ISO∕IEC 42001-2023《信息技术-人工智能-管理体系》之5：“5领导作用-5.2 人工智能方针”解读和应用指导材料（雷泽佳编制-2024A0）

ISO/IEC42001-2023《信息技术-人工智能-管理体系》之5“5领导作用-5.2人工智能方针”解读和应用指导材料ISO/IEC42001-2023《信息技术-人工智能-管理体系》之5“5领导作用-5.2人工智能方针”解读和应用指导材料ISO/IEC42001-2023《信息技术-人工智能-管理体系》ISO/IEC42001-2023《信息技术-人工智能-管理体系》5领导作用5.2人工智能方针最高管理者应制定一项人工智能方针，方针应：a）适合于组织的宗旨；b）为制定人工智能目标提供一个框架（见6.2）；c）包括满足适用要求的承诺；d）包括对持续改进人工智能管理体系的承诺。人工智能方针应：——作为文件资料提供；——引用其他相关的组织政策；——在组织内得到沟通；——适宜时，可为有关相关方所获取。A.2提供了制定人工智能方针的控制目标和控制。这些控制的实施指南见B.2。注1：ISO/IEC38507提供了组织在制定人工智能方针时的注意事项。5领导作用5.2人工智能方针方针的定义由最高管理者正式表述的组织的意图和方向。人工智能方针定义：由组织最高管理者正式确立并表述的关于人工智能体系在组织内部应用、发展、治理和监督方面的总体意图和方向；人工智能方针的主要目的：人工智能方针旨在确保组织在使用和发展人工智能系统时遵循明确的战略路径，并与组织的整体目标、愿景和价值观保持一致；人工智能方针为人工智能管理体系奠定基础：通过确立人工智能方针，组织能够为其人工智能管理体系奠定坚实的基础，明确对人工智能技术的态度、期望和承诺，从而为所有相关人员提供清晰的指导和方向。人工智能方针的目标：根据业务需求，为人工智能系统提供管理指导和支持。业务需求：人工智能方针的制定应紧密围绕组织的业务需求进行，确保方针能够为人工智能系统的实际应用提供明确的指导；管理指导：方针的制定旨在为人工智能系统提供管理上的指导，包括系统设计、开发、部署、运营和监控等各个方面，确保系统能够按照预定的目标、标准和规范进行工作；支持作用：人工智能方针不仅为管理提供指导，同时也为系统的实际运行提供必要的支持。通过方针的制定，可以确保系统在遇到问题时能够及时获得解决方案，保证系统的稳定性和可靠性。针对性：方针的制定应具有较强的针对性，能够针对不同类型、不同规模、不同领域的人工智能系统提供相应的管理指导和支持，以满足组织的实际需求。制定人工智能方针 责任主体：组织的最高管理者是负责制定和保持人工智能方针的责任人。方针的制定和更新应得到最高管理层的直接参与和批准；方针的制定：组织应制定一套关于开发或使用人工智能系统的方针。这套方针应该涵盖组织在人工智能方面的总体策略、原则和目标，为组织内部所有与人工智能相关的活动提供指导；注：《ISO/IEC38507:2022信息技术-信息技术治理-组织使用人工智能的治理影响》提供了组织在制定人工智能方针时的注意事项。方针的保持：组织应定期审查和更新这套方针，以确保其始终与组织的业务需求、技术发展以及法律法规的要求保持一致。保持方针的时效性和适用性对于指导组织在人工智能领域的发展至关重要。制定人工智能方针应参考以下内容：适合于组织的宗旨；体现组织特性：方针应体现组织的独特性质，包括但不限于组织的核心价值观、业务领域、客户群体以及市场定位等，以确保人工智能活动能够支持和推动组织目标的实现；方针与宗旨协调：人工智能方针应紧密结合组织的使命和愿景，确保人工智能活动的目标、方向和原则与组织的长远规划相一致。支持组织的业务战略；业务战略的一致性：人工智能方针的制定应紧密结合并支持组织的业务战略。方针应与组织的长期和短期目标相一致，确保人工智能技术的部署和使用是服务于组织整体战略和目标的实现；实现组织目标：方针的制定和实施应确保人工智能的使用能够助力组织达成既定的业务目标。这包括在AI的决策、开发、监视和提供产品或服务的过程中，都应以服务组织目标的实现为首要原则。