Jak nawigować zarządzaniem i bezpieczeństwem związanym ze sztuczną inteligencją

Niniejsza publikacja przedstawia sposób w jaki organizacja może opracowywać, zarządzać i stale spełniać zarówno wewnętrzne, jak i zewnętrzne wymagania, aby przyspieszyć pomyślne wdrażanie sztucznej inteligencji w procesach, produktach i usługach.

Sztuczna inteligencja (AI) zmienia świat, tworzy nowe możliwości i wyzwania dla firm oraz dla całego społeczeństwa. Wraz z pojawieniem się generatywnej sztucznej inteligencji (ChatGPT i Copilot), szybko rozpoczęło się eksperymentowanie z jej użyciem i jej pierwsze wykorzystanie w organizacjach. Udane wdrożenia AI pokazują, że może ona napędzać wydajność i innowacyjność zwiększając jakość i zadowolenie klientów. Jednak każda nowa technologia niesie ze sobą ryzyko. Ze sztuczna inteligencją wiąże się wiele potencjalnych wyzwań i niepewności, którymi należy zarządzać i ograniczać je w celu bezpiecznego, niezawodnego i etycznego rozwoju, zastosowania i użytkowania.  

W tym przypadku rola systemu zarządzania sztuczną inteligencją (AIMS) opartego na normie ISO/IEC 42001 staje się kluczowa dla organizacji w zarządzaniu ich doświadczeniami ze sztuczną inteligencją. Ustrukturyzowane podejście zmusza do „myślenia przed działaniem” oraz ciągłej oceny wydajności i osiąganych wyników. Ta kluczowa norma dotycząca zarządzania sztuczną inteligencją, podejścia do zarządzania ryzykiem i certyfikacji zewnętrznej jest już uznawana za podstawowy filar kierowania rozwojem i dostarczania zaufanych rozwiązań AI.  

Konieczność bezpiecznego i odpowiedzialnego korzystania ze sztucznej inteligencji 

Potrzeba niezawodnej sztucznej inteligencji wynika z rosnącej liczby jej zastosowań, rosnącej świadomości i oczekiwań interesariuszy oraz zmieniającego się krajobrazu etycznego i prawnego. W związku z tym korzyści płynące ze sztucznej inteligencji nie mogą zostać w pełni wykorzystane przez organizacje, jeśli nie zostanie zniwelowana bariera w zaufaniu między twórcami i użytkownikami sztucznej inteligencji. Bariera w zaufaniu odnosi się do potencjalnego braku zaufania i przejrzystości w produktach i/lub usługach organizacji opartych na sztucznej inteligencji. Tam, gdzie dla użytkowników nie jest jasne, w jaki sposób systemy sztucznej inteligencji podejmują decyzje, prowadzi to na przykład do niepewności i sceptycyzmu co do bezpieczeństwa, względów etycznych, ochrony prywatności danych i ogólnej wiarygodności. Mówiąc prościej, nasze zaufanie do technologii opiera się na naszej zdolności do pełnego zrozumienia jej zastosowań i uzyskania pewności, że jest ona bezpieczna i niezawodna. 

Pokonanie tej bariery w zaufaniu jest niezbędne do komercjalizacji i skalowania produktów i usług AI. Wymaga to zapewnienia bezpiecznego, odpowiedzialnego, niezawodnego i etycznego wdrożenia sztucznej inteligencji. Co więcej, zaufanie to musi być zapewnione zarówno wewnętrznym interesariuszom, takim jak pracownicy i kierownictwo wyższego szczebla, jak i zewnętrznym interesariuszom, takim jak klienci i akcjonariusze. 

