ISO∕IEC 42001-2023《信息技術(shù)-人工智能-管理體系》之13：“7支持-7.5成文信息”解讀和應(yīng)用指導(dǎo)材料（雷澤佳編制-2024A0）

ISO/IEC42001-2023《信息技術(shù)-人工智能-管理體系》之13“7支持-7.5成文信息”解讀和應(yīng)用指導(dǎo)材料ISO/IEC42001-2023《信息技術(shù)-人工智能-管理體系》之13“7支持-7.5成文信息”解讀和應(yīng)用指導(dǎo)材料ISO/IEC42001-2023《信息技術(shù)-人工智能-管理體系》ISO/IEC42001-2023《信息技術(shù)-人工智能-管理體系》7支持7.5成文信息7.5.1總則組織的人工智能管理體系應(yīng)包括：a）本文件要求的成文信息；b）組織確定的人工智能管理體系有效性所必需的成文信息。注：對(duì)于不同組織，人工智能管理體系成文信息的多少與詳略程度可以不同，取決于：——組織的規(guī)模，以及活動(dòng)、過(guò)程、產(chǎn)品和服務(wù)的類(lèi)型；——過(guò)程及其相互作用的復(fù)雜程度；——人員的能力。7.5.2創(chuàng)建和更新成文信息在創(chuàng)建和更新成文信息時(shí)，組織應(yīng)確保適當(dāng)?shù)模篴）標(biāo)識(shí)和說(shuō)明（如標(biāo)題、日期、作者、索引編號(hào)）；b）形式（如語(yǔ)言、軟件版本、圖表）和載體（如紙質(zhì)的、電子的）；c）評(píng)審和批準(zhǔn)，以保持適宜性和充分性。7.5.3成文信息的控制應(yīng)控制人工智能管理體系和本文件要求的成文信息，以確保其：a）在需要的場(chǎng)合和時(shí)機(jī)，均可獲得并適用；b）予以妥善保護(hù)（如：防止泄密、不當(dāng)使用或缺失）。為控制成文信息，適用時(shí)，組織應(yīng)進(jìn)行下列活動(dòng)：——分發(fā)、訪(fǎng)問(wèn)、檢索和使用；——存儲(chǔ)和防護(hù)，包括保持可讀性；——更改控制（如版本控制）；——保留和處置。對(duì)于組織所確定的策劃和運(yùn)行人工智能管理體系所必需的來(lái)自外部的成文信息，組織應(yīng)進(jìn)行適當(dāng)識(shí)別，并予以控制。注1：對(duì)于成文信息的“訪(fǎng)問(wèn)”可能意味著僅允許查閱或者意味著允許查閱和并授權(quán)修改。7支持7.5成文信息7.5.1總則成文信息定義：組織需要控制和維護(hù)的信息及其載體。成文信息的存在形式與載體：成文信息可以以任何形式存在，包括但不限于紙質(zhì)文檔、電子文件、音頻、視頻等；成文信息的載體也是多樣化的，可以是紙張、電子設(shè)備、云存儲(chǔ)等；成文信息的來(lái)源并不受限，它可以來(lái)自組織內(nèi)部或外部。成文信息可能涉及的內(nèi)容：人工智能管理體系：包括與人工智能管理體系相關(guān)的方針、策略、流程、程序等；組織運(yùn)行的信息：指為了組織的日常運(yùn)作而專(zhuān)門(mén)創(chuàng)建的信息，如操作手冊(cè)、工作指南等文件；實(shí)現(xiàn)結(jié)果的證據(jù)：這些是記錄，證明了組織在實(shí)施人工智能管理體系過(guò)程中達(dá)到的結(jié)果或成果。