ГОСТ Р ИСО/МЭК 42001-2024

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ИСКУССТВЕННЫЙ ИНТЕЛЛЕКТ

Система менеджмента

Artificial intelligence. Management system

ОКС 35.020

Дата введения 2025-01-01

Предисловие

1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "Институт развития информационного общества" (ООО "ИРИО") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 164 "Искусственный интеллект"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 28 октября 2024 г. № 1549-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 42001:2023* "Информационные технологии. Искусственный интеллект. Система менеджмента" (ISO/IEC 42001:2023 "Information technology - Artificial intelligence - Management system", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

Введение

Технологии искусственного интеллекта (ИИ) все чаще применяются во всех сферах деятельности, в которых используются информационные технологии, и, как ожидается, станут одним из основных факторов, влияющих на экономическое развитие. Вследствие этой тенденции, некоторые приложения могут привести к возникновению социальных проблем в ближайшие годы.

Цель настоящего стандарта - помочь организациям ответственно выполнять свою роль в отношении систем ИИ (например, использовать, разрабатывать, осуществлять мониторинг работы или предоставлять продукты или услуги, использующие ИИ). Применение ИИ освещает такие вопросы, как:

- автоматическое принятие решений с использованием ИИ непрозрачным и необъяснимым способом может потребовать специального управления, выходящего за рамки управления классическими информационными системами;

- использование анализа данных, инженерии знаний и машинного обучения, а не предписанной человеком логики проектирования систем, с одной стороны, расширяет возможности применения систем ИИ, а с другой - изменяет способ разработки, обоснования и развертывания таких систем;

- при функционировании систем ИИ с непрерывным обучением меняется их поведение, поэтому к ним требуется особое внимание.

Настоящий стандарт содержит требования к созданию, внедрению, поддержанию в рабочем состоянии и постоянному улучшению системы менеджмента ИИ в среде организации. Организациям следует обращать основное внимание на применении требований к характеристикам, специфическим для ИИ. Ввиду определенных особенностей ИИ, таких как способность к постоянному обучению и улучшению либо отсутствие прозрачности или объяснимости, может потребоваться использование различных мер предосторожности в случае, если при выполнении задачи с помощью ИИ возникают дополнительные опасения по сравнению с выполнением задачи традиционным способом. Внедрение системы менеджмента ИИ для расширения существующих структур управления является стратегическим решением для организации.

На создание и внедрение системы менеджмента ИИ оказывают влияние следующие факторы: потребности и цели организации, процессы, размер и структура, а также ожидания различных заинтересованных сторон. Другими факторами, влияющими на создание и внедрение системы менеджмента ИИ, являются многочисленные варианты использования ИИ и необходимость соблюдения надлежащего баланса между механизмами стратегического управления и инновациями. Организации могут предпочесть применять эти требования, используя подход, основанный на оценке рисков, чтобы гарантировать, что соответствующий уровень контроля применяется только в отношении конкретных вариантов использования, услуг или продуктов ИИ в пределах сферы деятельности организации. Ожидается, что все эти факторы влияния со временем будут меняться, поэтому следует время от времени проводить их ревизию.

Система менеджмента ИИ должна быть интегрирована с процессами организации и общей структурой управления. При проектировании процессов, информационных систем и разработке мер управления должны быть учтены конкретные факторы, связанные с ИИ. Критически важными примерами таких процессов управления являются:

- определение организационных целей, вовлечение заинтересованных сторон и формирование организационной политики;

- управление рисками и возможностями;

- управление факторами, связанными с надежностью систем ИИ, такими как защита, безопасность, справедливость, прозрачность, качество данных и качество систем ИИ на протяжении всего их жизненного цикла;

- управление взаимоотношениями с поставщиками, партнерами и третьими сторонами, которые предоставляют или разрабатывают системы ИИ для организации.

В настоящем стандарте содержатся рекомендации по развертыванию применимых мер управления для поддержки таких процессов и отсутствуют конкретные указания по процессам управления. Для внедрения таких важнейших процессов как управление рисками, жизненным циклом и качеством данных, которые подходят для конкретных случаев использования ИИ, продуктов или услуг, организация может сочетать общепринятые концепции, другие международные стандарты и свой собственный опыт.

Организация, соответствующая требованиям настоящего стандарта, может создать свидетельство своей ответственности и подотчетности касательно своей роли в отношении систем ИИ.

Порядок, в котором в настоящем стандарте представлены требования, не отражает их важности и не подразумевает порядок, в котором они должны быть реализованы. Нумерация элементов списка носит исключительно справочный характер.

Совместимость с другими стандартами систем менеджмента

В настоящем стандарте применяется гармонизированная структура (идентичные номера разделов, идентичные названия разделов, идентичный текст, общие термины и основные определения), разработанная для улучшения согласованности между стандартами ИСО на системы менеджмента (ССМ).

Система менеджмента ИИ предъявляет специфические требования к управлению проблемами и рисками, возникающими в результате использования ИИ в организации. Этот общий подход облегчает реализацию и согласованность с другими стандартами ИСО на системы менеджмента, например со стандартами, связанными с качеством, безопасностью, защитой и неприкосновенностью частной жизни.

     1 Область применения

Настоящий стандарт определяет требования и рекомендации по созданию, внедрению, поддержанию в рабочем состоянии и постоянному улучшению системы менеджмента искусственного интеллекта (ИИ) в среде организации.

