人工智能管理体系成文信息（文件和记录）策划清单（基于《ISO∕IEC 42001-2023》）（雷泽佳编制2024A0）

人工智能管理体系成文信息（文件和记录）策划清单（通用于各行业）（基于《ISO∕IEC42001-2023信息技术-人工智能管理体系》）ISO∕IEC42001-2023章节标题成文信息（文件和记录）名称成文信息（文件和记录）内容概述对应ISO∕IEC42001-2023标准条款和具体内容4组织环境4.1理解组织及其环境组织概况详细描述组织的宗旨、愿景、使命、业务范围等关键信息4.1组织应确定与其宗旨相关的，并影响其实现人工智能管理体系预期结果的能力的内部和外部因素内外部环境评估报告评估组织的内外部环境因素，包括法律要求、监管机构政策、市场竞争、文化价值观等4.1组织应考虑组织开发、提供或使用的人工智能系统的预期目的组织应确定其在人工智能系统中的角色人工智能系统角色定位文档详细描述组织在人工智能系统中的角色，如提供商、生产者、客户等，并明确各角色的职责和范围4.1为了了解组织及其环境，组织确定其相对于人工智能系统的角色可能会有所帮助人工智能系统开发和使用预期目的文档明确组织开发、提供或使用人工智能系统的预期目的，以及这些目的如何支持组织的目标和宗旨4.1组织应考虑组织开发、提供或使用的人工智能系统的预期目的法律合规性文档记录组织在人工智能系统开发、提供和使用过程中需要遵守的法律要求，如数据保护法、隐私政策等4.1注1:外部环境相关的考虑，如适用的法律要求合同和协议记录保存与人工智能系统开发、提供和使用相关的所有合同和协议，确保组织遵循合同义务4.1注1&2:内部环境相关的考虑，如合同义务组织治理结构和方针描述组织的治理结构、管理方针和程序，确保人工智能系统的开发和使用符合组织的战略方向和目标4.1注1:内部环境相关的考虑，如组织环境、治理、目标、方针和程序人工智能系统影响评估记录记录对人工智能系统对个人和社会影响的评估结果，确保组织在开发和使用过程中考虑这些影响4.1组织应考虑组织开发、提供或使用的人工智能系统的预期目的风险识别和管理计划识别和管理与人工智能系统开发和使用相关的风险，确保组织有能力应对这些风险4.1组织应确定与其宗旨相关的，并影响其实现人工智能管理体系预期结果的能力的内部和外部因素相关方识别和管理文档记录与人工智能系统开发和使用相关的所有相关方，并明确管理这些相关方的策略和方法4.1组织应考虑组织开发、提供或使用的人工智能系统的预期目的组织应确定其在人工智能系统中的角色4.2理解相关方的需求和期望相关方识别清单列出与人工智能管理体系相关的所有相关方，如客户、供应商、监管机构、员工等4.2组织应确定与人工智能管理体系有关的相关方相关方需求分析报告分析各相关方的具体需求，包括性能、安全、隐私、透明度等方面的要求4.2组织应确定这些相关方的有关要求相关方期望收集表收集并记录相关方对人工智能系统及其管理体系的期望，如系统可用性、可靠性等4.2组织应确定这些相关方的有关要求需求与期望映射文档将相关方的需求与期望映射到人工智能管理体系的具体要求和控制上，确保需求得到满足4.2组织应确定哪些要求将通过人工智能管理体系予以解决满意度调查记录定期进行相关方满意度调查，记录结果，用于评估人工智能管理体系的有效性并持续改进4.2组织应理解相关方的需求和期望，并考虑如何满足这些需求和期望沟通和反馈记录记录与相关方的沟通内容和反馈，确保双方的信息畅通，及时调整管理策略以满足相关方需求4.2组织应确保与相关方的有效沟通，以便理解他们的需求和期望4.3确定人工智能管理体系的范围人工智能管理体系范围确定文档详细说明人工智能管理体系的边界和适用性，包括纳入和排除的范围4.3组织应确定人工智能管理体系的边界和适用性，以确定其范围内外因素评估报告分析并记录影响人工智能管理体系的内部和外部因素，如组织的战略方向、相关方的需求和期望等4.3组织应根据4.1提及的内部和外部因素确定范围相关方需求与期望分析摘要总结并记录与人工智能管理体系相关的相关方的需求和期望，以及这些需求如何影响范围确定4.3组织应根据4.2提及的要求确定范围边界定义和适用性声明清晰地定义人工智能管理体系的边界，并声明其适用性，确保范围明确且可验证4.3范围应作为成文信息可获取范围变更记录记录人工智能管理体系范围的任何变更，包括变更的原因、影响以及相应的应对措施4.3范围应根据内部和外部因素的变化以及相关方需求和期望的变化进行定期评审和更新范围评审报告定期对人工智能管理体系的范围进行评审，确保其与组织的战略目标、业务环境和相关方需求保持一致4.3组织应定期评审人工智能管理体系的范围，以确保其持续适宜性