ISO IEC 42005 2025 信息技术-人工智能(AI)- AI系统影响评估（中文版）

信息技术—人工智能（IA）一人工智能系统的影响评估版权所有。除非另有规定或实施过程中有特殊要求，未经事先书面许可，不得以任何形式或任何方式（包括电子或机械手段，如复印、发布于互联网或内联网）复制或以其他方式使用本出版物的任何部分。许可申请可向以下地址的ISO组织或请求者所在国的ISO成员机构提出。序言五 序言五11范围1 122规范性引用文件1 133术语与定义1 144缩写术语2 255开发并实施人工智能系统影响评估流程3 35.1第三代 35.2流程记录3 35.3与其他组织管理流程的整合4 45.4人工智能系统影响评估的时间安排4 45.5人工智能系统影响评估的范围5 55.6责任分配5 55.7确定敏感用途、限制用途及影响规模的阈值6 65.8开展人工智能系统影响评估7 75.9分析人工智能系统影响评估结果7 75.10记录与报告7 75.11批准流程8 85.12监测与审查8 866记录人工智能系统的影响评估9 96.1第9代 96.2人工智能系统影响评估的范围9 96.3AI系统信息9 96.3.1人工智能系统描述9 96.4数据信息与质量1 16.4.2数据信息1 1附录B（参考性）ISO/IEC2389423联合使用指南 23参考文献38 38VISO/IEC38507、ISO/IEC23894和ISO/IEC42001标准分别构成了该生态系统中治理、风险管理和符合性评估（通过管理体系实现）的重要组成部分。这些标准都强调需要考虑对个人和社会的影响。治理机构能够理解这些影响，从而确保人工智能系统的开发和使用与企业价值观和目标保持一致。从事风险管理活动的组织可以合理预见对个人和社会的影响，并将其恰当地纳入整体组织风险评估。开发或使用人工智能系统的组织可将相关影响的理解和记录纳入管理体系，确保相关方的期望以及内部和外部要求得到满足。1ISO/IEC23053，基于机器学习（ML）的人工智能（AI）系统框架24缩写术语4缩写术语3a)组织背景、治理结构、目标、政策及程序；c)待开发或使用的铝系统预期用途；a)适用的法律要求，包括禁止使用人工智能系统；5.2流程记录4b)合同义务与职业责任；c)内部结构、政策、流程、程序及资源，包括技术；a)人工智能系统预期用途的变更，包括该系统使用者的变更；55.6责任分配6b)相关利益方的预期；c)最新技术水平；根据阈值类型和数量的不同，组织可实施包括审查与审批在内的额外流程。例如，组织可判定某些用途或可预见的滥用行为属于敏感范畴或违反组织政策。法律或其他外部要求可进一步界定人工智能系统的使用敏感性或可预见滥用风险。若人工智能系统影响评估表明其计划用途属于“敏感”或“受限”类别，组织应将后续步骤作为整体流程的一部分进行记录。78b)组织内工作人员及执行任务的人员，或在适当情况下，其代表；d）在任何situations(e.g.regulatory中是否需要外部批准（外部相关利益方）。b)负责监督与审查的人员；9c)预期用途及用例类型的描述；在记录人工智能系统功能与能力时，组织应识别并限制向特定群体披露技术细节，以降低滥用可能性。c)该人工智能系统的价值主张；不可接受和禁止的使用。h)数据集的访问控制与保护；j)数据相关利益方的审查（包括是否已完成多样化的审查）；e)由相关利益方批准在人工智能系统中使用该数据集。c)thevalidityofthealgorithm(e.g.hasthealgorithm由该领域的可信专家测试和验证）；f)算法对不良结果的敏感性（e.g.spurious相关性、过度拟合或传播不必要的偏倚）。n)持续学习的影响（如已实施）；a)符合相关法律、组织或技术要求；6.6部署环境该组织应在人工智能系统影响评估中，识别并记录可能受该系统及其预期用途影响的个人、群体或社会。相关利益方既包括直接与人工智能系统互动的人员，也包括可能受其影响但无需直接互动的人员。相关利益方的示例包括：b)弱势群体；对于每个已识别的相关利益方，组织应分析使用人工智能系统后与问责制相关的合理可预见的益处和危害。