Tekve Oy Logo
Standardiohjeistus

Mikä on ISO 42001?

ISO/IEC 42001 on maailman ensimmäinen tekoälyn hallintajärjestelmän (AIMS) standardi, joka ohjaa tekoälyratkaisujen vastuullista kehittämistä ja käyttöä.

Mikä on ISO 42001?

ISO/IEC 42001 on maailman ensimmäinen kansainvälinen standardi tekoälyn hallintajärjestelmälle (Artificial Intelligence Management System, AIMS). Standardi määrittää säännöt sille, miten organisaatio perustaa, toteuttaa, ylläpitää ja jatkuvasti parantaa tekoälyn hallintaa – riippumatta siitä, kehittääkö, tarjoaako vai käyttääkö se tekoälyä hyödyntäviä tuotteita ja palveluita.

Standardi julkaistiin loppuvuodesta 2023. Se tarjoaa erinomaisen, kansainvälisesti hyväksytyn rakenteen EU:n tekoälyasetuksen (AI Act) vaatimusten täyttämiselle. AIMS auttaa organisaatioita varmistamaan, että tekoälyä käytetään vastuullisesti, turvallisesti, eettisesti ja liiketoiminnan tavoitteita tukien.

Standardin ominaispiirteet

  • Integroituva rakenne: ISO 42001 noudattaa samaa korkean tason rakennetta (High-Level Structure) kuin esimerkiksi ISO 27001 (tietoturva) ja ISO 9001 (laatu), mikä mahdollistaa helpon yhteiskäytön.
  • Tekoälyvaikutusten arviointi: Standardi edellyttää prosessia, jolla arvioidaan tekoälyjärjestelmien vaikutuksia yksilöihin, yhteisöihin ja yhteiskuntaan, ottaen huomioon myös mahdolliset väärinkäytön skenaariot.
  • Elinkaarihallinta: Vaatimukset kattavat tekoälyjärjestelmien koko elinkaaren määrittelystä ja opetuksesta aina tuotantokäyttöön, valvontaan ja käytöstä poistamiseen.

Tekoälyhallintajärjestelmän sisältö (Luvut 4–10)

Standardin vaatimusluvut (Clauses) muodostavat tekoälyn hallintakehyksen perustan:

Luku 4: Organisaation toimintaympäristö

Organisaation on määritettävä tekoälyyn liittyvät sisäiset ja ulkoiset tekijät sekä tunnistettava sidosryhmien tarpeet. On määritettävä organisaation oma rooli tekoälyn arvoketjussa (esim. tekoälyn kehittäjä, integroija vai loppukäyttäjä) ja rajattava AIMS:n soveltamisala.

Luku 5: Johtajuus

Ylimmän johdon on sitouduttava tekoälyhallintaan, määritettävä organisaation tekoälypolitiikka (AI Policy) ja varmistettava, että tekoälyä koskevat roolit, vastuut ja valtuudet (kuten AI-roolien valvonta ja raportointi) jaetaan selkeästi.

Luku 6: Suunnittelu

Organisaation on tunnistettava tekoälyyn liittyvät riskit ja mahdollisuudet. Luvussa edellytetään riskienarvioinnin lisäksi tekoälyvaikutusten arvioinnin (AI Impact Assessment) tekemistä. Tässä vaiheessa valitaan hallintakeinot, laaditaan soveltuvuuslausunto (SoA) ja määritetään mitattavat tekoälytavoitteet.

Luku 7: Tukitoimet

AIMS-järjestelmän tehokas toiminta edellyttää riittäviä resursseja (ihmiset, laskentateho, työkalut ja opetusdata). Organisaation on varmistettava henkilöstön osaaminen ja tekoälylukutaito sekä hallittava dokumentoitua tietoa.

Luku 8: Operatiivinen toiminta

Suunnitellut tekoälyprosessit viedään käytäntöön. Tämä sisältää tekoälyn elinkaaren aikaisen hallinnan, riskienkäsittelysuunnitelman toteuttamisen, muutostenhallinnan sekä ulkoistettujen tekoälypalveluiden valvonnan.

Luku 9: Seuranta ja arviointi

Tekoälyjärjestelmien toimintaa ja suorituskykyä on mitattava ja seurattava dokumentoidusti. Järjestelmälliset sisäiset auditoinnit ja johdon katselmukset varmistavat, että AIMS toimii suunnitellusti.

