چک‌لیست آمادگی برای گواهینامه ISO/IEC 42001

چک‌لیست حاضر به عنوان مرجع راهبردی برای مدیران فناوری، کارشناسان ریسک، مسئولان حاکمیت داده و مشاوران AI تدوین شده است. هدف اصلی، تضمین استفاده ایمن، قانونی و اخلاق‌محور از هوش مصنوعی در سطح سازمانی است. این سند با ارائه بیش از ۳۰ کنترل استاندارد از جمله ارزیابی تأثیر بر جامعه، مستندسازی طراحی، سیاست‌های داده، کیفیت داده، مسئولیت‌پذیری در زنجیره تأمین و تخصیص نقش‌ها، چارچوبی ایجاد می‌کند که در آن اعتماد، شفافیت و پاسخ‌گویی ستون‌های اصلی پیاده‌سازی AI به شمار می‌روند.

صفحه اصلی
مقالات
چک‌لیست آمادگی برای گواهینامه ISO/IEC 42001
چک‌لیست

پیام یا خواسته های خود را در این قسمت بنویسید. اگر  دقیقا نمی دانید که چه چیزی می خواهید و نیاز به مشاوره دارید، کارشناسان ما با شما تماس خواهند گرفت.

معرفی استاندارد ISO/IEC 42001

استاندارد ISO/IEC 42001:2023 نخستین استاندارد بین‌المللی مدیریت سیستم‌های هوش مصنوعی (AIMS) است که توسط سازمان بین‌المللی استانداردسازی (ISO) و کمیسیون بین‌المللی الکتروتکنیک (IEC) تدوین شده است. این استاندارد با هدف ارائه‌ی چارچوبی برای توسعه، پیاده‌سازی، نگهداری و بهبود مستمر سیستم‌های هوش مصنوعی طراحی شده است. تمرکز اصلی آن بر موضوعاتی مانند اخلاق، شفافیت، پاسخ‌گویی، کاهش تعصب، ایمنی و حریم خصوصی در توسعه و استفاده از فناوری‌های هوش مصنوعی است .​
 

 چرا ممیزی و کنترل سیستم‌های هوش مصنوعی اهمیت دارد؟


در دنیای امروز که فناوری هوش مصنوعی به سرعت در حال نفوذ به تمامی صنایع است، شناسایی و مدیریت ریسک‌های مرتبط با آن بیش از پیش حیاتی شده است. سیستم‌های هوش مصنوعی می‌توانند مزایای بی‌شماری همچون بهره‌وری بالا، پیش‌بینی‌های دقیق و تصمیم‌سازی هوشمند را به ارمغان بیاورند، اما در عین حال اگر بدون چارچوب کنترلی مناسب توسعه یابند، می‌توانند منجر به مشکلاتی مانند تبعیض الگوریتمی، نقض حریم خصوصی و آسیب به اعتماد کاربران شوند. از این‌رو، پیاده‌سازی یک چارچوب استاندارد برای ممیزی و کنترل هوش مصنوعی گامی ضروری برای هر سازمانی است که می‌خواهد از این فناوری به شکلی مسئولانه بهره‌برداری کند.

 معرفی چک‌لیست استاندارد ممیزی و کنترل سیستم‌های هوش مصنوعی (AI Audit & Control)

چک‌لیست ممیزی و کنترل AI ابزاری جامع و استاندارد برای ارزیابی میزان مسئولیت‌پذیری، شفافیت، کارآمدی و ایمنی سیستم‌های هوش مصنوعی در یک سازمان است. این چک‌لیست بر اساس آخرین الزامات بین‌المللی طراحی شده و شامل کنترل‌هایی در حوزه‌هایی مانند سیاست‌گذاری، تخصیص منابع انسانی و محاسباتی، ارزیابی تأثیر اجتماعی، طراحی مسئولانه، مدیریت داده، و ارتباط با ذی‌نفعان می‌باشد. هر کنترل شامل پرسشنامه ممیزی، مدارک مورد نیاز و دستورالعمل‌های پیاده‌سازی است که به سازمان‌ها کمک می‌کند سطح بلوغ سیستم‌های هوش مصنوعی خود را ارزیابی کرده و نقاط ضعف احتمالی را برطرف سازند.

