Mikä on ISO/IEC 42001?
Taustatietoja
ISO/IEC 42001 on ensimmäinen kansainvälinen standardi tekoälyn hallintajärjestelmälle (AI Management System, AIMS). Se määrittelee, miten organisaatio perustaa, toteuttaa, ylläpitää ja jatkuvasti parantaa AIMS-järjestelmänsä (riippumatta siitä, kehittääkö, tarjoaaako vai käyttääkö se tekoälyä sisältäviä tuotteita ja palveluita). Tavoitteena on mahdollistaa tekoälyn vastuullinen, turvallinen ja liiketoimintatavoitteita tukeva käyttö sekä sovellettavien vaatimusten täyttäminen.
Tekoälyn kasvu on ollut vuodesta 2022 lähtien erittäin vauhdikasta, joka on tuonut liiketoimintaan useita mahdollisuuksia ja tietenkin myös vaikeuksia. Organisaatiot on alkanut ymmärtää uuden teknologian käyttöä ja hyödyntämistä oikean elämän ongelmiin.
Suuri osa tekoälytyöstä vaatii tehokasta riskienhallintaa tekoälyn ympärillä. Riskienhallintaa vaaditaan tekoälyjärjestelmien käytön sekä kehittämisen ympärillä. Kilpailutarjoukset ovat alkaneet sisältämään vaatimuksia tekoälyriskien hallinnasta ja näiden vaatimus tulee vain kasvamaan teknologian yleistyessä.
Standardi on julkaistu vuonna 2023 ja maailman ensimmäinen sertifikaatti saatu vuoden 2024 kesällä, organisaatiosi ei ole siis vielä myöhässä. Se sopii hyvin yhteen EU:n tekoälyasetuksen kanssa, mikä tekee siitä erittäin relevantin standardin tekoälyä käyttäville ja kehittäville organisaatioille.
Ominaispiireitä
Yhteinen rakenne muiden hallintastandardien kanssa. 42001 noudattaa samanlaista korkeantason rakennetta kuin muut ISO standardiin pohjautuvat hallintajärjestelmät, joten sen luvut, termit ja määritelmät ovat linjassa esimerkiksi ISO 9001:n ja ISO/IEC 27001:n kanssa. Tämä helpottaa integroitumista ja vähentää päällekkäistä työtä.
Riskiperusteinen toimintamalli. Standardi edellyttää, että tekoälyyn liittyvät riskit tunnistetaan, arvioidaan ja käsitellään, ja että hallintakeinojen valinnasta laaditaan soveltuvuuslausunto (Statement of Applicability, SoA) (aivan kuten tietoturvan puolella ISO/IEC 27001:ssa).
Vaikutusarvioinnit. Organisaatiolla tulee olla prosessi, jolla arvioidaan tekoälyjärjestelmien vaikutuksia yksilöihin, yhteisöihin ja yhteiskuntaan (myös väärinkäytön skenaariot huomioiden) ja dokumentoidaan tulokset. Tarvittaessa tehdään aihealuekohtaisia arviointeja, kuten tietosuoja- tai turvallisuusvaikutusten arviointi.
Elinkaariajattelu ja dokumentointi. 42001 ohjeistaa tekoälyn hallintajärjestelmän suunnittelun, kehityksen, käyttöönoton, operoinnin ja seurannan kattavaa dokumentointia, myös tekninen dokumentaatio, lokitus ja muutostenhallinta.
Sisältö
Standardin rakenne seuraa muiden ISO hallintajärjestelmien (Management System Standards) rakennetta, joka sisältää tiivistettynä seuraavat osa-alueet:
Organisaation on tunnistettava ja dokumentoitava toimintaympäristönsä, johon kuuluu ulkoiset ja sisäiset tekijät, ilmastonmuutoksen merkitys sekä tekoälyjärjestelmien käyttötarkoitus ja oma rooli (esim. toimittaja, tuottaja, käyttäjä).
