ISO∕IEC 42001-2023人工智能管理体系之14：“7支持-7.5成文信息”解读、实施流程和风险描述(雷泽佳编制-2024)

“7支持-7.5成文信息”解读、实施流程和风险描述ISO∕IEC42001-2023《信息技术-人工智能管理体系》之14：“7支持-7.5成文信息”解读、实施流程和风险描述(雷泽佳编制，2024年9月)第1部分：“7.5成文信息”解读“7.5成文信息”条文“7.5成文信息”标准条文解读7.5成文信息成文信息定义成文信息：指组织在人工智能管理体系中需要控制和持续保持的信息及其载体；多样格式与灵活载体：成文信息可以以任何格式存在，包括但不限于文字、图表、流程图、音频、视频等，同时其载体也多样化，可以是纸质文档、电子文件、云存储等；成文信息的广泛来源：成文信息不仅来源于组织内部，还可以来自任何外部来源，如行业标准、法律法规、政策文件、研究报告等。这种广泛的来源确保了成文信息的全面性和权威性，为组织提供了丰富的参考和依据；成文信息涉及：人工智能管理体系：包括人工智能方针、目标、过程、程序等，为管理体系的运作、行提供了明确的指导和规范；为组织运行而产生的信息（一组文件）：如操作手册、工作指南、政策文件等。这些信息以文件的形式存在，为组织的日常运行提供了详细的指导和支持；实现结果的证据（记录）：这些证据通常以记录的形式存在，记录了管理体系运行过程中的各项活动、决策和成果。7.5.1总则组织的人工智能管理体系应包括：a）本文件要求的成文信息；b）组织确定的人工智能管理体系有效性所必需的成文信息。7.5.1总则组织的人工智能管理体系应包括：ISO∕IEC42001-2023标准要求的成文信息；成文信息要求对应条款ISO∕IEC42001-2023组织应建立、实施、保持、持续改进人工智能管理体系，并形成文件4.4人工智能管理体系人工智能方针应以文件形式提供，并在组织内得到沟通，必要时可为相关方所获取5.2人工智能方针组织应保留为识别和应对人工智能风险和机会而采取的措施的成文信息6.1.1确定风险和机遇的措施组织应保留有关人工智能风险评估过程的成文信息6.1.2人工智能风险评估组织应保留所有人工智能风险应对结果的成文信息6.1.3人工智能风险应对影响评估的结果应形成成文信息，并在适当情况下提供给相关方6.1.4人工智能系统影响评估成文信息应作为监视和测量结果的证据可获取9.1监视、测量、分析和评价应提供成文信息，作为审核方案实施和审核结果的证据9.2内部审核成文信息应作为管理评审结果的证据可获取9.3管理评审成文信息应作为不符合的性质和所采取的任何后续措施的证据可获取10.2不符合和纠正措施组织确定的人工智能管理体系有效性所必需的成文信息；成文信息类别成文信息名称成文信息（文件/记录）内容概述方针与政策文件人工智能方针明确组织在人工智能领域的意图和方向，包括满足适用要求的承诺和对持续改进管理体系的承诺相关政策与人工智能管理相关的其他组织政策，如数据保护政策、隐私政策、信息安全政策等目标与指标文件人工智能目标与方针一致的可测量目标，包括战略性和操作性的目标绩效指标用于监控和测量目标实现情况的定量或定性指标程序与作业指导书管理过程程序如风险评估、风险应对、系统影响评估、内部审核、管理评审等流程的具体步骤和要求作业指导书针对特定任务或活动的详细操作步骤，如数据收集、数据处理、模型训练等记录与报告风险评估报告详细记录人工智能风险评估的过程、结果和应对措施系统影响评估报告评估人工智能系统对个人和社会潜在影响的报告内部审核报告内部审核的结果报告，包括发现的问题、纠正措施建议等管理评审报告管理评审的输出报告，包括持续改进的机会和变更管理体系的决定计划与控制文件资源计划包括人力资源、数据资源、系统资源等的分配计划培训计划针对员工的人工智能知识、技能提升的培训计划变更控制计划对管理体系变更进行控制的计划，包括变更申请、审批、实施和验证等步骤合规性文件合规性证明证明组织遵守相关法律法规、标准和其他要求的文件合规性评估报告定期对组织合规性进行评估的报告技术文件系统设计与开发文档包括需求规格说明书、设计文档、测试报告等系统操作手册指导用户如何操作和维护人工智能系统的手册技术架构图展示系统技术架构的图表沟通文件内部沟通文件如会议纪要、通知、简报等，用于组织内部的信息传递外部沟通文件如向相关方提供的报告、通知、合同等人工智能系统生命周期中可能涉及的不同类别的文件和记录。