISO/IEC 27701 – požadavky a pokyny k rozšíření norem ISO/IEC 27001 a ISO/IEC 27002 pro správu informací o soukromí
- ISO 9001 – požadavky na systémy managementu kvality
Norma ISO/IEC 42001 používá harmonizovanou strukturu (stejná čísla článků, názvy článků, texty a společné termíny a základní definice), která byla vyvinuta za účelem zvýšení souladu mezi normami systému managementu (MSS). Tento společný přístup usnadňuje implementaci a soulad s dalšími normami systému managementu.