和有效性4.4人工智能管理体系人工智能管理体系手册全面描述组织的人工智能管理体系，包括体系的目标、结构、过程和相互作用4.4组织应按照本文件的要求，建立、实施、保持、持续改进人工智能管理体系，并形成文件过程流程图以图形方式展示人工智能管理体系的主要过程和它们之间的相互作用，确保过程清晰可见4.4组织应形成文件，包括所需的过程及其相互作用过程描述文档对每个关键过程进行详细描述，包括其输入、输出、活动、责任人、执行标准等4.4组织应形成文件，包括所需的过程及其相互作用程序文件针对关键过程制定详细的操作程序，指导员工如何执行过程，确保过程的一致性4.4组织应形成文件，包括所需的过程及其相互作用5领导作用5.1领导作用和承诺最高管理者承诺声明声明最高管理者对人工智能管理体系的领导作用和承诺，强调与组织战略方向的一致性最高管理者应通过以下方式展示对人工智能管理体系的领导作用和承诺：人工智能方针方针明确了组织在人工智能领域的原则、目标和承诺，为体系运行提供指导——确保制定人工智能方针（见5.2）人工智能目标设定文档文档详细描述了组织的人工智能目标，并与组织的战略方向保持一致——确保制定人工智能目标（见6.2），并与组织的战略方向保持一致；业务过程整合计划计划描述了如何将人工智能管理体系的要求融入组织的业务过程，确保一致性和协调性——确保将人工智能管理体系的要求融入组织的业务过程；资源分配决策记录记录展示了最高管理者为人工智能管理体系提供的资源分配决策，确保体系实施的有效性——确保具备人工智能管理体系所需的资源；内部沟通记录记录反映了最高管理者与内部员工沟通人工智能管理体系重要性及符合性要求的努力——沟通有效的人工智能管理和符合人工智能管理体系要求的重要性；预期效果评估报告报告展示了人工智能管理体系实施后的预期效果评估结果，确保体系的有效性和成果——确保人工智能管理体系实现预期效果；领导作用指导文件文件为相关人员提供了关于如何促进人工智能管理体系有效性的指导和支持——指导和支持有关人员促进人工智能管理体系的有效性；持续改进计划计划详细描述了推动人工智能管理体系持续改进的措施和目标，体现了最高管理者的承诺——推动持续改进；领导作用支持记录记录反映了最高管理者如何支持其他相关人员在其职责范围内发挥领导作用，推动体系的发展——支持其他相关人员在其职责范围内发挥领导作用5.2人工智能方针人工智能方针文件文件详细阐述了组织的人工智能方针，确保其适合组织的宗旨，为制定人工智能目标提供框架，并包含满足适用要求的承诺和对持续改进人工智能管理体系的承诺最高管理者应制定一项人工智能方针，方针应：a)适合于组织的宗旨；b)为制定人工智能目标提供一个框架（见6.2）；c)包括满足适用要求的承诺；d)包括对持续改进人工智能管理体系的承诺方针引用政策记录记录显示了人工智能方针如何引用其他相关的组织政策，确保方针的一致性和完整性人工智能方针应引用其他相关的组织政策方针沟通记录记录反映了组织内部沟通人工智能方针的情况，确保所有相关人员了解并遵守方针人工智能方针应在组织内得到沟通方针获取权限记录记录显示了哪些相关方有权获取人工智能方针，确保方针的透明度和可获得性人工智能方针应适宜时，可为有关相关方所获取方针评审记录记录反映了人工智能方针的评审情况，包括评审的时间、参与人员、评审结果及后续改进措施，确保方针的持续适宜性和有效性注：ISO/IEC38507提供了组织在制定人工智能方针时的注意事项5.3岗位、职责和权限岗位、职责和权限分配文件文件详细描述了组织内与人工智能管理体系相关的各岗位的职责和权限，确保符合ISO/IEC42001要求最高管理者应确保在组织内部分配并沟通相关岗位的职责和权限岗位职责沟通记录记录显示了如何向各岗位人员沟通其职责和权限，确保相关人员清楚自己的责任范围最高管理者应分配职责和权限，以便：a)确保人工智能管理体系符合本文件的要求；权限调整记录记录反映了因组织变化或策略调整而进行的权限调整情况，确保权限分配的及时性和合理性（无直接对应条文，但反映了持续管理的要求）绩效报告流程文件文件描述了如何向最高管理者报告人工智能管理体系的绩效，包括报告周期、内容、形式等b)向最高管理者报告人工智能管理体系的绩效角色与责任定义文件文件具体定义了各角色在人工智能管理体系中的职责和权限，作为岗位分配的依据附件A（A.3.2）提供了定义和分配角色与责任的控制职责分配评审记录记录反映了定期对岗位职责分配进行评审的情况，确保职责分配与组织需求保持一致（无直接对应条文，但反映了持续改进和管理的要求）6策划6.1确定风险和机遇的措施6.1.1总则风险和机遇评估报告记录对人工智能管理体系进行策划时考虑的因素和要求，以及