生命周期阶段成文信息类别人工智能系统生命周期成文信息概述起始需求规格说明书详细描述了系统的功能性和非功能性需求业务案例解释了系统的业务价值、预期ROI和长期目标业务或任务分析业务或任务分析报告定义了业务问题或机会，并建议了潜在的解决方案相关方需求和要求定义需求矩阵将相关方的要求映射到系统特性上系统要求定义系统要求规格说明书详细列出了系统的技术需求，包括性能、安全、隐私等要求系统架构定义系统架构设计文档描述了系统的整体架构和组件间的交互方式知识获取知识获取报告记录了收集到的领域知识及其来源人工智能数据工程数据集清单列出了所有用于训练、验证和测试的数据集数据标注指南描述了数据标注的标准和流程数据质量报告评估了数据集的完整性、准确性和偏差实施算法选择报告解释了为何选择特定机器学习算法模型训练日志记录了模型训练过程中的参数、迭代次数和性能指标模型调优报告描述了如何调整模型以优化性能集成集成测试计划描述了如何测试系统各组件的集成效果验证验证计划描述了验证活动的范围、方法和验收标准验证报告记录了验证结果，包括测试数据和性能指标转换部署计划描述了如何将系统部署到生产环境转换验收报告记录了部署过程中的问题和解决方案确认用户验收测试计划描述了如何测试系统是否满足用户需求用户验收测试报告记录了用户验收测试的结果和用户反馈运行运行手册提供了操作和维护系统的指南性能监控报告定期记录了系统的运行性能和稳定性维护维护记录记录了所有系统维护活动，包括错误修复和模型再训练模型再训练报告描述了模型再训练的原因、过程和结果风险管理风险管理计划描述了风险识别、评估和缓解的策略风险报告定期评估风险状态，记录新识别的风险和处理情况质量管理质量保证计划描述了如何确保系统符合质量标准的策略质量审核报告记录了质量审核的结果和改进建议处置退役计划描述了系统退役的步骤和资源回收计划数据销毁记录记录了敏感数据的销毁过程和结果注：对于不同组织，人工智能管理体系成文信息的多少与详略程度可以不同，取决于：——组织的规模，以及活动、过程、产品和服务的类型；——过程及其相互作用的复杂程度；——人员的能力。人工智能管理体系成文信息的差异性与影响因素人工智能管理体系的成文信息在制定时，会根据不同组织的特定情况进行调整，对于不同组织，人工智能管理体系成文信息的多少与详略程度主要取决于以下三个关键因素：组织的规模，以及活动、过程、产品和服务的类型对成文信息详略程度的影响；组织规模：小型组织：通常资源和能力有限，其人工智能管理体系的成文信息可能较为精简，聚焦于关键过程和决策点。这样的组织更倾向于制定核心策略和控制措施，以确保基本的人工智能活动得到有效管理；中型组织：随着规模的扩大，成文信息会相应增加，以覆盖更广泛的活动、过程和人员。这类组织可能需要制定更详细的政策和程序，以指导各部门之间的协作和资源共享；大型组织：由于活动范围广泛、产品和服务多样化，其人工智能管理体系的成文信息往往最为详尽。大型组织需要建立全面的管理体系，包括详细的策略、政策、程序、工作指令和记录，以确保跨部门的协调一致和高效运行。活动、过程、产品和服务的类型：高度专业化的活动：对于专注于特定领域或技术的组织，其成文信息会针对该领域的特定要求和风险进行详细阐述；复杂的产品和服务：提供复杂产品或服务的组织，其成文信息需要覆盖从设计、开发到部署和运维的全生命周期，以确保每个环节都能满足高质量和高安全性标准；多样化的业务线：拥有多条业务线的组织，其成文信息需要适应不同业务线的特定需求和挑战，可能包括行业特定的标准、法规和最佳实践。