Kuinka käyttää tätä ISO 42001 -tarkistuslistaa
ISO 42001 (virallisesti ISO/IEC 42001:2023) on tekoälyn hallintajärjestelmien (AIMS) kansainvälinen standardi. Se tarjoaa jäsennellyn kehyksen tekoälyjärjestelmiä kehittäville, tarjoaville tai käyttäville organisaatioille, jotta he voivat tehdä sen vastuullisesti ja sääntelyodotusten mukaisesti.
Tämä tarkistuslista on jaettu kahteen osaan. Ensimmäinen osa kattaa hallintajärjestelmän vaatimukset kohdissa 4–10, joissa määritellään, miten organisaatiosi suunnittelee, tukee, toimii ja parantaa tavoitteitaan. Toinen kohta käsittelee 38 Liitteen A mukaiset valvontatavoitteet, jotka käsittelevät tekoälyjärjestelmän elinkaaren erityisiä riskejä ja vastuita.
Käy jokainen kohta läpi järjestyksessä. Käytä Tila sarake edistymisen seuraamiseksi – merkitse kohteet Ei aloitettu, Keskeneräinen tai Valmis. Jos havaitset aukkoja, vertaa niitä osioon kuiluanalyysi opas ja toteutusopas käytännön jatkotoimia varten.
Johtamisjärjestelmän vaatimukset (kohdat 4–10)
Nämä lausekkeet noudattavat ISO 27001-, ISO 9001- ja muiden johtamisjärjestelmästandardien liitteen SL korkean tason rakennetta. Jos organisaatiollasi on jo jokin näistä sertifioinneista, tunnistat kaavan – mutta kiinnitä erityistä huomiota tekoälyyn liittyviin vaatimuksiin, kuten tekoälyn riskinarviointiin (6.1.2), tekoälyjärjestelmän vaikutustenarviointiin (6.1.4) ja tekoälyjärjestelmien operatiivisiin hallintatoimenpiteisiin (8.2–8.4).
| lauseke | Vaatimus | Avaintoiminnot | Tila |
|---|---|---|---|
| 4.1 | Organisaation ja sen kontekstin ymmärtäminen | Tunnista tekoälytoimintojesi ja AIMS-tarkoituksesi kannalta merkitykselliset ulkoiset ja sisäiset ongelmat | ☐ |
| 4.2 | Kiinnostuneiden osapuolten tarpeiden ja odotusten ymmärtäminen | Listaa sidosryhmät (sääntelyviranomaiset, asiakkaat, asianomaiset henkilöt) ja heidän tekoälyn hallintaa koskevat vaatimuksensa | ☐ |
| 4.3 | AIMS-tavoitteiden laajuuden määrittäminen | Määrittele rajat – mitkä tekoälyjärjestelmät, liiketoimintayksiköt ja sijainnit kuuluvat soveltamisalaan | ☐ |
| 4.4 | Tekoälyn hallintajärjestelmä | Laadi, toteuta, ylläpidä ja paranna jatkuvasti AIMS-järjestelmää standardin mukaisesti | ☐ |
| 5.1 | Johtajuus ja sitoutuminen | Ylin johto osoittaa sitoutumista asettamalla tekoälypolitiikan, osoittamalla resursseja ja integroimalla tekoälyn hallintajärjestelmän liiketoimintaprosesseihin. | ☐ |
| 5.2 | AI-politiikka | Laadi ja hyväksy AI-politiikka joka sisältää sitoumuksia vastuullinen tekoäly käyttö, lainsäädännön noudattaminen ja jatkuva parantaminen | ☐ |
| 5.3 | Organisaation roolit, vastuut ja valtuudet | Määritä AIMS-roolit (tekoälyn hallinnon johtaja, riskien omistaja, järjestelmän omistaja) ja kommunikoi vastuut | ☐ |
| 6.1.1 | Toimenpiteet riskien ja mahdollisuuksien käsittelemiseksi (yleinen) | Määritä riskit ja mahdollisuudet, jotka voivat vaikuttaa AIMS-tuloksiin | ☐ |
| 6.1.2 | AI riskinarviointi | Määrittele ja käytä tekoälyn riskinarviointiprosessia, joka kattaa todennäköisyyden, vakavuuden ja vaikutuksen yksilöihin ja ryhmiin | ☐ |