組織的人工智能管理體系應(yīng)包括：ISO/IEC42001要求的成文信息：組織在建立人工智能管理體系時(shí)，必須包括ISO/IEC42001標(biāo)準(zhǔn)中明確要求的所有成文信息；這些信息可能包括但不限于人工智能的方針、策略、目標(biāo)、流程、標(biāo)準(zhǔn)操作程序等，這些都是確保符合該標(biāo)準(zhǔn)的基礎(chǔ)。組織確定的人工智能管理體系有效性所必需的成文信息：組織應(yīng)根據(jù)自身的情況和需求，確定并記錄那些對(duì)確保人工智能管理體系有效性至關(guān)重要的信息；這些信息可能包括組織特定的風(fēng)險(xiǎn)管理策略、內(nèi)部審核結(jié)果、改進(jìn)措施、員工培訓(xùn)計(jì)劃等，旨在支持人工智能管理體系的持續(xù)改進(jìn)和有效性。成文信息的多少與詳略程度的決定因素。組織的規(guī)模，以及活動(dòng)、過(guò)程、產(chǎn)品和服務(wù)的類(lèi)型：大型組織或業(yè)務(wù)復(fù)雜的組織可能需要更詳細(xì)和全面的成文信息來(lái)支持其人工智能管理體系；組織的活動(dòng)、過(guò)程、產(chǎn)品和服務(wù)的多樣性也會(huì)影響成文信息的范圍和詳細(xì)程度。過(guò)程及其相互作用的復(fù)雜程度：如果組織的人工智能相關(guān)過(guò)程復(fù)雜且相互關(guān)聯(lián)緊密，那么就需要更加詳盡的成文信息來(lái)確保過(guò)程的清晰理解和有效管理。人員的能力。人員的能力水平，包括他們的知識(shí)、技能和經(jīng)驗(yàn)，會(huì)影響成文信息的編寫(xiě)方式。對(duì)于能力較低的員工，可能需要更詳細(xì)和具體的指導(dǎo)文件來(lái)支持他們的工作；如果人員能力普遍較高，那么成文信息可能更加簡(jiǎn)潔和概括，因?yàn)閱T工能夠基于較少的信息進(jìn)行高效地工作。7.5.2創(chuàng)建和更新成文信息在創(chuàng)建和更新成文信息時(shí)，組織應(yīng)確保適當(dāng)?shù)模簶?biāo)識(shí)和說(shuō)明：成文信息應(yīng)具備清晰的標(biāo)識(shí)和說(shuō)明，如標(biāo)題、日期、作者和索引編號(hào)。這些信息有助于文檔的管理和追蹤，確保文檔的版本和來(lái)源可追蹤。形式和載體：格式要求：在創(chuàng)建和更新成文信息時(shí)，需要確定適宜的文件語(yǔ)言，以確保信息的準(zhǔn)確傳達(dá)和易于理解；文件格式的選擇也是重要的，它應(yīng)確保文件的兼容性、可讀性和長(zhǎng)期保存性；使用的軟件版本應(yīng)明確，以避免因軟件差異導(dǎo)致的信息顯示或功能問(wèn)題；圖表內(nèi)容應(yīng)清晰、專(zhuān)業(yè)，以輔助文字信息，提高文件的整體可讀性和信息傳遞效率。介質(zhì)或載體要求：介質(zhì)或載體的選擇應(yīng)基于信息的性質(zhì)、使用頻率、保存期限和訪(fǎng)問(wèn)需求；物理介質(zhì)（如紙質(zhì)）適用于需要實(shí)體存檔或特定簽名的情況；電子介質(zhì)（網(wǎng)頁(yè)、數(shù)據(jù)庫(kù)、計(jì)算機(jī)日志、計(jì)算機(jī)生成的報(bào)告、音頻和視頻）則便于信息的快速傳播、遠(yuǎn)程訪(fǎng)問(wèn)和長(zhǎng)期保存，同時(shí)應(yīng)考慮其安全性和可備份性；定義介質(zhì)要求時(shí)，還需考慮信息的可移植性和未來(lái)技術(shù)的變化，以確保信息的長(zhǎng)期可用性。