ISO∕IEC 42001-2023《信息技术-人工智能-管理体系》之7：“6策划-6.1 确定风险和机遇的措施”专业解读和实践应用指导材料（雷泽佳编制-2024C0）.pdfVIP

ISO/IEC42001-2023《信息技术-人工智能-管理体系》之7：

“6策划-6.1确定风险和机遇的措施”专业解读和实践应用指导材料

ISO/IEC42001-2023《信息技术-人工智能-管理体系》之7

“6策划-6.1确定风险和机遇的措施”专业解读和实践应用指导材料

（雷泽佳编制，2024C0）

ISO/IEC42001-2023《信息技术-人工智能-管理体系》

6策划

6.1确定风险和机遇的措施

6.1.1总则

在对人工智能管理体系进行策划时，组织应考虑4.1中提及的因素和4.2中提及的要求，并确定需要应

对的风险和机遇，以：

——确保人工智能管理体系能够实现其预期结果；

——预防或减少不利影响；

——实现持续改进。

组织应建立和保持人工智能风险准则，以支持以下工作：

——区分可接受与不可接受的风险；

——进行人工智能风险评估；

——实施人工智能风险应对；

——评估人工智能风险的影响。

注1：ISO/IEC38507和ISO/IEC23894中提供了确定组织愿意追求或保留的风险数量和类型的考虑因素。

组织应根据以下因素确定风险和机遇：

——人工智能系统的领域和应用环境；

——预期用途；

——4.1中提及的外部和内部因素。

注2：在人工智能管理体系的范围内可考虑不止一个人工智能系统。在这种情况下，应针对每个人工智能系统或人工智

能系统组确定机会和用途。

组织应策划：

a）应对这些风险和机遇的措施；

b）如何做：

1）在其人工智能管理体系过程中整合并实施这些措施；

雷泽佳编制2024C01

ISO/IEC42001-2023《信息技术-人工智能-管理体系》之7：

“6策划-6.1确定风险和机遇的措施”专业解读和实践应用指导材料

2）评价这些措施的有效性。

组织应保留为识别和应对人工智能风险和机遇而采取的措施的成文信息。

注3：关于如何为开发、提供或使用人工智能产品、系统和服务的组织实施风险管理的指导见ISO/IEC23894。注4：组

织及其活动的环境会对组织的风险管理活动产生影响。

注5：不同部门和行业对风险的定义以及风险管理的设想可能有所不同。3.7中对风险的规范性定义允许对风险有一个

广泛的认识，以适应任何部门，如条款D.1中提到的部门。在任何情况下，作为风险评估的一部分，组织的职责是首先采用

适合其环境的风险观。这可以包括通过人工智能系统为之开发和使用的部门所使用的定义来看待风险，如ISO/IEC指南51

中的定义。

6策划

6.1确定风险和机遇的措施

6.1.1总则

(1)风险的定义及理解：不确定性对目标的影响；

(a)风险的本质；

——风险的不确定性：风险源于不确定性，这种不确定性可能导致目标无法实现或偏离预期结果；

——对目标的影响：风险直接影响组织或系统试图实现的目标，这些目标可能是战略性的、战术性的

或运营层面的。

(b)影响的双重性；

——积极与消极影响：风险带来的影响可以是积极的（如意外收获）或消极的（如损失）。管理风险

时，应同时考虑这两种可能性。

——对预期的偏离：无论影响是积极还是消极，它都代表了与原始预期的偏差。这种偏差是评估风险

时需要考虑的关键因素。

(c)不确定性的来源；

——信息缺失或片面：不确定性通常源于对事件、其后果或可能性的信息不足或理解片面。这可能是

由于数据缺失、知识局限或环境变化等因素导致的；

——全面理解风险：为了有效管理风险，需要尽可能收集完整的信息，以减少不确定性，并更准确地

评估风险。

(d)风险的构成；

——潜在事件与后果：风险由潜在事件（可能发生的事情）和这些事件可能带来的后果（对目标的影

响）组成。理解这两者是评估和管理风险的基础；

雷泽佳编制2024C02

ISO/IEC42001-2023《信息技术-人工智能