ساختار استاندارد ISO/IEC 42001

این استاندارد شامل بخش‌های مختلفی است که به سازمان‌ها در مدیریت مؤثر سیستم‌های هوش مصنوعی کمک می‌کند:​

سیستم‌های مدیریت هوش مصنوعی (AIMS): ادغام با فرآیندهای سازمانی برای بهبود مستمر و هم‌راستایی با استانداردهای بین‌المللی.​

ارزیابی ریسک و تأثیر هوش مصنوعی: شناسایی و کاهش ریسک‌ها در طول چرخه عمر سیستم‌های هوش مصنوعی.​

حفاظت از داده‌ها و امنیت هوش مصنوعی: تأکید بر رعایت قوانین حریم خصوصی و محافظت از سیستم‌های هوش مصنوعی در برابر تهدیدات .​
ISMS.online

چک‌لیست آمادگی برای اخذ گواهینامه ISO/IEC 42001

برای ارزیابی آمادگی سازمان خود جهت دریافت گواهینامه ISO/IEC 42001، می‌توانید از چک‌لیست‌های موجود استفاده کنید. این چک‌لیست‌ها به شما کمک می‌کنند تا فرآیندهای مورد نیاز را شناسایی و پیاده‌سازی کنید .​

 

چک‌لیست آمادگی برای گواهینامه ISO/IEC 42001
شماره بند نام کنترل شرح کنترل پرسشنامه ممیزی مدارک مورد نیاز
A.2.2
خط‌مشی هوش مصنوعی
سازمان باید یک خط‌مشی برای توسعه یا استفاده از سیستم‌های هوش مصنوعی مستندسازی کند.
• آیا خط‌مشی مستندی برای توسعه یا استفاده از هوش مصنوعی وجود دارد؟
• آیا مدیریت این خط‌مشی را به طور رسمی تأیید کرده است؟
• آیا خط‌مشی شامل دستورالعمل‌هایی برای توسعه و استفاده از هوش مصنوعی است؟		 • سند خط‌مشی تأییدشده هوش مصنوعی
• سوابق تأیید مدیریت
• سوابق بازبینی و بازنگری خط‌مشی
A.2.3
هماهنگی با سایر خط‌مشی‌ها
سازمان باید تعیین کند که کدام خط‌مشی‌های دیگر ممکن است تحت تأثیر اهداف مربوط به سیستم‌های هوش مصنوعی قرار گیرند یا بر آن تأثیر بگذارند.
• آیا نقش‌ها و مسئولیت‌ها برای توسعه، استقرار و حاکمیت هوش مصنوعی به طور رسمی تعریف شده‌اند؟
• آیا این مسئولیت‌ها با نیازها و اهداف سازمان هماهنگ هستند؟
• آیا مدیریت این نقش‌ها را تأیید و به افراد مربوطه اطلاع داده است؟		 • مستندات نقش‌ها و مسئولیت‌های هوش مصنوعی
• سوابق تأیید مدیریت
• سوابق اطلاع‌رسانی نقش‌ها به کارکنان
   
A.2.4 بازبینی خط‌مشی هوش مصنوعی خط‌مشی هوش مصنوعی باید در فواصل زمانی برنامه‌ریزی‌شده یا در صورت نیاز بیشتر بازبینی شود تا اطمینان حاصل شود که همچنان مناسب، کافی و مؤثر است. • آیا خط‌مشی هوش مصنوعی در فواصل زمانی برنامه‌ریزی‌شده بازبینی می‌شود؟
• آیا بازبینی‌های اضافی در صورت وقوع تغییرات مهم انجام می‌شود؟
• آیا فرآیند مستندی برای بازبینی و به‌روزرسانی خط‌مشی وجود دارد؟
• آیا نتایج بازبینی‌ها توسط مدیریت تأیید شده‌اند؟		 • برنامه زمان‌بندی بازبینی خط‌مشی هوش مصنوعی
• سوابق بازبینی و به‌روزرسانی خط‌مشی
• تأییدیه مدیریت در مورد بازنگری خط‌مشی
• صورتجلسات یا گزارش‌های بازبینی
 
 
A.3.2
نقش‌ها و مسئولیت‌ها
نقش‌ها و مسئولیت‌های مرتبط با هوش مصنوعی باید طبق نیازهای سازمان تعریف و تخصیص یابند.
• آیا نقش‌ها و مسئولیت‌ها برای توسعه، استقرار و حاکمیت هوش مصنوعی به طور رسمی تعریف شده‌اند؟
• آیا این مسئولیت‌ها با نیازها و اهداف سازمان هماهنگ هستند؟
• آیا مدیریت این نقش‌ها را تأیید و به افراد مربوطه اطلاع داده است؟		 • مستندات نقش‌ها و مسئولیت‌های هوش مصنوعی
• سوابق تأیید مدیریت
• سوابق اطلاع‌رسانی نقش‌ها به کارکنان
     
