Tiêu chuẩn ISO/IEC 42001 là gì?

ISO/IEC 42001 là tiêu chuẩn quốc tế về Hệ thống quản lý trí tuệ nhân tạo (AI Management System – AIMS) do  tổ chức quốc tế International Organization for Standardization (ISO) phối hợp cùng Ủy ban kỹ thuật điện International Electrotechnical Commission (IEC) ban hành giúp tổ chức thiết lập, triển khai, duy trì và cải tiến hệ thống quản lý AI một cách có hệ thống, bảo đảm kiểm soát rủi ro, tính minh bạch, trách nhiệm và tuân thủ pháp luật trong quá trình phát triển và sử dụng trí tuệ nhân tạo.

ISO/IEC 42001 có thể áp dụng cho mọi tổ chức có phát triển, cung cấp hoặc sử dụng hệ thống AI, không phân biệt quy mô hay lĩnh vực hoạt động.

10 Điều khoản chính của ISO/IEC 42001

ISO/IEC 42001 được xây dựng theo cấu trúc cấp cao (High-Level Structure – HLS), tương tự các tiêu chuẩn hệ thống quản lý khác.

• Hiểu ISO 42001 là hệ thống quản lý, không phải tiêu chuẩn kỹ thuật AI

• Biết điều khoản nào liên quan trực tiếp đến mình

• Hiểu vì sao doanh nghiệp phải đào tạo nhận thức

• Nhận diện vai trò cá nhân trong AIMS

• Nhận diện mối liên hệ giữa chính sách – vận hành – kiểm soát – cải tiến

Điều khoản 1: Phạm vi (Scope)

Xác định phạm vi áp dụng của hệ thống quản lý AI trong tổ chức, bao gồm ranh giới, hoạt động và sản phẩm liên quan đến AI.

Điều khoản 2: Tài liệu viện dẫn (Normative References)

Liệt kê các tài liệu tham khảo cần thiết để áp dụng tiêu chuẩn.

Điều khoản 3: Thuật ngữ và định nghĩa (Terms and Definitions)

Giải thích các thuật ngữ chuyên ngành liên quan đến trí tuệ nhân tạo và quản lý AI.

Điều khoản 4: Bối cảnh của tổ chức (Context of the Organization)

• Xác định phạm vi AIMS

• Nhận diện bên quan tâm (stakeholders)

• Xác định rủi ro & cơ hội liên quan đến AI

Đào tạo nhận thức:

- Nhân sự hiểu vì sao công ty áp dụng ISO 42001

- Biết AI nào thuộc phạm vi kiểm soát

Điều khoản 5: Sự lãnh đạo (Leadership)

• Cam kết của lãnh đạo

• Chính sách AI

• Phân công vai trò & trách nhiệm

Đào tạo nhận thức:

• Học viên hiểu chính sách AI nội bộ

• Hiểu trách nhiệm của mình trong hệ thống

Điều khoản 6: Hoạch định (Planning)

• Đánh giá rủi ro AI

• Thiết lập mục tiêu AI

• Kế hoạch xử lý rủi ro

Đào tạo nhận thức:

• Nhận diện rủi ro cơ bản (bias, sai lệch, dữ liệu nhạy cảm)

• Hiểu vì sao không được sử dụng AI tự phát

Điều khoản 7: Hỗ trợ (Support)

• Nguồn lực

• Năng lực (Competence)

• Nhận thức (Awareness)

• Truyền thông

• Kiểm soát tài liệu

Đào tạo nhận thức:

• Giải thích vì sao phải học nhận thức

• Vai trò của chứng chỉ đào tạo

• Nghĩa vụ tuân thủ chính sách

Điều khoản 8: Vận hành (Operation)

• Kiểm soát vòng đời hệ thống AI

• Kiểm soát thay đổi

• Quản lý dữ liệu

• Kiểm soát nhà cung cấp AI

Đào tạo nhận thức:

• Hiểu AI phải đi theo quy trình

• Không tự ý tích hợp công cụ AI

• Biết khi nào cần phê duyệt

Điều khoản 9: Đánh giá kết quả thực hiện (Performance Evaluation)

• Giám sát & đo lường

• Đánh giá nội bộ

• Xem xét của lãnh đạo

Đào tạo nhận thức:

• Nhân sự hiểu vai trò khi được phỏng vấn đánh giá

• Biết hệ thống được đánh giá định kỳ

Điều khoản 10: Cải tiến (Improvement)

• Xử lý sự cố AI (AI incidents)

• Hành động khắc phục

• Cải tiến liên tục

Đào tạo nhận thức:

• Khi nào cần báo cáo sự cố

• Không che giấu lỗi AI

• Vai trò của phản hồi & cải tiến

Phụ lục A – Kiểm soát quản lý AI

Giới thiệu khái quát:

• Quản lý rủi ro thuật toán

• Minh bạch & khả giải thích

• Quản lý dữ liệu

• Giám sát & can thiệp con người

(Chỉ ở mức nhận diện, không đi sâu kỹ thuật)

ISO/IEC 42001 và các tiêu chuẩn khác

Tiêu chuẩn ISO/IEC 42001 được thiết kế để bổ sung và tích hợp liền mạch với các tiêu chuẩn khác, hình thành một phương pháp thống nhất về quản trị tổ chức.

ISO/IEC 42001 và ISO 9001

ISO 9001 và ISO/IEC 42001 đều là các tiêu chuẩn thúc đẩy quản lý hiệu quả, nhưng chúng áp dụng cho các khía cạnh khác nhau trong hoạt động của một tổ chức, đặc biệt là khi nói đến trí tuệ nhân tạo (AI).

