范围

   本文件为在组织范围内建立，实施，维护和持续改进人工智能管理体系规定了要求并提供了指南。本文件适用于提供或使用人工智能系统的产品或服务的组织。本文件旨在帮助组织负责任地开发，提供或使用人工智能系统，以实现其目标，并满足适用的法规要求，以及相关方的义务和期望。

    本文件适用于各种规模，类型和性质的提供或使用人工智能系统产品或服务的组织。

   术语和定义

   ISO/IEC 22989:2022界定的以及下列术语和定义适用于本文件。

1.1组织

为实现目标，由职责，权限和相互关系构成自身功能的一个人或一组人。

注1：组织的概念包括但不限于个体经营者，公司，集团公司，商行，企事业单位，监管机构，合伙企业，慈善机构或研究机构，或上述组织的部分或组合，无论是否具有法人资格，公有或私有。

注2：如果组织是大型实体的某个组成部分，那么术语"组织"仅指在人工智能管理体系范围内的这个组成部分。

1.2相关方 

能够影响决策或活动，受决策或活动影响或自认为受决策或活动影响的个人或组织。

注：ISO/IEC 22989:2022的5.19中提供了人工智能相关方的概述。

1.3最高管理者

在最高层指挥和控制组织的一个人或一组人。

注1：最高管理者有权在组织内部授权和提供资源。

注2：如果管理体系的范围仅覆盖组织的某个组织部分，那么最高管理者是指指挥和控制该部分的一个人或一组人。

1.4管理体系

组织为确立方针和目标以及实现这些目标的过程所形成的相互关联或相互作用的一组要件。

注1：一个管理体系可能针对一个成几个主题。

注2：管理体系要件包基组织的结构，同位和职责，策划和运行。

1.5方针

由最高管理者正式表述的组织的意图和方向。

1.6目标 

要实现的结果。

注1，目标可能是战略的，战术的成运行的。

注2，目标可值涉及不同的主题(如财务，健康和安全，环境)，它们可能存在于不同层面，请如组织整体层面或项

目，产品或过程层面。

注3：目标能用其他方式表述，如：预期的结果，，远行准则，人工智能目标或使用其他有美含的词(如；终点成指标)。

注4：在人工智能管理体系中，组织设定的人工智能目标与人工树能方针保持一致，以实现特定的结果。

1.7风险

不确定性的影响。

注1，影响是对预期的偏正面的成负图的。

建2：不确定性是一种状态，是指对某个事件，事件的后果或可能性缺乏甚至部分缺乏相关信息，理解或知识。

注3：通音。风险以册在事件或二者的组合来描述其特性。

注4：通常，风险以某个事件的后果(包插情况的变化)及其发生的可能性的组合来表述。

1.8过程

使用或转化输人以实现结果的一组相互关联或相互作用的活动。

注：某个过程的结果是称为输出，还是称为产品或服务，取决于相关语境。

1.9能力

应用知识和技能实现预期结果的本领。

1.10文件化信息

组织需要控制和维护的信息及其载体。

注1：文件化信息能够以任何形式和载体存在，且来源不限。

注2：文件化信息可能涉及；

1.11绩效 

可测量的结果。

注1，绩效可能沙及定量的或定性的结果，

建2：绩效可能与活动，过程，产品，服务，体系或组织的管理有关。

注3：在本文件中，绩效既指使用人工智能系取得的结果，也指与人工智能管理体系相关的结果，该术语的正确解释从其使用的环境中得出。

1.12持续改进 

提高绩效的循环活动。

1.13有效性

完成策划的活动和实现策划的结果的程度。

1.14要求

规定的，不言面喻的或有义务履行的需求或期望

注1：不言面喻的或有义务履行的需要成期望是物需求，其中，"不言面响"是指组织和相关方的根例或一般做法，不言面喻的需求成期望是不用说就明白的。

注2：规定的需要或期望是指要求，也就是符合GB/T1.1中定义的要求，即表达声明符合该文件需要演足的客观可

证实的准则。

1.15符合 

满足要求。

1.16不符合

未满足要求。

1.17纠正措施

为消除不符合的原因并防止再次发生面采取的措施。

1.18审核 

获取审核证据并对其进行客观评价，以确定审核准则满足程度所进行的系统的，独立的过程。

注1：审核可能为内部(第一方)审核成外部(第二方成第三方)审核，也可能为多体系审核(合并两个成多个主题)。

注2：内部审核由组织自行实施或代表组织的外部机构实施。

注3:"审核证据"和"审核准商"的定义见1SO19011.

1.19测量 

确定数值的过程。

1.20监视 

确定体系，过程或活动的状态。

注：确定状态可能需要检查，监督或严格观察。

1.21控制 

(风险)保持和/或改变风险的措施。

注1，控制包括担不限于保持和/成改变风险的任何过程，策略，施，操作或其他条件和/或行动。

注2：控制并非总能发挥预期成假定的改变效果。

1.22治理层

对组织的绩效和符合性负责的一个人或一组人。

注1：并非所有组织，特别是小型组织，都有一个独立于最高管理者的治理层。

注2：治理层包括但不限于董事会，董事会委员会，监事会，受托人或监督人。

1.23信息安全

对信息的保密性，完整性和可用性的保全。

注：另外，还能包括诸如真实性，可间责性，抗抵赖性和可靠性等其他特性。

1.24人工智能系统影响评估

由开发，提供或使用人工智能产品或服务的组织识别，评估和解决对个人和(或)群体和社会的影响的正式的，文件化的过程。

1.25数据质量

满足组织在特定情况下数据要求的数据特征。

1.26适用性声明

所有必要控制，以及包括或排除控制的理由的文件。

注1：组织可能不需要附录A中列出的所有控制，甚至可能超出附录A中所列的控制，并由组织自己制定额外的控制。

注2：所有已识别的风险，组织按本文件的要求形成文件。

所有已识别的风险和为解决这些风险面制定的风险管理措施(控制)反映在适用性声明中。