识别出的风险和机遇的详细评估结果组织应考虑4.1中提及的因素和4.2中提及的要求，并确定需要应对的风险和机遇人工智能风险准则文件文件定义了组织用于区分可接受与不可接受风险的风险准则，为风险评估和应对提供指导组织应建立和保持人工智能风险准则，以支持风险评估和应对风险评估记录记录对人工智能系统进行风险评估的过程和结果，包括识别出的风险、风险分析、风险等级确定等组织应规定并建立人工智能风险评估过程，识别并分析风险风险应对计划文件详细描述了针对识别出的风险所制定的应对措施，包括风险应对方案、所需控制、实施计划等组织应确定人工智能风险应对过程，选择适当的应对方案，并编制计划风险应对措施实施记录记录风险应对措施的实施情况，包括实施步骤、结果评估等，确保措施的有效实施组织应实施风险应对计划，并保留实施记录风险影响评估记录记录对识别出的风险可能产生的影响的评估结果，包括潜在后果、现实可能性等组织应评估人工智能风险，将风险分析结果与风险准则进行比较，评估影响风险评审记录记录定期对风险管理活动进行评审的情况，包括风险评估的更新、风险应对计划的调整等组织应保留有关人工智能风险评估和应对的成文信息，并定期评审6.1.2人工智能风险评估人工智能风险评估过程文件文件详细描述了人工智能风险评估的完整过程，包括评估的范围、方法、工具、参考的准则等组织应规定并建立人工智能风险评估过程，该过程应引用并符合人工智能方针和人工智能目标风险评估方法文档文档说明了如何评估人工智能风险的详细步骤和方法，确保评估的一致性和有效性在设计上使重复的人工智能风险评估能够产生一致、有效和可比较的结果风险识别记录记录在风险评估过程中识别出的所有风险，包括风险的来源、性质和影响范围识别有助于或阴碍实现人工智能目标的风险风险分析记录记录对每个识别出的风险的分析结果，包括潜在后果、现实可能性以及风险等级的确定分析人工智能风险，评估潜在后果、现实可能性，并确定风险等级风险准则引用记录记录在风险评估过程中引用的风险准则，确保评估结果与准则的一致性将风险分析结果与风险准则进行比较风险排序和应对计划文档详细列出了风险排序的结果以及针对每个风险的应对计划，包括应对措施、优先级和责任人对评估的风险进行优先排序，以便进行风险应对风险评估评审记录记录对风险评估过程和结果的定期评审情况，确保评估的持续有效性组织应保留有关人工智能风险评估过程的成文信息，并定期评审6.1.3人工智能风险应对风险应对方案文件文档详细描述了针对每个识别出的风险所选择的风险应对方案，包括应对措施、责任人、时间表和所需资源组织应确定人工智能风险应对过程，选择适当的风险应对方案必要控制清单清单列出了实施所选风险应对方案所必需的所有控制，并与附件A中的控制进行比较，确保没有遗漏确定实施所选风险应对方案所必需的所有控制，并核实没有遗漏实施指南参考记录记录参考了附件B中与实施风险应对方案相关的控制实施指南，以确保控制措施的有效实施考虑附件B中的实施指南，以支持控制措施的有效实施额外控制需求和设计记录如果需要附件A以外的控制，记录这些额外控制的需求和设计过程，包括控制目标和控制措施确定是否需要额外控制，并设计或获取此类控制适用性声明声明详细说明了纳入和排除的控制及其理由，确保控制措施与组织的目标和外部要求一致编制适用性声明，说明纳入和排除控制的理由风险应对计划计划详细描述了风险应对的具体行动、时间表、责任人和预期结果，确保风险的有效管理制定风险应对办法，并获得管理层的批准控制沟通与获取记录记录显示了必要的控制措施如何在组织内部进行沟通，以及它们是否对相关方开放获取确保控制措施在组织内得到沟通，并适宜地向相关方提供风险应对评审记录记录定期评审风险应对过程和结果的情况，以确保应对措施的持续有效性和适应性组织应保留有关人工智能风险应对过程的成文信息，并定期评审6.1.4人工智能系统影响评估人工智能系统影响评估过程文件详细描述了评估人工智能系统对个人和社会潜在影响的步骤、方法和准则组织应确定过程，用于评估开发、提供或使用人工智能系统可能对个人和社会造成的潜在后果影响评估范围和方法文档文档说明了评估的范围（包括哪些个人和社会群体）和采用的评估方法（如定量、定性或混合方法）人工智能系统影响评估应确定人工智能系统的部署、预期使用和可预见的滥用对个人和社会造成的潜在后果具体技术和社会背景分析报告报告详细分析了部署人工智能系统的技术细节和相关的社会背景，以便准确评估潜在影响影响评估应考虑到部署人工智能系统的具体技术和社会背景以及适用的管辖范围影响评估结果记录记录评估过程中确定的所有潜在影响，包括正面的和负面的，以及相应的评估细节系统影响评估的结果应形成成文信息相关方提供的信息记录记录在适当情况下向