評(píng)審和批準(zhǔn)；評(píng)審和批準(zhǔn)的目的：通過(guò)適當(dāng)?shù)墓芾韺舆M(jìn)行評(píng)審和批準(zhǔn)，可以確保成文信息是準(zhǔn)確、符合其制定目的，并且其表述形式和詳細(xì)程度適合預(yù)期的讀者群體；文件編制方法的要求：組織應(yīng)采用的文件編制方法應(yīng)能確保成文信息得到定期評(píng)審，以及所有對(duì)文件的變更都必須經(jīng)過(guò)批準(zhǔn)流程。這樣做可以維持信息的時(shí)效性和準(zhǔn)確性；評(píng)審準(zhǔn)則的確定：適當(dāng)?shù)脑u(píng)審準(zhǔn)則可以基于時(shí)間（例如設(shè)定文件評(píng)審的最大時(shí)間間隔）或內(nèi)容來(lái)制定。這些準(zhǔn)則為評(píng)審活動(dòng)提供了指導(dǎo)和依據(jù)，確保評(píng)審的有效性和針對(duì)性；批準(zhǔn)準(zhǔn)則的定義：批準(zhǔn)準(zhǔn)則應(yīng)被明確定義，以保證成文信息在獲得批準(zhǔn)前是正確無(wú)誤、符合既定目的，并且其格式和詳細(xì)程度適合預(yù)期讀者。這是信息發(fā)布前質(zhì)量控制的重要環(huán)節(jié)；定期評(píng)審的意義：通過(guò)定期評(píng)審，組織可以確保成文信息隨時(shí)間和業(yè)務(wù)環(huán)境的變化而保持其適宜性和充分性，從而支持組織目標(biāo)的實(shí)現(xiàn)；評(píng)審的實(shí)施：成文信息在創(chuàng)建和更新后應(yīng)經(jīng)過(guò)適當(dāng)?shù)脑u(píng)審和批準(zhǔn)流程，以確保其適宜性和充分性。評(píng)審和批準(zhǔn)應(yīng)由具有相應(yīng)知識(shí)和經(jīng)驗(yàn)的專(zhuān)家或團(tuán)隊(duì)進(jìn)行，以確保文檔內(nèi)容準(zhǔn)確、完整并符合組織的需要。7.5.3成文信息的控制應(yīng)控制人工智能管理體系和本文件要求的成文信息，以確保其：在需要的場(chǎng)合和時(shí)機(jī)，均可獲得并適用：組織應(yīng)確保人工智能管理體系相關(guān)的成文信息在需要的時(shí)候，無(wú)論是內(nèi)部人員還是外部相關(guān)方，都能夠方便地獲取到，并且這些信息必須是適用的，即與當(dāng)前人工智能管理體系的運(yùn)行狀態(tài)、業(yè)務(wù)需求、法律法規(guī)等保持一致，能夠指導(dǎo)實(shí)際工作。這樣的控制有助于確保人工智能管理體系的有效運(yùn)行和持續(xù)改進(jìn)；予以妥善保護(hù)（如：防止泄密、不當(dāng)使用或缺失）；成文信息需要得到妥善地保護(hù)，以防止信息泄露、被不當(dāng)使用或遺失；這包括采取適當(dāng)?shù)拇胧?，如物理安全措施、訪(fǎng)問(wèn)控制、數(shù)據(jù)加密等，以確保成文信息的機(jī)密性、完整性和可用性；妥善保護(hù)成文信息對(duì)于維護(hù)組織的知識(shí)產(chǎn)權(quán)、避免法律責(zé)任和保持業(yè)務(wù)連續(xù)性至關(guān)重要。為控制成文信息，適用時(shí)，組織應(yīng)進(jìn)行下列活動(dòng)：分發(fā)、訪(fǎng)問(wèn)、檢索和使用：組織應(yīng)確保成文信息在適當(dāng)?shù)臅r(shí)機(jī)和地點(diǎn)得到分發(fā)，以確保相關(guān)方能夠及時(shí)獲取所需信息；組織應(yīng)提供對(duì)成文信息的訪(fǎng)問(wèn)權(quán)限，確保需要這些信息的人員能夠方便地檢索和使用它們。