Настоящий стандарт предназначен для использования организациями, предоставляющими или использующими продукты или услуги, применяющие системы ИИ. Настоящий стандарт призван помочь организациям ответственно разрабатывать или использовать системы ИИ для достижения своих целей и соответствовать применимым требованиям, обязательствам, связанным с заинтересованными сторонами, и ожиданиями от них.

Настоящий стандарт применим к любой организации независимо от размера, типа и рода деятельности, которая предоставляет или использует продукты или услуги, применяющие системы ИИ.

     2 Нормативные ссылки

В настоящем стандарте использована нормативная ссылка на следующий стандарт [для датированной ссылки применяют только указанное издание ссылочного стандарта, для недатированной - последнее издание (включая все изменения)]:

ISO/IEC 22989:2022, Information technology - Artificial intelligence - Artificial intelligence concepts and terminology (Информационные технологии. Искусственный интеллект. Термины и определения, связанные с искусственным интеллектом)

     3 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 22989, а также следующие термины с соответствующими определениями.

ИСО и МЭК поддерживают терминологические базы данных для применения в сфере стандартизации по следующим адресам:

- платформа онлайн-просмотра ИСО: доступна по адресу: http://www.iso.org/obp;

- Электропедия МЭК: доступна по адресу: http://www.electropedia.org/.

3.1 организация (organization): Лицо или группа людей, связанные определенными отношениями, имеющие ответственность, полномочия и выполняющие свои функции для достижения их целей (3.6).

Примечание 1 - Понятие организации включает в себя, но не ограничивается следующими примерами: индивидуальный предприниматель, компания, корпорация, фирма, предприятие, орган власти, товарищество, ассоциация, благотворительные учреждения, а также их часть или их объединение, являющиеся юридическим лицом или нет, государственные или частные.

Примечание 2 - Если организация является частью более крупного предприятия, термин "организация" относится только к той части более крупного предприятия, которая входит в область применения системы менеджмента ИИ (3.4).

3.2 заинтересованная сторона (interested party, stakeholder): Лицо или организация (3.1), которые могут воздействовать на осуществление деятельности или принятие решения, быть подверженными их воздействию или воспринимать себя в качестве последних.

Примечание - В ИСО/МЭК 22989:2022, 5.19, представлен обзор ролей заинтересованных сторон в области ИИ.

3.3 высшее руководство (top management): Лицо или группа людей, осуществляющих руководство и управление организацией (3.1) на высшем уровне.

Примечание 1 - Высшее руководство имеет право делегировать полномочия и предоставлять ресурсы в рамках организации.

Примечание 2 - Если область применения системы менеджмента (3.4) охватывает только часть организации, под высшим руководством подразумевают тех, кто осуществляет руководство и управляет этой частью организации.

3.4 система менеджмента (management system): Совокупность взаимосвязанных или взаимодействующих элементов организации (3.1) для разработки политик (3.5), целей (3.6) и процессов (3.8) для достижения этих целей.

Примечание 1 - Система менеджмента может относиться к одному или нескольким аспектам деятельности.

Примечание 2 - Элементы системы менеджмента определяют структуру организации, роли и ответственность, планирование и функционирование.

3.5 политика (policy): Намерения и направления деятельности организации (3.1), официально сформулированные ее высшим руководством (3.3).

3.6 цель (objective): Результат, который должен быть достигнут.

Примечание 1 - Цель может быть стратегической, тактической или оперативной.

Примечание 2 - Цели могут относиться к разным аспектам [например, финансовые цели, цели в области здоровья и безопасности, экологии), а также применяться на разных уровнях (например, организации в целом, проекта, продукции или процесса (3.8)].

Примечание 3 - Цель может быть выражена разными способами, например, в виде намеченного результата, намерения, критерия работы, цели в области ИИ или другими словами со схожими значениями (например, целевая установка, заданная величина или задача).

Примечание 4 - В контексте системы менеджмента ИИ (3.4) цели в области ИИ, устанавливаемые организацией (3.1), согласуют с политикой в области ИИ (3.5) для достижения определенных результатов.

3.7 риск (risk): Влияние неопределенности.

Примечание 1 - Влияние выражается в отклонении от ожидаемого результата - позитивном или негативном.

Примечание 2 - Неопределенность является состоянием, связанным с недостатком (даже частично) информации, понимания или знания о событии, его последствиях или вероятности.

Примечание 3 - Риск часто определяют по отношениям к потенциальным событиям (как определено в Руководстве ИСО 73) и их последствиям (как определено в Руководстве ИСО 73) либо к их комбинации.

Примечание 4 - Риск часто выражается в терминах комбинации последствий события (включая изменения в обстоятельствах) и связанных с ними вероятностей (как определено в Руководстве ИСО 73) возникновения.

3.8 процесс (process): Совокупность взаимосвязанных и (или) взаимодействующих видов деятельности, использующих или преобразующих входы для получения результата.

Примечание - В зависимости от контекста "результат" называется выходом, продукцией или услугой.

3.9 компетентность (competence): Способность применять знания и навыки для достижения намеченных результатов.

3.10 документированная информация; документ (documented information): Информация, которая должна управляться и поддерживаться организацией (3.1), и носитель, который ее содержит.

Примечание 1 - Документированная информация может быть любого формата, на любом носителе и происходить из любого источника.

Примечание 2 - Документированная информация может относиться:

- к системе менеджмента (3.4), включая соответствующие процессы (3.8);