组织规定的相关方提供的影响评估结果，包括提供的方式和接收方的反馈在适当情况下，可将系统影响评估的结果提供给组织规定的相关方特定学科影响评估报告对于特定学科（如物理安全、隐私或信息安全）进行的影响评估报告，这些报告可能包含更详细的分析和建议在某些情况下，组织可要求进行特定学科的人工智能系统影响评估影响评估更新记录记录对人工智能系统影响评估结果的定期更新，以确保评估的时效性和准确性随着技术和环境的变化，影响评估可能需要更新影响评估评审记录记录对影响评估过程和结果的定期评审，以确保评估的有效性和适用性组织应保留有关人工智能系统影响评估的成文信息，并定期评审6.2人工智能目标及其实现的策划人工智能目标设定文件详细列出组织在相关职能和层次制定的人工智能目标，确保与人工智能方针一致、可测量、考虑适用要求等组织应在相关职能和层次制定人工智能目标人工智能目标应符合人工智能方针人工智能目标可测量性评估记录评估并记录人工智能目标是否可测量，以及测量的方法和标准人工智能目标应可测量（如可行）适用要求分析记录分析并记录与人工智能目标相关的适用要求，确保目标制定时考虑到了这些要求人工智能目标应考虑到适用的要求目标监视计划制定计划，明确如何监视人工智能目标的实现情况，包括监视的频率、方法、责任人等人工智能目标应予以监视目标沟通记录记录人工智能目标的沟通情况，包括沟通的对象、时间、方式以及反馈信息等人工智能目标应予以沟通目标更新记录记录人工智能目标的更新情况，包括更新的原因、时间、新目标的设定等人工智能目标应适时更新人工智能目标实施策划文件详细描述实现人工智能目标的计划，包括要做什么、需要什么资源、由谁负责、何时完成以及如何评价结果等在规划如何实现其人工智能目标时，组织应确定相关要素资源配置计划列出实现人工智能目标所需的资源清单，包括人力资源、物资资源、技术资源等，并明确资源的分配和使用计划组织应确定实现人工智能目标所需的资源责任分配文件明确各相关部门和人员在实现人工智能目标中的职责和权限，确保责任的明确分配和追踪组织应确定由谁负责实现人工智能目标完成时间表制定人工智能目标的实现时间表，明确关键里程碑和完成时间，以便跟踪进度和评估效果组织应确定实现人工智能目标的完成时间结果评价计划设计评价计划，明确如何评估人工智能目标的实现效果，包括评价指标、评价方法、评价周期等组织应确定如何评价人工智能目标的实现结果6.3变更的策划变更需求识别记录记录变更需求的来源、识别过程及变更的必要性和紧迫性当组织确定有必要更改人工智能管理体系时...变更策划方案详细描述变更的范围、目标、步骤、资源需求、时间表和预期影响变更应按所策划的方式实施变更影响分析报告分析变更对人工智能管理体系、业务流程、利益相关者等方面的影响（变更策划时需要考虑的影响分析）风险评估记录对变更可能带来的风险进行评估，包括识别、分析、评价和应对（变更可能伴随的风险需要被管理）资源分配计划确定变更实施所需的资源，包括人力资源、物资资源和技术资源等（确保变更实施的资源保障）责任分配文件明确变更实施过程中各相关方的职责和权限，确保责任的明确分配和追踪（确保变更责任的有效落实）变更实施监控记录记录变更实施的进度、遇到的问题、采取的解决措施和变更的实际效果（确保变更按策划方案进行并达到预期效果）变更后评审报告对变更实施后的效果进行评审，总结经验教训，为未来的变更提供参考（确保变更效果的有效反馈和持续改进）相关方沟通记录记录与利益相关者就变更进行的沟通内容、方式和反馈，确保变更的透明度和可理解性（确保相关方对变更的知情和支持）变更管理程序文件描述组织变更管理的标准流程、方法和要求，为变更管理提供制度化和标准化的指导（确保变更管理活动的规范性和一致性）7支持7.1资源资源需求分析报告分析建立、实施、保持和持续改进人工智能管理体系所需的资源类型、数量和质量要求组织应确定并提供建立、实施、保持和持续改进人工智能管理体系所需的资源资源分配计划详细描述资源的分配情况，包括人力资源、物资资源、技术资源等，以及资源的来源、分配和使用计划资源清单列出组织现有和计划的资源，包括供应商信息、资源状态（如可用、预定、已分配等）和使用情况资源采购和合同文件记录资源采购的过程、合同内容、条款和条件，确保资源供应的可靠性和合规性资源维护和管理记录记录资源的维护、保养和更新情况，确保资源的持续可用性和性能资源使用记录记录资源的使用情况，包括使用量、使用频率、使用效果等，用于评估资源的使用效率和合理性资源评估报告定期评估资源的充足性、有效性和适宜性，识别资源不足或过剩的情况，提出改进措施资源改进计划根据资源评估结果，制定资源改进计划，包括资源增加、替换、更新等措施，确保资源的持续优化与资