1.1 应对风险和机会的措施

1.1.1通则

在策划人工智能管理体系时，组织应根据提及的事项和提及的需求，并确定需要应对的风险和机会以便：

a)人工智能管理体系能够实现预期结果；

b)预防或减少不利影响；实现持续改进。

c)组织应建立和维护人工智能风险准则，以支持以下工作；

d)区分可接受与不可接受的风险；

e)进行人工智能风险评估实施人工智能风险应对；

f)评估人工智能风险的影响。

注1:ISO/EC38507 和1SO/IEC2384中供了确定组织意追求成保留的风险数量和类型的考虑因素。

组织应根据以下因素确定风险和机会：

人工智能系统的领域和应用环境；

预期用途：描述的外部和内部环境。

注2：在人工智能管理体系的范围内能考虑不止一个人工智能系统，在这种情况下，针对每个人工智能系统成人工

智能系统组确定机会和用途组织应计划：

a)应对这些风险和机会的措施；

b)如何做；

1)将这些措施其人工智能管理体系过程并加以实施；

2)评价这些措施的有效性；

组织应保留为识别和应对人工智能风险和机会面采取的措施的文件化信息。

注3：关于如何为开发，提供成使用人工智能产品，系和服务的组织实险的指见1/C23894。

注4：组织及其活动的环境会对组织的风险管理活动产生影响。

注5：不同部门和行业对风险的规定以及风险管理的设想可能有所不同，对风险的规范性规定允许对风险有一个广泛的认识，以适应任何部门，如附录D中D1中提到的部门，在任何情况下，作为风险评估的一部分，组织的职贵是首先采用适合其环境的风险观，这能包括通过人工智能系统为之开发和使用的部门所使用的规定来看待风险，见1SO/1EC Guide S1中的规定。

1.1.2人工智能风险评估

组织应规定并建立人工智能风险评估过程，该过程应：

a)参考并符合人工智能方针和人工智能目标;

注：在评估作为的后果时，组织能利用所述的人工智能系统影响评信；

b)在策划上使重复的人工智能风险评估能够产生一致，有效和可比较的结果；

c)识别有助于成纺碍实现人工智能目标的风险； 

d)分析人工智能风险，以便

1)评估如果确定的风险成为现实，将对组织，个人和社会造成的潜在后果；

2)的情评估已识别风险的现实可能性；

3)确定风险等级。

e)评价人工智能风险，以便：

1)将风险分析结果与风险准则进行比较；

2)对评估的风险进行优先排序，以便进行风险应对。组织应保留有关人工智能风险评估过程的文件化信息。

1.1.3 人工智能风险应对

考虑到风险评估结果，组织应确定人工智能风险应对过程，以便: 

a)选择适当的人工智能风险应对方案；

b)确定实施所选人工智能风险应对方案所必需的所有控制，并将这些控制与附录A中的控制进行比较，以核实没有遗漏任何必要的控制；

注1，附录A提供了实观组织目标和处理与人工智能系境的设计和使用有关的风险的参考控制。 

c)考虑附录A中与实施人工智能风险应对方案相关的控制；

d)确定除了附录A中的控制外，是否还需要其他控制，以实施所有风险应对备选方案； 

e)参考附录B，了解b)和c)中确定的控制的实施指南；

注2：控制目标隐含在所选择的控制中，组织积据要选择附录中列出的控制日标和控制，用录中的控制并非详尽无遗，可能还需要额外的控制目标和控制，如果需要附录入以外的不同或解外控制，组织能策划此类控制成从现有未源获取，如适用，人工智能风险管理可纳人其他管理系统。

