Интеграция стандартов ИСО по управлению документами со стандартом системы менеджмента ИИ ISO/IEC 42001:2023 – Рекомендации для практиков по документированию систем ИИ (2)

(Окончание, начало см. http://rusrim.blogspot.com/2025/08/isoiec-420012023-1.html )

Введение

Искусственный интеллект в настоящее время играет центральную роль в оперативной деловой деятельности и государственном управлении, принося с собой огромные преимущества, но также и создавая проблемы в области этики, защиты персональных данных и безопасности. В качестве реакции на сложившуюся ситуацию Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) совместно подготовили стандарт системы менеджмента ИИ ISO/IEC 42001:2023, который обеспечивает структурированную концептуальную основу для стратегического управления ИИ (см. также https://www.a-lign.com/articles/understanding-iso-42001 ).

Стандарт ISO 42001 устанавливает требования к формированию системы менеджмента ИИ (AI management system, AIMS), охватывающей всё, начиная от контекста (условий деятельности) организации и вопросов лидерства до управления рисками, оперативного использования и постоянного совершенствования, - обеспечивая, что системы ИИ разрабатываются и используются ответственно.

Достижение соответствия требованиям ISO 42001 означает демонстрацию прозрачности, подотчетности, смягчения предвзятости, обеспечение безопасности и защиты персональных данных в ИИ-процессах. Крайне важно то, что каждый из этих принципов опирается на эффективное управление информацией: организации должны документировать свои системы ИИ, сохранять доказательства принятых решений и управлять документами, отражающими разработку моделей и их функционирование.

Именно здесь приходят н помощь стандарты ИСО по вопросам управления документами. Технический подкомитет ИСО TC46/SC11 «Управление документами» разработал набор стандартов, описывающих хорошие практики управления документами и информацией на протяжении всего их жизненного цикла. Ключевыми среди них являются: 

• Стандарт ISO 15489-1:2016 «Информация и документация - Управление документами - Часть 1: Понятия и принципы» (Information and documentation - Records management - Part 1: Concepts and principles, см. https://www.iso.org/standard/62542.html и https://www.iso.org/obp/ui/en/#!iso:std:62542:en - стандарт адаптирован в России как ГОСТ Р ИСО 15489-1-2019 (ISO 15489-1:2016) «Система стандартов по информации, библиотечному и издательскому делу. Информация и документация. Управление документами. Часть 1. Понятия и принципы», см.  https://protect.gost.ru/document1.aspx?control=31&baseC=6&id=232615 – Н.Х.), где описывается, каким образом создавать и сохранять документы, которые являющиеся аутентичными, надёжными и пригодными для использования в качестве доказательств и свидетельств деловой деятельности (см. https://www.filecorp.co.nz/resources/compliant-2.html );
  
  
• Стандарт ISO 30301:2019 «Информация и документация - Системы менеджмента документов - Требования» (Information and documentation - Management systems for records – Requirements), см. https://www.iso.org/standard/74292.html и https://www.iso.org/obp/ui/en/#!iso:std:74292:en , а также мой пост https://rusrim.blogspot.com/2019/02/iso-30301.html , - с поправкой Amd 1:2024 «Поправка 1: Изменения, связанные с усилиями по борьбе с изменением климата» (Amendment 1: Climate action changes), см. https://www.iso.org/standard/88415.html и https://www.iso.org/obp/ui/en/#!iso:std:88415:en , а также мой пост https://rusrim.blogspot.com/2024/04/iso-303012019.html . Это стандарт требований, который «встраивает» управление документами в стратегическое управление организацией (аналогично стандартам ISO 9001 и ISO 27001, но с упором на документы) – см. также https://www.linkedin.com/pulse/iso-30301-vs-15489-choosing-right-standard-effective-talusan-cruz-jouzf .
  
  Мой комментарий: Стандарт ISO 30301:2019 адаптирован в России дважды - как ГОСТ Р 7.0.101-2018 / ИСО 30301:2011 «Система стандартов по информации, библиотечному и издательскому делу. Информация и документация. Системы управления документами. Требования». см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=222670 (мой пост о нём: https://rusrim.blogspot.com/2018/03/iso-30301.html ); и ГОСТ Р ИСО 30301-2014 «Информация и документация. Системы менеджмента записей. Требования», http://protect.gost.ru/v.aspx?control=8&baseC=6&id=181007 (мой пост о нём: https://rusrim.blogspot.com/2015/03/blog-post_98.html ).
  
  
• Стандарт ISO 18128:2024 «Информация и документация – Риски для документов – Оценка риска в контексте управления документами» (Information and documentation - Records risks - Risk assessment for records management, см. https://www.iso.org/standard/85321.html и https://www.iso.org/obp/ui/en/#!iso:std:85321:en ), который содержит рекомендации по выявлению и анализу рисков для документов, документных процессов и систем.
  
