人工智慧管理系統介紹
文件下載:https://claire-chang.com/wp-content/uploads/2025/10/SCAN-ISO-420012023_-Web.pdf
合規檢核清單:https://claire-chang.com/wp-content/uploads/2025/10/ISO-42001-checklist.pdf
隨著人工智慧 (Artificial Intelligence, AI) 技術日益普及,並逐漸成為各行各業的核心經濟驅動力,組織如何負責任地應用這項強大技術,已成為一項關鍵的策略議題。
- AI的獨特性質:AI的某些特性,如自動決策的非透明性、持續學習和行為變化等,需要超越傳統資訊技術系統的特定管理方法。
- 社會與經濟影響:AI技術正日益成為主要經濟驅動因素之一,但其應用也可能引發社會挑戰。本標準旨在幫助組織負責任地履行其角色。
- 平衡治理與創新:組織需要在一系列治理機制和創新之間取得平衡。AIMS提供了一種風險導向的方法來實現此目標,確保在特定AI應用案例和利害關係人期望之間找到適當的平衡點。
ISO/IEC 42001:2023是全球首個針對人工智慧管理系統(AI Management System, AIMS)的國際標準。該標準旨在為組織提供一個全面性的框架,以負責任的方式開發、提供或使用人工智慧(AI)系統。其核心目標是透過系統化的方法,有效管理與AI相關的獨特風險與機會,同時滿足利害關係人的期望。
為組織內建立、實施、維護和持續改進AI管理系統(AIMS)提供具體要求和指導。其目標是協助組織在追求其目標的過程中,負責任地開發、提供或使用AI系統,並滿足利害關係人的要求與期望。
關鍵核心概念
- 風險導向方法:要求組織識別、評估並處理整個AI生命週期中的風險,特別強調對個人和社會的潛在影響。包括兩個關鍵流程:
- AI風險評估 (AI risk assessment, Clause 6.1.2):建立並維持一個流程,以識別、分析和評估與AI相關的風險。
- AI風險處理 (AI risk treatment, Clause 6.1.3):根據風險評估結果,選擇並實施適當的風險處理方案。
- 全面的生命週期治理:涵蓋從系統的目標設定、需求定義、設計開發、驗證確認,到部署、營運監控及技術文件管理的各個階段的全過程,確保每個階段都有對應的管理控制措施。
- 結構化與可整合性:採用與ISO 9001(品質管理)和ISO/IEC 27001(資訊安全管理)等其他主流管理系統標準一致的高階結構(Harmonized Structure),使組織能將AIMS無縫整合至現有的管理體系中。
- 規範性的控制框架:提供了具體的、必須遵守的控制目標、措施及實施指南,為組織建立有效的AI治理提供了清晰路徑。
管理系統架構 (PDCA循環)
ISO/IEC 42001的結構遵循了Plan-Do-Check-Act (PDCA) 的持續改進模型,為組織提供了一個系統化的實施路徑。
第4條:組織的背景 (Context of the Organization) – 基礎
- 要求組織理解其內部和外部的議題,識別與AIMS相關的利害關係人及其需求和期望。
- 明確界定AIMS的邊界和適用性,以建立其範圍。
第5條:領導 (Leadership) – 規劃 (Plan)
- 強調高階管理階層的領導和承諾至關重要。
- 高階主管必須確保建立AI政策和AI目標,並分配相關的角色、職責和權限。
第6條:規劃 (Planning) – 規劃 (Plan)
- 這是風險管理的核心章節,要求組織規劃應對風險和機會的行動。
- 關鍵活動包括執行AI風險評估、AI系統影響評估,並設定可衡量的AI目標。
• 第7條:支援 (Support) – 執行 (Do)
- 涉及為AIMS提供必要的資源,包括人員、基礎設施和技術。
- 確保人員具備所需的能力,提升其意識,建立溝通機制,並管理所有必要的文件化資訊。
• 第8條:營運 (Operation) – 執行 (Do)
- 要求組織規劃、實施和控制為滿足AIMS要求所需的流程。