“过程及其相互作用的复杂程度”对成文信息详略程度的影响；简单过程：对于组织内部相对简单且独立的过程，成文信息可以较为简洁，主要关注过程的基本步骤、关键控制点和职责分配；复杂过程网络：当组织内部存在多个相互关联、相互依赖的复杂过程时，成文信息需要更加详尽。这不仅包括每个过程的具体描述和控制措施，还需要明确过程之间的接口、交互方式和数据流，以确保整个系统的协同运行和风险控制；动态过程：对于经常变化或需要快速响应市场需求的过程，成文信息需要具有足够的灵活性和可扩展性。这可能包括制定动态调整机制、应急响应计划和持续改进策略等。组织工作人员的能力对成文信息详略程度的影响。高能力团队：当组织拥有高度专业化的工作人员时，其成文信息可以相对简洁。这些员工通常具备丰富的经验和专业知识，能够迅速理解和适应复杂情况。因此，人工智能管理体系可以更侧重于原则和指导方针，而非详尽的操作细节；中等能力团队：对于能力适中的团队，成文信息应提供足够的指导和支持，以确保员工能够准确理解和执行关键任务。这可能包括详细的操作步骤、示例案例和常见问题解答等；初创或低能力团队：对于经验不足或新成立的团队，成文信息需要更加详尽和全面。除了基本的过程描述和控制措施外，还需要提供详细的培训材料、模拟演练和实时指导等，以帮助员工快速掌握关键技能和知识。7.5.2创建和更新成文信息在创建和更新成文信息时，组织应确保适当的：a）标识和说明（如标题、日期、作者、索引编号）；7.5.2创建和更新成文信息在创建和更新成文信息时，组织应确保适当的：标识和说明（如标题、日期、作者、索引编号）；标题：每份成文信息都应有一个清晰、准确的标题，以便于识别其主题和内容。标题应简洁明了，能够迅速传达文档的核心信息；日期：记录成文信息的创建日期或修订日期，有助于了解文档的时效性，便于跟踪和管理文档的版本变更；作者：标明成文信息的作者或编制人员，有助于了解文档的来源和背景，增强文档的可信度，并便于后续的沟通和协作；索引编号：为成文信息分配一个唯一的索引编号或标识码，便于文档的存储、检索和管理。索引编号应遵循组织的内部规范或标准，确保编号的唯一性和一致性。b）形式（如语言、软件版本、图表）和载体（如纸质的、电子的）；除了上述提到的标识和说明要素外，根据组织的具体需求和惯例，还可能包括以下典型的标识和说明：版本号：对于多次修订的文档，应记录版本号，以便于区分不同版本的内容；保密级别：对于涉及敏感信息的文档，应明确标注保密级别，以确保信息的适当保护；审批状态：记录文档的审批状态，如“已审批”、“待审批”等，以便于流程的跟踪和管理；关键字：为文档添加关键字或标签，以便于通过搜索引擎快速检索相关信息。形式（如语言、软件版本、图表）和载体（如纸质的、电子的）；成文信息的形式要求；在创建和更新成文信息时，组织需要确保采取适当的形式以便于信息的准确表达、易于理解及长期保存。这包括：语言：应选用清晰、准确且普遍能够理解的语言，避免使用过于专业化的术语或行业俚语，除非这些术语在特定上下文中是必要且已明确定义的。确保信息的受众能够理解所传达的内容；软件版本：对于电子格式的成文信息，应明确指定使用的软件版本。这有助于确保信息的兼容性，避免因软件更新导致的格式错乱或数据丢失。例如，使用MicrosoftWord2019版本编辑的文档，在发送前应明确告知接收方相应的软件版本需求；图表：当信息中包含大量数据或复杂逻辑时，使用图表（如柱状图、折线图、饼图、流程图等）可以有效地简化信息呈现，提高可读性。图表应清晰、准确，标注完整，确保读者能够迅速捕捉关键信息；PDF文档：优点：跨平台兼容性好，格式固定，不易被轻易编辑或篡改，便于打印和保存。应用场景：适合发布最终版本的报告、手册、标准等，确保内容的权威性和一致性。演示文稿（如PowerPoint,Keynote）：优点：便于展示和讲解，支持多媒体元素（如图片、视频、动画），增强信息传递的生动性和互动性。应用场景：培训、会议汇报、产品演示等场合。电子表格（如Excel）：优点：便于数据整理、分析和计算，支持排序、筛选、图表生成等功能。应用场景：财务管理、库存管理、数据分析等需要处理大量数据的场景。