A.3.3 گزارش نگرانی‌ها سازمان باید فرآیندی برای گزارش نگرانی‌ها درباره نقش خود در رابطه با سیستم هوش مصنوعی در سراسر چرخه عمر آن تعریف و پیاده‌سازی کند. • آیا فرآند مستندی برای گزارش نگرانی‌ها درباره نقش سازمان در سیستم‌های هوش مصنوعی وجود دارد؟
• آیا این فرآیند مشخص می‌کند چه کسی، چگونه و در چه زمانی باید گزارش دهد؟
• آیا کانال‌های گزارش‌دهی (مانند ایمیل، پورتال، خط تلفن) ایجاد و اطلاع‌رسانی شده‌اند؟
• آیا نگرانی‌های مرتبط با هوش مصنوعی پیگیری، بازبینی و با اقدامات مستند شده رسیدگی می‌شوند؟
• آیا جلسات آگاهی‌بخشی در مورد این فرآیند برگزار شده‌اند؟		 • رویه تأییدشده گزارش نگرانی‌های مربوط به هوش مصنوعی
• فهرست کانال‌های گزارش‌دهی موجود (مثلاً ایمیل، خط تماس، پورتال)
• سوابق گزارش نگرانی‌ها و اقدامات انجام شده
• سوابق اطلاع‌رسانی به کارکنان (مانند ایمیل‌ها، اطلاعیه‌ها)
• سوابق آموزش یا جلسات آگاهی در مورد گزارش نگرانی‌های هوش مصنوعی
A.4.2 مستندسازی منابع سازمان باید منابع موردنیاز برای فعالیت‌ها در مراحل مختلف چرخه عمر سیستم هوش مصنوعی و سایر فعالیت‌های مرتبط را شناسایی و مستند کند. • آیا سازمان منابع مورد نیاز برای هر مرحله از چرخه عمر هوش مصنوعی را شناسایی و مستند کرده است؟
• آیا منابع انسانی، فنی و مالی به طور مشخص تعریف شده‌اند؟
A.4.3 منابع داده به عنوان بخشی از شناسایی منابع، سازمان باید اطلاعات مربوط به منابع داده مورد استفاده در سیستم هوش مصنوعی را مستندسازی کند. • آیا سازمان منابع داده مورد استفاده در سیستم هوش مصنوعی را مستندسازی کرده است؟
• آیا این مستندات شامل منابع، انواع و مالکیت داده‌ها می‌شود؟
• آیا سوابق منابع داده به‌طور دوره‌ای بازبینی و به‌روزرسانی می‌شوند؟		 • فهرست مستند منابع داده سیستم هوش مصنوعی
• سوابق بازبینی و به‌روزرسانی منابع داده
A.4.4 منابع ابزار به عنوان بخشی از شناسایی منابع، سازمان باید اطلاعات مربوط به ابزارهای مورد استفاده در سیستم هوش مصنوعی را مستندسازی کند. • آیا سازمان ابزارهای مورد استفاده در سیستم هوش مصنوعی را مستندسازی کرده است؟
• آیا این مستندات شامل نرم‌افزار، فریم‌ورک‌ها، خدمات ابری و سخت‌افزار می‌شود؟
• آیا این منابع به‌طور منظم بازبینی و به‌روزرسانی می‌شوند؟		 • فهرست مستند منابع ابزار هوش مصنوعی
• سوابق بازبینی و به‌روزرسانی منابع ابزار
A.4.5
منابع سیستم و پردازش
سازمان باید اطلاعات مربوط به منابع سیستم و پردازشی مورد استفاده برای سیستم هوش مصنوعی را مستندسازی کند.
• آیا سازمان منابع سخت‌افزاری، نرم‌افزاری، خدمات ابری و ذخیره‌سازی مورد استفاده را مستندسازی کرده است؟
• آیا تخصیص منابع با پیشرفت سیستم نظارت و به‌روزرسانی می‌شود؟		 • مستندات منابع سیستم و پردازشی
• موجودی سخت‌افزار، نرم‌افزار و خدمات ابری
• سوابق به‌روزرسانی و پایش منابع
A.4.6 منابع انسانی به عنوان بخشی از شناسایی منابع، سازمان باید اطلاعات مربوط به منابع انسانی و مهارت‌های مورد نیاز برای توسعه، پیاده‌سازی، بهره‌برداری، مدیریت تغییرات، نگهداری، انتقال، برچیدن، همچنین راستی‌آزمایی و یکپارچه‌سازی سیستم هوش مصنوعی را مستند کند. • آیا سازمان منابع انسانی درگیر در هر مرحله از چرخه عمر هوش مصنوعی را مستند کرده است؟
• آیا مهارت‌ها و توانایی‌های مورد نیاز برای این نقش‌ها به طور واضح تعریف شده‌اند؟
• آیا فرآیندی برای بازبینی و به‌روزرسانی تخصیص منابع انسانی وجود دارد؟
• آیا مدیریت تخصیص منابع انسانی را تأیید کرده است؟		 • مستندات تخصیص منابع انسانی هوش مصنوعی
• سوابق مهارت‌ها و توانمندی‌های مورد نیاز
• سوابق بازبینی و به‌روزرسانی منابع
• تأییدیه مدیریت برای کارکنان تخصیص یافته
A.5.2 فرآیند ارزیابی تأثیر سیستم هوش مصنوعی سازمان باید فرآیندی برای ارزیابی پیامدهای بالقوه بر افراد یا گروه‌هایی از افراد، یا هر دو، و همچنین جامعه، که ممکن است از سیستم هوش مصنوعی ناشی شوند، در سراسر چرخه عمر آن ایجاد کند. • آیا سازمان فرآیند مستندی برای ارزیابی پیامدهای سیستم هوش مصنوعی بر افراد و جامعه تدوین کرده است؟
• آیا ارزیابی شامل تمامی مراحل چرخه عمر سیستم هوش مصنوعی است؟
• آیا تأثیرات اخلاقی، قانونی و اجتماعی در ارزیابی لحاظ شده‌اند؟
• آیا فرآیندی برای بازبینی و به‌روزرسانی ارزیابی‌ها وجود دارد؟
• آیا مدیریت این چارچوب ارزیابی را تأیید و اجرا کرده است؟		 • مستند فرآیند ارزیابی تأثیر هوش مصنوعی
• سوابق ارزیابی‌های انجام‌شده
• سوابق بازبینی و به‌روزرسانی ارزیابی‌ها
• تأییدیه مدیریت چارچوب ارزیابی
A.5.3
مستندسازی ارزیابی تأثیر
سازمان باید نتایج ارزیابی‌های تأثیر سیستم‌های هوش مصنوعی را مستندسازی کرده و آن‌ها را برای مدت مشخصی نگهداری کند.
• آیا نتایج ارزیابی تأثیر پس از هر بررسی مستندسازی شده‌اند؟
• آیا دوره نگهداری مشخصی تعریف شده است؟
• آیا نتایج به‌وسیله ذی‌نفعان تأیید شده‌اند؟
• آیا مکانیزمی برای ذخیره‌سازی امن و دسترسی به ارزیابی‌های گذشته وجود دارد؟
 		 • گزارش‌های ارزیابی تأثیر
• سیاست نگهداری نتایج ارزیابی
• سوابق بازبینی و تأیید
• سوابق ذخیره‌سازی و امنیت ارزیابی‌ها
     