Luku 10: Jatkuva parantaminen

Organisaation on reagoitava AIMS-järjestelmässä tai tekoälysovelluksissa ilmenneisiin poikkeamiin (kuten virheellisiin ennusteisiin, syrjiviin tuloksiin tai tietoturvaloukkauksiin) korjaavilla toimilla ja varmistettava järjestelmän jatkuva kehittyminen.

Liitteen A hallintakeinot (Annex A Controls)

Standardin velvoittava Liite A (Annex A) sisältää 38 hallintakeinoa, jotka on jaettu 9 kategoriaan tekoälyriskien hallitsemiseksi:

  • Tekoälyyn liittyvät toimintaperiaatteet (A.2): Tekoälypolitiikka ja sen yhdenmukaisuus organisaation muiden periaatteiden kanssa.
  • Sisäinen organisaatio (A.3): Tekoälyyn liittyvät roolit, vastuut ja raportointikanavat.
  • Tekoälyjärjestelmien resurssit (A.4): Laskentatehon, datan ja osaamisen resursointi.
  • Tekoälyjärjestelmien vaikutusten arviointi (A.5): Systemaattinen prosessi yksilö- ja yhteiskuntavaikutusten analysointiin.
  • Tekoälyjärjestelmän elinkaari (A.6): Suunnittelu, kehitys, testaus, validointi, käyttöönotto ja poikkeamatapahtumien lokitus.
  • Tekoälyjärjestelmän tiedot ja data (A.7): Datan hankinta, laatu, alkuperä ja valmistelu.
  • Sidosryhmille tarkoitetut tiedot (A.8): Käyttäjädokumentaatio ja läpinäkyvä viestintä tekoälyn käytöstä.
  • Tekoälyjärjestelmien vastuullinen käyttö (A.9): Järjestelmien sopiva ja sallittu käyttö.
  • Kolmannet osapuolet ja asiakkaat (A.10): Toimittajahallinta ja asiakkaiden odotusten huomiointi.

Miten Tekve voi auttaa tekoälyn hallinnassa?

Autamme organisaatiotasi ottamaan tekoälyn käyttöön turvallisesti ja vastuullisesti rakentamalla ISO 42001 -yhteensopivan hallintajärjestelmän:

  1. Roolien ja AIMS-soveltamisalan määrittely: Autamme hahmottamaan organisaationne roolin tekoälyketjussa ja rajaamaan järjestelmän kattavuuden.
  2. Vaikutusarvioinnit ja riskienhallinta: Luomme selkeät ja toistettavat prosessit tekoälyriskien ja yksilövaikutusten arviointiin.
  3. Dokumentaatio ja politiikat: Laadimme yrityksellenne tekoälypolitiikat, kehitysohjeet ja soveltuvuuslausunnon (SoA).
  4. Gover-yhteensopivuus: Hyödynnämme kehittämäämme Gover-alustaa tekoälyn vaatimustenmukaisuuden, riskien ja auditointien jatkuvaan hallintaan.
Gover GRC

Gover – Kokonaisvaltainen Mikä on ISO 42001? -hallintajärjestelmä

Yksi järjestelmä kaikille organisaation standardeille, regulaatioille ja lakivaatimuksille.

Olemme kehittäneet vaatimustenmukaisuuteen erikoistuneen hallintajärjestelmän, minkä avulla organisaatiot saavuttavat ja hallitsevat kokonaisvaltaisen tilannekuvan heidän vaatimustenmukaisuudestaan.

  • Tietoturvariskien tunnistaminen ja hallinta.
  • Kumppanien ja toimitusketjujen hallinta (riskit, tietoturva, vastuullisuus).
  • Dokumentaation hallinta.
  • Auditointien hallinta sekä järjestäminen.
  • Raportointi (sisäisesti ja ulkoisesti).
  • Henkilöstön koulutukset ja tietoisuuden lisääminen.
Varaa demo ↗
Gover Compliance Management System Screenshot
Yhteydenotto

Ota yhteyttä asiantuntijoihimme

Keskustellaanko yrityksenne tietoturvatarpeista? Täytä oheinen lomake ja olemme teihin yhteydessä mahdollisimman pian.