思维导图：优点：直观展示概念之间的层次和逻辑关系，帮助理清复杂问题。应用场景：战略规划、项目管理、知识整理等。项目计划工具（如MicrosoftProject）：优点：支持复杂项目的时间管理、资源分配、成本估算等，具有强大的项目规划和监控功能。应用场景：大型项目管理，确保项目按时、按预算、按质量要求完成。视频教程和动画：优点：生动形象，易于吸引注意力，适合复杂概念或操作过程的直观展示。应用场景：员工培训、产品演示、客户服务等。信息看板（如Trello,Jira）：优点：实时跟踪项目进度、任务分配、问题解决情况，提高团队协作效率。应用场景：敏捷开发、项目管理和团队协作。流程图和工作流：优点：清晰展示业务流程、审批流程、工作步骤等，便于理解和优化。应用场景：业务流程管理、质量管理、风险控制等。Wiki和知识库系统：优点：集中存储和管理组织的知识资源，便于多人协作编辑和查阅。应用场景：内部知识管理、客户服务支持、产品文档管理等。电子邮件和消息通信：优点：即时传递信息，支持附件和多媒体内容，便于远程沟通和协作。应用场景：日常沟通、项目协调、通知公告等。成文信息的载体要求。成文信息的载体决定了信息的存储、传播和访问方式，组织在创建和更新成文信息时，应根据实际需要选择合适的载体。常见的载体包括：纸质载体：纸质文档便于携带、阅读和批注，适合需要长时间保存或频繁查阅的信息。但需注意防潮、防火和防虫蛀等保护措施，以确保信息的完整性和安全性；电子载体：电子文档（如PDF、Word文档、Excel表格等）易于复制、编辑和分发，适合大规模、快速的信息传递。同时，电子载体也便于利用技术手段进行加密、备份和版本控制，提高信息的安全性和可追溯性。然而，电子载体依赖于特定的设备和软件，存在潜在的兼容性和安全性风险；云存储平台：云存储平台如Dropbox、GoogleDrive、OneDrive等提供了远程存储和访问文件的能力。这些平台便于团队成员之间共享和协作编辑文档，同时确保信息的安全性和备份；专业内容管理系统（CMS）：专业的内容管理系统如Confluence、Wiki、SharePoint等，不仅可以存储文本信息，还能管理图片、视频等多种格式的文件。这些系统通常具备版本控制、权限管理等功能，适合需要复杂文档管理和团队协作的场景；数据库：对于结构化数据，如项目信息、员工资料等，可以存储在数据库中。数据库管理系统（DBMS）如MySQL、Oracle、SQLServer等能够高效地组织、存储和检索这类信息，并支持复杂的查询和报表生成；项目管理软件：如Jira、Trello、Asana等项目管理工具，这些软件不仅用于任务分配和进度跟踪，还可以作为文档和会议记录的存储平台。它们通过标签、分类和搜索功能帮助用户快速定位所需信息；企业社交网络平台：如Yammer、Slack、MicrosoftTeams等，这些平台不仅用于即时通讯，还支持文件和消息的归档。用户可以在这些平台上分享和讨论文档，实现知识的积累和传承；专用硬件（如USB闪存盘、外接硬盘）：对于需要高度保密或离线存储的信息，可以使用USB闪存盘、外接硬盘等专用硬件设备。这些设备便于携带，但在使用过程中需要注意物理安全和防病毒措施；音频和视频文件：对于会议记录、培训资料等，可以采用音频和视频文件的形式存储。这些文件不仅包含了文字信息，还记录了语气、表情等非文字信息，有助于更准确地传达意图和情感。常见的格式包括MP3、WAV、MP4等；移动应用APP：随着移动设备的普及，许多企业开发了专属的移动应用来管理成文信息。这些应用结合了移动设备的便携性和网络应用的实时性，支持离线查看和在线同步功能。c）评审和批准，以保持适宜性和充分性。评审和批准，以保持适宜性和充分性。评审的必要性；评审的目的是对成文信息的准确性和完整性进行验证，确保其符合组织的信息安全管理体系要求、相关法律法规、行业标准以及内部政策等；通过评审，可以发现并纠正成文信息中的错误、遗漏或不一致之处，从而避免在实际应用中产生误导或风险。