A.5.4 ارزیابی تأثیر سیستم هوش مصنوعی بر افراد یا گروه‌ها سازمان باید تأثیرات بالقوه سیستم‌های هوش مصنوعی بر افراد یا گروه‌هایی از افراد را در سراسر چرخه عمر سیستم ارزیابی و مستند کند. • آیا سازمان ارزیابی تأثیر سیستم هوش مصنوعی بر افراد یا گروه‌ها را انجام داده است؟
• آیا این ارزیابی مستند و منطبق با چرخه عمر سیستم هوش مصنوعی است؟
• آیا ریسک‌های اخلاقی، قانونی و اجتماعی در ارزیابی در نظر گرفته شده‌اند؟
• آیا فرآیندی برای بازبینی و به‌روزرسانی این ارزیابی‌ها وجود دارد؟		 • گزارش مستند ارزیابی تأثیر هوش مصنوعی
• سوابق بازبینی‌ها و به‌روزرسانی‌های دوره‌ای
• یافته‌های ارزیابی ریسک مرتبط با سیستم‌های هوش مصنوعی
A.5.5 ارزیابی تأثیرات اجتماعی سیستم‌های هوش مصنوعی سازمان باید تأثیرات بالقوه اجتماعی سیستم‌های هوش مصنوعی را در سراسر چرخه عمر آن‌ها ارزیابی و مستند کند. • آیا سازمان ارزیابی تأثیرات اجتماعی احتمالی سیستم‌های هوش مصنوعی خود را انجام داده است؟
• آیا این ارزیابی در سراسر چرخه عمر سیستم به‌روزرسانی و مستند شده است؟
• آیا در ارزیابی، ریسک‌های اخلاقی، قانونی و اجتماعی لحاظ شده‌اند؟
• آیا اقدامات کاهش‌دهنده برای تأثیرات منفی تعریف شده‌اند؟
• آیا مدیریت این ارزیابی را بازبینی و تأیید کرده است؟		 • گزارش‌های مستند ارزیابی تأثیرات اجتماعی
• سوابق بازبینی‌ها و به‌روزرسانی‌های دوره‌ای
• برنامه‌های کاهش ریسک برای تأثیرات اجتماعی شناسایی‌شده
• سوابق تأیید مدیریت
A.6.1.2 اهداف توسعه مسئولانه سیستم هوش مصنوعی سازمان باید اهدافی را برای هدایت توسعه مسئولانه سیستم‌های هوش مصنوعی شناسایی، مستندسازی و در چرخه توسعه یکپارچه کند. • آیا سازمان اهداف توسعه مسئولانه هوش مصنوعی را شناسایی و مستند کرده است؟
• آیا این اهداف با الزامات اخلاقی، قانونی و تجاری هم‌راستا هستند؟
• آیا اقدامات لازم در چرخه توسعه برای دستیابی به این اهداف یکپارچه شده‌اند؟
• آیا فرآیندی برای بازبینی و به‌روزرسانی اهداف وجود دارد؟		 • اهداف مستند توسعه هوش مصنوعی
• فرآیند چرخه عمر هوش مصنوعی با اقدامات یکپارچه
• سوابق بازبینی و به‌روزرسانی اهداف
A.6.1.3
فرآیندهای طراحی و توسعه مسئولانه سیستم هوش مصنوعی سازمان باید فرآیندهای خاص برای طراحی و توسعه مسئولانه سیستم هوش مصنوعی را تعریف و مستندسازی کند.
• آیا سازمان فرآیندهای طراحی و توسعه مسئولانه سیستم هوش مصنوعی را تعریف و مستندسازی کرده است؟
• آیا این فرآیندها ملاحظات اخلاقی، قانونی و امنیتی را در بر می‌گیرند؟
• آیا مکانیزم رسمی برای بازبینی و تأیید فرآیندهای طراحی و توسعه وجود دارد؟
• آیا این فرآیندها به تیم‌های توسعه اطلاع‌رسانی شده و توسط آن‌ها دنبال می‌شود؟
 		 • فرآیندهای مستند طراحی و توسعه هوش مصنوعی
• سوابق بازبینی و تأیید فرآیندها
• سوابق آموزشی یا آگاهی‌بخشی برای تیم‌های توسعه
 