Osiągnięcie i wykazanie wiarygodności rozwiązań wymaga systematycznego podejścia obejmującego cały cykl życia sztucznej inteligencji, od analizy interesariuszy, przez zapewnienie odpowiednich zabezpieczeń (takich jak wytyczne etyczne), priorytetyzację potencjalnych zastosowań i identyfikację ryzyka, aż po wdrożenie odpowiednich mechanizmów kontroli. Gdy dokładnie przeanalizujemy barierę w zaufaniu, możemy zidentyfikować wyraźne potrzeby i oczekiwania. Na przykład do obowiązków organizacji powinna należeć: 

  • Identyfikacja i priorytetyzacja obszarów i zastosowań, w których sztuczna inteligencja może przynieść wartość dodaną i zapewnić efekty, a także zrozumienie związanych z nią korzyści i zagrożeń. 
  • Ustanowienie i utrzymanie kultury zaufania, transparentności i odpowiedzialności w organizacjach.  
  • Ocena i pomiar wydajności i jakości systemów sztucznej inteligencji oraz zapewnienie zgodności z zasadami wiarygodności, istniejącymi lub przyszłymi przepisami i wymaganiami klientów.
  • Podział ról i obowiązków w organizacjach, co jest szczególnie istotne w dziedzinie technologii, która stale rozwija się i ewoluuje.  
  • Przyjęcie i wdrożenie procesów opartych na standardach najlepszych praktyk (np. ISO/IEC 42001) w zakresie rozwoju, wdrażania i zarządzania sztuczną inteligencją.
  • Informowanie interesariuszy o wiarygodności systemów sztucznej inteligencji, przedstawianie odpowiednich danych oraz zapewnienie zgodności z najlepszymi praktykami, przepisami i regulacjami.  

Choć nie jest to kompletna lista, stanowi ona zarys podstawowych potrzeb i oczekiwań związanych z wdrażaniem AI. Norma ISO/IEC 42001 dotycząca systemu zarządzania sztuczną inteligencją została opracowana w celu zapewnienia wskazówek i struktury umożliwiającej skuteczną nawigację. 

Rola standaryzacji w zarządzaniu sztuczną inteligencją 

Każda nowa technologia wiąże się z ryzykiem. Nieustannie zmieniające się oblicze sztucznej inteligencji w połączeniu z ogromnym potencjałem jej zastosowania w różnych branżach jeszcze bardziej podsyca tempo zmian. Na przykład niemożliwym jest przewidzieć wszystkie efekty końcowe na etapie twórczym.  

To właśnie w tym kontekście normy systemów zarządzania, takie jak ISO/IEC 42001, stają się szczególnie ważne. Zawsze, gdy istnieje potrzeba zaufania publicznego, standaryzacja i certyfikacja odgrywają kluczową rolę. Oprócz względów prawnych, regulacyjnych i etycznych, standaryzacja zapewnia narzędzia umożliwiające skalowalnie, poczucie bezpieczeństwa i prowadzenie organizacji po nieznanym terytorium, jakim obecnie jest sztuczna inteligencja. 

Standardy ustanawiają podstawową terminologię, promują normy branżowe i rejestrują najlepsze praktyki w zakresie oceny i doskonalenia. Zapewniając transparentność i poczucie odpowiedzialności, standardy ukierunkowane na zarządzanie sztuczną inteligencją w znacznym stopniu przyczynią się do społecznej akceptacji. Oferują one podstawę dla zgodności z przepisami i wdrożenia w branży oraz przyspieszają możliwość wykorzystania globalnego potencjału sztucznej inteligencji w bezpieczny, odpowiedzialny i etyczny sposób oraz zapewniają niezbędną transparentność, zaufanie i bezpieczeństwo wśród użytkowników i innych zainteresowanych stron. 

Rola systemów zarządzania sztuczną inteligencją 

Standardy i certyfikacja systemów zarządzania mogą stanowić solidną podstawę dla organizacji do budowania zarządzania wokół sztucznej inteligencji (patrz rysunek 1). Międzynarodowa norma dotycząca systemów zarządzania sztuczną inteligencją ISO/IEC 42001 zawiera wytyczne i wymagania dla organizacji, które opracowują, wdrażają lub wykorzystują systemy sztucznej inteligencji.  

