ISO∕IEC 42001-2023人工智能管理體系之16：“8 運(yùn)行-8.2∕8.3 人工智能風(fēng)險(xiǎn)評(píng)估∕人工智能風(fēng)險(xiǎn)應(yīng)對(duì)”解讀、實(shí)施流程和風(fēng)險(xiǎn)描述(雷澤佳編制-2024)

“8運(yùn)行-8.2∕8.3人工智能風(fēng)險(xiǎn)評(píng)估∕人工智能風(fēng)險(xiǎn)應(yīng)對(duì)”解讀、實(shí)施流程和風(fēng)險(xiǎn)描述ISO∕IEC42001-2023《信息技術(shù)-人工智能管理體系》之16：“8運(yùn)行-8.2∕8.3人工智能風(fēng)險(xiǎn)評(píng)估∕人工智能風(fēng)險(xiǎn)應(yīng)對(duì)”解讀、實(shí)施流程和風(fēng)險(xiǎn)描述(雷澤佳編制，2024年9月)第1部分：“8.2∕8.3人工智能風(fēng)險(xiǎn)評(píng)估∕人工智能風(fēng)險(xiǎn)應(yīng)對(duì)”解讀“8.2∕8.3人工智能風(fēng)險(xiǎn)評(píng)估∕人工智能風(fēng)險(xiǎn)應(yīng)對(duì)”條文“8.2∕8.3人工智能風(fēng)險(xiǎn)評(píng)估∕人工智能風(fēng)險(xiǎn)應(yīng)對(duì)”標(biāo)準(zhǔn)條文解讀8.2人工智能風(fēng)險(xiǎn)評(píng)估組織應(yīng)按照6.1.2的規(guī)定策劃的時(shí)間間隔內(nèi)或在提出重大變更時(shí)，進(jìn)行人工智能風(fēng)險(xiǎn)評(píng)估。人工智能風(fēng)險(xiǎn)評(píng)估的觸發(fā)條件按照“6.1.2人工智能風(fēng)險(xiǎn)評(píng)估”策劃的時(shí)間間隔進(jìn)行定期評(píng)估：策劃人工智能風(fēng)險(xiǎn)評(píng)估時(shí)間間隔考慮因素：的“策劃的時(shí)間間隔”并非隨意設(shè)定，而是需要基于科學(xué)、合理的考量來(lái)確定，以確保風(fēng)險(xiǎn)評(píng)估的有效性和及時(shí)性風(fēng)險(xiǎn)評(píng)估頻率與組織特性相匹配：根據(jù)組織的規(guī)模、人工智能系統(tǒng)的復(fù)雜性、業(yè)務(wù)環(huán)境的不確定性等因素進(jìn)行策劃。對(duì)于規(guī)模較大、系統(tǒng)復(fù)雜、環(huán)境變化快的組織，可能需要更頻繁的風(fēng)險(xiǎn)評(píng)估來(lái)及時(shí)捕捉潛在風(fēng)險(xiǎn)；相關(guān)法規(guī)和行業(yè)標(biāo)準(zhǔn)的要求：不同國(guó)家和地區(qū)對(duì)人工智能系統(tǒng)的監(jiān)管要求可能存在差異，組織應(yīng)確保風(fēng)險(xiǎn)評(píng)估的時(shí)間間隔符合當(dāng)?shù)氐姆伞⒎ㄒ?guī)及行業(yè)標(biāo)準(zhǔn)；組織可以基于過(guò)去的風(fēng)險(xiǎn)管理歷史數(shù)據(jù)，通過(guò)趨勢(shì)分析來(lái)確定風(fēng)險(xiǎn)評(píng)估的合理頻率：如果歷史數(shù)據(jù)顯示風(fēng)險(xiǎn)評(píng)估后系統(tǒng)風(fēng)險(xiǎn)顯著降低，且長(zhǎng)時(shí)間內(nèi)保持穩(wěn)定，那么可以適當(dāng)延長(zhǎng)評(píng)估間隔；反之，如果風(fēng)險(xiǎn)頻發(fā)或系統(tǒng)環(huán)境頻繁變化，則應(yīng)縮短評(píng)估間隔；組織在風(fēng)險(xiǎn)評(píng)估上的資源投入與成本效益：過(guò)于頻繁的風(fēng)險(xiǎn)評(píng)估可能增加組織負(fù)擔(dān)，而過(guò)長(zhǎng)的評(píng)估間隔則可能錯(cuò)過(guò)關(guān)鍵風(fēng)險(xiǎn)。因此，組織應(yīng)在資源投入與風(fēng)險(xiǎn)評(píng)估效果之間找到平衡點(diǎn)，確保成本效益最大化。