ISO/IEC 42001 – AI irányítási rendszer, ami nem több papír, hanem több kontroll
A mesterséges intelligencia ma már nem „jövő”, hanem a mindennapi működés része: használod ügyfélszolgálaton, dokumentumkezelésben, HR-ben, marketingben, fejlesztésben vagy akár ipari döntéstámogatásban. Sok szervezetnél viszont az AI bevezetése gyorsabban haladt, mint a kontrollok kiépítése. Ez érthető, mert az üzleti haszon gyorsan jön, a kockázatok viszont gyakran csak később láthatók – például amikor hibás döntés születik, adat kerül ki, reputációs kár keletkezik, vagy felmerül egy hatósági/jogi kérdés.
Az ISO/IEC 42001 éppen erre ad strukturált választ. Ez a szabvány a mesterséges intelligencia irányítási rendszerének (AI Management System – AIMS) nemzetközi keretrendszere. Nem azt írja elő, hogy milyen AI-t használj, hanem azt, hogy legyen egy olyan vállalati működési modell, amelyben az AI-használat kockázatalapon, felelősen, átláthatóan és auditálható módon történik. A szabvány különösen aktuális az AI-hoz kapcsolódó jogi, etikai és kiberbiztonsági elvárások (pl. EU AI Act, GDPR, NIS2 környezet) erősödése miatt.
Az ISO 42001 nemcsak AI-fejlesztőknek szól. Sokszor azoknak a szervezeteknek a leghasznosabb, akik nem fejlesztenek saját modellt, csak üzleti célra használnak AI-eszközöket vagy külső szolgáltatásokat. Kifejezetten releváns, ha AI-t használtok döntéstámogatásra, generatív AI-ra (szöveg, kép, kód), érzékeny adatok mellett, vagy ha több részleg „szétszórtan” használ AI-t és már nehezen követhető, mi történik a háttérben.
A szabvány legfontosabb üzenete az, hogy az AI-t úgy kell kezelni, mint egy üzletkritikus rendszert: legyen AI politika és irányítás, kijelölt felelősségek és döntési jogok, AI leltár/nyilvántartás, életciklus-szemlélet (bevezetés–működtetés–változtatás–kivonás), valamint olyan kontrollok, amelyek kezelik a tipikus AI kockázatokat. Ide tartozik többek között a torzítás (bias) és diszkrimináció kockázata, a hibás vagy félrevezető output (hallucináció), az adatminőségi problémák, a magyarázhatóság kérdése, az adat- és titokvédelmi kockázatok, illetve a modell elleni kiberfenyegetések (pl. prompt injection). A szabvány ezen felül hangsúlyozza a beszállítói/partnerkockázatok kezelését és az incidensek kezelésének auditálható rendjét is.
ISO 42001 témájú cikkeiben részletesen bemutatjuk az AI irányítási rendszer gyakorlati felépítését, az AI leltár és kockázatértékelés módszertanát, a jóváhagyási és kontrollfolyamatokat, valamint azt, hogyan lehet az AI-használatot úgy szabályozni, hogy az egyszerre maradjon gyors, üzletileg hasznos és megfelelhető.