СТ РК ISO/IEC 23894-2025
Информационные технологии
Искусственный интеллект
Руководство по управлению рисками
(ISO/IEC 23894:2023 Information technology. Artificial intelligence. Guidance on risk management, IDT)
Содержание
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Принципы менеджмента риска AI
5. Структура
5.1 Общие положения
5.2 Лидерство и приверженность
5.3 Интеграция
5.4 Проектирование
5.5 Реализация
5.6 Оценка
5.7 Улучшение
6. Процесс менеджмента риска
6.1 Общие положения
6.2 Коммуникация и консультации
6.3 Область применения, контекст и критерии
6.4 Оценка риска
6.5 Обработка риска
6.6 Мониторинг и обзор
6.7 Регистрация и отчетность
Приложение А (информационное) Цели
Приложение В (информационное) Источники риска
Приложение С (информационное) Менеджмент риска и жизненный цикл системы AI
Библиография
Приложение В.А (информационное) Сведения о соответствии стандартов ссылочным международным, региональным стандартам, стандартам иностранных государств
Введение
Целью менеджмента риска является создание и защита ценности. Оно повышает эффективность, поощряет инновации и поддерживает достижение целей.
Настоящий стандарт предназначен для использования в связи с ISO 31000:2018. Когда настоящий стандарт расширяет руководство, приведенное в ISO 31000:2018, соответствующая ссылка указывается на разделы ISO 31000:2018, за которыми следует руководство, относящееся к AI, если применимо. Для того, чтобы связь между настоящим стандартом и ISO 31000:2018 стала более явной, структура разделов ISO 31000:2018 отражена в настоящем стандарте и при необходимости внесения изменения в подразделы.
Настоящий стандарт разделен на три основные части:
Раздел 4: Принципы. В настоящем разделе описываются основополагающие принципы менеджмента риска. Использование AI требует особых рекомендаций в отношении некоторых из настоящих принципов, в соответствии с описанием в ISO 31000:2018 (раздел 4).
Раздел 5: Структура. Цель структуры менеджмента риска заключается в оказании помощи организации в интеграции менеджмента риска в значимые виды деятельности и функции. Аспекты, специальные для разработки, предоставления или предложения, или использования систем AI, описаны в ISO 31000:2018 (раздел 5).
Раздел 6: Процессы. Процессы менеджмента риска включают систематическое применение политик, процедур и практик к деятельности по коммуникации и консультированию, установлению контекста, а также оценке, обработке, мониторингу, обзору, регистрации и отчетности по рискам. Специализация таких процессов для AI описана в ISO 31000:2018 (раздел 6).
Общие цели и источники рисков, связанные с AI, приведены в приложении А и приложении В. В приложении С приведен пример сопоставления между процессами менеджмента риска и жизненным циклом системы AI.
1. Область применения