Organisaation on määritettävä olennaiset sidosryhmät ja niiden vaatimukset. Näiden pohjalta päätetään tekoälyn hallintajärjestelmän (AIMS) soveltamisala ja dokumentoidaan se.
Ylin johto osoittaa sitoutumisen AIMS:iin
- linjaamalla AI-politiikan ja tavoitteet organisaation strategiaan,
- integroimalla vaatimukset prosesseihin,
- varaamalla resurssit,
- korostamalla vaikuttavuutta ja vaatimusten noudattamista,
- varmistamalla tulokset sekä
- tukemalla jatkuvaa parantamista.
Johto laatii tarkoitukseen sopivan, tavoitteita ohjaavan ja vaatimuksiin sitouttavan tekoälypolitiikan, joka dokumentoidaan ja viestitään.
Roolit, vastuut ja valtuudet määritellään ja raportointi ylimmälle johdolle varmistetaan.
Suunnittelu varmistaa, että AIMS tuottaa halutut tulokset hallitsemalla tekoälyyn liittyvät riskit ja hyödyntämällä mahdollisuudet.
Organisaatio huomioi kohdat 4.1–4.2, määrittää riskikriteerit (hyväksyttävä/ei-hyväksyttävä) ja arviointiprosessin.
Riskien käsittelyssä valitaan hallintakeinot liitteestä A (täydennettävissä), laaditaan soveltuvuuslausunto ja käsittelysuunnitelma sekä hyväksytään jäännösriskit.
Sen lisäksi tehdään vaikutusarviointi, missä arvioidaan miten organisaation tekoälyjärjestelmät vaikuttavat yksilöihin, yhteisöön ja yhteiskuntaan.
Asetetaan mitattavat tekoälytavoitteet, määritetään vastuut, resurssit, aikataulut ja seuranta, ja muutokset toteutetaan suunnitelmallisesti.
Tukitoiminnot varmistavat, että AIMS toimii organisaation arjessa.
Organisaatio määrittää ja varaa kaikki AIMS:in (tekoälyn hallintajärjestelmän) rakentamiseen, käyttöön, ylläpitoon ja parantamiseen tarvittavat resurssit.
Organisaatio tunnistaa, millaista osaamista tekoälyn suorituskykyyn vaikuttaviin tehtäviin tarvitaan. Osaaminen varmistetaan koulutuksilla, harjoittelulla, kokemuksella tai rekrytoinnilla.
Henkilöstö tuntee tekoälypolitiikan, oman roolinsa AIMS:in vaikuttavuuden parantamisessa sekä seuraamukset vaatimusten rikkomisesta.
Organisaatio päättää, mitä, milloin, kenelle ja miten viestitään (sisäisesti että ulkoisesti).
AIMS tulee sisältää vaaditun ja tarpeellisen dokumentaation vaadituilla metatiedoilla.
Dokumentoitu tieto pidetään saatavilla ja suojattuna. Hallintaan kuuluu jakelu ja käyttöoikeudet, säilytys ja luettavuus, muutostenhallinta (versiointi), säilytysajat ja hävittäminen. Myös ulkoiset dokumentit yksilöidään ja hallitaan.
Organisaatio suunnittelee ja ohjaa vaatimuksia täyttävät prosessit, ottaa käyttöön tekoälyn elinkaaren hallintakeinot (liite A) ja seuraa niiden vaikuttavuutta.
Muutokset hallitaan ja ulkoistetut toiminnot pidetään myös valvonnassa.
Riskit arvioidaan säännöllisesti ja muutostilanteissa. Niiden käsittely toteutetaan suunnitelman mukaan, toiminnallisuus varmennetaan ja suunnitelmaa päivitetään.
Tekoälyjärjestelmien vaikutukset arvioidaan, ja kaikesta pidetään asianmukainen dokumentaatio.
Organisaatio määrittää, mitä seurataan ja mitataan, millä menetelmillä ja milloin sekä dokumentoi tulokset.