为制定人工智能目标提供一个框架；方针的引导作用：在人工智能管理体系的策划阶段，方针应发挥重要的导向作用，为组织提供一个清晰的框架；目标设定与方针的一致性：该框架旨在确保组织在设定人工智能目标时，能够紧密围绕方针的核心理念和宗旨，从而保持目标与方针的一致性；实现预期成果的保障：通过方针提供的框架，组织可以更系统、更全面地考虑和设定人工智能目标，进而为实现预期的成果提供有力的保障。人工智能方针为制定人工智能目标提供框架应用示例人工智能方针人工智能方针对应的人工智能目标负责任地创新，以可持续发展为核心，优化用户体验，严格确保合规性。-设计开发符合可持续发展原则的人工智能解决方案，以减少对环境的影响-通过持续改进人工智能技术，提升用户体验，确保用户满意度-严格遵守相关法律法规，确保所有人工智能应用的合规性，防范法律风险。组织的价值观和文化，以及组织愿意承担或保留的风险程度；组织的价值观和文化；方针应体现组织的核心价值观，这些价值观是组织行为的指导原则，决定了组织如何处理与人工智能相关的伦理、道德和社会责任问题；组织的文化反映了其成员共享的信仰、价值观和行为模式，方针应体现组织文化中对人工智能技术的接受程度、使用方式和期望效果。组织愿意承担或保留的风险程度；方针的制定应考虑组织在人工智能部署中愿意承担或保留的风险水平。这需要对组织的风险承受能力进行准确评估，明确哪些风险是可以接受的，哪些风险需要避免或最小化；方针中的风险管理策略应与组织的风险承受能力相匹配，确保在追求人工智能带来的好处时，不会因过度冒险而损害组织的长期利益。确保方针的风险管理策略与组织的风险承受能力相匹配。风险管理策略是方针的重要组成部分，它指导组织如何识别、评估、响应和监控与人工智能相关的风险。这一策略必须根据组织的风险承受能力来制定，确保组织在面临风险时能够做出合理地响应；方针的制定还应考虑不同相关方的需求和期望，确保方针能够平衡组织的业务需求、伦理道德要求和社会责任，实现可持续发展的目标。人工智能系统带来的风险程度；方针应充分考虑风险：人工智能方针在制定时，应充分考虑到人工智能系统可能带来的潜在风险。这些风险可能涉及安全、隐私、伦理、公平性和社会影响等多个方面；制定风险管理措施：针对识别出的风险，方针中应明确制定相应的风险管理措施。这些措施旨在降低风险发生的可能性，减轻风险对组织和个人带来的负面影响；确保人工智能的安全和可控性：通过制定有效的风险管理措施，方针旨在确保人工智能系统的安全和可控性。这意味着在人工智能系统的开发、部署和使用过程中，都需要遵循方针中的要求，以确保系统的稳定性和可靠性，防止不可预测和不受控制的行为发生。适用的法律法规要求和其他要求（包括合同）；法律法规要求：在制定人工智能方针时，组织应考虑适用的法律法规。这些法律法规可能涵盖了人工智能系统的开发、部署、使用及监管等各个方面，确保组织在运用人工智能技术时，能够遵守法律法规的要求，避免法律风险；其他要求（包括合同）：合同是组织与其他方之间就特定事项达成的具有法律约束力的协议。因此，在制定人工智能方针时，组织必须考虑与其合作伙伴、客户或供应商签订的合同条款，确保方针的合规性，避免可能的合同纠纷；参考内容的全面性：制定人工智能方针时参考的内容必须全面，既要包括直接涉及人工智能技术的法律法规要求，也要涵盖其他与人工智能技术相关或可能对人工智能技术应用产生影响的法律法规和其他要求。组织的内外部环境；全面考虑内外部环境：组织在制定人工智能方针时，需要对其所处的内部和外部环境进行全面的评估；确保方针符合当前要求：制定的人工智能方针需要符合组织当前的实际需求和情况；方针的前瞻性：方针不仅要满足现在的需求，还要考虑未来的趋势和发展；方针的适应性：面对不断变化的内部和外部环境，方针应具备足够的灵活性以适应这些变化；应对未来变化和挑战：方针应包含应对未来可能出现的风险和挑战的策略，确保组织在面对不确定因素时能够迅速响应。对相关方的影响；考虑相关方影响的重要性：在制定人工智能方针时，组织应充分认识到人工智能系统对相关方可能产生的影响，通过深入分析和理解这些影响，组织能够确保方针的公平性和可持续性；公平性的考虑：方针的制定应确保所有相关方受到公平对待。组织应考虑到不同相关方的利益、需求和期望，并在方针中反映出对这些因素的平衡考虑。