Ta długo wyczekiwana norma została opublikowana pod koniec 2023 r. i ma zastosowanie w różnych branżach i przez organizacje dowolnego typu i wielkości zaangażowane w opracowywanie, dostarczanie lub korzystanie z produktów i/lub usług wykorzystujących systemy sztucznej inteligencji. Będąc normą ISO, jest ona kompatybilna i uzupełnia inne klasyczne normy ISO dotyczące systemów zarządzania, takie jak ISO 9001 (jakość) i ISO/IEC 27001 (bezpieczeństwo informacji). Norma ISO/IEC 42001 zapewnia równowagę między wspieraniem innowacji w zakresie sztucznej inteligencji a wdrażaniem skutecznego zarządzania.  

Oznacza to, że można czerpać z i budować na dowolnym istniejącym systemie zarządzania i ogólnym zarządzaniu procesami. Zapewnia to kompleksowe podejście do zarządzania sposobem, w jaki sztuczna inteligencja staje się integralną częścią produktów, usług, a nawet aplikacji wewnętrznych.  

Poniższy schemat przedstawia ISO/IEC 42001 jako narzędzie zarządzania procesami w „piramidzie zabezpieczeń”. U podstaw piramidy znajduje się podstawowa infrastruktura organizacyjna. Wszystko, co musi być wdrożone, aby organizacja mogła funkcjonować. W celu zarządzania i doskonalenia, wiele organizacji decyduje się na wdrożenie systemów zarządzania zgodnych z normami jakości (ISO 9001), bezpieczeństwa informacji (ISO/IEC 27001) lub innymi normami dotyczącymi systemów zarządzania. Certyfikacja jest następnie narzędziem do wykazania zgodności przed różnymi interesariuszami.  

Piramida zabezpieczeń. Systemy zarządzania odgrywają fundamentalną rolę w zarządzaniu ryzykiem i zapewnianiu bezpiecznych, niezawodnych i etycznych systemów AI.
Piramida zabezpieczeń. Systemy zarządzania odgrywają fundamentalną rolę w zarządzaniu ryzykiem i zapewnianiu bezpiecznych, niezawodnych i etycznych systemów AI.

Ponieważ norma ISO/IEC 42001 ma podobną strukturę do innych norm ISO dotyczących systemów zarządzania, ułatwia ona uzupełnienie istniejącego systemu zarządzania o wymagania systemu zarządzania AI. W ten sposób zarządzanie procesami stanowi podstawę do projektowania, budowania i korzystania z godnych zaufania systemów sztucznej inteligencji.  

Główne cele normy ISO/IEC 42001 to: 

  • Zapewnienie ram i metodologii w celu ustanowienia, wdrożenia, utrzymania i doskonalenia systemu zarządzania sztuczną inteligencją, obejmującego cały cykl życia sztucznej inteligencji. 
  • Umożliwienie wykazania i komunikowania wiarygodności systemów i procesów AI w organizacjach.
  • Wspomaganie zgodności regulacyjnej i prawnej, która stanie się coraz bardziej krytyczna wraz z rosnącymi regulacjami krajowymi i międzynarodowymi, takimi jak Europejska Ustawa o Sztucznej Inteligencji (wprowadzona w życie w sierpniu 2024).
  • Ułatwienie interoperacyjności i integracji systemów i procesów AI.
  • Promowanie współpracy i koordynacji między zainteresowanymi stronami.
  • Wspieranie innowacji i doskonalenia systemów i procesów AI.  
  • Zachęcanie do przyjmowania i rozpowszechniania najlepszych praktyk i standardów w zakresie zarządzania sztuczną inteligencją. 

Przewiduje się, że związek między normą ISO/IEC 42001 a przepisami ustawowymi i wykonawczymi dotyczącymi sztucznej inteligencji będzie synergiczny i wzajemnie korzystny. Podczas gdy unijna ustawa o sztucznej inteligencji wyraźnie koncentruje się na produkcie, przyjęcie systemu zarządzania sztuczną inteligencją stanowi podstawę, na której można budować i wdrażać spójne i przewidywalne systemy sztucznej inteligencji, a środki kontrolne określone w normie są zgodne z wymogami przepisów.  

Ostatecznie dobrze wdrożony i zgodny ze wszystkimi odpowiednimi standardami system zarządzania zapewni uczciwość, prywatność i etyczne wykorzystanie danych, a jednocześnie będzie wystarczająco elastyczny, aby zintegrować stale zmieniające się wymagania wynikające z potrzeb klientów, postępu technologicznego, instancji prawnych itp.   