Sisäiset auditoinnit tehdään säännöllisen ohjelman mukaan:
- tavoitteet, kriteerit ja soveltamisala määritellään,
- auditoijat valitaan puolueettomasti ja
- tulokset raportoidaan johdolle.
Ylin johto tekee määräajoin katselmuksen tekoälyn hallintajärjestelmään, jossa he hyödyntävät mittauksia, auditointeja ja muutostietoja, päättää parannuksista ja muutoksista sekä varmistaa, että kaikki tieto on dokumentoitua.
Organisaatio parantaa AIMS:n soveltuvuutta, tarkoituksenmukaisuutta ja vaikuttavuutta jatkuvasti.
Poikkeaman ilmetessä reagoidaan viipymättä, tilanne hallitaan, korjataan ja seuraukset käsitellään.
Poikkeamille organisaatio tekee juurisyyaalyysejä, etsii vastaavia tapauksia, päättää ja toteuttaa tarvittavat toimet sekä arvioi niiden vaikuttavuuden.
Korjaavat toimet mitoitetaan vaikutusten mukaan. Poikkeamien luonne, tehdyt toimet ja tulokset dokumentoidaan.
Hallintakeinot
Standardin velvoittava Liite A kokoaa viitehallintakeinot (control objectives & controls), joilla organisaatio täyttää omat tavoitteensa ja hallitsee tekoälyyn liittyviä riskejä. Kaikkia listan kohtia ei ole pakko ottaa käyttöön, ja organisaatio voi suunnitella myös omia hallintakeinojaan. Liite B antaa toteuttamisohjeet näille kontrollikohdille.
Hallintakeinot on jaettu seuraaviin kategorioihin:
A.2 Tekoälyyn liittyvät toimintaperiaatteet: mm. AI-politiikka ja sen yhdenmukaisuus muiden organisaatioperiaatteiden kanssa.
A.3 Sisäinen organisaatio: roolit ja vastuut sekä huolenaiheiden raportointiprosessi.
A.4 Tekoälyjärjestelmien resurssit: dokumentoidut tieto-, työkalut-, laskenta- ja henkilöresurssit AI-järjestelmän elinkaaren eri vaiheisiin.
A.5 Tekoälyjärjestelmien vaikutusten arviointi: prosessi, dokumentointi ja vaikutusten arviointi yksilöihin, yhteisöihin ja yhteiskuntaan.
A.6 Tekoälyjärjestelmän elinkaari: vaatimukset ja spesifikaatiot, suunnittelun ja kehittämisen dokumentointi, todentaminen ja validointi, käyttöönotto, toiminnan seuranta, tekninen dokumentaatio sekä tapahtumalokit.
A.7 Tekoälyjärjestelmän tiedot ja data: datan hankinta, laatu, alkuperä ja valmistelu AI-järjestelmissä.
A.8 Sidosryhmille tarkoitetut tiedot: käyttäjädokumentaatio, ulkoinen raportointi haittavaikutuksista ja häiriöviestintä.
A.9 Tekoälyjärjestelmien vastuullinen käyttö: prosessit, tavoitteet ja aiottu käyttötarkoitus.
A.10 Kolmannet osapuolet ja asiakkaat: vastuiden osoittaminen, toimittajahallinta ja asiakkaiden odotusten huomiointi.
Vaatimusten täyttäminen
ISO/IEC 42001:n noudattaminen ei ole pelkkää dokumentointia, vaan riskiperusteisia prosesseja, vaikutusten arviointeja ja koko tekoälyn elinkaaren hallintaa, jotka on kytkettävä saumattomasti olemassa oleviin hallintajärjestelmiin.
Autamme organisaatioita lähtötason arvioinnissa ja suunnitelman luomisessa, AIMS-politiikoissa ja -prosessien jalkauttamisessa, kontrollien valinnassa ja sisäissä auditoinneissa sekä sertifikaatin hankkimisessa. Käytämme meidän kehittämää Gover alustaa, joka toimii organisaatiosi keskitettynä Compliance alustana myös tulevaisuudessa!