通过确保方针的公平性，组织可以减少潜在的社会冲突，增强公信力；可持续性的关注：在制定方针时，组织应关注人工智能系统的长期影响，包括其对环境、社会和经济可持续性的影响。方针应考虑到人工智能系统的能耗、碳排放、数据安全、隐私保护等方面的问题，以及如何通过技术创新和政策引导实现可持续发展。相关方针应指导人工智能系统的开发、购买、运行和使用；方针的纲领性作用：方针应作为指导人工智能系统全生命周期（包括开发、购买、运行和使用）的纲领性文件，确保人工智能系统的部署和使用与组织的整体策略和方针要求保持一致；方针的具体指导作用：开发阶段：方针应指导人工智能系统的设计和开发，确保系统设计时的各项原则和要求得到遵循；购买阶段：方针应作为组织选择、评估和购买人工智能系统或服务的标准，确保所购买的系统或服务与组织的价值观和期望相符；运行阶段：方针应指导人工智能系统的日常运行和维护，确保系统的稳定性、安全性和效率；使用阶段：方针应明确人工智能系统的使用目的、范围和方式，确保系统的使用符合组织的策略和目标。人工智能方针应包括的内容；包括满足适用要求的承诺；组织在制定其人工智能方针时，必须明确承诺遵循和满足所有适用的法规、标准、最佳实践以及任何与组织运营和业务环境相关的特定要求；承诺不仅是组织对于其人工智能管理和应用活动的整体态度和方向的体现，也是确保组织能够负责任地履行其在人工智能体系方面的职责的关键组成部分。包括对持续改进人工智能管理体系的承诺；承诺持续改进的必要性：随着人工智能技术的快速发展和应用场景的日益扩展，组织应承诺对人工智能管理体系进行持续改进。这一承诺体现了组织对确保人工智能应用安全、有效、负责任的重视和决心。持续改进的承诺：组织不仅要满足当前的管理要求，而且要有长远的眼光，不断寻求改进和优化人工智能管理体系，以适应技术发展和环境变化的需求；持续改进的具体体现：持续改进人工智能管理体系包括识别现有体系中的不足、制定改进措施、实施改进计划、监控改进效果等多个环节。组织应建立一种持续学习和改进的文化，鼓励员工积极提出改进建议，并为此提供必要的资源和支持。指导组织与人工智能有关的所有活动的原则；指导原则的全面性：人工智能方针的指导原则应涵盖组织在人工智能应用、开发、管理和维护等所有相关活动中的行为和决策。这包括但不限于数据使用、算法设计、系统部署、人员培训等方面；针对性与明确性：这些指导原则应具有针对性，针对组织在人工智能领域可能面临的具体挑战和风险，提供明确的行动指南。例如，原则可以强调数据隐私保护、算法透明性和公平性等方面的重要性。处理偏离方针和例外情况的程序；偏离方针的处理：组织应建立明确的程序来识别、记录、分析和处理任何偏离人工智能方针的情况。这可能包括确定偏离的严重性、影响范围、潜在原因以及采取必要的纠正措施来防止类似偏离的再次发生；例外情况的程序：与偏离方针的情况不同，例外情况可能是基于某些合理的原因而允许发生的。组织应制定例外情况的明确程序，包括识别、评估、记录和报告例外情况，以及确保例外情况得到适当的批准和记录。人工智能方针的特定主题考虑。人工智能资源和资产：方针应考虑到组织在人工智能方面的资源和资产，包括但不限于硬件、软件、数据、专业技能和知识产权；人工智能系统影响评估（见“6.1.4人工智能系统影响评估”）：方针应体现对人工智能系统潜在影响的重视，包括系统对个人和社会可能造成的后果。通过明确影响评估的要求和过程，方针可以帮助组织识别、分析和减轻人工智能系统带来的潜在风险；人工智能系统开发：方针应涵盖人工智能系统开发的相关方面，如开发过程、质量控制、数据隐私和伦理等。这有助于确保方针与开发实践相结合，促进人工智能系统的负责任开发和部署。人工智能方针应与其他组织方针保持一致；人工智能方针应与其他组织方针保持一致的涵义：人工智能方针的制定和实施需要和组织的其他方针相互协调和一致，以确保组织内部各项方针之间的统一性和互补性；组织应识别和分析其他方针中与人工智能系统目标相关或适用的部分；识别与分析：组织需要对现有的质量、信息安全、物理安全、隐私等方针进行审查，找出与人工智能系统目标有关联或可适用的内容；目标与策略对齐：这样做的目的是确保人工智能领域的决策和行动与组织的整体战略和目标相吻合，不出现内部方针之间的矛盾或冲突。