批准的重要性；批准是成文信息正式发布和使用的关键步骤。它标志着成文信息已经通过了必要的评审和验证，被组织认定为是准确、有效和适用的；批准过程通常涉及具有相应职责和权限的人员或团队，他们会对成文信息进行综合评估，并做出是否批准的决定。这一决定对成文信息的有效性和权威性具有重要影响。保持适宜性和充分性；适宜性：指成文信息应符合组织的实际情况和具体需求，能够指导组织的信息安全活动并达到预期的效果；充分性：指成文信息必须完整、全面，覆盖所有关键的信息安全方面，确保组织在应对各种信息安全挑战时都有据可依、有章可循。通过持续的评审和批准过程，组织可以确保成文信息始终与组织的目标、业务环境和外部要求保持一致，从而保持其适宜性和充分性。操作层面的具体要求。在创建和更新成文信息时，组织应制定明确的评审和批准程序，包括评审的标准、方法、参与人员及其职责等；评审和批准过程应留下详细的成文记录，以便追溯和审核。这些记录应包括评审的时间、地点、参与人员、评审意见、修改建议以及最终的批准决定等；在成文信息发布前，应确保所有相关的评审和批准手续已经完备，避免未经评审或批准的信息流入使用环节。7.5.3成文信息的控制应控制人工智能管理体系和本文件要求的成文信息，以确保其：a）在需要的场合和时机，均可获得并适用；7.5.3成文信息的控制组织应控制人工智能管理体系和ISO∕IEC42001-2023标准要求的成文信息，以确保其：成文信息的可获得性与适用性控制：在需要的场合和时机，成文信息应均可获得并适用；可获得性；确保随时访问：成文信息应确保在需要的时候能够迅速被相关人员访问。这要求组织建立一套高效的文件管理系统，使得信息能够按照预定的路径和方式流通；多渠道分发：除了传统的纸质文件，组织还可以利用数字化手段，如企业内部网、知识管理系统等，将成文信息电子化，便于远程访问和实时更新；定期备份：为了防止信息丢失，组织应定期对成文信息进行备份，并确保备份数据的安全性和可恢复性。适用性。准确性与最新性：成文信息必须准确反映当前的人工智能管理体系状态，避免过时或错误的信息误导决策。组织应建立信息更新机制，确保所有成文信息都是最新的；相关性：成文信息应与人工智能管理体系的实际运行紧密相关，能够直接指导实际工作。在编写成文信息时，应明确其目的和适用范围，避免产生冗余或无关的内容；易于理解：成文信息应以清晰、简洁的语言编写，便于不同背景和层次的人员理解。对于专业性较强的内容，应提供必要的解释和说明，以确保信息的有效传达。b）予以妥善保护（如：防止泄密、不当使用或缺失）。成文信息的妥善保护要求：成文信息应予以妥善保护（如：防止泄密、不当使用或缺失）；防止泄密；定义与重要性：泄密指成文信息未经授权被泄露给外部人员或机构，导致组织敏感信息外泄，可能引发商业风险或法律风险。防止泄密是成文信息保护的首要任务；实施措施：组织应采取物理安全措施（如安全存储柜、门禁系统）和技术安全措施（如数据加密、访问控制）来保护成文信息。同时，应制定严格的文件管理制度，限制接触敏感信息的人员范围，并对这些人员进行背景调查和保密协议签署。防止不当使用；定义与重要性：不当使用指成文信息被授权人员以非预期的方式使用，导致信息被滥用或误用。这可能影响组织的决策质量或运营效率；实施措施：组织应明确成文信息的使用权限和目的，确保信息仅用于授权范围内的活动。通过培训和教育，提高员工对信息使用的合规意识，并建立监控机制来跟踪信息的使用情况。防止缺失；定义与重要性：缺失指成文信息在存储或传输过程中丢失，导致信息无法被检索或使用。信息缺失可能导致业务中断、决策失误或合规风险。实施措施：组织应建立备份和恢复机制，定期对成文信息进行备份，并存储在安全可靠的位置。同时，应制定灾难恢复计划，以应对意外情况导致的信息丢失。此外，还应定期进行信息审核，确保信息的完整性和可用性。综合措施。制定成文信息管理政策：明确成文信息的分类、存储、访问、使用、备份和恢复等方面的要求，为信息保护提供政策指导。加强员工培训：定期对员工进行信息安全和成文信息管理方面的培训，提高员工的信息保护意识和能力。