A.6.2.2
الزامات و مشخصات سیستم هوش مصنوعی
سازمان باید الزامات سیستم‌های هوش مصنوعی جدید یا ارتقاءهای اساسی سیستم‌های موجود را مشخص و مستندسازی کند.
• آیا سازمان الزامات سیستم‌های جدید و ارتقاءها را مستند کرده است؟
• آیا این الزامات شامل عملکرد، امنیت، انطباق و ملاحظات اخلاقی است؟
• آیا فرآیند تأیید رسمی قبل از پیاده‌سازی وجود دارد؟
• آیا مستندات الزامات به‌طور منظم بازبینی و به‌روزرسانی می‌شود؟
 		 • مستندات الزامات سیستم هوش مصنوعی
• سوابق تأیید سیستم‌های جدید یا ارتقاءیافته
• گزارش‌های بازبینی و به‌روزرسانی الزامات
 
A.6.2.3
مستندسازی طراحی و توسعه سیستم هوش مصنوعی
سازمان باید طراحی و توسعه سیستم هوش مصنوعی را بر اساس اهداف سازمانی، الزامات مستند و معیارهای مشخصات مستندسازی کند.
• آیا سازمان فرآیند طراحی و توسعه سیستم هوش مصنوعی را مستند کرده است؟
• آیا طراحی سیستم‌ها بر اساس اهداف سازمانی و الزامات مستند انجام شده است؟
• آیا مستندات شامل معیارهای مشخصات طراحی است؟
• آیا فرآیندی برای بازبینی و به‌روزرسانی مستندات طراحی و توسعه وجود دارد؟		 • مستند فرآیند طراحی و توسعه سیستم هوش مصنوعی
• اسناد الزامات و مشخصات سیستم
• سوابق بازبینی و به‌روزرسانی طراحی
 
A.6.2.4
راستی‌آزمایی و اعتبارسنجی سیستم هوش مصنوعی
سازمان باید اقدامات مربوط به راستی‌آزمایی و اعتبارسنجی (V&V) سیستم هوش مصنوعی را تعریف و مستندسازی کرده و معیارهایی برای استفاده از آن‌ها تعیین کند.
• آیا سازمان اقدامات V&V سیستم هوش مصنوعی را تعریف و مستندسازی کرده است؟
• آیا معیارهای خاص برای اعمال اقدامات V&V مشخص شده‌اند؟
• آیا فرآیندی برای بازبینی و به‌روزرسانی این اقدامات با توجه به تغییرات سیستم وجود دارد؟
• آیا مدیریت چارچوب V&V را تأیید و اجرا کرده است؟
 		 • مستندات اقدامات V&V سیستم هوش مصنوعی
• معیارهای تعریف‌شده برای اعمال V&V
• سوابق اجرای V&V و بازبینی‌ها
• تأییدیه مدیریت برای چارچوب V&V
 
A.6.2.5
استقرار سیستم هوش مصنوعی
سازمان باید یک طرح استقرار مستند تهیه کرده و اطمینان حاصل کند که الزامات مناسب پیش از استقرار برآورده شده‌اند.
• آیا طرح مستندی برای استقرار سیستم هوش مصنوعی وجود دارد که شامل تمامی مراحل لازم باشد؟
• آیا این طرح الزامات پیش از استقرار و بررسی‌های اعتبارسنجی را تعریف می‌کند؟
• آیا فرآیندی برای تأیید انطباق پیش از استقرار وجود دارد؟
• آیا مدیریت این طرح استقرار را تأیید کرده است؟
 		 • مستندات الزامات سیستم هوش مصنوعی
• سوابق تأیید سیستم‌های جدید یا ارتقاءیافته
• گزارش‌های بازبینی و به‌روزرسانی الزامات
 