- 這包括實施風險處理計劃,並在計劃的間隔內或當重大變化發生時,定期執行AI風險評估和AI系統影響評估。
• 第9條:績效評估 (Performance Evaluation) – 檢查 (Check)
- 組織必須監控、測量、分析和評估AIMS的績效和有效性。
- 關鍵活動包括進行內部稽核和管理階層審查,以確保AIMS持續適用、充分且有效。
• 第10條:改善 (Improvement) – 行動 (Act)
- 要求組織在發生不符合事項時採取行動,進行控制和糾正。
- 透過持續改進活動,不斷提升AIMS的適用性、充分性和有效性。
參考控制目標與控制措施
標準的附錄部分提供了具體的、可操作的控制框架,是實施AIMS的核心。
附錄A是規範性的,意味著組織必須使用此處列出的控制措施。它為組織提供了一套全面的參考,以應對AI系統的設計、開發和使用所帶來的風險。以下是其主要控制領域的摘要:
| 控制領域 | 實施指南(附錄 B) |
| A.2 AI相關政策 | 提供管理指導和支持,確保AI系統符合業務需求。AI 政策 (B.2.2) 應被告知組織的業務戰略、組織價值觀和文化、組織願意承擔或保留的 AI 系統風險等級,以及法律要求和合約。 |
| A.3 內部組織 | 建立問責制,以維護組織對AI的負責任方法。AI 角色和職責應被定義和分配,涵蓋風險管理、AI 系統影響評估、數據品質管理、人為監督(human oversight)、安全、隱私和性能等方面。 |
| A.4 AI系統資源 | 確保組織考慮並提供所需資源,以充分理解和處理風險與影響。數據資源應文件化其獲取、收集、分析、標籤、儲存和保留;工具資源應包括演算法類型、機器學習模型、優化方法、評估方法等;人力資源應涵蓋資料科學家、AI 系統人為監督角色、安全與隱私專家等。 |
| A.5 評估AI系統影響 | 評估AI系統在其整個生命週期中對個人、群體和社會的影響。影響評估應考慮 AI 系統的預期目的、複雜性、數據類型的敏感性,以及 AI 系統可能影響個人法律地位、身體或心理健康、普世人權和社會(如環境影響、就業機會)的方式。 |
| A.6 AI系統生命週期 | 確保組織為AI系統的負責任設計和開發識別目標並實施流程。系統的驗證和確認(Verification and validation, B.6.2.4)措施應包括測試方法學、測試數據的選擇和發布標準。 |
| A.7 AI系統資料 | 確保組織理解資料在AI系統中的作用和影響。數據準備方法應包含一套轉換步驟,以確保數據可用於 AI 任務。(如清洗、填補缺失值) |
| A.8 利害關係人資訊 | 確保相關利害關係人擁有評估 AI 系統風險和影響所需的必要資訊。系統文件和使用者資訊應包括相關的影響評估資訊(正負面影響),並提供讓外部人員報告不利影響(adverse impacts)的能力。 |
| A.9 AI系統的使用 | 確保組織根據負責任的組織政策使用AI系統。負責使用 AI 系統的目標包括公平性、問責性、透明度、可靠性、安全性、隱私與安全和可及性。人為監督機制應包括涉及人類審查(human reviewers)的決策和報告系統性能變更的流程。 |
| A.10 第三方與客戶關係 | 確保組織理解其責任並保持問責,同時適當分配風險。應建立流程確保供應商提供的服務或材料符合組織對 AI 系統的責任開發和使用方法。 |
潛在的 AI 相關組織目標和風險來源
環境複雜性 (Complexity of environment)
當 AI 系統在操作環境中運行,且該環境的情況範圍很廣泛時,會產生環境複雜性的風險。
| 風險來源 | 具體範例 (來自來源文件的描述或註釋) |
| 操作環境的廣泛性 | 當 AI 系統在情況範圍廣泛的複雜環境中運行時,就會產生風險。 |
| 性能的不確定性 | 環境複雜性可能導致 AI 系統的性能產生不確定性,進而成為風險來源。 |
| 自駕系統 (Autonomous driving) | 標準將自動駕駛的複雜環境列為此類風險的背景範疇。 |
缺乏透明度和可解釋性 (Lack of transparency and explainability)