源供应商沟通记录记录与资源供应商的沟通内容、方式和结果，确保供应商了解组织的需求和要求，提供满足需求的资源资源使用培训记录记录对使用资源的人员的培训情况，确保他们具备正确使用和维护资源的能力和知识7.2能力能力管理程序文件描述组织能力管理的标准流程、方法和要求，为能力管理提供制度化和标准化的指导确保能力管理的规范性和一致性能力需求分析报告分析从事影响人工智能绩效工作的人员所需的能力要求，包括专业知识、技能和经验等组织应确定必要的能力能力评估记录记录对现有员工能力的评估结果，包括专业知识测试、技能考核和工作绩效评价等组织应确定必要的能力培训计划制定详细的培训计划，明确培训内容、培训方式、培训时间和培训资源等，以确保员工达到所需能力基于适当的教育、培训或经验，确保胜任培训实施记录记录培训活动的实施情况，包括培训参与人员、培训内容、培训方式和培训效果等基于适当的教育、培训或经验，确保胜任培训效果评估报告对培训活动的效果进行评估，包括员工能力提升情况、工作绩效改善情况等，评估培训的有效性基于适当的教育、培训或经验，确保胜任能力改进措施记录记录对未达到能力要求的员工采取的措施，如额外培训、指导、重新分配工作或雇用新人员等适用时，采取措施以获得所需能力能力验证记录记录员工在实际工作中展现的能力情况，包括工作成果、客户反馈等，验证员工是否达到所需能力适用时，采取措施以获得所需能力能力证书和资质文件收集并保存员工的能力证书和资质文件，作为员工能力的正式证明保留适当的成文信息作为能力证据能力审核报告定期对员工能力进行审核，确保员工持续具备所需能力，并提供审核报告保留适当的成文信息作为能力证据7.3意识意识培训材料提供给员工的培训材料，内容涵盖人工智能方针、员工在管理体系中的角色和责任、提高人工智能绩效的益处以及不符合要求的后果组织应确保人员知晓人工智能方针等内容意识培训实施记录记录意识培训活动的实施情况，包括参与人员、培训方式、培训内容和培训效果评估等组织应确保人员知晓人工智能方针等内容员工意识确认单员工签署的确认单，证明他们已接受意识培训并理解其内容组织应确保人员知晓人工智能方针等内容定期意识提升活动记录记录定期开展的意识提升活动，如内部会议、研讨会、宣传资料等，确保员工持续保持对人工智能管理体系的意识和理解组织应确保人员知晓人工智能方针等内容员工意识反馈调查收集员工对意识培训活动的反馈意见，了解培训效果，并据此改进后续的培训活动组织应确保人员知晓人工智能方针等内容不符合案例分享和讨论记录记录分享和讨论不符合人工智能管理体系要求的案例，以强调不符合要求的后果，增强员工的意识和警觉性组织应确保人员知晓不符合要求的后果人工智能管理体系宣传资料制作并发放给员工的宣传资料，介绍人工智能管理体系的目的、重要性和员工在其中的角色组织应确保人员知晓人工智能方针等内容员工手册或内部网站信息在员工手册或内部网站上发布关于人工智能管理体系的信息，包括方针、目标、流程等，便于员工随时查阅和了解组织应确保人员知晓人工智能方针等内容定期知识测试记录定期组织员工参与关于人工智能管理体系的知识测试，确保员工持续掌握相关知识组织应确保人员知晓人工智能方针等内容意识提升计划制定长期和短期的意识提升计划，明确目标、措施和时间表，以确保员工意识持续提升组织应确保人员知晓人工智能方针等内容7.4沟通沟通计划制定详细的沟通计划，明确沟通内容、时间、对象和方法，确保内部和外部沟通的一致性和有效性组织应确定与人工智能管理体系相关的内部和外部沟通内部沟通会议记录记录内部沟通会议的时间、地点、参与人员、讨论内容和决策等，确保内部各部门之间的信息畅通外部沟通函件或报告记录与外部利益相关方（如客户、监管机构等）的沟通函件或报告，包括沟通内容、回应和反馈等沟通效果评估报告评估沟通活动的效果，包括信息传达的准确性和及时性、接收方的理解程度以及反馈情况等沟通渠道管理记录记录沟通渠道的管理情况，包括渠道的建立、维护和使用情况，确保沟通渠道的畅通和有效沟通问题记录与解决方案记录沟通中遇到的问题及其解决方案，以便不断改进沟通方式和方法沟通培训材料为负责沟通工作的人员提供培训材料，包括沟通技巧、信息传递方法和注意事项等沟通反馈收集与分析报告收集并分析沟通对象的反馈意见，了解沟通效果，据此改进沟通策略和内容紧急情况沟通预案制定紧急情况下的沟通预案，明确沟通内容和方式，确保在紧急情况下能够迅速有效地传达信息定期沟通审查报告定期对沟通活动进行审查，评估沟通效果，提出改进措施，确保沟通活动的持续优化7.5成文信息7.5.1总则人工智能管理体系手册包含组织建立、实施、保持和持续改进人工智能管理体系的总体框架和关键要求，阐述组织在人工智能方面的方针、目标和