  Мой комментарий: Предшественник данного стандарта - технический отчёт ISO/TR 18128:2014 «Информация и документация – Оценка рисков для документных процессов и систем» (Information and documentation - Risk assessment for records processes and systems) был адаптирован в России как ГОСТ Р 57551-2017 / ISO/TR 18128:2014 «Информация и документация. Оценка рисков для документных процессов и систем», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=210200 .

Эти и другие взаимосвязанные с ними стандарты технического подкомитета SC11 (например, по метаданным, по вопросам хранения в течении установленных сроков, а также стандарты, устанавливающие функциональные требования к документным системам) в совокупности дают организациям возможность систематически контролировать их информационные активы. В частности, в стандарте ISO 30301 используется точно та же высокоуровневая структура содержания, что и в стандарте ISO 42001 (в разделах с 4 по 10 рассматриваются контекст, лидерство, планирование и т. д.), содержащая требования в отношении лидерства и поддержки со стороны высшего руководства, управления рисками, управления документированной информацией, мониторинга и совершенствования управления документами (см. https://www.linkedin.com/pulse/iso-30301-vs-15489-choosing-right-standard-effective-talusan-cruz-jouzf ).

Мой комментарий: Одинаковость высокоуровневых структур содержания упомянутых стандартов – вовсе не случайность, а следствие усилий ИСО и МЭК по стандартизации содержания стандартов многочисленных систем менеджмента. Проще говоря, для таких стандартов существует «каноническая» структура (в ряде случаев – вплоть до блоков текста отдельных разделов и подразделов), которой обязаны следовать их разработчики. 

Другими словами, стандарт ISO 30301 описывает концептуальную структуру стратегического управления для документов, которая согласуется с любой системой менеджмента ИСО, включая систему менеджмента ИИ (AIMS). Этот стандарт «интегрирует контроль и управление документов/контентом в стратегическое управление организацией» и облегчает проведение аудитов и постоянное совершенствование практик управления документами и информацией. 

Такие возможности бесценны при управлении сложными системами ИИ. Признавая эту синергию, подкомитет TC46/SC11 даже сформировал специальную рабочую группу по вопросам управления документами в контексте ИИ. Эта новая группа стремится обеспечить прямую поддержку потребностей управления ИИ в стандартах управления документами (см. https://www.linkedin.com/posts/taniya-kandari-bbb020321_auditing-artificial-intelligence-with-iso-activity-7274382271552364544-sBwm ).

В настоящем аналитическом отчёте подробное сопоставление положений стандарта ISO/IEC 42001 и стандартов управления документами подкомитета SC11 транслируется в практическое руководство для специалистов по управлению документами и информацией. Задача заключается в том, чтобы показать, дружественным для практиков способом, каким образом каждое требование стандарта ISO 42001 может быть реализовано или усилено посредством применения принципов и инструментов подкомитета SC11. Далее в аналитическом отчёте мы переходим к основным разделам ISO 42001 (с 4 по 10), объясняя цели каждого из них и выделяя соответствующие стратегии управления документами, которые помогают их реализовать.

По ходу изложения мы включаем иллюстративные примеры, демонстрирующие, каким образом стандарты подкомитета SC11 могут применяться в реальных сценариях применения систем ИИ – примерами могут служить документирование разработки модели ИИ для целей подотчётности и использование оценки документных рисков для выявления связанных с информацией рисков в ИИ-проекте. К концу аналитического отчёта читателю станет ясно, что надёжное стратегическое управление документами и информацией является краеугольным камнем заслуживающего доверия ИИ.

Поддержка инициатив в области ИИ посредством хорошего управления документами не только способствует соблюдению положений стандарта ISO 42001, но также обеспечивает прозрачность и формирует доказательную базу, которые необходимы для этичного использования ИИ, для исполнения законодательно-нормативных требований (например, для выполнения требований к прозрачности и подотчетности, содержащихся в Законе Евросоюза об ИИ) и для обеспечения доверия заинтересованных сторон. Специалисты-профессионалы в области управления документами призваны сыграть ключевую по важности роль в этих междисциплинарных усилиях, обеспечивая, что «память» систем ИИ - их данные, соответствующие решения и обоснования - надежно захватывается и управляется в течение всего срока службы системы ИИ и даже после его истечения.

Структура данного аналитического отчёта следующая: В следующем разделе содержится анализ на уровне пунктов, в рамках которого каждый пункт ISO 42001 сопоставляется с соответствующими положениями стандартов подкомитета TC46/SC11, и приводятся примеры, иллюстрирующие реализацию требований на практике. Вслед за аналитической частью ряд кратких описаний вариантов применения демонстрирует практическое применение управления документами в документировании систем ИИ и в стратегическом управлении рисками. В заключении приводятся основные выводы и перспективы на будущее, подчеркивающие ценность интеграции управления документами в системы менеджмента ИИ с целью обеспечения ответственного, проверяемого применения ИИ. 

Все цитаты и ссылки для дальнейшего чтения приведены с использованием стиля «современное государственное управление» (Modern Public Administration, MPA).

Эндрю Поттер (Andrew Potter)

Источник: сайт Substack
https://metaarchivist.substack.com/p/integrating-iso-records-management