| 6.1.3 | Tekoälyriskien hallinta | Valitse riskienhallintavaihtoehdot ja yhdistä ne liitteen A mukaisiin valvontatoimiin; laadi Ilmoitus soveltuvuudesta | ☐ |
| 6.1.4 | Tekoälyjärjestelmän vaikutustenarviointi | Arvioi tekoälyjärjestelmien mahdolliset vaikutukset yksilöihin, ryhmiin ja yhteiskuntiin ennen käyttöönottoa | ☐ |
| 6.2 | Tekoälyn tavoitteet ja niiden saavuttamisen suunnittelu | Aseta mitattavat tekoälytavoitteet asiaankuuluville toiminnoille ja tasoille; suunnittele resurssit, vastuut ja aikataulut | ☐ |
| 6.3 | Muutosten suunnittelu | Varmista, että AIMS-muutokset suunnitellaan, niiden seuraukset arvioidaan ja resurssit kohdennetaan | ☐ |
| 7.1 | Esittelymateriaalit | Määritä ja tarjoa AIMS:n tarvitsemat resurssit | ☐ |
| 7.2 | pätevyys | Varmista, että henkilöstöllä on tarvittava tekoälyn hallintaan ja tekniseen osaamiseen liittyvä osaaminen; tarjoa koulutusta tarvittaessa | ☐ |
| 7.3 | Awareness | Varmista, että kaikki asiaankuuluvat työntekijät ymmärtävät tekoälypolitiikan, tekoälynhallintaan liittyvät vastuunsa ja poikkeamien seuraukset. | ☐ |
| 7.4 | Viestintä | Määritä AIMS:n sisäiset ja ulkoiset viestintävaatimukset | ☐ |
| 7.5 | Dokumentoidut tiedot | Luo, päivitä ja hallitse kaikkea dokumentaatiovaatimukset standardin vaatima | ☐ |
| 8.1 | Toiminnan suunnittelu ja valvonta | Suunnittele, toteuta ja hallitse AIMS-vaatimusten täyttämiseen ja tekoälytavoitteiden saavuttamiseen tarvittavia prosesseja | ☐ |
| 8.2 | AI riskinarviointi | Suorita tekoälyriskien arvioinnit suunnitelluin väliajoin tai merkittävien muutosten tapahtuessa; säilytä dokumentoidut tulokset | ☐ |
| 8.3 | Tekoälyriskien hallinta | Toteuta tekoälyriskien hoitosuunnitelma ja säilytä näyttöä tuloksista | ☐ |
| 8.4 | Tekoälyjärjestelmän vaikutustenarviointi | Tee vaikutustenarvioinnit tekoälyjärjestelmille ja dokumentoi havainnot | ☐ |
| 9.1 | Seuranta, mittaus, analysointi ja arviointi | Määrittele, mitä seurataan, mittausmenetelmät ja kuinka usein; arvioi AIMS:n suorituskykyä | ☐ |
| 9.2 | Sisäinen tarkastus | Suorita suunnitellusti sisäisiä auditointeja sen varmistamiseksi, että AIMS on standardin mukainen ja että se on tehokkaasti toteutettu. Katso lisätietoja ISO 42001 -auditointi ohjaavat | ☐ |
| 9.3 | Johdon katsaus | Ylin johto tarkastelee AIMS:n suorituskykyä, auditointituloksia, riskitilannetta ja parannusmahdollisuuksia suunnitelluin väliajoin | ☐ |
| 10.1 | Jatkuva parantaminen | Paranna jatkuvasti AIMS-järjestelmien sopivuutta, riittävyyttä ja tehokkuutta | ☐ |
| 10.2 | Poikkeus ja korjaavat toimet | Reagoi poikkeamiin, arvioi niiden perimmäiset syyt, toteuta korjaavat toimenpiteet ja tarkista niiden tehokkuus | ☐ |
Kun olet käynyt läpi jokaisen kohdan, sinulla pitäisi olla selkeä kuva siitä, missä kohtaa AI-hallintajärjestelmä Seuraava vaihe on arvioida tilannettasi liitteen A säännösten perusteella.
Kaikki mitä tarvitset ISO 42001:een
Strukturoitu sisältö, kartoitetut riskit ja sisäänrakennetut työnkulut auttavat sinua hallitsemaan tekoälyä vastuullisesti ja luottavaisesti.