A.6.2.6
بهره‌برداری و نظارت بر سیستم هوش مصنوعی
سازمان باید عناصر لازم برای بهره‌برداری مداوم از سیستم هوش مصنوعی را تعریف و مستندسازی کند. حداقل باید شامل عملکرد، نگهداری و الزامات نظارتی باشد.
• آیا سازمان عناصر اساسی بهره‌برداری مداوم از سیستم هوش مصنوعی را تعریف و مستندسازی کرده است؟
• آیا مستندات شامل عملکرد سیستم، نگهداری و الزامات نظارت است؟
• آیا رویه‌های عملیاتی به‌طور منظم بازبینی و بر اساس عملکرد سیستم به‌روزرسانی می‌شوند؟
• آیا چارچوب عملیاتی سیستم توسط مدیریت تأیید شده است؟
 		 • مستندات الزامات عملیاتی سیستم هوش مصنوعی
• گزارش‌های نگهداری و نظارت
• سوابق بازبینی و به‌روزرسانی عملیاتی
• تأییدیه مدیریت برای بهره‌برداری از سیستم هوش مصنوعی
 
A.6.2.7
مستندسازی فنی سیستم هوش مصنوعی
سازمان باید مستندسازی فنی مورد نیاز برای هر دسته مرتبط از طرف‌های ذی‌نفع مانند کاربران، شرکا، مراجع نظارتی را تعیین کرده و در قالب مناسب به آن‌ها ارائه دهد.
• آیا سازمان مستندسازی فنی مورد نیاز برای هر دسته از طرف‌های ذی‌نفع را شناسایی کرده است؟
• آیا مستندات شامل کاربران، شرکا و مراجع قانونی است؟
• آیا فرآیندی برای به‌روزرسانی و نگهداری مستندات وجود دارد؟
• آیا روش‌هایی مشخص برای توزیع مستندات به طرف‌های ذی‌نفع وجود دارد؟
 		 • فهرست مستندات فنی سیستم هوش مصنوعی بر اساس گروه مخاطب
• سوابق توزیع مستندات
• سوابق به‌روزرسانی و نگهداری مستندات
 
A.6.2.8
ثبت رویدادها در سیستم هوش مصنوعی
سازمان باید تعیین کند که در کدام مراحل چرخه عمر سیستم هوش مصنوعی، ثبت رویدادها باید فعال باشد. حداقل هنگام استفاده از سیستم باید این قابلیت فعال باشد.
• آیا سازمان مراحل چرخه عمر سیستم هوش مصنوعی را که نیاز به ثبت رویداد دارند شناسایی کرده است؟
• آیا ثبت رویدادها حداقل در زمان استفاده از سیستم فعال است؟
• آیا فرآیند ثبت شامل فعالیت‌ها و تصمیمات مرتبط با هوش مصنوعی است؟
• آیا فرآیند مستند و سیاستی برای نگهداری و مدیریت لاگ‌ها وجود دارد؟
 		 • مستندات الزامات ثبت رویداد در هوش مصنوعی
• سوابق ثبت لاگ در فاز استفاده از سیستم
• سیاست نگهداری و مدیریت لاگ‌ها
 
A.7.2
داده برای توسعه و بهبود سیستم هوش مصنوعی
سازمان باید فرآیندهای مدیریت داده مرتبط با توسعه سیستم‌های هوش مصنوعی را تعریف، مستندسازی و اجرا کند.
• آیا سازمان فرآیندهای مدیریت داده برای توسعه سیستم‌های هوش مصنوعی را تعریف و مستندسازی کرده است؟
• آیا این فرآیندها شامل جمع‌آوری، ذخیره‌سازی، پردازش و حذف داده‌ها هستند؟
• آیا اقدامات مدیریت داده با الزامات قانونی و امنیتی هم‌راستا هستند؟
• آیا مکانیزمی برای نظارت و اجرای انطباق با فرآیندهای مدیریت داده وجود دارد؟
• آیا تیم‌های توسعه آموزش‌های لازم در خصوص سیاست‌های مدیریت داده را دریافت کرده‌اند؟
 		 • مستندات فرآیندهای مدیریت داده هوش مصنوعی
• سوابق نحوه مدیریت داده (جمع‌آوری، ذخیره‌سازی، پردازش، حذف)
• گزارش‌های انطباق یا لاگ‌های ممیزی مدیریت داده
• سوابق آموزشی تیم‌های توسعه
 
