ISO∕IEC 42001-2023《信息技术-人工智能-管理体系》之3：“4组织环境-4.3 确定人工智能管理体系的范围”专业解读和实践应用指导材料（雷泽佳编制-2024C0）

ISO/IEC42001-2023《信息技术-人工智能-管理体系》之3“4组织环境--4.3确定人工智能管理体系的范围”专业解读和实践应用指导材料ISO/IEC42001-2023《信息技术-人工智能-管理体系》之3“4组织环境-4.3确定人工智能管理体系的范围”专业解读和实践应用指导材料（雷泽佳编制，2024C0）ISO/IEC42001-2023《信息技术-人工智能-管理体系》ISO/IEC42001-2023《信息技术-人工智能-管理体系》4组织环境4.3确定人工智能管理体系的范围组织应确定人工智能管理体系的边界和适用性，以确定其范围。组织应根据以下内容确定人工智能管理体系的范围：——4.1提及的内部和外部因素；——4.2提及的要求。范围应作为成文信息可获取。人工智能管理体系的范围应根据本文件对人工智能管理体系、领导、策划、支持、运行、绩效、评价、改进、控制和目标的要求确定组织的活动。4组织环境4.3确定人工智能管理体系的范围人工智能管理体系范围的定义人工智能管理体系的范围准确定义了人工智能管理体系在哪里适用以及适用什么，同时明确了在哪里不适用以及不适用什么。这一范围是实施人工智能管理体系所有其他活动的基础，对于确保人工智能管理体系的有效性和效率至关重要。边界界定；“边界”：指在组织内部所建立的人工智能管理体系所管辖和控制的特定范围或领域。它界定了哪些人工智能活动、系统、流程、服务、数据和人员等将受到人工智能管理体系的规范和指导，同时也明确了人工智能管理体系的管辖范围之外的内容；活动边界：明确哪些人工智能相关的开发、部署、运维等活动将纳入管理体系。系统边界：界定哪些人工智能系统将受到管理体系的监控和管理。流程边界：确定哪些业务流程将涉及人工智能管理体系，包括数据的收集、处理、存储和传输等。服务边界：明确哪些基于人工智能的服务将受到管理体系的规范。数据边界：界定哪些数据将在人工智能管理体系的范围内被收集、处理和分析。人员边界：明确哪些人员（如开发人员、运维人员、管理人员等）将受到人工智能管理体系的指导和约束。人工智能管理体系的边界应清晰界定，以便组织能够准确理解哪些活动和领域属于人工智能管理体系的管辖范围。这有助于组织在实施人工智能管理体系时避免遗漏关键活动或领域，同时也有助于减少不必要的资源和时间投入。适用性界定；“适用性”：指人工智能管理体系对组织内部人工智能活动的适用程度和有效性。它评估人工智能管理体系是否能够有效地满足组织的实际需求，解决存在的问题，并推动人工智能技术的健康发展；适用性应涵盖组织内部所有涉及人工智能系统的活动，包括但不限于人工智能系统的开发、部署、运行、维护、监控以及相关的数据管理和风险管理活动。同时，人工智能管理体系还应适用于与这些活动相关的所有相关方（如供方、合作伙伴、客户以及监管机构等）；不适用性明确：人工智能管理体系的不适用性应明确排除那些与人工智能系统无直接关联的活动或领域。例如，组织的传统IT系统管理、非人工智能驱动的业务流程等，除非这些活动与人工智能系统存在直接或间接的交互或影响。确定人工智能管理体系范围的重要性；确定人工智能管理体系的范围是实施人工智能管理体系所有其他活动的必要基础，对于确保人工智能管理体系的有效性和效率具有重要意义。为风险评估和风险处置提供依据：准确理解人工智能管理体系的范围有助于组织在进行风险评估和风险处置时，能够全面、准确地识别与人工智能系统相关的潜在风险，并制定相应的控制措施。