1.1.4 人工智能系统影响评估

a)组织应制定一个过程，用于评估开发，提供或使用人工智能系统可能对个人和(或)群体和社会造成的潜在影响。

b)人工智能系统影响评估应确定人工智能系统的部署，预期使用和可预见的滥用对个人和(或)群体和社会造成的潜在影响。

c)影响评估应顾及人工智能系统的具体技术和社会环境以便人工智能系可在管精范内部署和适用。

d)人工智能系统影响评估的结果应记录在案，在适当情况下，能将人工智能系统影响评估的结果提供给组织规定的相关方。

e)组织应在风险评估中考虑人工智能系统影响评估结果，提供了评估人工智能系统影响的控制；

注：在某些环境下(如对安全或隐私至关重要的人工智能系统)，组织能要求进行特定学科的人工智能系统影响评(如物理安全，隐私成信息安全影响)，作为组织整体风险管理活动的一部分。

1.2 人工智能目标及其实现的策划

组织应在相关职能和层缓上确立人工智能目标。

人工智能目标应：

a)与人工智能方针一致; 

b)可测量(如果可行); 

c)体现适用的需求； 

d) 予以监视；

e)予以沟通：

f)视情况予以更新；

g)作为文件化信息可获取。

策划如何实现人工智能目标时，组织应确定：

要做什么；需要什么资源；由谁负责；何时完成；如何评价结果。

注：附录提供了与风险理有关的人工智能目标,开发和使用人工智能系统的控制目标和控制，提供了这些控制的实施街南定状态可能需要检查，监督或严格观察。

1.3 变更的策划

当组织确定需要变更人工智能管理体系时，应对这些变更的实施进行策划。

为建立，实施，保持和持续改进人工智能管理体系，组织应确定并提供所需的资源。注；人工智能资源的控制目标和控制，提供了这些控制的实施指南。

2.2能力

组织应：

a)确定在其控制下工作，影响人工智能绩效的人员所需的能力；

b)确保这些人员在适当的教育，培训或经验的基础上胜任工作；

c)适用时，采取措施获得所需的能力，并评价所采取措施的有效性;

d)适当的文件化信息应作为能力证据可获取。

注1：提供了关于人力资源的实施指南，包后考虑所需的专业知识。

注2：适用的格施可能包括，例如；向现有员工提供培，导成重新分配工作；聘用成劳务用能够胜任的人员。

2.3意识

a)在组织控制下工作的人员应知道；

b)人工智能方针;

c)他们对人工智能管理体系有效性的贡献，包括改善人工智能绩效带来的效益；

d)不符合人工智能管理体系要求的后果。

2.4沟通

a)组织应确定与人工智能管理体系有关的内部和外部沟通，包括:

1)一沟通什么；何时沟通：

2)与淮沟通：如何沟通。

2.5文件化信息

2.5.1 通则

组织的人工智能管理体系应包括： 

a)本文件要求的文件化信息；

b)组织确定的，对于人工智能管理体系有效性所必需的文件化信息。

注：不同组织的人工智能管理体系文件化信息的程度可能不同，取决于：组织的规模及其活动，过程，产品和服务的类型；过程及其相互作用的复杂度；人员的能力；

2.5.2 文件化信息的创建和更新

在创建和更新文件化信息时，组织应确保适当的：

一标记和说明(例如，标题，日期，作者或文件编号);

形式(例如，语言文字，软件版本，图形)和载体(例如，纸质的，电子的);针对适宜性和充分性的评审和批准。

2.5.3 文件化信息的控制

应控制人工智能管理体系和本文件要求的文件化信息，以确保其： 

a)在需要的场所和时间均可获得并适于使用；

b)得到充分保护(例如，防止泄密，不当使用或完整性受损).为了控制文件化信息，组织应开展以下适用的活动；分发，访问，检索和使用；

存储和防护，包括保持易读性；对变更的控制(例如，版本控制);一保留和处置。

对于组织确定的，策划和运行人工智能管理体系必要的，来自外部的文件化信息，应视情况进行识别，并予以控制。

注；访间可能意味着只允许查着文件化信息的权限，成者允许并授权查看和变更文件化信息的权限。