Liitteen A valvontatavoitteiden tarkistuslista
ISO 42001 -standardin liitteessä A on 38 valvontaa, jotka on järjestetty yhdeksälle alueelle. Nämä valvontatoimet eivät kaikki ole pakollisia – sinun Ilmoitus soveltuvuudesta määrittää tekoälyriskiarviosi perusteella, mitkä soveltuvat. Sinun on kuitenkin perusteltava mahdolliset poikkeukset. Käytä tätä tarkistuslistaa yksityiskohtaisen tarkistuslistamme rinnalla. Liite A valvonta opas toteutuksen yksityiskohdista.
| Ohjausviite | Ohjausnimi | Vaadittavat keskeiset todisteet | Tila |
|---|---|---|---|
| A.2 — Tekoälyyn liittyvät käytännöt | |||
| A.2.2 | AI-politiikka | Hyväksytty tekoälykäytäntöasiakirja, viestintätiedot | ☐ |
| A.2.3 | Yhdenmukaisuus muiden politiikkojen kanssa | Käytäntöjen ristiviittausmatriisi, joka osoittaa yhdenmukaisuuden tietoturva-, tietosuoja- ja eettisten käytäntöjen kanssa | ☐ |
| A.2.4 | Tekoälypolitiikan tarkastelu | Aikataulutettujen tarkistusten tiedot, versiohistoria, johdon hyväksyntä | ☐ |
| A.3 — Sisäinen organisaatio | |||
| A.3.2 | Tekoälyn roolit ja vastuut | RACI-matriisi tai roolikuvaukset, jotka kattavat tekoälyn hallinnan, kehittämisen ja toiminnan | ☐ |
| A.3.3 | Huolenaiheiden raportointi | Dokumentoitu ilmoituskanava, eskalointimenettelyt, esiin tuotujen huolenaiheiden kirjaaminen | ☐ |
| A.4 — Tekoälyjärjestelmien resurssit | |||
| A.4.2 | Resurssidokumentaatio | Tekoälyjärjestelmän resurssien (data, laskenta, työkalut, henkilöstö) inventaario | ☐ |
| A.4.3 | Tietolähteet | Tietovarastot, tietovuokaaviot, käyttöoikeuksien hallinta | ☐ |
| A.4.4 | Työkaluresurssit | Tekoälyn kehitys- ja käyttöönottotyökalujen rekisteri, versionhallinta | ☐ |
| A.4.5 | Järjestelmä- ja laskentaresurssit | Infrastruktuuridokumentaatio, kapasiteettisuunnitelmat, pääsynhallinta | ☐ |
| A.4.6 | Henkilöresurssit | Osaamisrekisterit, koulutussuunnitelmat, pätevyystodistukset | ☐ |
| A.5 — Tekoälyjärjestelmien vaikutusten arviointi | |||
| A.5.2 | Tekoälyjärjestelmän vaikutustenarviointiprosessi | Dokumentoitu vaikutustenarviointimenetelmä, arviointipohjat | ☐ |
| A.5.3 | Arviointien dokumentointi | Täytetyt vaikutustenarviointitietueet kullekin tutkimukseen sisältyvälle tekoälyjärjestelmälle | ☐ |
| A.5.4 | Vaikutus yksilöihin | Vaikutusten analysointi yksilön oikeuksiin, turvallisuuteen ja hyvinvointiin; lieventävät toimenpiteet | ☐ |
| A.5.5 | Yhteiskunnalliset vaikutukset | Laajempien yhteiskunnallisten vaikutusten arviointi, mukaan lukien puolueellisuus, oikeudenmukaisuus ja ympäristövaikutukset | ☐ |
| A.6 — Tekoälyjärjestelmän elinkaari | |||
| A.6.1.2 | Vastuullisen kehityksen tavoitteet | Dokumentoidut tavoitteet, jotka kattavat oikeudenmukaisuuden, läpinäkyvyyden, vastuullisuuden ja turvallisuuden | ☐ |
| A.6.1.3 | Vastuullisen suunnittelun prosessit | Vastuullisten tekoälyperiaatteiden sisällyttäminen suunnitteluprosessin dokumentointiin jokaisessa vaiheessa | ☐ |
| A.6.2.2 | Vaatimusten määrittely | Toiminnalliset ja ei-toiminnalliset vaatimukset, mukaan lukien eettiset ja oikeudelliset rajoitukset | ☐ |
| A.6.2.3 | Suunnittelun dokumentointi | Järjestelmäarkkitehtuuriasiakirjat, suunnittelupäätökset, kompromissien kirjaukset | ☐ |
| A.6.2.4 | Tarkastus ja validointi | Testaussuunnitelmat, testitulokset, hyväksymiskriteerit, harha ja suorituskykytestien tiedot | ☐ |
| A.6.2.5 | Käyttöönotto | Käyttöönottomenettelyt, käyttöönottotarkistuslistat, palautussuunnitelmat | ☐ |