管理承诺a)本文件要求的成文信息人工智能方针阐述组织对人工智能开发、使用和管理的基本原则和承诺，确保方针与组织战略保持一致a)本文件要求的成文信息过程控制程序描述组织在人工智能系统的开发、部署、运行和监视等关键过程中的控制要求和步骤a)本文件要求的成文信息工作指南提供给工作人员的具体操作指导，确保他们正确执行信息安全相关的任务b)组织所确定的、为确保人工智能管理体系有效性所需的成文信息数据管理政策与流程定义组织在人工智能系统中所使用数据的采集、处理、存储和使用的政策与流程，确保数据质量和合规性a)本文件要求的成文信息人工智能系统技术文档提供关于人工智能系统设计、开发、部署、运行和维护的详细技术文档，包括系统架构、算法描述、数据使用等b)组织确定的人工智能管理体系有效性所必需的成文信息用户手册和操作指南为用户提供人工智能系统的使用说明、操作指南和常见问题解答，确保用户能够正确、安全地使用系统b)组织确定的人工智能管理体系有效性所必需的成文信息7.5.2创建和更新成文信息文件/记录创建与更新指南包含文件/记录的创建、更新流程和标准，确保标识、说明、形式和载体的统一性a),b)标识和说明、格式和载体文件/记录评审与批准流程明确文件/记录在创建或更新后的评审和批准流程，确保适宜性和充分性c)评审和批准文件/记录标识和说明清单列出所有文件/记录的标识信息，包括标题、日期、作者、索引编号等a)标识和说明文件/记录版本控制表跟踪文件/记录的版本更新情况，包括更新日期、版本号、更新内容等a),b)标识和说明、格式和载体文件/记录发布与分发记录记录文件/记录的发布与分发情况，包括接收部门、接收人、分发日期等b)格式和载体电子文件管理系统操作手册若使用电子文件管理系统，应提供操作手册，包括文件的创建、更新、评审、批准、发布等流程b)格式和载体电子文档属性设置对于电子格式的成文信息，设置文档属性，包括标题、作者、关键词、创建日期、修改日期等，方便信息的检索和管理b)格式和载体（如电子格式）纸质文档控制表记录纸质文档的名称、编号、存放位置、借阅记录等信息，确保纸质文档的安全性和可追溯性b)格式和载体（如纸质格式）评审与批准记录记录文件/记录在评审和批准过程中的相关信息，如评审人员、批准人员、评审日期等c)评审和批准7.5.3成文信息的控制文件分发记录记录文件的分发情况，包括接收部门、接收人、分发日期、分发数量等，确保文件分发到正确的接收者c)分发文件访问权限设置设置文件访问权限，明确哪些人员可以访问哪些文件，确保文件不被未经授权的人员访问c)访问文件检索指南提供文件检索的指南或系统，方便相关人员快速找到所需的文件c)检索文件使用记录记录文件的使用情况，如使用时间、使用人、使用目的等，确保文件被正确和合法地使用c)使用文件存储和保护规程制定文件存储和保护的规程，包括文件存储的位置、存储环境要求、保护措施等，确保文件不被损坏、丢失或泄露d)存储和保护文件版本控制规程明确文件的版本控制要求，包括版本号编制规则、版本更新流程、旧版本的处理等，确保文件的正确性和一致性e)更改控制文件保留和处理计划制定文件的保留和处理计划，明确文件的保留期限、处理方式等，确保文件的及时归档和合规处理f)保留和处理外部文件识别和控制记录记录外部文件的来源、获取方式、审批情况等，确保外部文件的可靠性和适用性控制组织确定的策划和运行人工智能管理体系所必需的来自外部的成文信息文件定期审查记录定期审查文件的有效性和适用性，记录审查结果和必要的更新措施，确保文件的时效性和准确性保持成文信息的适宜性和充分性文件安全审核日志记录对文件的访问、修改等安全相关操作的日志，以便追踪和审核文件的使用情况监控文件的访问和使用，确保文件的安全8运行8.1运行策划和控制人工智能管理体系运行准则详细描述组织为确保人工智能管理体系有效运行而建立的各项准则，包括过程目标、控制点、关键绩效指标等组织应策划、实施和控制满足要求和实施第6条确定的措施所需的过程，通过建立过程准则过程控制实施记录记录组织如何根据已建立的准则实施过程控制，包括但不限于遵循准则的操作记录、关键活动执行情况等组织应根据准则实施过程控制与人工智能管理体系运行相关的控制记录根据6.2.3确定的与人工智能管理体系运行相关的控制措施（如AI系统开发和使用生命周期相关的控制）的详细实施记录组织应实施根据6.2.3确定的与人工智能管理体系运行相关的控制控制有效性监视记录记录组织对实施的控制措施进行监视的结果，以及任何必要的纠正措施，确保控制措施的有效性应监视这些控制的有效性，如果未能实现预期结果，应考虑采取纠正措施变更控制记录记录组织对人工智能管理体系策划的变更情况，包括变更的原因、影响评估