采用先进技术：利用加密技术、访问控制技术等先进技术手段，提升成文信息的安全防护水平。实施定期审核与监控：定期对成文信息进行审核和监控，确保信息保护措施的有效性和合规性。为控制成文信息，适用时，组织应进行下列活动：——分发、访问、检索和使用；注1：对于成文信息的“访问”可能意味着仅允许查阅或者意味着允许查阅和并授权修改。——存储和防护，包括保持可读性；——更改控制（如版本控制）；——保留和处置。成文信息的全面控制与管理。为控制成文信息，适用时，组织应进行下列活动：分发、访问、检索和使用；分发：确保成文信息能够被准确、及时地传递给需要的人员或部门，避免信息孤岛，保证信息的流通性和共享性；访问：设定合理的访问权限，确保只有经过授权的人员才能访问相关信息，防止信息泄露或滥用。注1中特别强调了成文信息“访问”权限的灵活性。这里的“访问”可能包含两层含义：仅允许查阅：在某些情况下，为了确保信息的保密性和安全性，组织可能仅允许相关人员查阅成文信息，而不允许其进行修改。这种权限设置适用于敏感或机密信息的保护，防止未经授权的篡改；允许查阅并授权修改：对于非敏感或需要动态更新的信息，组织可能会授权相关人员查阅并修改成文信息。这种权限设置有助于保持信息的时效性和准确性，同时需要建立相应的审核和批准机制，确保修改后的信息仍然符合组织的要求和标准。检索：建立便捷的信息检索机制，便于人员快速找到所需信息，提高工作效率；使用：在使用过程中，应确保信息的准确性和完整性，避免因信息错误或遗漏导致的不良后果。成文信息的存储与防护，包括保持可读性；存储活动的重要性；存储需求：组织应根据成文信息的性质和用途，选择合适的存储方式和介质。这些存储介质可以是纸质文档、电子文件、数据库等，确保信息能够被长期、安全地保存；集中管理：为了方便信息的检索和管理，组织应对成文信息进行集中存储，并建立清晰的目录结构和索引系统，便于快速定位和访问。防护措施的必要性；物理安全：对于纸质文档，应存放在防火、防水、防盗的专用档案室或文件柜中，确保文档不受外界物理因素的破坏。对于电子文件，应采用加密、备份、访问控制等技术手段，防止未经授权的访问和篡改；信息安全：确保存储环境的网络安全，防止黑客攻击和病毒入侵。同时，对敏感信息进行加密处理，即使信息被非法获取，也无法被轻易解读。保持可读性。格式兼容：在存储成文信息时，应注意保持文件的格式兼容性。确保在未来能够使用合适的软件或工具打开和查看这些信息，避免因技术更新导致的信息丢失或无法访问；定期维护：定期对存储介质进行检查和维护，确保信息的完整性和可读性。对于纸质文档，注意防潮、防虫；对于电子文件，定期进行数据恢复测试，确保备份的有效性。成文信息的更改控制（如版本控制）；通过版本控制，组织可以追踪每一份成文信息的修改历史，确保每次修改都被准确记录，并且新版本的发布得到妥善管理。具体来说，版本控制包括以下几个方面：标识与编号：为每一份成文信息分配唯一的版本号，并确保每次修改后版本号递增。这样，任何查阅成文信息的人员都能清楚地知道当前版本是第几版，以及它相较于前一版有何改动；修改记录：每次对成文信息进行修改时，必须记录修改的内容、时间、修改者以及修改原因。这些记录有助于后续的审计和追溯，确保所有修改都有据可查；审批流程：对于重要的成文信息修改，应设立审批流程。修改提议需经过相关负责人的审核，确保修改内容符合组织的政策、目标和信息安全要求。审批通过后，方可进行版本更新；发布与分发：新版本成文信息发布前，应确保所有旧版本已被妥善存档，并通知相关人员新版本的存在。新版本的分发应有序进行，避免新旧版本混用导致的混乱；培训与沟通：对于涉及广泛应用的成文信息修改，组织应组织培训活动，确保相关人员了解新版本的内容及其重要性。同时，通过内部沟通渠道广泛宣传新版本的存在及其变化点。成文信息的保留和处置。