策劃的時(shí)間間隔可能是固定的，比如每年一次或每季度一次，具體取決于組織的風(fēng)險(xiǎn)管理策略、系統(tǒng)復(fù)雜性以及相關(guān)法律法規(guī)的要求。通過(guò)定期的風(fēng)險(xiǎn)評(píng)估，組織可以確保持續(xù)監(jiān)視并管理其人工智能系統(tǒng)中的風(fēng)險(xiǎn)。定期的人工智能風(fēng)險(xiǎn)評(píng)估；月度/季度評(píng)估：對(duì)于高風(fēng)險(xiǎn)領(lǐng)域或快速迭代的人工智能系統(tǒng)，組織可能會(huì)選擇每月或每季度進(jìn)行一次風(fēng)險(xiǎn)評(píng)估。這種高頻次的評(píng)估有助于及時(shí)發(fā)現(xiàn)并應(yīng)對(duì)潛在風(fēng)險(xiǎn)；半年度/年度評(píng)估：對(duì)于風(fēng)險(xiǎn)較低或相對(duì)穩(wěn)定的人工智能系統(tǒng)，組織可能會(huì)選擇每半年或每年進(jìn)行一次全面評(píng)估。這種評(píng)估周期在保證系統(tǒng)安全的同時(shí)，也考慮了資源的高效利用。與業(yè)務(wù)周期同步的人工智能風(fēng)險(xiǎn)評(píng)估：與項(xiàng)目周期匹配：有些組織會(huì)將人工智能風(fēng)險(xiǎn)評(píng)估與項(xiàng)目的關(guān)鍵階段（如需求確認(rèn)、系統(tǒng)設(shè)計(jì)、系統(tǒng)測(cè)試等）同步進(jìn)行，以確保風(fēng)險(xiǎn)評(píng)估能夠緊密圍繞項(xiàng)目生命周期展開；年度業(yè)務(wù)規(guī)劃：將人工智能風(fēng)險(xiǎn)評(píng)估納入組織的年度業(yè)務(wù)規(guī)劃中，根據(jù)年度目標(biāo)和業(yè)務(wù)戰(zhàn)略確定評(píng)估的重點(diǎn)和頻率。在發(fā)生以下重大變更時(shí)的即時(shí)評(píng)估：算法與模型的更新：當(dāng)人工智能系統(tǒng)中使用的算法或模型發(fā)生重要更新時(shí)，其性能、決策邏輯和潛在風(fēng)險(xiǎn)都可能發(fā)生變化。因此，更新后的算法或模型需要重新進(jìn)行風(fēng)險(xiǎn)評(píng)估，以確保其符合組織的業(yè)務(wù)目標(biāo)和風(fēng)險(xiǎn)管理策略；數(shù)據(jù)集的更換或重大修改：數(shù)據(jù)是人工智能系統(tǒng)決策的基礎(chǔ)，數(shù)據(jù)集的更換或重大修改會(huì)直接影響系統(tǒng)的輸出和性能。因此，當(dāng)數(shù)據(jù)集的來(lái)源、格式、質(zhì)量或覆蓋范圍發(fā)生顯著變化時(shí)，組織需要重新評(píng)估這些變化對(duì)系統(tǒng)穩(wěn)定性和安全性的影響；系統(tǒng)架構(gòu)的重構(gòu)：人工智能系統(tǒng)的架構(gòu)重構(gòu)可能涉及組件的重新排列、新增或刪除，以及交互方式的改變。這些變化可能引入新的風(fēng)險(xiǎn)點(diǎn)或改變現(xiàn)有風(fēng)險(xiǎn)的影響程度，因此需要進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估；業(yè)務(wù)需求的重大變化：業(yè)務(wù)需求的變化可能要求人工智能系統(tǒng)具備新的功能或達(dá)到更高的性能指標(biāo)。在調(diào)整系統(tǒng)以滿足這些新需求之前，組織應(yīng)評(píng)估這些變化對(duì)系統(tǒng)穩(wěn)定性和安全性的影響，確保系統(tǒng)能夠滿足業(yè)務(wù)目標(biāo)的同時(shí)，也符合風(fēng)險(xiǎn)管理要求；法律法規(guī)與政策的更新：人工智能領(lǐng)域的法律法規(guī)和政策不斷更新，可能會(huì)對(duì)系統(tǒng)的合規(guī)性產(chǎn)生影響。當(dāng)相關(guān)法規(guī)或政策發(fā)生變化時(shí)，組織需要評(píng)估這些變化對(duì)系統(tǒng)的影響，并采取相應(yīng)的合規(guī)措施；安全事件的響應(yīng)與修復(fù)：在發(fā)生安全事件后，組織需要迅速響應(yīng)并修復(fù)漏洞，以防止進(jìn)一步的風(fēng)險(xiǎn)。