、审批记录以及减轻不利影响的措施组织应控制策划的变更，评审非预期变更的后果，必要时，采取措施减轻不利影响外部提供过程、产品或服务的控制记录记录组织如何确保与人工智能管理体系相关的外部提供的过程、产品或服务得到有效控制，包括供方评估、合同要求、服务验证等组织应确保与人工智能管理体系相关的外部提供的过程、产品或服务得到控制过程绩效评估报告定期评估人工智能管理体系运行过程的绩效，识别改进点，制定改进措施，并跟踪改进效果组织应定期评估过程绩效，确保管理体系的持续优化和改进8.2人工智能风险评估人工智能风险评估计划描述组织进行人工智能风险评估的计划，包括评估的时间间隔、触发条件（如重大变更）、评估方法和步骤等组织应按照6.1.2的规定策划的时间间隔内或在提出重大变更时，进行人工智能风险评估人工智能风险评估准则定义风险评估中使用的标准和尺度，包括如何区分可接受与不可接受的风险、风险等级的划分等组织应建立和保持人工智能风险准则，以支持区分可接受与不可接受的风险等风险评估输入记录记录用于风险评估的所有输入信息，如系统描述、已知风险、历史数据等组织应确保在风险评估中考虑了所有相关输入信息风险评估输出记录记录风险评估的结果，包括识别出的风险、风险等级、风险影响分析、风险应对措施等组织应保留所有人工智能风险评估结果的成文信息风险应对措施记录记录针对识别出的风险所采取的风险应对措施，包括控制措施、监视和评估计划等组织应确定并实施适当的风险应对措施风险评估报告汇总人工智能风险评估的结果和结论，包括风险评估的过程、结果、建议的应对措施以及后续行动计划等组织应定期报告风险评估的结果，以便管理层和利益相关者了解当前风险状况风险评估变更记录记录风险评估计划或结果的任何变更，包括变更的原因、影响评估、审批记录等组织应监控和记录风险评估的任何变更8.3人工智能风险应对人工智能风险应对计划详细描述针对已识别的人工智能风险所制定的应对措施，包括控制措施、监视计划、资源分配等组织应按6.1.3实施人工智能风险应对计划风险应对措施实施记录记录风险应对措施的具体实施情况，包括实施时间、执行人员、实施步骤、执行结果等组织应执行风险应对计划中的措施，并保留相关记录风险应对措施有效性验证记录记录对风险应对措施有效性的验证过程和结果，包括验证方法、验证数据、验证结论等组织应验证风险应对措施的有效性新风险识别与应对记录当风险评估识别出新风险时，记录新风险的识别过程、评估结果以及新制定的应对措施当识别出新风险时，组织应执行风险应对过程风险应对方案评审与更新记录当风险应对计划确定的风险应对方案无效时，记录对风险应对方案的评审过程、评审结论以及更新后的风险应对措施当风险应对方案无效时，组织应评审和更新风险应对计划风险应对结果报告汇总人工智能风险应对的结果，包括应对措施的有效性、对组织影响的评估、未来行动计划等组织应保留所有人工智能风险应对结果的成文信息8.4人工智能系统影响评估人工智能系统影响评估计划描述组织进行人工智能系统影响评估的计划，包括评估的时间间隔、触发条件（如重大变更）、评估的方法和步骤等组织应根据6.1.4按照计划的时间间隔或在提出重大变更时执行人工智能系统影响评估影响评估输入记录记录用于影响评估的所有输入信息，如系统描述、预期用途、用户群体特征等组织在影响评估中应考虑人工智能系统的预期目的和用途、可能受到影响的个人和社会等因素影响评估输出记录记录影响评估的结果，包括个人和社会潜在影响的识别、分析、评估和处理措施等组织应保留所有人工智能系统影响评估结果的成文信息对个人和群体影响的分析记录详细记录人工智能系统对个人或群体可能产生的积极影响和消极影响，如公平性、问责制、透明度等组织应评估并记录人工智能系统对个人或群体的潜在影响对社会影响的分析记录记录人工智能系统可能产生的社会影响，如环境可持续性、经济影响、政府事务等组织应评估并记录其人工智能系统在整个生命周期中可能产生的社会影响影响评估结论报告汇总人工智能系统影响评估的结论，包括影响程度、潜在风险、建议的缓解措施和未来行动计划等组织应基于影响评估的结果，制定并实施适当的缓解措施影响评估变更记录记录影响评估计划或结果的任何变更，包括变更的原因、影响评估、审批记录等当人工智能系统或其应用发生变更时，组织应重新评估其潜在影响9绩效评价9.1监视、测量、分析和评价监视和测量计划描述组织如何监视和测量人工智能管理体系的绩效，包括监视的对象、频率、方法等组织应确定需要监视和测量什么，以及何时实施监视和测量监视和测量执行记录记录监视和测量活动的实际执行情况，包括执行时间、执行人员、监视结果等组织应使用适当的方法实施监视和测量数据分析记录记录对监视和测量数据的分析过程及结果，包括