组织应评估现有方针与人工智能的交叉领域，并决定是否需要更新或整合；跨领域评估：由于人工智能技术的广泛应用，它可能与组织的多个领域产生交叉。因此，组织需要全面评估现有方针在哪些方面与人工智能有交集；方针更新与整合：根据评估结果，组织可能需要更新现有的方针，或者将人工智能相关的规定整合到现有方针中，以确保方针的完整性和时效性。治理机构制定的方针应作为人工智能方针的参考框架；参考框架：治理机构代表组织制定的方针具有全局性和战略性，因此应成为制定人工智能方针时的重要参考；协调与增强：通过参考治理机构的方针，可以确保人工智能方针与组织的整体治理结构和战略方向保持一致，从而提升方针的实施效果和组织内部的协同性。《ISO/IEC38507:2022》提供了人工智能系统治理的指导；实用指导：该标准为治理管理机构的成员提供了在人工智能系统全生命周期内进行启用和治理的实用指南；整合与管理：通过运用该标准提供的工具和框架，组织可以更有效地整合和管理人工智能方针与其他组织方针，确保各项方针之间的协调一致和高效实施。人工智能方针的管理可获取并保持成文信息：组织应确保人工智能方针以成文信息的形式存在，方针应被正式记录并保存，以便于组织内部成员和相关方随时查阅和参考。方针的成文信息应保持更新，以反映组织在人工智能使用和管理方面的最新策略和意图；引用其他相关的组织政策：在制定人工智能方针时，组织应参考和引用与其相关的其他组织政策，确保方针与组织整体的政策框架和战略目标相一致；在组织内得到沟通、理解和应用：人工智能方针应组织内部得到广泛的沟通、深入地理解和有效地应用。组织应通过培训、会议、内部宣传等方式，确保所有相关成员都理解方针的内容和重要性，并在日常工作中遵循和应用方针的指导原则；适宜时，可为有关相关方所获取：除了组织内部成员外，人工智能方针在适当时也应向相关方公开，以便他们了解组织在人工智能使用和管理方面的立场和承诺。这有助于建立组织与相关方之间的信任关系，促进双方在人工智能领域的合作和共赢。人工智能方针的评审。评审频率：人工智能方针应按计划的时间间隔进行评审。根据需要，可以进行额外的评审；评审目的：确保人工智能方针的持续适宜性、充分性和有效性；责任角色：由管理层批准的一个角色负责人工智能方针或其组成部分的制定、审查和评估；评审内容：评估机会以改进组织的人工智能系统管理方针和方法。考虑组织环境、业务情况、法律条件或技术环境的变化；参考因素：评审应考虑到管理评审的结果。在进行人工智能方针的评审时，应参考和考虑组织在整体管理层面上的评审结果，以确保方针与组织整体的战略和目标保持一致。人工智能方针案例1符合组织宗旨：我们的人工智能方针与组织的长期发展战略紧密相连，旨在通过智能化的手段，提升服务效率，创新产品，以满足全球客户的需求。目标制定框架：我们将根据人工智能方针，设定明确、可量化的人工智能发展目标，并定期评估进度，以确保目标的实现。满足适用要求：我们承诺遵守所有国家和地区的法律法规，包括但不限于中国的《数据安全法》《个人信息保护法》以及欧盟的GDPR等，确保人工智能技术的合法合规应用。持续改进承诺：我们将持续优化人工智能管理体系，通过引入最新技术、加强人员培训和完善流程，不断提升人工智能系统的效能和安全性。指导原则：我们将坚持以客户为中心，确保人工智能技术的应用能够提升客户体验。我们将保护用户隐私，确保个人数据的安全与合规使用。我们将倡导透明和可解释的人工智能，以增强用户信任。偏离方针与例外处理：在特殊情况下，如需偏离既定方针，必须获得高层管理团队的批准，并确保透明地记录和沟通偏离的原因及影响。我们将建立应急响应机制，以处理人工智能系统可能出现的意外情况，确保业务的连续性和客户权益的保障。特定主题指导：人工智能资源和资产：我们将合理配置人工智能相关的硬件、软件和数据资源，确保高效利用和长期可持续发展。人工智能系统影响评估：在引入新的人工智能系统或进行重大变更前，我们将进行全面影响评估，以识别潜在风险并制定相应的缓解措施。人工智能系统开发：我们将采用敏捷开发方法，注重用户反馈，确保人工智能系统的功能和性能持续满足用户需求。人工智能方针案例2创新引领：我们将积极探索人工智能的前沿技术，以创新为驱动，不断推动人工智能技术在企业各个业务领域的应用与发展，提升企业核心竞争力。合法