| A.6.2.6 | Käyttö ja valvonta | Valvontanäkymät, suorituskykymittarit, ajautumisen havaitsemislokit | ☐ |
| A.6.2.7 | Tekninen dokumentaatio | Mallikortit, järjestelmäkuvaukset, algoritmien dokumentaatio | ☐ |
| A.6.2.8 | Tapahtumalokit | Lokimenettelyt, lokien säilytyskäytännöt, auditointipolun todisteet | ☐ |
| A.7 — Tekoälyjärjestelmien data | |||
| A.7.2 | Kehitysdataa | Aineistovalintakriteerit, edustavuusanalyysi, harhanarvioinnit | ☐ |
| A.7.3 | Tietojen hankkiminen | Tietojen hankintatiedot, suostumus-/lisenssiasiakirjat, oikeusperusta | ☐ |
| A.7.4 | Tietojen laatu | Tiedon laadun mittarit, validointimenettelyt, virheiden käsittelytietueet | ☐ |
| A.7.5 | Datan alkuperä | Tietojen alkuperän dokumentointi, säilytysketjun tietueet | ☐ |
| A.7.6 | Tietojen valmistelu | Esikäsittelyputket, muunnoslokit, merkintämenettelyt | ☐ |
| A.8 — Tietoa kiinnostuneille osapuolille | |||
| A.8.2 | Järjestelmädokumentaatio käyttäjille | Käyttöoppaat, ominaisuuslausunnot, tunnetut rajoitukset | ☐ |
| A.8.3 | Ulkoinen raportointi | Julkaistut avoimuusraportit, sääntelyyn liittyvät asiakirjat | ☐ |
| A.8.4 | Tapahtumatilanteiden tiedottaminen | Tapahtumailmoitusmenettelyt, viestintämallit, ilmoitustiedot | ☐ |
| A.8.5 | Tietoa kiinnostuneille | Sidosryhmien viestintää koskevat tiedot, tiedonantokäytännöt | ☐ |
| A.9 — Tekoälyjärjestelmien käyttö | |||
| A.9.2 | Vastuullisen käytön prosessit | Hyväksyttävät käyttötavat, ihmisen valvontamekanismit, eskalointipolut | ☐ |
| A.9.3 | Vastuullisen käytön tavoitteet | Mitattavat tavoitteet vastuulliselle tekoälyn käytölle ja seurantakriteerit | ☐ |
| A.9.4 | Käyttötarkoitus | Dokumentoidut käyttötarkoituksen lausunnot, rajaehdot, kielletyt käyttötarkoitukset | ☐ |
| A.10 — Kolmannet osapuolet ja asiakassuhteet | |||
| A.10.2 | Vastuiden jakaminen | Vastuunjakoasiakirjat, tekoälyvelvoitteita koskevat sopimuslausekkeet | ☐ |
| A.10.3 | Toimittajat | Toimittajien arviointiraportit, due diligence -raportit, sopimukselliset tekoälyvaatimukset | ☐ |
| A.10.4 | Asiakkaat | Asiakasviestintätiedot, käyttöohjeet, palautemekanismit | ☐ |
Kun olet arvioinut jokaisen kontrollin, kokoa perustelut lomakkeelle Ilmoitus soveltuvuudestaTämä asiakirja on pakollinen auditointituote, ja se yhdistää jokaisen kontrollin riskienhallintapäätöksiisi.
Aloita helposti henkilökohtaisella tuote-esittelyllä
Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.
Miksi valita ISMS.online ISO 42001 -yhteensopivuuden saavuttamiseksi?
Paperisen tarkistuslistan läpikäyminen on alku, mutta jatkuvan ISO 42001 -standardin mukainen tiimien, tekoälyjärjestelmien ja auditointisyklien välinen laajuus vaatii työhön rakennetun alustan. ISMS.online liittyy suoraan jokaiseen tämän tarkistuslistan kohtaan:
- Valmiiksi kootut ISO 42001 -ohjausjärjestelmät — Jokainen liitteen A mukainen valvontatoimenpide on esiladattu ohjeistuksella, joten tiimisi tietää tarkalleen, mitä todisteita kerätään ja minne ne tallennetaan.
- Tekoälyn riskirekisteri — Suorita ja dokumentoi tekoälyn riskinarvioinnit (kohta 6.1.2) ja tekoälyjärjestelmien vaikutustenarvioinnit (kohta 6.1.4) jäsenneltyyn ja auditoitavaan rekisteriin.
- Käytäntöjen ja asiakirjojen hallinta — Luonnostele, versioi, hyväksy ja jaa AI-politiikka ja kaikki tukevat dokumentointi yhdestä työtilasta.
- Soveltuvuuslausunnon rakentaja — Luo soveltuvuusarviointisi automaattisesti riskienhallintapäätöksistäsi ja seuraa täysin sisällytettyjen ja pois jätettyjen kontrollien perusteluja.