使用的分析工具、分析步骤、发现的问题和改进建议等组织应对监视和测量的结果进行分析和评价绩效指标和结果记录记录关键绩效指标的定义、测量值、比较结果等，反映人工智能管理体系的绩效情况组织应确定并使用合适的绩效指标来监视和测量体系绩效不符合项记录记录人工智能管理体系运行中出现的不符合项，包括不符合的性质、原因、影响和纠正措施等组织应记录不符合项，以支持体系改进绩效评价报告总结人工智能管理体系的绩效评价结果，包括绩效分析、改进建议和未来行动计划等组织应评价人工智能管理体系的绩效和有效性，并作为结果证据可获取9.2内部审核9.2.1总则内部审核计划描述内部审核的时间表、范围、目标、审核准则、审核员职责以及预期的审核输出9.2.1总则-组织应按照策划的时间间隔进行内部审核9.2.2内部审核程序内部审核方案包含内部审核的频次、方法、审核准则、职责分配、策划要求和报告要求9.2.2内部审核方案-组织应策划、制定、实施和保持审核方案审核员资质记录记录审核员的资质、培训经历和审核经验，确保审核员的独立性和客观性9.2.2内部审核方案-选择审核员并实施审核，确保审核过程的客观性和公正性内部审核检查表用于指导审核员在审核过程中评估各项人工智能管理体系要求的符合性9.2.2内部审核方案-规定每次审核的审核准则和范围内部审核记录记录内部审核活动的实际执行情况，包括访谈记录、观察结果、文件审查记录等9.2.2内部审核方案-保留成文信息作为实施审核方案的证据不符合项报告记录审核中发现的不符合项详情，包括不符合的描述、原因、影响及建议的纠正措施9.2.2内部审核方案-确保将审核结果报告至相关管理者纠正措施计划针对不符合项制定的纠正措施计划，包括责任人、实施时间和验证要求9.2.2内部审核方案-确保不符合项得到妥善处理纠正措施实施记录记录纠正措施的实施情况，包括实施日期、执行人、实施结果和验证状态9.2.2内部审核方案-保留成文信息作为审核结果的证据内部审核报告总结内部审核的结果，包括符合性评估、不符合项详情、纠正措施建议及审核结论9.2.2内部审核方案-确保将审核结果报告至相关管理者内部审核后续行动计划基于审核结果制定的改进行动计划，包括优先级、责任人和完成时间9.2.2内部审核方案-用于指导后续改进活动的实施9.3管理评审9.3.1总则管理评审计划记录管理评审的目的、范围、主题、参加人员（包括治理机构、最高管理者和相关管理者）、时间和地点，以及参与者在评审过程中的职责和作用等确保评审的有序进行和全面性9.3.1总则-最高管理者应按照策划的时间间隔对组织的人工智能管理体系进行评审，以确保其持续的适宜性、充分性和有效性管理评审频次调整记录记录管理评审频次调整的原因和结果，如因内外部环境变化、合规风险评估结果等，导致增加或减少评审频次的情况确保评审频次的合理性和适应性9.3.1总则-最高管理者应定期评审人工智能管理体系，并根据需要调整评审频次管理评审会议记录记录管理评审会议的详细情况，包括会议时间、地点、参与人员、讨论内容、决策事项和行动项等确保评审结果的完整性和可追溯性9.3.1总则-管理评审应全面考虑人工智能管理体系的各个方面，并记录评审结果战略一致性评估记录记录对人工智能管理体系与组织战略方向一致性的评估结果，包括对比分析和评估结论确保合规管理体系与组织战略目标的协同性9.3.1总则-管理评审应考虑人工智能管理体系的适宜性，即与组织的目标保持一致管理评审效果评估记录记录对管理评审效果的评估结果，包括改进措施的实施情况、效果验证、持续改进点等作为持续改进人工智能管理体系的依据和参考9.3.1总则-管理评审应确保人工智能管理体系的充分性和有效性，包括评审改进措施的效果9.3.2管理评审输入管理评审记录记录每次管理评审的时间、地点、参与人员、评审议题和主要结论等管理评审应包括以往管理评审所采取措施的状况外部因素变化记录记录与人工智能管理体系相关的外部因素（如法律法规、市场趋势、技术进步等）的变化情况管理评审应包括与人工智能管理体系相关的外部因素的变化内部因素变化记录记录与人工智能管理体系相关的内部因素（如组织结构、资源状况、业务流程等）的变化情况管理评审应包括与人工智能管理体系相关的内部因素的变化相关方需求和期望变化记录记录与人工智能管理体系相关的相关方（如客户、合作伙伴、监管机构等）需求和期望的变化情况管理评审应包括与人工智能管理体系相关的相关方的需求和期望的变化不符合项及纠正措施记录记录人工智能管理体系中出现的不符合项，包括不符合的性质、原因、影响以及采取的纠正措施和效果评估管理评审应包括人工智能管理体系绩效信息，其中包括不符合及纠正措施的趋势监视和测量结果记录记录对人工智能管理体系监视和测量的