Jak rozpocząć? 

Aby rozpocząć proces wdrażania systemu zarządzania certyfikowanego zgodnie z normą ISO/IEC 42001, można skorzystać z publikacji DNV „8 kroków do certyfikacji systemu zarządzania ISO/IEC 42001” oraz dołączonego do niej narzędzia do samooceny. Proces rozpoczyna się od przeglądu kierownictwa wyższego szczebla w celu zidentyfikowania głównych powodów przyjęcia systemu zarządzania sztuczną inteligencją (AIMS). Następnie organizacje powinny zapoznać się z normą ISO/IEC 42001 i wyznaczyć strategiczny kierunek zgodny ze zidentyfikowanymi celami.  

Kolejne kroki obejmują planowanie i alokację zasobów, zrozumienie i mapowanie kluczowych procesów oraz identyfikację potrzeb szkoleniowych personelu. Przygotowanie, opracowanie i wdrożenie odpowiednich procesów i procedur to typowe kroki, a ważne jest, aby po drodze stosować audyty wewnętrzne i przeglądy systemu zarządzania sprawdzające jego skuteczność. Korzystanie z narzędzia do samooceny DNV pomoże zidentyfikować luki w odniesieniu do wymagań normy i umożliwi ukierunkowane podejście do spełnienia wymagań ISO/IEC 42001. 

Dlaczego warto wybrać DNV? 

Jako jedna z wiodących na świecie jednostek certyfikujących, DNV jest partnerem wybieranym przez 80 000 firm na całym świecie w zakresie certyfikacji systemów zarządzania i potrzeb szkoleniowych. Posiadamy unikalne kompetencje, wiedzę branżową i umiejętności w zakresie AI i innych systemów zarządzania. Wybierając DNV, zyskujesz: 

  • Globalnego partnera w dziedzinie bezpieczeństwa informacji i ochrony prywatności: Mamy bogate doświadczenie w zakresie certyfikacji i szkoleń dotyczących bezpieczeństwa informacji i prywatności, co ma kluczowe znaczenie dla integracji z zarządzaniem sztuczną inteligencją. 
  • Certyfikację opartą na ocenie ryzyka (Risk Based Certification™): Stosujemy proaktywne podejście do certyfikacji oparte na ocenie ryzyka, co oznacza, że możemy pomóc organizacjom zidentyfikować potencjalne zagrożenia w ich systemach sztucznej inteligencji na wczesnym etapie, aby upewnić się, że zostaną one rozwiązane, zanim staną się poważnym problemem.
  • Dostęp do narzędzia Lumina™: Jest to nasze inteligentne narzędzie do analizy porównawczej danych, które zapewnia głębszy wgląd i analizę systemu zarządzania, od najczęstszych awarii i poprawek po pełny przegląd wszystkich witryn firmy i porównania z innymi firmami. 
  • Zarządzanie szkoleniami: Cyfrowe rozwiązania pomagające firmie zarządzać i zapewniać spójny rozwój wiedzy i kompetencji pracowników w całej organizacji.
  • Kompetentnych audytorów, którzy stosują pragmatyczne podejście, wsłuchują się w potrzeby klienta, dbając jednocześnie o ocenę zgodności z normą.
  • Procesy zarządzania relacjami z klientem zorganizowane w taki sposób, aby zapewnić najwyższą jakość obsługi klienta. 

DNV jest ukierunkowane na świadczenie niezawodnych i wnoszących wartość dodaną usług AI assurance. Opierając się na naszej niezależności, kluczowej roli podmiotu zewnętrznego i zasadzie braku kompromisów w zakresie jakości i uczciwości współpracujemy z klientami, aby pomóc im pewnie poruszać się po złożoności sztucznej inteligencji i związanych z nią wyzwań oraz zapewnić niezbędne zarządzanie w celu dostarczenia bezpiecznych, niezawodnych i pewnych systemów sztucznej inteligencji.  

7.10.2024 11:11:00

Szkolenia ISO/IEC 42001

Self-Assessment i Certyfikacja ISO/IEC 42001