如果范围界定不清，将导致风险评估和风险处置的结果不准确，进而影响人工智能管理体系的有效性和效率；确保人工智能管理体系的边界和适用性：明确人工智能管理体系的边界和适用性有助于组织理解人工智能管理体系与组织内部其他管理体系之间的关系和接口，避免管理体系之间的重叠或冲突。同时，也有助于组织理解人工智能管理体系与外部相关方之间的依赖性和交互关系，确保人工智能管理体系的顺利实施和有效运行；减少额外工作和成本：对人工智能管理体系范围的任何后续修改都可能导致大量额外工作和成本。因此，在初始阶段就准确界定人工智能管理体系的范围对于减少后续修改和额外成本具有重要意义。组织应在进行充分的需求分析和内部沟通的基础上，结合组织的战略目标和业务需求，合理确定人工智能管理体系的范围，并在实施过程中保持范围的稳定性和连续性。确定人工智能管理体系的边界和适用性，以确定其范围；人工智能管理体系的边界：指确定该管理体系所涵盖的范围和界限，即明确哪些组织活动、过程、产品和服务属于该人工智能管理体系的管控范围，包括了对人工智能系统及相关活动的识别，以确定哪些部分应纳入管理体系的管控之中。边界可能包括哪些人工智能系统、流程、数据、人员等被纳入管理体系，以及哪些不被包含在内。人工智能管理体系的适用性。基于ISO/IEC42001要求确定组织的活动：人工智能管理体系的范围确定应基于ISO/IEC42001对人工智能管理体系的详细要求来进行；在确定范围时，需要综合考虑本标准中关于领导、策划、支持、运行、绩效、评价、改进、控制和目标等各个方面的规定；组织的活动应全部纳入人工智能管理体系的范围之内，确保所有与人工智能相关的活动和流程均受到管理体系的有效覆盖和管控。原则上的全面适用性；ISO/IEC42001的所有要求原则上适用于所有提供或使用AI系统的组织；某些要求可能与组织在AI方面的特定应用或目标不直接相关，这些情况下，相关要求可能不适用。逐项要求的独立考量；组织需要独立评估ISO/IEC42001中的每一项要求，以确定其适用性；同一条款内的不同要求，其适用性可能因组织而异，需根据实际情况判断。适用要求的全面实施；如条款内的所有要求均适用于组织的人工智能管理体系，则必须全面实施这些要求；特别是与AI系统的开发、部署、使用和维护直接相关的要求，必须严格遵循。结合实际的灵活性与严谨性。在应用ISO/IEC42001时，组织需结合自身的实际情况和业务需求；组织在判断要求适用性时应展现出灵活性，考虑自身特点和技术环境；对于确定适用的要求，组织必须严格执行，以确保AI系统的合规性、可靠性和有效性，体现严谨性。确定人工智能管理体系范围时应考虑的因素。组织应根据以下内容确定人工智能管理体系的范围：4.1提及的内部和外部因素；“4.1理解组织及其环境”中提及的内部和外部因素对确定人工智能管理体系的范围的影响主要体现在组织需要考虑这些因素来明确其人工智能管理体系所涵盖的活动和领域。外部环境因素；适用的法律要求；影响：法律要求为人工智能管理体系设定了明确的边界。组织应确保所有的人工智能活动都符合当地的法律法规，包括可能存在的禁止使用特定类型人工智能的规定；考虑方式：在定义人工智能管理体系范围时，组织应首先进行法律合规性评估，明确哪些人工智能应用是合法的，哪些可能受到法律限制。这有助于避免潜在的法律风险，并确保人工智能管理体系的合法性。监管机构的政策、指导方针和决定；影响：监管机构的政策和指导方针为人工智能管理体系提供了具体的实施指南，可能影响系统的开发、测试、部署和维护；考虑方式：组织应密切关注监管动态，确保人工智能管理体系与监管要求保持一致。在制定人工智能管理体系策略时，应参考监管机构的政策导向，确保系统的合规性和可持续性。