- Tarkastuksen hallinta — Suunnittele sisäiset auditoinnit (kohta 9.2), anna havainnot, seuraa korjaavia toimenpiteitä (kohta 10.2) ja vie todistusaineistopaketit ulkoisille auditoijille. Katso ISO 42001 -auditointi opas saadaksesi lisätietoja.
- Todisteiden kerääminen ja linkittäminen — Liitä todisteet suoraan kontrolleihin ja lausekkeisiin. Kun tilintarkastajasi pyytää todisteita, ne ovat jo järjestettyinä ja valmiina.
- Integroidun hallintajärjestelmän tuki — Jos käytät jo ISO 27001- tai ISO 27701 -standardia, ISMS.online mahdollistaa kaikkien standardien hallinnan yhdeltä alustalta jaettujen hallintalaitteiden ja vähemmän päällekkäisyyksiä hyödyntäen.
Valmiina siirtymään tarkistuslistalta toimintaan? Varaa demo nähdä miten ISMS.online nopeuttaa matkaasi kohti ISO 42001 -sertifikaatti.
UKK
Kuinka monta vaatimusta ISO 42001 -standardissa on?
ISO 42001 sisältää johtamisjärjestelmävaatimukset seitsemässä kohdassa (kohdat 4–10) sekä 38 liitteessä A olevaa valvontatavoitetta, jotka on ryhmitelty yhdeksään valvonta-alueeseen. Kohdat määrittelevät, miten tekoälyn hallintajärjestelmää perustetaan, käytetään ja parannetaan, kun taas liitteessä A olevat valvontatoimet käsittelevät tiettyjä… Tekoälyn hallinta vastuualueita, kuten tiedon laatu, vaikutustenarviointi ja kolmannen osapuolen hallinta.
Pitääkö minun ottaa käyttöön kaikki 38 liitteen A mukaista valvontaa?
Ei välttämättä. Toteuttamasi kontrollit riippuvat tekoälyriskien arvioinnistasi ja tekoälyjärjestelmiesi laajuudesta. Sinun on dokumentoitava päätöksesi Ilmoitus soveltuvuudesta, perustellen sekä valitsemasi että poissulkemasi kontrollit. Tilintarkastajat tarkistavat nämä perustelut, joten jokaiselle poissulkemiselle on oltava selkeä, riskiperusteinen perustelu.
Mitä eroa on lausekkeen vaatimuksilla ja liitteen A mukaisilla valvontatoimilla?
Lausekkeiden vaatimukset (4–10) ovat pakollisia kaikille sertifiointia hakeville organisaatioille. Ne määrittelevät johtamisjärjestelmän viitekehyksen: kontekstin, johtajuuden, suunnittelun, tuen, toiminnan, suorituskyvyn arvioinnin ja parantamisen. Liitteen A kontrollit ovat viitejoukko tavoitteita, joita sovelletaan valikoivasti riskienhallintasuunnitelman perusteella. Ajattele lausekkeita tavoitteiden hallintajärjestelmäsi moottorina ja liitettä A erityisinä kontrolleina, joita käytetään tunnistettujen riskien käsittelemiseksi.
Kuinka kauan tämän tarkistuslistan täyttäminen ja sertifikaatin saaminen kestää?
Aikataulut vaihtelevat organisaation koon ja kypsyysasteen mukaan. Organisaatio, jolla on olemassa oleva ISO 27001 -johtamisjärjestelmä, voi tyypillisesti saavuttaa ISO 42001 -sertifioinnin 3–6 kuukaudessa laajentamalla olemassa olevia prosessejaan. Alusta alkaen toimivien organisaatioiden tulisi suunnitella aika 6–12 kuukaudeksi. Käyttämällä alustaa, kuten ISMS.online valmiiden mallien ja ohjattujen työnkulkujen avulla tätä aikataulua voidaan lyhentää merkittävästi. Meidän toteutusopas tarjoaa yksityiskohtaisen erittelyn.
Voinko käyttää tätä tarkistuslistaa sisäisessä tarkastuksessa?
Kyllä. Tämä tarkistuslista on suoraan linjassa ulkoisen tilintarkastajan arvioimien vaatimusten kanssa. Käytä sitä lähtökohtana omalle tarkistuslistallesi. sisäisen tarkastuksen ohjelma (Kohta 9.2) tunnistaaksesi puutteet ennen sertifiointitarkastustasi. Tee jokaisesta keskeneräiseksi merkitystä kohdasta havainto ja määritä korjaava toimenpide määräaikoineen. Meidän ISO 42001 -auditointi Opas kattaa koko sisäisen tarkastuksen prosessin.