AI 系統的行為往往難以被利害關係人理解,從而造成透明度和可解釋性不足的風險。
| 風險來源 | 具體範例 (來自來源文件的描述) |
| 無法提供足夠資訊 | 組織沒有能力向利害關係人提供足夠的資訊,以證明 AI 系統的運行方式和決策過程。 |
| 信任度與問責性的不確定性 | 由於資訊不足,導致利害關係人無法理解組織的信任度 (trustworthiness) 和問責性 (accountability)。 |
機器學習相關風險 (Risk sources related to machine learning)
與機器學習(ML)相關的風險主要集中在訓練數據的品質和收集過程上。
| 風險來源 | 具體範例 (來自來源文件的描述) |
| 數據品質不足 | 用於機器學習的數據品質是風險來源之一。 |
| 數據收集過程問題 | 收集數據的過程中出現的問題,也會導致風險。 |
| 數據污染/投毒 | 具體風險範例包括因數據品質問題或**數據污染(data poisoning)**而產生的風險。 |
系統生命週期問題 (System life cycle issues)
AI 系統的風險可能貫穿其整個生命週期,從設計到退役。
| 風險來源 | 具體範例 (來自來源文件的描述) |
| 設計缺陷 | 在 AI 系統生命週期中出現設計上的缺陷(flaws in design)。 例如: AI 預測模型僅用單一地區數據訓練,未考慮不同地區需求差異 輸出結果偏差,導致錯誤決策或歧視性影響 |
| 部署不當 | 例如: 航運公司導入 AI 系統,但僅安裝在少數電腦,缺乏整體流程整合與員工培訓 系統無法發揮效益,決策失準,員工對 AI 失去信任 |
| 缺乏維護 | 例如: 銀行反詐欺 AI 系統長期未更新,未能捕捉新型詐騙手法;同時伺服器安全漏洞未修補 詐欺偵測率下降、資料外洩風險升高、可能遭監管罰款 |
| 退役問題 | 例如: 醫院汰換 AI 影像判讀系統時,未妥善處理舊系統中的病人影像資料 個資洩漏、違反 GDPR / 個資法,造成法律責任與聲譽損害 |
其他相關技術風險來源
| 風險來源 | 具體範例 (來自來源文件的描述) |
| 技術成熟度不足 (Technology readiness) | 風險來源可能與較不成熟的技術相關,原因包括未知因素(例如系統限制和邊界條件)、性能漂移(performance drift)。 |
| 系統硬體問題 (System hardware issues) | 風險可能源於基於有缺陷組件的硬體錯誤,或在不同系統之間傳輸訓練過的機器學習模型時發生的錯誤。 |
| 自動化程度 (Level of automation) | AI 系統或數位系統 在人類決策過程中扮演的角色有多大、依賴性有多高。這個程度會直接影響 安全性、公平性、資安 等面向。 |
ISO/IEC 4200對組織的意義
採用ISO/IEC 42001標準對組織而言具有深遠的策略意義:
1. 建立信任與信譽:通過符合國際公認的最佳實踐,組織可以向客戶、合作夥伴、監管機構和公眾展示其對負責任和道德AI的承諾。
2. 系統化風險管理:提供了一個結構化的框架來識別和應對AI特有的複雜風險,這些風險可能未被傳統的IT或品質管理系統充分涵蓋。
3. 促進法規遵循:隨著全球各地對AI的監管日益嚴格,一個健全的AIMS可以幫助組織為未來的合規要求做好準備,降低法律和財務風險。
4. 提升競爭優勢:獲得ISO/IEC 42001認證可以成為一個強而有力的市場區隔因素,證明組織在AI治理方面處於領先地位,從而吸引更多業務機會。
5. 推動內部治理成熟度:實施該標準有助於在組織內部建立清晰的AI治理結構、明確的權責劃分和持續改進的文化,從而提升整體的營運效能和決策品質。
實施 ISO 9001:2015 認證步驟
實施 ISO 9001:2015 可分為4大流程:教育訓練(Training)、建置(Implementing)、 驗證(Certification)、維護(Maintaining)。領導力企管提醒您,ISO 9001:2015條文改版,是 ISO 9001 系列自 1987 年以來最大幅度之改版,主要修改的內容包括:
- 導入 Annex SL 標準撰寫語言,使未來組織跨系統之整合更為流暢統一。
- 加入風險管理(Risk management)的概念,針對目前公司現有作業流程進行風險分析與後續之風險處理。
- 加強「最高管理階層」之責任,重視領導階層之領導力與承諾。
- 強調「績效評估」的管理。
以下為導入 ISO 9001:2015 的 15 項實施步驟:
Step 1:高階管理者的決心與承諾
高階管理層必須表明其承諾和決心,以實施 ISO 9001 管理系統, 若沒有高層管理人員的承諾,管理系統的導入將無法成功。
Step 2:確認品質小組與管理代表
建立一個品質小組並指定一名管理代表,負責協調與規劃和監督實施,品質小組應包括所有組織職能的代表 業務,設計,開發,規劃,生產,品管控制等。管理代表在 ISO 9001 :2015版本已經無強制性建立,因此可由公司負責人或指派一名高階管理人管理品質小組,負責監督與規劃品質目標的實施,以確保品質系統完整性。
Step 3:員工意識培訓
導入 ISO 9001:2015 品質管理系統前,需與員工溝通,並說明導入的重要性,並獲得員工的支持,若省略這一步會讓系統導入變得更加困難,說明的重點如: 品質的基本概念、系統和標準,對整體的影響、公司的戰略目標、可能改變的工作流程和可能的工作文化。另外培訓計畫應針對不同的員工職務進行不同的說明,包括高階管理人員,中層管理人員,主管和現場員工。
Step 4:差距分析
在系統導入前,公司應評估內部目前現有制度與紀錄文件對應品質系統的要求落差,針對落差進行討論與建立。
Step 5:計畫實施
差距分析後,應該更清楚地了解公司的情況,現有的品質管理與ISO 9001標準相比的落差,所以應制定詳細的實施計劃,確定實施與描述符合品質系統要求所需的任務執行。該計劃應該是徹底和具體的,詳細說明:制定 ISO 9001標準品質文件、負責的人員或團隊、需要培訓人員所需資源、預計完成日期、這些要素應組織成詳細的圖表,以供審查並獲得最高管理層的批准。
Step 6:文件建立
公司應該建立關於品質管理系統所需的文件,例:文件控制; 控制記錄; 內部稽核;不合格產品; 糾正措施和預防措施。也會有一些額外的文件化程序幫助員工在公司的各種工作中遵循流程。
Step 7 : 文件審核與發佈
管理階層應確認品質管理系統文件符合公司需求,最後發布與運行。
Step 8:實施教育訓練
本步驟與 Step3 意識培訓差異處,在於最新的品質管理文件應在公司運行,不論管理階層或是現場同仁都應依照所制定的品質管理制度教育訓練,以確保能在公司順利運行。
Step 9 : 驗證機構的選擇
建議在導入初期對應公司的需求,可以向領導力企管諮詢,最適合貴司的驗證機構(Certification Body,CB),包括 BSI、SGS、BV、TUV NORD以及AFNOR 等,領導力企管皆能為您安排。
Step 10 : 內部稽核教育訓練與內部稽核實施
依據 ISO 9001:2015 條文之規定,應定期實施內部稽核,為確保內部稽核順利實施與有效,在實行內部稽核之前,應對內部稽核小組成員實行內部稽核教育訓練。
Step 11 : 管理審查
當管理系統運行一段時間,並進行內部稽核,為確保系統的充分性、適用性、有效應,應在管理審查進行討論,並提出糾正措施。
Step 12 : 第一階段驗證審查
當 ISO 9001:2015 運行一段時間後, 邀請驗證單位來到公司進行第一階段的稽核,主要對應文件的符合性。
Step 13 : 第一階段矯正措施
在驗證單位第一階段文審過後,藉由驗證機構建議或缺失,對不符合事項進行矯正措施。
Step 14 :第二階段驗證審查
在第一階段確認文件符合品質管理系統要求後,邀請驗證第二階段的現場稽核。若通過驗證後在會獲得3年有效期的證書。在這3年內,驗證機構依然會定期至公司進行稽核。
Step 15:持續改進
通過 ISO 9000 認證之後,企業將持續精進、不斷尋求改善,以達到卓越品質與最佳顧客滿意。