与人工智能系统的预期目的和使用相关的激励或后果；影响：人工智能系统的预期效益和风险直接影响组织对人工智能管理体系的投资和重视程度；考虑方式：组织应明确人工智能系统的预期目的，评估其可能带来的经济效益和社会影响。基于这些评估，组织可以合理界定人工智能管理体系的范围，确保系统能够最大化地实现预期价值，并有效管理潜在风险。人工智能发展和使用方面的文化、传统、价值观、规范和伦理；影响：文化和社会价值观对人工智能的接受度和使用方式产生深远影响，进而影响人工智能管理体系的设计和实施；考虑方式：组织在确定人工智能管理体系范围时，应充分考虑当地的文化背景和伦理规范。例如，如果社会普遍重视隐私保护，那么人工智能管理体系应特别强调数据安全和隐私管理。使用人工智能系统的新产品和服务的竞争格局和趋势。影响：市场竞争和趋势影响组织对人工智能的投资方向和重点，进而影响人工智能管理体系的范围和重点任务；考虑方式：组织应进行市场调研和竞争分析，了解当前人工智能市场的竞争格局和未来趋势。基于这些信息，组织可以调整人工智能管理体系的范围和重点，确保系统的开发和使用符合市场需求并具备前瞻性。内部环境因素。组织环境（组织的价值观、文化、知识和绩效等）、治理、目标、方针和程序；影响：组织的内部环境为人工智能管理体系提供了基础框架和指导思想，直接影响系统的设计和实施方式；考虑方式：组织在确定人工智能管理体系范围时，应充分考虑其内部环境的特点和需求。例如，组织的价值观和文化可能强调创新或稳定性，这将直接影响人工智能管理体系的策略和重点。同时，组织的治理结构和目标设定也为人工智能管理体系提供了明确的指导方向。合同义务；影响：合同义务为人工智能管理体系设定了具体的法律约束和期望，可能影响系统的开发进度、功能设计和使用方式；考虑方式：组织应仔细评审与人工智能系统相关的合同条款，确保人工智能管理体系能够履行合同义务。在定义人工智能管理体系范围时，应充分考虑合同中的关键条款和期望，确保系统的开发和使用符合合同要求。拟开发或使用人工智能系统的预期目的。影响：拟开发或使用人工智能系统的预期目的直接决定了人工智能管理体系的范围和重点任务；考虑方式：组织在开发或使用人工智能系统之前，应进行详细的规划和需求分析。基于这些分析和规划结果，组织可以明确人工智能管理体系的范围和重点任务，确保系统的开发和使用符合预期目的并具备可持续性。4.2提及的与人工智能管理体系有关相关方的要求。确定与人工智能管理体系有关的相关方的要求，主要包括但不限于以下几点：合规性要求：相关方可能要求组织在使用、开发、部署人工智能系统时，严格遵守相关法律法规、行业标准和伦理规范，确保系统的合规性；安全性要求：相关方可能关注人工智能系统的安全性，包括数据保护、隐私安全、网络安全等方面，要求组织采取必要的安全措施，防止系统被恶意攻击或数据泄露；透明度与可解释性要求：相关方可能要求组织在使用人工智能系统进行决策或提供服务时，保持足够的透明度，使决策过程可追溯、可解释，以增强公众对人工智能系统的信任；公平性与无偏见要求：相关方可能要求组织在使用人工智能系统时，确保系统的公平性和无偏见性，避免因为算法偏见或歧视性决策而损害相关方的权益；性能与效率要求：相关方可能关注人工智能系统的性能和效率，要求组织不断优化系统，提高系统的准确性和效率，以满足相关方的需求；责任与问责要求：相关方可能要求组织在使用、开发、部署人工智能系统时，明确各方责任，建立健全的问责机制，确保在出现问题时能够及时追溯和纠正。相关方要求对范围确定的影响；对相关方需求和期望的理解是确定人工智能管理体系范围的基础。