معرفی استاندارد ایزو هوش مصنوعی ISO/IEC 42001

همانطور که می دانید، استاندارد ISO/IEC 42001 به تازگی در سال ۲۰۲۳ منتشر شده است. این استاندارد اولین نظام مدیریت اختصاصی برای هوش مصنوعی (AI) است. هدف آن حمایت از سازمان هایی است که از هوش مصنوعی استفاده می کنند، آن را توسعه می دهند، نظارت می کنند یا محصولات و خدماتی را ارائه می دهند که از آن بهره می گیرند. به عبارت دیگر، این گواهینامه ایزو به این سازمان ها کمک می کند تا به طور مسئولانه نقش خود را انجام دهند.

هدف از ایزو 42001 برای هوش مصنوعی چیست؟

اولین نکته در مورد گواهینامه ایزو ISO/IEC 42001 عنوان آن است که به اختصار “سیستم مدیریت فناوری اطلاعات-هوش مصنوعی” نامیده می شود. این عنوان به طور مستقیم مشخص نمی کند که از این استاندارد برای چه مواردی می توان استفاده کرد. برای مثال، استاندارد ایزو 9001 مربوط به “سیستم مدیریت کیفیت” است، ISO/IEC 27001 مربوط به “سیستم مدیریت امنیت اطلاعات” و ISO 14001 مربوط به “سیستم مدیریت زیست محیطی” است. بنابراین، عنوان استاندارد به طور مستقیم هدف آن را مشخص نمی کند (مثلاً این استاندارد یک استاندارد سیستم مدیریت کیفیت نیست).

در عوض، این استاندارد توضیح می دهد که هدف آن حمایت از سازمان ها در ارائه شواهدی از “مدیریت مسئولانه و پاسخگو” در رابطه با سیستم های هوش مصنوعی است.

این استاندارد از ساختار سطح بالا (HLS) سازمان جهانی استاندارد (ISO) و کمیسیون بین‌المللی الکتروتکنیک (IEC) پیروی می‌کند که تقریباً در تمامی استانداردهای سیستم مدیریت به کار می‌رود. استفاده از HLS مزایای آشکاری دارد، از جمله اینکه استانداردهای سیستم مدیریت بخش‌های زیادی از بندهای خود را به اشتراک می‌گذارند و تقریباً خواسته‌های مشابهی دارند (مانند انجام بررسی‌های مدیریت، ممیزی‌های داخلی و مدیریت ریسک).

استاندارد با ساختار سطح بالا و مزایای آن

این استاندارد بر اساس ساختار سطح بالا (HLS) توسعه یافته است که تقریباً در تمام استانداردهای سیستم مدیریت ISO/IEC کاربرد دارد. این ساختار مزایای قابل توجهی را به همراه دارد، به عنوان مثال، بخش زیادی از بندهای استانداردهای سیستم مدیریت مشابه هستند و تقریباً خواسته‌های مشابهی (مانند اجرای بررسی‌های مدیریت، ممیزی‌های داخلی و مدیریت ریسک) دارند.

شبیه به ISO 27001، این استاندارد نیز «پیوست A» دارد که سازمان‌ها می‌توانند بر اساس آن، کنترل‌های مرتبط با نیاز خود را انتخاب و اجرا کنند. بنابراین ممیزی‌های خارجی استانداردهای مشابه سیستم مدیریت حتی می‌توانند با هم ترکیب شوند (که باعث کاهش هزینه‌های اولیه صدور گواهینامه، نظارت سالانه و تمدید گواهینامه می‌شود). شما به راحتی می‌توانید با اضافه کردن استانداردهای بیشتر، دامنه سیستم مدیریت خود را گسترش دهید.

شرایط دریافت ایزو 42001 برای تولید کنندگان تجهیزات پزشکی

استاندارد ISO 13485 برای تولیدکنندگان تجهیزات پزشکی با سایر استانداردهای مدیریت کیفیت مانند ایزو 9001 و ISO/IEC 42001 (که از الگوی ساختار سطح بالا یا HLS پیروی می کنند) متفاوت است. دلیل اصلی این است که هدف ISO 13485 نشان دادن انطباق با الزامات قانونی مانند آیین نامه تجهیزات پزشکی اتحادیه اروپا است و مورد تایید استاندارد CE می باشد.