A.7.3
به‌دست‌آوردن داده
سازمان باید جزئیات مربوط به انتخاب و کسب داده مورد استفاده در سیستم‌های هوش مصنوعی را تعیین و مستندسازی کند.
• آیا سازمان فرآیند و معیارهای انتخاب و کسب داده برای سیستم‌های هوش مصنوعی را مستند کرده است؟
• آیا منابع داده از نظر دقت، قابلیت اطمینان و انطباق بررسی می‌شوند؟
• آیا سازمان سوابق مربوط به منبع داده و دلایل انتخاب آن را نگهداری می‌کند؟
• آیا فرآیندی برای بازبینی و به‌روزرسانی معیارهای انتخاب داده وجود دارد؟
 		 • مستندات معیارها و فرآیند انتخاب و کسب داده
• سوابق بررسی و تأیید منابع داده
• لاگ‌های منبع داده و توجیه استفاده از آن‌ها
• سوابق بازبینی و به‌روزرسانی معیارهای انتخاب داده
 
A.7.4
کیفیت داده برای سیستم‌های هوش مصنوعی
سازمان باید الزامات کیفیت داده را تعریف و مستندسازی کند و اطمینان حاصل کند که داده‌های مورد استفاده در توسعه و بهره‌برداری از سیستم هوش مصنوعی این الزامات را برآورده می‌کنند.
• آیا سازمان الزامات کیفیت داده برای سیستم‌های هوش مصنوعی را تعریف و مستند کرده است؟
• آیا معیارهایی برای دقت، کامل‌بودن، سازگاری و قابلیت اطمینان داده وجود دارد؟
• آیا فرآیندی برای اعتبارسنجی و نظارت بر کیفیت داده در طول توسعه و بهره‌برداری وجود دارد؟
• آیا بررسی‌های کیفیت داده بر اساس نیازهای سیستم هوش مصنوعی به‌روزرسانی می‌شوند؟
• آیا مدیریت الزامات کیفیت داده را تأیید و ابلاغ کرده است؟
 		 • مستندات الزامات کیفیت داده در هوش مصنوعی
• سوابق فرآیند اعتبارسنجی و نظارت بر داده
• گزارش‌های ارزیابی و اصلاح کیفیت داده
• تأییدیه مدیریت برای استانداردهای کیفیت داده
 
A.7.5
منشأ داده
سازمان باید فرآیندی برای ثبت منشأ داده‌های مورد استفاده در سیستم‌های هوش مصنوعی در طول چرخه عمر داده و سیستم تعریف و مستندسازی کند.
• آیا سازمان فرآیند ثبت منشأ داده در سیستم‌های هوش مصنوعی را تعریف و مستند کرده است؟
• آیا این فرآیند شامل منشأ، تحولات و کاربردهای داده در طول چرخه عمر است؟
• آیا سوابق منشأ داده نگهداری و به‌روزرسانی می‌شوند؟
• آیا مکانیزمی برای راستی‌آزمایی صحت و یکپارچگی این سوابق وجود دارد؟
 		 • مستندات فرآیند ثبت منشأ داده
• لاگ‌ها و سوابق منشأ داده
• سوابق بازبینی‌های دوره‌ای
• گزارش‌های راستی‌آزمایی صحت منشأ داده
 
A.7.6
آماده‌سازی داده
سازمان باید معیارهای انتخاب روش‌های آماده‌سازی داده و خود روش‌های آماده‌سازی را تعریف و مستندسازی کند.
• آیا سازمان معیارهایی برای انتخاب روش‌های آماده‌سازی داده تعریف و مستند کرده است؟
• آیا این روش‌ها با الزامات سیستم هوش مصنوعی هم‌راستا هستند؟
• آیا فرآیندی برای بازبینی و به‌روزرسانی این معیارها با توجه به نیازهای در حال تحول سیستم وجود دارد؟
• آیا مدیریت این معیارها را تأیید کرده است؟
 		 • مستندات معیارهای آماده‌سازی داده
• فهرست روش‌های تأییدشده آماده‌سازی داده
• سوابق بازبینی و به‌روزرسانی معیارها
• تأییدیه مدیریت برای استانداردهای آماده‌سازی داده
 
A.8.2
مستندسازی سیستم و اطلاعات برای کاربران
سازمان باید اطلاعات لازم را به کاربران سیستم هوش مصنوعی ارائه دهد.
• آیا سازمان اطلاعات لازم برای کاربران سیستم هوش مصنوعی را شناسایی کرده است؟
• آیا این اطلاعات به‌صورت واضح مستندسازی و در دسترس کاربران قرار دارد؟
• آیا شامل دستورالعمل‌ها، محدودیت‌ها و ریسک‌های احتمالی سیستم می‌شود؟
• آیا فرآیندی برای به‌روزرسانی و اطلاع‌رسانی تغییرات سیستم وجود دارد؟
 		 • راهنمای کاربری مستند سیستم هوش مصنوعی
• سوابق اطلاعات ارائه‌شده به کاربران
• لاگ‌های اطلاع‌رسانی درباره به‌روزرسانی‌های سیستم هوش مصنوعی
 