在此過(guò)程中，對(duì)修復(fù)后的系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估是確保系統(tǒng)安全性的重要步驟。組織應(yīng)保留所有人工智能風(fēng)險(xiǎn)評(píng)估結(jié)果的成文信息。保留所有人工智能風(fēng)險(xiǎn)評(píng)估結(jié)果的成文信息。組織在進(jìn)行人工智能系統(tǒng)影響評(píng)估后，通常需要保留以下成文信息：影響評(píng)估報(bào)告；概述：簡(jiǎn)要介紹評(píng)估的目的、范圍、方法和關(guān)鍵發(fā)現(xiàn)；評(píng)估詳細(xì)過(guò)程：包括數(shù)據(jù)收集與分析方法、關(guān)鍵假設(shè)、使用的工具和技術(shù)等；影響分析結(jié)果：具體說(shuō)明人工智能系統(tǒng)對(duì)個(gè)人、社會(huì)、經(jīng)濟(jì)、環(huán)境等各方面可能產(chǎn)生的正面和負(fù)面影響；風(fēng)險(xiǎn)評(píng)估：識(shí)別并量化潛在的風(fēng)險(xiǎn)，包括風(fēng)險(xiǎn)的可能性、嚴(yán)重性和影響范圍；緩解措施：針對(duì)識(shí)別出的風(fēng)險(xiǎn)提出的緩解策略、行動(dòng)計(jì)劃和責(zé)任分配。影響評(píng)估數(shù)據(jù)記錄；原始數(shù)據(jù)：包括用于評(píng)估的所有原始數(shù)據(jù)、調(diào)查問(wèn)卷、訪談?dòng)涗浀龋惶幚砗蟮臄?shù)據(jù)：經(jīng)過(guò)清洗、整理和分析的數(shù)據(jù)集，用于支持評(píng)估結(jié)論；數(shù)據(jù)字典：解釋數(shù)據(jù)集中各個(gè)字段的含義、來(lái)源和單位等信息。評(píng)估方法和工具；方法論描述：詳細(xì)解釋所采用的評(píng)估方法、模型、算法等；工具使用說(shuō)明：介紹評(píng)估過(guò)程中使用的軟件、平臺(tái)或工具的名稱、版本和功能。相關(guān)方反饋；相關(guān)方列表：列出所有參與評(píng)估的相關(guān)方及其角色；反饋意見(jiàn)匯總：收集并整理相關(guān)方對(duì)評(píng)估報(bào)告和初步發(fā)現(xiàn)的反饋意見(jiàn)。決策文檔；決策記錄：記錄關(guān)于如何解讀評(píng)估結(jié)果、做出決策的過(guò)程和依據(jù)；批準(zhǔn)文件：包括決策被批準(zhǔn)的文件、日期和批準(zhǔn)人簽名。后續(xù)行動(dòng)計(jì)劃；行動(dòng)清單：列出所有需要采取的行動(dòng)項(xiàng)，包括責(zé)任人、截止日期和期望成果；監(jiān)視和評(píng)審計(jì)劃：說(shuō)明如何監(jiān)視進(jìn)展、評(píng)估效果并進(jìn)行必要的調(diào)整。合規(guī)性證明；法律法規(guī)符合性：證明評(píng)估過(guò)程和結(jié)果符合相關(guān)法律法規(guī)要求的文件；行業(yè)標(biāo)準(zhǔn)符合性：提供符合行業(yè)標(biāo)準(zhǔn)或最佳實(shí)踐的證據(jù)。版本控制記錄。修訂歷史：記錄評(píng)估報(bào)告和相關(guān)文件的修訂歷史，包括每次修訂的內(nèi)容、時(shí)間和原因；當(dāng)前版本狀態(tài)：明確標(biāo)識(shí)當(dāng)前正在使用的評(píng)估報(bào)告版本及其狀態(tài)。8.3人工智能風(fēng)險(xiǎn)應(yīng)對(duì)組織應(yīng)按6.1.3實(shí)施人工智能風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃，并驗(yàn)證其有效性。實(shí)施并驗(yàn)證人工智能風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃；風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃的實(shí)施：按“6.1.3人工智能風(fēng)險(xiǎn)應(yīng)對(duì)”條款實(shí)施人工智能風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃。明確風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃：組織應(yīng)基于6.1.2條款中的風(fēng)險(xiǎn)評(píng)估結(jié)果，明確需要應(yīng)對(duì)的具體風(fēng)險(xiǎn)及其潛在影響，制定詳細(xì)的風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃。計(jì)劃應(yīng)涵蓋風(fēng)險(xiǎn)評(píng)估結(jié)果、風(fēng)險(xiǎn)應(yīng)對(duì)措施、責(zé)任分配、時(shí)間表等要素；資源保障：確保實(shí)施風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃所需的資源（如人力、物力、財(cái)力）充足，并根據(jù)計(jì)劃分配給相關(guān)部門和人員；執(zhí)行與監(jiān)視：按照計(jì)劃逐步執(zhí)行各項(xiàng)應(yīng)對(duì)措施，并建立監(jiān)視機(jī)制，跟蹤應(yīng)對(duì)措施的執(zhí)行進(jìn)度和效果，確保按計(jì)劃順利推進(jìn)。溝通與協(xié)作：加強(qiáng)內(nèi)部溝通與協(xié)作，確保各相關(guān)部門和人員充分了解風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃，并在執(zhí)行過(guò)程中保持信息暢通，協(xié)同作戰(zhàn)。驗(yàn)證人工智能風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃的有效性。驗(yàn)證過(guò)程旨在確保所采取的風(fēng)險(xiǎn)應(yīng)對(duì)措施能夠達(dá)到預(yù)期效果，有效降低或消除風(fēng)險(xiǎn)；驗(yàn)證方法可能包括定期評(píng)審風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃的執(zhí)行情況、收集反饋意見(jiàn)、進(jìn)行模擬測(cè)試等；建立驗(yàn)證標(biāo)準(zhǔn)：基于風(fēng)險(xiǎn)評(píng)估結(jié)果和應(yīng)對(duì)措施的預(yù)期目標(biāo)，建立驗(yàn)證風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃有效性的具體標(biāo)準(zhǔn)，包括風(fēng)險(xiǎn)降低程度、影響范圍控制等方面。收集證據(jù)：通過(guò)定期評(píng)審、數(shù)據(jù)分析、用戶反饋等方式，收集風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃執(zhí)行過(guò)程中的相關(guān)證據(jù)，評(píng)估其實(shí)際效果。對(duì)比分析：將實(shí)際效果與預(yù)期目標(biāo)進(jìn)行對(duì)比分析，評(píng)估風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃的達(dá)成情況，識(shí)別可能存在的問(wèn)題和偏差。進(jìn)行模擬測(cè)試：通過(guò)構(gòu)建模擬環(huán)境，模擬真實(shí)世界中可能遇到的風(fēng)險(xiǎn)場(chǎng)景，測(cè)試風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃在實(shí)際操作中的有效性和可行性。模擬測(cè)試可以幫助發(fā)現(xiàn)潛在的問(wèn)題和漏洞，并驗(yàn)證應(yīng)對(duì)措施的適應(yīng)性和穩(wěn)定性。持續(xù)優(yōu)化：根據(jù)驗(yàn)證結(jié)果，發(fā)現(xiàn)并糾正計(jì)劃中可能存在的問(wèn)題，及時(shí)調(diào)整和優(yōu)化風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃，確保其持續(xù)有效。