a）对于任何特定人口groups(e.g.age范围、性别或宗教，AI系统性能不合理地更好或更差；b)该人工智能系统以基于相关人群群体对其实施不公平歧视的方式代表利益相关方；使用AI系统时与隐私相关的益处和危害。PII负责人可以是相关利益方。b)与为开发或使用AI系统而进行的PII处理相关的隐私泄露所产生的影响；2)存在不希望出现的偏倚、歧视或不准确的风险；3)个人资料分析和行为监控的风险；—无论是人工智能系统本身还是其输出结果，若遭未经授权的第三方篡改，导致无法达到既定的性能要求。e]其有害影响，例如助长和推动环境不可持续的消费行为。a)人工智能系统可能出现的已知或可预见故障类型，以及这些潜在故障对相关利益方可能造成的影响；实施指南指出，进行人工智能系统影响评估的需求应记录在人工智能政策中。一tooling资源56因此，人工智能系统影响评估相较于风险管理更侧重于产品或服务导向的视角。该评估亦旨在由直接参与人工智能系统开发、部署或技术管理的团队执行。图B.1展示了ISO/IEC23894与本文件之间的关系。图中ISO/IEC23894的各部分均标注了适用的ISO/IEC23894子条款以供参考。8风险结果图B.1—ISO/IEC23894：2023与本文件的关系CISO/IEC2025-版权所有充分了解人工智能系统的预期用途、功能及局限性，从而降低误解或误用的风险相关利益方可安全使用该人工智能系统，或在供应商及第三方情况下履行安全义务缺乏监测导致数据集过时，人工智能系统输出结果不可靠用于训练模型的数据没有得到适当的隐私保护，PII被用于不应该使用的系统中许多组织已经常规地进行与ITsystems(e.g.risk评估、隐私评估和人权评估相关的不同类型的影响力评估。虽然每种评估都有特定的目的，但这些评估在涉及的相关利益方和所需数据方面往往具有相似性。如果不考虑如何有效地利用并贡献于其他可能需要的评估，而单独增加针对人工智能系统的影响力评估，可能会导致不必要的摩擦、成本和延迟，从而影响人工智能系统的负责任使用。b)不同类型的AI系统影响评估可涉及一系列外部相关利益方。采取整体协调的参与方式有助于c)许多影响评估中涉及的问题，如网络安全和隐私，是相同的，但通过略有不同的视角进行审查。协调指南可以帮助识别哪些框架、问题和数据在不同类型的影响评估中倾向于相似并因此被复制，以及存在哪些关键差异可以被理解和（prioritised(e.g.cybersecurity和隐私）。评估，从而促进这些评估之间的协调。XX-----XX-XX--X-XX-XX-XX--XX-XXXXX影响评估可与其他现有或相关评估结合使用，以避免重复和重叠。目标、风险或领导力]，同时允许主题领域（e.g.AI、隐私、质量或安全性）的差异。组织管理组织管理风险管理影响评估风险评估人工智能系统影响评估模板示例123………123……1第6.3.5节所述AI系统的非预期用途说明2第6.3.5节所述AI系统的非预期用途说明3…"123……123…123……123……1123…123…1123…123…123……123……[2]ISO10377：2013《消费品安全—供应商指南》[3]ISO/IEC38507：2022《信息技术——IT治理——组织使用人工智能的治理影响》[4]ISO/IEC23894：2023《信息技术——人工智能——风险管理指南》[5]ISO/IEC42001：2023信息技术——人工智能——管理体系[6]ISO/IEC23751：2022，信息技术——云计算和分布式平台——数据共享协议（DSA）框架[7]ISO/IEC5259-1：2024，人工智能——分析和机器学习（ML）的数据质量一第1部分：概述、术语和示例[8]ISO/IEC5259-2：2024，人工智能——分析和机器学习（ML）的数据质量一第2部分：数据质量度量[9]ISO/IEC5259-4：2024，人工智能——分析和机器学习（ML）的数据质量一第4部分：数据质量过程框架[11]ISO/IEC277011)信息安全、网络安全与隐私保护——隐私信息管理系统——要