سازمان های نظارتی انتظار دارند تولیدکنندگان سیستم مدیریت کیفیت و مدیریت ریسک خود را مطابق با این الزامات نشان دهند. ISO 13485 به عنوان یک استاندارد هماهنگ به این هدف کمک می کند.

از آنجایی که هدف ISO 13485 با استانداردهای مدیریت کیفیت HLS متفاوت است، جای تعجب نیست که ساختار آن را دنبال نمی کند. برای مثال، HLS از اصول مدیریت ریسک ISO 31000 پیروی می کند، در حالی که استاندارد شناخته شده جهانی برای مدیریت ریسک در صنعت تجهیزات پزشکی، ISO 14971 است. استفاده از ISO 31000 در تمام فرآیندهای اساسی با مقررات اتحادیه اروپا در تضاد خواهد بود.

بنابراین، اگر ISO 13485 مجبور شود از HLS پیروی کند، باید به جای ISO 14971 به ISO 31000 اشاره کند که هدف اصلی آن یعنی “نشان دادن انطباق با الزامات قانونی” را خدشه دار می کند.

در نهایت، جامعه استانداردسازی تجهیزات پزشکی ترجیح می دهد به جای اینکه مجبور به تغییر ISO 13485 شود، استانداردهای HLS را به روز کند.

در ادامه از مدیریت شرکت سایت ایزو سرکار خانم نرگس محمدی یک سوال پیچیده پرسیدیم:

چطور استاندارد جدید هوش مصنوعی اتحادیه اروپا (AI Act) بر استاندارد ISO/IEC 42001 تاثیر می‌گذارد؟

خانم محمدی در پاسخ به این سوال اینگونه جواب می دهد:

ابتدا از این جا شروع کنم که این موضوع چرا مهمه؟ چون:

• استاندارد AI Act قوانین سختگیرانه‌تری برای مدیریت کیفیت و ریسک سیستم‌های هوش مصنوعی داره که ممکنه استاندارد قبلی اون‌ها رو کامل پوشش نده.
• قوانین مربوط به ریسک در استاندارد AI Act مشابه قوانین تجهیزات پزشکی (MDR و IVDR) و استاندارد قدیمی‌تر مدیریت ریسک (ISO 14971) هست، نه استاندارد مدیریت ریسک عمومی (ISO 31000). بنابراین ممکنه با تعریف‌های ریسک در استاندارد قبلی هوش مصنوعی هماهنگ نباشه.
• قواعد مدیریت ریسک برای محصولات خطرناک در استاندارد AI Act هم به استانداردهای صنایع پرخطر شباهت داره.
• مشکل اینه که استاندارد AI Act جدید، بعد از نهایی شدن استاندارد هوش مصنوعی (ISO/IEC 42001) تصویب شده و مشخص نیست چقدر با هم هماهنگ هستند.

پس یعنی استاندارد قبلی بی‌فایده‌ست؟ نه!

استاندارد ISO/IEC 42001 خیلی از اصول مهم مدیریت سیستم‌های هوش مصنوعی رو توضیح میده، مثل:

• سیاست‌های استفاده از هوش مصنوعی
• ارزیابی تاثیر هوش مصنوعی
• چرخه عمر سیستم هوش مصنوعی
• الزامات اولیه داده‌ها
• گزارش حوادث مرتبط با هوش مصنوعی
• استفاده مسئولانه از هوش مصنوعی

بیشتر این الزامات رو میشه حتی بدون گرفتن گواهی‌نامه، در سیستم مدیریت فعلی هم اجرا کرد.

حال سوال پیش میاد که سازمان‌ها حتما باید از این استاندارد استفاده کنند؟

اگر سازمانی در زمینه هوش مصنوعی فعالیت می‌کنه (استفاده، توسعه، نظارت یا ارائه محصولات و خدمات) و تا حالا سیستم مدیریتی (مثل ISO 9001 یا ISO 13485) نداشته، این استاندارد یه راه‌حل اولیه خوب براش هست.