同時(shí)，總當(dāng)風(fēng)險(xiǎn)評(píng)估識(shí)別出需要應(yīng)對(duì)的新風(fēng)險(xiǎn)時(shí)，應(yīng)對(duì)這些風(fēng)險(xiǎn)執(zhí)行6.1.3的風(fēng)險(xiǎn)應(yīng)對(duì)過(guò)程。新風(fēng)險(xiǎn)識(shí)別與風(fēng)險(xiǎn)應(yīng)對(duì)過(guò)程的執(zhí)行；新風(fēng)險(xiǎn)識(shí)別的重要性；在人工智能管理體系中，持續(xù)的風(fēng)險(xiǎn)評(píng)估是確保組織能夠及時(shí)識(shí)別新風(fēng)險(xiǎn)的關(guān)鍵步驟。新風(fēng)險(xiǎn)可能來(lái)源于外部環(huán)境的變化、內(nèi)部系統(tǒng)的更新、新技術(shù)或算法的應(yīng)用等多個(gè)方面。組織必須建立有效的風(fēng)險(xiǎn)評(píng)估機(jī)制，以便在第一時(shí)間發(fā)現(xiàn)并識(shí)別出這些新風(fēng)險(xiǎn)。應(yīng)對(duì)這些風(fēng)險(xiǎn)執(zhí)行“6.1.3人工智能風(fēng)險(xiǎn)應(yīng)對(duì)”的風(fēng)險(xiǎn)應(yīng)對(duì)過(guò)程。一旦新風(fēng)險(xiǎn)被識(shí)別出來(lái)，組織應(yīng)立即啟動(dòng)并執(zhí)行“6.1.3人工智能風(fēng)險(xiǎn)應(yīng)對(duì)”過(guò)程。該過(guò)程包括對(duì)新風(fēng)險(xiǎn)進(jìn)行詳細(xì)的分析和評(píng)價(jià)，制定針對(duì)性的應(yīng)對(duì)措施，明確責(zé)任人和時(shí)間表，確保應(yīng)對(duì)措施的有效實(shí)施。該過(guò)程旨在通過(guò)科學(xué)的方法和流程，最大限度地降低新風(fēng)險(xiǎn)對(duì)組織的影響。當(dāng)風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃確定的風(fēng)險(xiǎn)應(yīng)對(duì)方案無(wú)效時(shí)，應(yīng)按照6.1.3的風(fēng)險(xiǎn)應(yīng)對(duì)過(guò)程對(duì)這些風(fēng)險(xiǎn)應(yīng)對(duì)方案進(jìn)行評(píng)審和重新驗(yàn)證，并更新風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃。無(wú)效風(fēng)險(xiǎn)應(yīng)對(duì)方案的評(píng)審與風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃的更新；識(shí)別無(wú)效風(fēng)險(xiǎn)應(yīng)對(duì)方案；在執(zhí)行風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃過(guò)程中，組織應(yīng)持續(xù)監(jiān)控風(fēng)險(xiǎn)應(yīng)對(duì)方案的有效性。如果發(fā)現(xiàn)某個(gè)風(fēng)險(xiǎn)應(yīng)對(duì)方案未能有效控制風(fēng)險(xiǎn)或降低風(fēng)險(xiǎn)影響，需及時(shí)識(shí)別其為無(wú)效方案；啟動(dòng)風(fēng)險(xiǎn)應(yīng)對(duì)評(píng)審過(guò)程；一旦發(fā)現(xiàn)風(fēng)險(xiǎn)應(yīng)對(duì)方案無(wú)效，組織應(yīng)立即啟動(dòng)“6.1.3人工智能風(fēng)險(xiǎn)應(yīng)對(duì)”中規(guī)定的評(píng)審過(guò)程。這一過(guò)程包括重新審視風(fēng)險(xiǎn)評(píng)估結(jié)果、分析方案失敗的原因、評(píng)估現(xiàn)有方案的有效性等步驟。