保留成文信息；目的：保留成文信息的目的是为了确保组织在需要时能够随时访问和使用这些信息，以支持ISMS的运行、监视、测量、审核和管理评审等活动；内容：需要保留的成文信息包括但不限于信息安全方针、目标、风险评估报告、风险处置计划、适用性声明（SoA）、监控记录、审核报告、管理评审报告等所有与ISMS相关的关键文件；要求：保留的成文信息应当清晰、准确、易于理解，并且随时可供授权人员查阅。同时，组织需要定期对这些信息进行评审和更新，以确保其与当前的安全环境和业务需求保持一致。成文信息的处置；目的：当成文信息不再需要时，组织应及时对其进行处置，以避免信息冗余、混乱和潜在的安全风险；流程：成文信息的处置应遵循一定的流程，包括识别不再需要的信息、评估其敏感性和保密性、采取适当的销毁或归档措施，并记录整个处置过程；注意事项：在处置成文信息时，组织应确保不会违反任何相关法律法规或合同条款的要求。对于敏感或机密信息，应采取额外的安全措施来防止信息泄露或被不当使用。综合控制。全生命周期管理：组织应对成文信息进行全生命周期管理，从创建、审批、发布、使用、更新到最终处置的每一个阶段都应进行有效控制；信息安全属性维护：在成文信息的整个生命周期中，组织应确保其完整性、保密性和相关性。完整性指信息在传输、存储和使用过程中未被未经授权的修改或破坏；保密性指信息只能被授权的人员访问和使用；相关性指信息与当前的业务需求和安全目标保持一致；技术与管理结合：成文信息的控制不仅依赖于技术手段（如加密、访问控制等），还需要与管理措施相结合（如制定信息分类标准、实施定期评审等），以形成全面的信息安全防护体系。对于组织所确定的策划和运行人工智能管理体系所必需的来自外部的成文信息，组织应进行适当识别，并予以控制。外部成文信息的识别与控制:对于组织所确定的策划和运行人工智能管理体系所必需的来自外部的成文信息，组织应进行适当识别，并予以控制。外部成文信息的识别；在策划和运行人工智能管理体系的过程中，组织首先需要明确哪些外部成文信息是必要的。这些外部信息可能包括行业标准、法律法规、最佳实践指南、技术规格说明等。组织应对这些信息的来源进行全面评审，确保不会遗漏任何对管理体系构建和运行至关重要的外部成文信息。人工智能管理体系相关外来成文信息示例外来成文信息分类外来成文信息具体内容外来成文信息概述法规与标准欧盟通用数据保护条例（GDPR）确保人工智能系统的数据处理符合隐私保护要求蒙特利尔人工智能道德准则为人工智能的发展和应用提供道德指导ISOIEC80001-1-2021《IT网络合并医疗设备用风险管理应用程序.第1部分:作用,职责和行为》医疗电气设备的相关标准，体现特定行业对技术应用的标准要求行业特定标准（如）ISO/IEC80001-1医疗IT网络中的风险管理标准行业报告与指南人工智能治理框架如世界经济论坛发布的AI治理框架，提供实施人工智能战略的指导原则最佳实践案例研究行业领先企业实施人工智能项目的成功案例市场研究报告分析人工智能技术的发展趋势、市场规模、竞争格局等技术文档与规范开源框架与库文档如TensorFlow、PyTorch的使用手册和API文档机器学习算法论文学术论文描述新算法的原理、实现和实验结果安全性与隐私保护指南针对人工智能系统的安全性设计、隐私保护措施的指南合作伙伴与供方提供的信息供方合同与SLA明确服务内容、质量标准、责任划分等第三方工具与平台文档使用第三方平台或工具的用户手册、API文档等国际组织与机构的建议联合国教科文组织（UNESCO）的AI道德原则为全球范围内的人工智能应用提供道德指导经济合作与发展组织（OECD）的AI原则为政府和企业提供在人工智能领域决策的指导框架用户反馈与市场需求分析市场调研报告收集并分析目标客户群体的需求和偏好客户反馈现有客户对人工智能产品或服务的评价和建议外部成文信息的控制。一旦识别出必要的外部成文信息，组织应对其进行严格的控制。这包括确保信息的准确性、完整性和时效性。组织应建立有效的机制来定期更新这些信息，以反映行业和技术发展的最新动态。此外，组织还应确保这些信息在组织内部得到适当的分发和使用，同时防止未经授权的访问和泄露。