اما این سازمان‌ها باید به قوانین ایمنی محصولات مرتبط با هوش مصنوعی در استاندارد AI Act هم توجه کنند که با استاندارد قبلی ممکنه کمی متفاوت باشه.

حال باید بدونید که استفاده از استاندارد جدید شاید برای رعایت همه قوانین AI Act کافی نباشه.

با وجود این، استاندارد ISO/IEC 42001 به سازمان‌ها کمک می‌کنه تا مسئولیت‌پذیری خودشون رو در استفاده از هوش مصنوعی نشون بدن، مخصوصا وقتی سیستم مدیریتی دیگری برای هوش مصنوعی ندارند.

3 نکته مهم قبل از دریافت گواهینامه ISO/IEC 42001:

قبل از تصمیم به گرفتن گواهینامه ISO/IEC 42001 برای هوش مصنوعی، به این نکات مهم توجه کنید:

1. سازگاری با قانون هوش مصنوعی اتحادیه اروپا (AI Act):

ممکن است این استاندارد در آینده برای اثبات رعایت قانون هوش مصنوعی اروپا کافی نباشد، به خصوص اگر کمیسیون اروپا آن را برای بخش “سیستم مدیریت کیفیت” قانونی مناسب نداند. دلیل دیگر ممکن است تفاوت رویکرد مدیریت ریسک بین این استاندارد و قانون هوش مصنوعی اروپا (AI Act) باشد.

2. سازگاری با استانداردهای تجهیزات پزشکی:

برای تولیدکنندگان تجهیزات پزشکی، این استاندارد ممکن است با الزامات خاص این حوزه (مثل سیستم مدیریت کیفیت و روش های مدیریت ریسک) هماهنگ نباشد. احتمالاً استانداردهای جایگزین برای تجهیزات پزشکی مانند راهنمای اجرایی ISO 13485 با هدف برآورده کردن الزامات قانون هوش مصنوعی ارائه شوند، اما باز هم این اطمینانی برای کافی بودن آنها وجود ندارد.

هنوز مشخص نیست که آیا برای برآورده کردن درخواست آتی کمیسیون اروپا برای استانداردسازی، امکان ارائه‌ی استانداردهای خاص هر بخش وجود دارد یا طبق اصلاحیه اتحادیه اروپا، الزامات قانون هوش مصنوعی مستقیماً به مقررات تجهیزات پزشکی (MDR) اضافه می شوند.

3. هزینه اضافی:

عدم سازگاری با ISO 13485، تولیدکنندگان تجهیزات پزشکی را ملزم به طی کردن فرآیند صدور گواهینامه جداگانه ای می کند که هزینه های صدور و نگهداری گواهینامه را افزایش می دهد، در حالی که هنوز مشخص نیست مفید بودن این استاندارد در حوزه‌ی این تولیدکنندگان و حتی کل اتحادیه اروپا چقدر است.

نتیجه گیری

قبل از گرفتن گواهینامه ISO/IEC 42001، مطمئن شوید با قوانین خاص حوزه خود (مثل تجهیزات پزشکی) و احتمالا قانون هوش مصنوعی اروپا همخوانی داشته باشد. در نظر داشته باشید که این استاندارد هزینه های اضافی نیز برای شما به همراه خواهد داشت.

این سوالات را از خودتان بپرسید: آیا این گواهینامه با نیازهای شما در حوزه‌ی تجهیزات پزشکی همخوانی دارد؟ آیا هزینه‌های دریافت و نگهداری گواهینامه توجیه‌پذیر است؟ آیا می‌توانید منتظر بمانید تا ابهامات مربوط به قانون هوش مصنوعی و MDR برطرف شود؟

چنانچه در پاسخدهی به این سوالات با مشکل مواجه‌اید و می خواهید بدانید که استاندارد سیستم مدیریت هوش مصنوعی مناسب سازمان شماست یا خیر، می توانید با کارشناسان سایت ایزو تماس بگیرید: 02191017212