ISO 9001 tập trung rộng rãi vào quản lý chất lượng trên tất cả các quy trình kinh doanh, đảm bảo các sản phẩm và dịch vụ luôn đáp ứng yêu cầu của khách hàng và kỳ vọng của cơ quan quản lý, thúc đẩy cải tiến chất lượng liên tục; cung cấp một khuôn khổ để duy trì tính nhất quán, cải thiện hiệu quả hoạt động và nâng cao sự hài lòng của khách hàng.

ISO/IEC 42001 đề cập cụ thể đến quản trị các hệ thống AI trong một tổ chức. Trong khi ISO 9001 đảm bảo quản lý chất lượng tổng thể, ISO/IEC 42001 giải quyết những thách thức đặc thù mà AI mang lại, chẳng hạn như các vấn đề đạo đức, quản lý thiên kiến, tuân thủ quy định và đảm bảo tính minh bạch trong việc ra quyết định của AI; tập trung vào việc phát triển, triển khai và giám sát liên tục các hệ thống một cách có trách nhiệm, nhận thấy rằng AI mang đến những phức tạp mới đòi hỏi quản trị chuyên biệt.

Mối quan hệ chính giữa các tiêu chuẩn này là chúng bổ sung cho nhau. Tiêu chuẩn ISO 9001 cung cấp khuôn khổ tổng quát để đảm bảo chất lượng trong các quy trình, trong khi ISO/IEC 42001 đi sâu hơn vào các khía cạnh cụ thể của quản trị AI. Khi tích hợp cả hai, các tổ chức có thể đảm bảo rằng hệ thống quản lý AI (AIMS) không chỉ có chất lượng cao và đáng tin cậy mà còn đảm bảo tính đạo đức, tuân thủ pháp luật và được quản lý minh bạch.

ISO/IEC 42001 và ISO/IEC 27001

ISO/IEC 27001 tập trung vào việc bảo vệ dữ liệu và hệ thống thông tin của tổ chức khỏi các mối đe dọa an ninh, đảm bảo tính bảo mật, toàn vẹn và khả dụng, giúp các tổ chức bảo vệ dữ liệu nhạy cảm, ngăn chặn các cuộc tấn công mạng và duy trì tuân thủ các quy định về bảo vệ dữ liệu.

ISO/IEC 42001 vượt ra ngoài phạm vi an ninh thông tin để giải quyết cụ thể vấn đề quản trị các hệ thống trí tuệ nhân tạo (AI), cung cấp một phương pháp toàn diện để quản lý các mô hình và thuật toán AI, đảm bảo chúng an toàn, minh bạch và phù hợp với các tiêu chuẩn đạo đức.

Trong khi việc tuân thủ ISO/IEC 27001 đảm bảo dữ liệu được sử dụng trong các hệ thống AI được bảo vệ, ISO/IEC 42001 đảm bảo rằng chính các hệ thống này được phát triển, triển khai và bảo trì một cách có trách nhiệm, bao gồm việc giải quyết các rủi ro như sai lệch thuật toán, đảm bảo tính giải thích và tuân thủ các quy định cụ thể về AI.

Hai tiêu chuẩn hoạt động song song để bảo mật cả dữ liệu và công nghệ hỗ trợ AI. ISO/IEC 27001 tập trung vào việc bảo mật tài sản thông tin, trong khi ISO/IEC 42001 đảm bảo việc sử dụng AI một cách có trách nhiệm, đạo đức và an toàn.

Tiêu chuẩn ISO/IEC 22989 (thuật ngữ AI)
ISO/IEC 22989 cung cấp một bộ thuật ngữ và định nghĩa chung liên quan đến AI, đảm bảo các tổ chức sử dụng ngôn ngữ chuẩn hóa khi thảo luận về công nghệ AI, tránh nhầm lẫn, đảm bảo sự thống nhất giữa các nhóm và truyền đạt các khái niệm liên quan đến AI một cách rõ ràng với các bên liên quan, cơ quan quản lý và khách hàng. Ngôn ngữ chung giúp tăng cường việc thực hiện ISO/IEC 42001, đặc biệt là trong các lĩnh vực như quản lý rủi ro, tính minh bạch và quản trị đạo đức.

ISO/IEC 23053 (Khung AI và ML)
ISO/IEC 23053 mô tả hệ thống AI tổng quát sử dụng công nghệ Học máy (Machine Learning). Tiêu chuẩn này nêu rõ các thành phần và quy trình thiết yếu, giúp các tổ chức cấu trúc và quản lý công nghệ AI của họ; giúp các tổ chức giải quyết các vấn đề ML phổ biến, chẳng hạn như đảm bảo tính chính xác của các mô hình AI, ngăn ngừa sai lệch trong dữ liệu và tránh lỗi trong quá trình học. Khi kết hợp với ISO/IEC 42001 sẽ tăng cường quản lý các hệ thống AI và cung cấp một cách tiếp cận có cấu trúc hơn cho việc phát triển và quản trị chúng.

ISO/IEC 23894 (Quản lý rủi ro AI)
ISO/IEC 23894 tập trung vào quản lý các rủi ro liên quan đến các hệ thống dựa trên AI, cung cấp các bước thực tiễn để xác định, đánh giá và giải quyết rủi ro nhằm đảm bảo AI an toàn và có trách nhiệm.

Các tổ chức có thể cải thiện quản trị AI tổng thể bằng cách tích hợp ISO/IEC 23894 với ISO/IEC 42001. Sự kết hợp này giúp giải quyết các rủi ro ngay từ đầu, chẳng hạn như sai lệch, vấn đề minh bạch và hậu quả không mong muốn, đảm bảo rằng các hệ thống AI hoạt động hiệu quả và có đạo đức. Cách tiếp cận này giúp giảm thiểu rủi ro tiềm tàng đồng thời tối đa hóa độ tin cậy và hiệu suất của các hệ thống này.