对相关方要求的准确理解有助于组织确定哪些领域或环节需要纳入人工智能管理体系的范围，从而确保管理体系的完整性和有效性，从而制定出既符合组织实际情况又能满足相关方要求的合理范围。确定哪些要求将通过人工智能管理体系予以解决。分析过程：组织需要对收集到的相关方要求进行详细分析，判断哪些要求是可以且应该通过人工智能管理体系来解决的。这通常涉及对要求的重要性、紧急性和可行性的评估；影响：这一过程将直接影响人工智能管理体系的范围。只有那些被确定为重要且可行的要求才会被纳入管理体系的范围，从而确保管理体系的针对性和实效性。基于ISO/IEC42001标准确定人工智能管理体系的组织活动范围：人工智能管理体系要求：主要包括理解组织环境、领导作用、策划、支持、运行、绩效、评价、改进以及控制目标与控制的要求；理解组织环境：组织需要确定与其宗旨相关并影响其实现人工智能管理体系预期结果的内部和外部因素，包括理解其在AI系统中的角色（如AI提供商、生产者、客户等）；领导作用：最高管理者应展示对人工智能管理体系的领导作用和承诺，确保制定AI方针和目标，并与组织战略方向保持一致，同时推动持续改进和文化建设；策划：组织应策划如何实现人工智能管理体系，包括确定风险和机遇、设定AI目标及其实现路径，以及管理变更；支持：组织应提供实现人工智能管理体系所需的资源（如资金、技术、人员等），确保相关人员具备必要的能力，并进行必要的沟通；运行：组织应实施和控制满足人工智能管理体系要求的过程，包括AI系统的开发、部署、运行和监控，确保AI系统按照预期目标运行；绩效评价：组织应监视、测量、分析和评价人工智能管理体系的绩效，确保其有效性和符合性，包括进行内部审核和管理评审；改进：组织应持续改进人工智能管理体系的适宜性、充分性和有效性，通过纠正措施和预防措施来消除不符合项并防止再次发生；控制目标与控制：组织应识别和管理与AI系统相关的风险，实施适当的控制措施，确保AI系统的安全性、可靠性、公平性和透明度。人工智能管理体系的典型组织活动范围；根据ISO/IEC42001-2023标准，所确定的人工智能管理体系（人工智能管理体系）范围通常包括以下典型的组织活动：AI系统的开发和管理：涵盖需求分析、系统设计、开发、测试、部署、维护和退役等AI系统的全生命周期管理活动；AI伦理和治理：确保AI系统的开发和使用符合伦理标准，包括公平性、透明度、可解释性、责任性等关键要素；数据管理和隐私保护：处理与AI系统相关的数据采集、存储、处理、共享和删除等活动，确保遵守数据保护法规；风险管理：识别、评估、监控和应对与AI系统相关的风险，涵盖技术风险、法律风险、声誉风险等多个维度；供应链管理：确保AI系统的供应链符合人工智能管理体系要求，包括供应商的选择、评估、监控和改进等关键环节；绩效监控和改进：定期监控人工智能管理体系的绩效指标，识别改进机会，并采取纠正和预防措施，持续提升AI系统的效能；合规性管理：确保人工智能管理体系符合适用的法律法规、行业标准和其他相关要求，维护组织的合法合规运营；相关方管理：与内外部相关方就人工智能管理体系的目标、进展、挑战和成果进行有效沟通，增强信任和合作，共同推动AI系统的健康发展；人员培训和能力建设：为组织内部人员提供AI相关的专业培训和能力建设机会，提升其专业素养和技能水平，以更好地支持AI系统的开发、运行和维护工作；文档和记录管理：建立和维护与AI系统相关的文档和记录管理体系，包括系统文档、测试报告、变更记录等，为AI系统的开发、运行和维护提供有力支持。确定人工智能管理体系范围的步骤：综合以上4.1和4.2所有考虑因素，组织最终确定人工智能管理体系的范围。为了确保人工智能管理体系（人工智能管理体系）的有效实施，需遵循一系列系统化的步骤来明确其范围。