這些措施有助于確保成文信息的及時(shí)傳遞和有效利用，從而支持組織的運(yùn)營(yíng)和管理活動(dòng)；關(guān)于成文信息的“訪(fǎng)問(wèn)”權(quán)限：訪(fǎng)問(wèn)不僅可能包括查閱成文信息的權(quán)限，還可能包括對(duì)其進(jìn)行修改的權(quán)限。根據(jù)組織的需要和策略，某些人員可能只有查看成文信息的權(quán)利，而另一些人員則可能同時(shí)擁有查看和修改這些信息的權(quán)利。存儲(chǔ)和防護(hù)，包括保持可讀性；存儲(chǔ)管理：組織應(yīng)確保所有的成文信息，無(wú)論是紙質(zhì)形式還是電子形式，都能得到妥善地存儲(chǔ)管理。這意味著需要制定有效的存儲(chǔ)策略，包括選擇合適的存儲(chǔ)介質(zhì)、確定存儲(chǔ)位置，以及確保存儲(chǔ)環(huán)境的適宜性，以確保信息的安全性和可用性；信息防護(hù)：成文信息的防護(hù)不僅涉及物理層面的安全，如防止盜竊、火災(zāi)等意外事件，還涉及技術(shù)層面的安全，如防止未經(jīng)授權(quán)的訪(fǎng)問(wèn)、數(shù)據(jù)泄露和篡改等。組織應(yīng)實(shí)施適當(dāng)?shù)陌踩胧?，如訪(fǎng)問(wèn)控制、數(shù)據(jù)加密、定期備份等，以確保信息的機(jī)密性、完整性和可用性；保持可讀性：對(duì)于電子形式的成文信息，特別是長(zhǎng)時(shí)間存儲(chǔ)的信息，需要特別注意保持其可讀性。這包括定期檢查和更新存儲(chǔ)的軟件和硬件環(huán)境，以確保能夠正確地讀取和訪(fǎng)問(wèn)這些信息。此外，對(duì)于紙質(zhì)文檔，也需要妥善保管，防止受潮、損壞等導(dǎo)致信息無(wú)法讀取。更改控制（如版本控制）：組織在適用時(shí)應(yīng)對(duì)成文信息實(shí)施更改控制，確保信息的準(zhǔn)確性和一致性。更改控制可能包括但不限于版本控制，這意味著當(dāng)文檔或信息發(fā)生更改時(shí)，組織應(yīng)確保：記錄每次更改的詳細(xì)信息，包括更改的原因、內(nèi)容、時(shí)間、執(zhí)行者等；為每次更改創(chuàng)建新的版本，并明確標(biāo)記舊版本和新版本之間的區(qū)別；確保所有相關(guān)人員都知道最新的版本信息，并避免使用過(guò)時(shí)的或已廢棄的文檔。保留和處置。組織應(yīng)確保與人工智能管理體系有關(guān)的成文信息被適當(dāng)保留。這包括與建立、實(shí)施、保持和持續(xù)改進(jìn)人工智能管理體系相關(guān)的所有文件和記錄；保留的成文信息可能包括但不限于：方針、目標(biāo)、程序、計(jì)劃、記錄、報(bào)告等，這些信息對(duì)于維持組織的人工智能管理體系的有效性和可追溯性至關(guān)重要；組織應(yīng)明確規(guī)定成文信息的保留期限和處置方式，以確保這些信息在需要時(shí)能夠方便獲取，并在不再需要時(shí)得到適當(dāng)處理；成文信息的保留和處置應(yīng)遵守相關(guān)法律法規(guī)和組織內(nèi)部政策的要求，以確保信息的機(jī)密性、完整性和可用性得到保護(hù)。外部成文信息的控制。外部成文信息的識(shí)別；必要性：組織應(yīng)識(shí)別并控制對(duì)于