對(duì)這些風(fēng)險(xiǎn)應(yīng)對(duì)方案進(jìn)行評(píng)審和重新驗(yàn)證；在評(píng)審過(guò)程中，組織需對(duì)無(wú)效的風(fēng)險(xiǎn)應(yīng)對(duì)方案進(jìn)行重新驗(yàn)證。這可能包括測(cè)試新策略、調(diào)整方案參數(shù)或完全替換現(xiàn)有方案。通過(guò)反復(fù)測(cè)試和驗(yàn)證，確保新方案能夠有效控制風(fēng)險(xiǎn)。更新風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃；根據(jù)評(píng)審和重新驗(yàn)證的結(jié)果，組織需對(duì)風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃進(jìn)行相應(yīng)的更新。這包括調(diào)整風(fēng)險(xiǎn)應(yīng)對(duì)策略、修改風(fēng)險(xiǎn)應(yīng)對(duì)措施、明確責(zé)任人和時(shí)間表等。更新后的風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃應(yīng)更加貼合組織當(dāng)前面臨的風(fēng)險(xiǎn)狀況。確保風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃的持續(xù)有效性。更新后的風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃需經(jīng)過(guò)嚴(yán)格評(píng)審，確保其科學(xué)性和可操作性。同時(shí)，組織應(yīng)建立機(jī)制定期回顧和更新風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃，以應(yīng)對(duì)不斷變化的風(fēng)險(xiǎn)環(huán)境。通過(guò)持續(xù)改進(jìn)和優(yōu)化風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃，確保其在組織中的持續(xù)有效性。組織應(yīng)保留所有人工智能風(fēng)險(xiǎn)應(yīng)對(duì)結(jié)果的成文信息。組織應(yīng)保留的所有人工智能風(fēng)險(xiǎn)應(yīng)對(duì)結(jié)果的成文信息。風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃；風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃的詳細(xì)文檔，包括風(fēng)險(xiǎn)識(shí)別、評(píng)估、應(yīng)對(duì)措施及其實(shí)施方案；計(jì)劃中明確的風(fēng)險(xiǎn)應(yīng)對(duì)策略、目標(biāo)、責(zé)任分配和時(shí)間表。風(fēng)險(xiǎn)評(píng)估報(bào)告；風(fēng)險(xiǎn)評(píng)估的原始數(shù)據(jù)和評(píng)估方法說(shuō)明。評(píng)估結(jié)果及其分析，包括識(shí)別的風(fēng)險(xiǎn)類型、概率、影響程度及優(yōu)先級(jí)排序。新風(fēng)險(xiǎn)識(shí)別記錄；在風(fēng)險(xiǎn)評(píng)估過(guò)程中新識(shí)別的風(fēng)險(xiǎn)及其描述；針對(duì)新風(fēng)險(xiǎn)的初步評(píng)估結(jié)果和初步應(yīng)對(duì)措施。風(fēng)險(xiǎn)應(yīng)對(duì)過(guò)程記錄；執(zhí)行風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃過(guò)程中的所有活動(dòng)和操作記錄；任何風(fēng)險(xiǎn)應(yīng)對(duì)活動(dòng)的變更或調(diào)整記錄，包括變更原因、時(shí)間、實(shí)施人員等。