以下是确定人工智能管理体系范围的详细步骤：确定初步的范围；责任主体：此活动应由管理者代表小组负责实施。管理者代表小组应具备对组织业务活动、结构、职能及人工智能管理体系目标的深刻理解。实施内容：通过初步分析，识别出可能与人工智能管理体系直接相关的组织职能和业务流程。此步骤的目标是建立一个初步的人工智能管理体系范围框架，涵盖所有可能受人工智能管理体系影响或影响人工智能管理体系的主要业务领域。确定完善的范围；评审过程：对初步确定的范围内和范围外的职能单位进行全面评审。此评审旨在验证初步范围的完整性和准确性，确保没有遗漏关键职能单位，同时排除与人工智能管理体系目标不直接相关的领域；考虑因素：在完善初步范围时，应充分考虑支持范围内业务活动所需的所有支持功能，如IT支持、人力资源、财务管理等。这些支持功能虽不直接参与AI系统的开发或运营，但对人工智能管理体系的成功实施至关重要；调整范围：根据评审结果，可能需要对初步范围进行调整，增加或排除某些职能单位，以减少边界接口数，提高人工智能管理体系的实施效率。确定最终的范围；细化与评估：在细化后的范围内，所有相关管理层应对该范围进行深入评估。评估应关注范围的清晰度、完整性和可操作性，确保所有关键业务领域和职能单位均被纳入人工智能管理体系范围；调整与描述：如评估过程中发现任何问题或遗漏，应及时进行调整。最终确定的人工智能管理体系范围应准确描述所涵盖的业务领域、职能单位及其相互关系。批准范围。成文信息：将描述人工智能管理体系范围的成文信息整理成文档，确保信息的准确性、完整性和可追溯性；最高管理者批准：成文信息应正式提交给最高管理者进行批准。最高管理者的批准是人工智能管理体系范围正式生效的必要条件，也是确保人工智能管理体系与组织战略方向一致性的重要保障。人工智能管理体系的范围应作为成文信息可获取成文信息的范围包括的内容；人工智能管理体系的范围明确了该体系在组织中的适用边界，包括哪些活动、流程、部门或职能将受到人工智能管理体系的约束和管理。具体包括：组织范围：明确人工智能管理体系覆盖的组织部门、职能或业务流程。例如，人工智能管理体系可能覆盖整个组织，也可能仅覆盖特定的业务部门或项目团队；物理范围：明确人工智能管理体系所管理的物理设施、设备和场所。这可能包括数据中心、服务器机房、智能设备部署点等；技术边界：界定人工智能管理体系所管理的人工智能技术、系统、算法和应用的具体类型和范围，包括但不限于机器学习、深度学习、自然语言处理等；流程边界：描述人工智能管理体系涉及的关键业务流程、决策过程和数据流动，以及这些流程如何与人工智能技术的使用相关联；人工智能系统的类型和用途：列出人工智能管理体系所管理的人工智能系统的类型（如机器学习模型、自然语言处理系统等）和主要用途（如客户服务、风险评估等）；排除范围：如果某些活动、流程、部门或职能被明确排除在人工智能管理体系范围之外，则应在此部分进行说明。人工智能管理体系的范围作为成文信息，其呈现方式通常包括以下几种，以适应不同相关方的需求和信息获取习惯：正式文件：如人工智能管理体系范围说明书、政策文件或手册，这些文件通常包含详细的描述、定义和图表，用于明确人工智能管理体系的边界和要求；组织结构图：通过图形化方式展示人工智能管理体系在组织中的位置、关系和责任分配，有助于直观理解管理体系的结构和运作；流程图：用于描述人工智能管理体系涉及的关键业务流程、数据流动和决策点，帮助相关方理解管理体系的运行机制；电子文档或在线平台：利用电子文档管理系统或在线平台发布人工智能管理体系的范围信息，便于远程访问和实时更新。培训材料：将人工智能管理体系范围作为培训内容的一部分，通过培训材料向员工传达其