为了有效控制外部成文信息，组织可以采取以下措施：建立信息库：将所有外部成文信息存储在统一的信息库中，便于检索和管理；权限管理：设置合理的访问权限，确保只有经过授权的人员才能访问和使用这些信息；定期评审：定期对信息库中的内容进行评审，删除过时或无效的信息，补充新的信息；培训和沟通：定期对员工进行相关培训，确保他们了解并遵守外部成文信息的使用规定。同时，通过内部沟通渠道，及时将重要信息的更新通知到相关人员。第2部分：“7.5成文信息”流程控制表一级流程二级流程三级流程流程节点控制要点所期望输出成文信息策划确定成文信息需求需求分析与定义分析管理体系成文信息需求，包括标准要求和组织特定需求；确定成文信息类别和范围，考虑组织的规模、活动、过程、产品和服务的类型，以及过程复杂性和人员能力。成文信息需求清单制定成文信息管理策略管理策略制定制定成文信息管理策略，包括信息的收集、编写、评审、批准、分发、存储、版本控制、保留与处置等方面的政策；设定成文信息管理的关键绩效指标（KPIs）。成文信息管理策略文档成文信息创建与编制收集成文信息来源信息收集从内部和外部来源广泛收集成文信息，包括行业标准、法律法规、政策文件、研究报告等；整理并筛选收集到的信息，确保其准确性和相关性。收集的成文信息资料库编写成文信息内容内容编写根据信息需求编写成文信息内容，确保信息的准确性、完整性和清晰度；明确成文信息的目的和适用范围，避免冗余或无关内容。成文信息初稿设计成文信息格式与载体格式与载体设计选择合适的成文信息格式（如文字、图表、视频等），确保信息表达的准确性和易读性；确定成文信息的存储和分发载体（如纸质、电子、云存储等），考虑信息的可访问性和安全性。成文信息设计稿（含格式和载体说明）成文信息评审与批准成文信息内部评审组织内部评审组织内部专家对成文信息进行评审，确保信息的准确性、完整性和适用性；收集并整理评审意见，提出修改建议。内部评审报告及修改建议成文信息外部审核（如需要）第三方审核邀请第三方专家对成文信息进行审核，确保信息的客观性和中立性；处理外部审核意见，进一步修改和完善成文信息。外部审核报告及最终修改稿成文信息批准与发布高层批准与发布高层管理人员对成文信息进行最终批准，确保其符合组织战略和业务需求；发布成文信息，并确保其在组织内部的可达性和易用性。成文信息正式发布稿及发布通知成文信息控制成文信息分发与访问控制分发与访问控制制定成文信息分发计划，确保信息能够准确、及时地传递给相关人员；设定合理的访问权限和角色，控制信息的访问和修改权限，防止未经授权的访问和修改。成文信息分发计划和访问控制策略成文信息存储与保护存储与保护选择安全的存储介质和位置，实施数据加密、访问控制等安全措施，确保信息的安全性和完整性；定期对存储介质进行检查和维护，防止信息丢失或损坏。存储介质选择和安全措施实施记录成文信息版本管理版本管理管理成文信息的版本更新，记录每次更新的内容和原因；分配唯一的版本号，确保版本的可追溯性。版本更新记录及当前版本说明成文信息保留与处置保留与处置确定成文信息的保留期限，制定并执行成文信息的处置计划；对于不再需要的成文信息，按照规定的流程进行安全处置，防止信息泄露。成文信息保留期限表及处置计划执行记录外部成文信息管理识别外部成文信息需求需求识别分析并确定所需的外部成文信息类型，如行业标准、法律法规、最佳实践等，确保这些信息对管理体系的构建和运行至关重要。外部成文信息需求清单获取外部成文信息信息获取从相关机构、标准组织、行业协会等渠道获取所需的外部成文信息；验证信息的准确性和时效性。获取的外部成文信息资料库评审与整合外部成文信息评审与整合对获取的外部成文信息进行评审，评估其对管理体系的适用性和价值；将评审通过的外部成文信息整合到内部管理体系中，确保信息的一致性和协调性。评审报告及整合后的外部成文信息控制外部成文信息的分发与使用分发与使用控制制定外部成文信息的分发计划，确保信息在组织内的适当传播和使用；监控外部成文信息的使用情况，防止信息的滥用或泄露。外部成文信息分发计划和使用监控记录第3部分：“7.5成文信息”过程风险清单一级流程二级流程