風(fēng)險(xiǎn)應(yīng)對(duì)方案評(píng)審和重新驗(yàn)證記錄；當(dāng)風(fēng)險(xiǎn)應(yīng)對(duì)方案無(wú)效時(shí)，對(duì)方案進(jìn)行評(píng)審和重新驗(yàn)證的詳細(xì)記錄；評(píng)審過(guò)程中發(fā)現(xiàn)的問(wèn)題、分析結(jié)論及改進(jìn)建議；重新驗(yàn)證過(guò)程中采用的測(cè)試方法、測(cè)試數(shù)據(jù)及驗(yàn)證結(jié)果。風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃更新記錄；根據(jù)評(píng)審和重新驗(yàn)證結(jié)果對(duì)風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃進(jìn)行更新的詳細(xì)記錄；更新后的風(fēng)險(xiǎn)應(yīng)對(duì)策略、措施、時(shí)間表及責(zé)任分配。風(fēng)險(xiǎn)應(yīng)對(duì)結(jié)果驗(yàn)證報(bào)告；對(duì)實(shí)施風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃后的效果進(jìn)行驗(yàn)證的報(bào)告；驗(yàn)證方法、驗(yàn)證標(biāo)準(zhǔn)及驗(yàn)證結(jié)果，包括風(fēng)險(xiǎn)是否得到有效控制、剩余風(fēng)險(xiǎn)等。相關(guān)方溝通與協(xié)作記錄；在風(fēng)險(xiǎn)應(yīng)對(duì)過(guò)程中與相關(guān)方（如供應(yīng)商、客戶、監(jiān)管機(jī)構(gòu)等）的溝通記錄；協(xié)作過(guò)程中達(dá)成的共識(shí)、決策及實(shí)施情況記錄。持續(xù)改進(jìn)記錄。基于風(fēng)險(xiǎn)應(yīng)對(duì)結(jié)果和經(jīng)驗(yàn)教訓(xùn)，對(duì)風(fēng)險(xiǎn)管理體系進(jìn)行持續(xù)改進(jìn)的記錄；改進(jìn)措施的提出、實(shí)施、效果評(píng)估及后續(xù)跟蹤記錄。第2部分：“8.2∕8.3人工智能風(fēng)險(xiǎn)評(píng)估∕人工智能風(fēng)險(xiǎn)應(yīng)對(duì)”流程控制表一級(jí)流程二級(jí)流程流程節(jié)點(diǎn)控制要點(diǎn)所期望的輸出人工智能風(fēng)險(xiǎn)評(píng)估策劃評(píng)估周期參考業(yè)務(wù)策略、法規(guī)要求、技術(shù)更新頻率等因素設(shè)定評(píng)估周期確保評(píng)估周期與風(fēng)險(xiǎn)級(jí)別相匹配定期評(píng)估計(jì)劃文檔識(shí)別重大變更建立變更監(jiān)控機(jī)制設(shè)定變更報(bào)告流程在變更實(shí)施前進(jìn)行風(fēng)險(xiǎn)評(píng)估重大變更記錄及風(fēng)險(xiǎn)評(píng)估報(bào)告執(zhí)行風(fēng)險(xiǎn)評(píng)估使用適用的風(fēng)險(xiǎn)評(píng)估方法和工具評(píng)估風(fēng)險(xiǎn)的影響和可能性記錄評(píng)估結(jié)果，包括發(fā)現(xiàn)的風(fēng)險(xiǎn)、評(píng)級(jí)及建議措施風(fēng)險(xiǎn)評(píng)估報(bào)告及建議措施清單保留評(píng)估結(jié)果成文信息確保評(píng)估日期、評(píng)估人員、評(píng)估方法、發(fā)現(xiàn)的風(fēng)險(xiǎn)及評(píng)級(jí)、建議措施等信息完整記錄按照文件管理規(guī)定保存評(píng)估結(jié)果風(fēng)險(xiǎn)評(píng)估成文信息檔案人工智能風(fēng)險(xiǎn)應(yīng)對(duì)制定風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃明確風(fēng)險(xiǎn)應(yīng)對(duì)策略和措施分配職責(zé)和資源設(shè)定實(shí)施時(shí)間表和監(jiān)控機(jī)制風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃文檔實(shí)施風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃監(jiān)督應(yīng)對(duì)措施的實(shí)施進(jìn)度確保所有相關(guān)方按照計(jì)劃行動(dòng)定期評(píng)審實(shí)施效果風(fēng)險(xiǎn)應(yīng)對(duì)實(shí)施記錄及效果評(píng)審報(bào)告驗(yàn)證風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃有效性收集和分析風(fēng)險(xiǎn)發(fā)生數(shù)據(jù)對(duì)比應(yīng)對(duì)措施實(shí)施前后的風(fēng)險(xiǎn)水平收集用戶反饋進(jìn)行滿意度調(diào)查風(fēng)險(xiǎn)應(yīng)對(duì)有效性驗(yàn)證報(bào)告及用戶反饋匯總新風(fēng)險(xiǎn)識(shí)別與應(yīng)對(duì)定期回顧風(fēng)險(xiǎn)評(píng)估結(jié)果對(duì)新識(shí)別的風(fēng)險(xiǎn)執(zhí)行風(fēng)險(xiǎn)應(yīng)對(duì)過(guò)程必要時(shí)更新風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃新風(fēng)險(xiǎn)識(shí)別報(bào)告及更新后的風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃評(píng)審與更新風(fēng)險(xiǎn)應(yīng)對(duì)方案組織專家評(píng)審會(huì)議重新驗(yàn)證風(fēng)險(xiǎn)應(yīng)對(duì)方案的可行性根據(jù)評(píng)審結(jié)果更新風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃更新后的風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃文檔及評(píng)審會(huì)議紀(jì)要保留風(fēng)險(xiǎn)應(yīng)對(duì)結(jié)果成文信息記錄風(fēng)險(xiǎn)應(yīng)對(duì)過(guò)程中的關(guān)鍵活動(dòng)、決策及實(shí)施效果按照文件管理規(guī)定保存風(fēng)險(xiǎn)應(yīng)對(duì)結(jié)果成文信息風(fēng)險(xiǎn)應(yīng)對(duì)結(jié)果成文信息檔案第3部分：“8.2∕8.3人工智能風(fēng)險(xiǎn)評(píng)估∕人工智能風(fēng)險(xiǎn)應(yīng)對(duì)”過(guò)程風(fēng)險(xiǎn)清單一級(jí)流程二級(jí)流程風(fēng)險(xiǎn)描述（風(fēng)險(xiǎn)源、過(guò)程運(yùn)行可能發(fā)生什么并產(chǎn)生什么后果及其對(duì)實(shí)現(xiàn)業(yè)務(wù)流程目標(biāo)產(chǎn)生的影響）人工智能風(fēng)險(xiǎn)評(píng)估策劃評(píng)估周期風(fēng)險(xiǎn)源：評(píng)估周期設(shè)定不合理或未及時(shí)更新后果：未能及時(shí)發(fā)現(xiàn)和應(yīng)對(duì)新出現(xiàn)的風(fēng)險(xiǎn)，導(dǎo)致管理滯后對(duì)目標(biāo)實(shí)現(xiàn)的影響：降低風(fēng)險(xiǎn)評(píng)估的及時(shí)性和有效性，影響組織對(duì)潛在風(fēng)險(xiǎn)的應(yīng)對(duì)能力識(shí)別重大變更風(fēng)險(xiǎn)源：未能準(zhǔn)確識(shí)別重大變更，或變更信息滯后后果：忽略重要變更，導(dǎo)致風(fēng)險(xiǎn)評(píng)估不全面對(duì)目標(biāo)實(shí)現(xiàn)的影響：評(píng)估結(jié)果偏離實(shí)際情況，增加潛在風(fēng)險(xiǎn)未被識(shí)別的可能性執(zhí)行風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)源