A.8.3
گزارش‌دهی خارجی
سازمان باید امکان گزارش‌دهی اثرات منفی سیستم هوش مصنوعی را برای ذی‌نفعان فراهم کند.
• آیا سازمان یک سازوکار رسمی برای گزارش اثرات منفی سیستم هوش مصنوعی توسط ذی‌نفعان ایجاد کرده است؟
• آیا کانال‌های گزارش‌دهی (مثلاً پورتال، ایمیل، خط تماس) در دسترس و اطلاع‌رسانی شده‌اند؟
• آیا فرآیندی برای بررسی، رسیدگی و پاسخگویی به مسائل گزارش‌شده تعریف شده است؟
• آیا گزارش‌ها و اقدامات انجام‌شده مستند و نگهداری می‌شوند؟
 		 • رویه مستند گزارش اثرات منفی سیستم هوش مصنوعی
• فهرست کانال‌های گزارش‌دهی موجود
• سوابق گزارش‌های ثبت‌شده و اقدامات انجام‌شده
• لاگ‌های اطلاع‌رسانی به ذی‌نفعان درباره فرآیند گزارش‌دهی
 
A.8.4
اطلاع‌رسانی حوادث
سازمان باید طرحی برای اطلاع‌رسانی حوادث به کاربران سیستم هوش مصنوعی تعریف و مستندسازی کند.
• آیا سازمان طرحی مستند برای اطلاع‌رسانی حوادث سیستم هوش مصنوعی به کاربران تهیه کرده است؟
• آیا طرح، انواع حوادث، زمان‌بندی اطلاع‌رسانی و کانال‌های ارتباطی را مشخص می‌کند؟
• آیا نقش‌ها و مسئولیت‌ها برای گزارش‌دهی و اطلاع‌رسانی حوادث تعریف شده‌اند؟
• آیا این طرح به‌طور دوره‌ای آزمایش و بازبینی می‌شود؟
 		 • طرح مستند اطلاع‌رسانی حوادث سیستم هوش مصنوعی
• رویه‌های اطلاع‌رسانی حادثه تعریف‌شده
• سوابق آزمایش و به‌روزرسانی طرح
• لاگ حوادث و اطلاع‌رسانی به کاربران
 
A.8.5
اطلاعات برای ذی‌نفعان
سازمان باید الزامات گزارش اطلاعات مربوط به سیستم هوش مصنوعی به ذی‌نفعان را تعیین و مستندسازی کند.
• آیا سازمان الزامات گزارش اطلاعات سیستم هوش مصنوعی به ذی‌نفعان را شناسایی و مستندسازی کرده است؟
• آیا این الزامات با تعهدات قانونی، مقرراتی و قراردادی هم‌راستا هستند؟
• آیا فرآیندی برای بازبینی و به‌روزرسانی این الزامات وجود دارد؟
• آیا مسئولیت‌های گزارش‌دهی به‌طور رسمی تخصیص داده شده‌اند؟

 		 • مستندات الزامات گزارش‌دهی سیستم هوش مصنوعی
• سوابق انطباق با الزامات قانونی و قراردادی
• سوابق بازبینی و به‌روزرسانی الزامات
• تخصیص نقش‌ها و مسئولیت‌ها برای گزارش‌دهی هوش مصنوعی

 
A.9.2
فرآیندهای استفاده مسئولانه از سیستم‌های هوش مصنوعی
سازمان باید فرآیندهایی برای استفاده مسئولانه از سیستم‌های هوش مصنوعی تعریف و مستندسازی کند.
• آیا سازمان فرآیندهای استفاده مسئولانه از سیستم‌های هوش مصنوعی را تعریف و مستند کرده است؟
• آیا این فرآیندها شامل ملاحظات اخلاقی، انصاف، شفافیت و پاسخ‌گویی هستند؟
• آیا راهنماهایی برای پایش و کاهش ریسک‌های مربوط به استفاده از هوش مصنوعی وجود دارد؟
• آیا این فرآیندها به‌طور رسمی توسط مدیریت تأیید شده‌اند؟
• آیا کارکنان و ذی‌نفعان در مورد استفاده مسئولانه آموزش دیده‌اند؟
 		 • مستندات فرآیندهای استفاده مسئولانه از هوش مصنوعی
• سوابق تأیید مدیریت
• راهنماهای کاهش ریسک استفاده از هوش مصنوعی
• سوابق آموزش و آگاهی‌رسانی در مورد اخلاق و مسئولیت در هوش مصنوعی
 
A.9.3
اهداف استفاده مسئولانه از سیستم هوش مصنوعی
سازمان باید اهدافی برای هدایت استفاده مسئولانه از سیستم‌های هوش مصنوعی شناسایی و مستندسازی کند.
• آیا سازمان اهدافی برای استفاده مسئولانه از سیستم‌های هوش مصنوعی تعریف و مستندسازی کرده است؟
• آیا این اهداف با الزامات اخلاقی، قانونی و سازمانی هماهنگ هستند؟
• آیا این اهداف به ذی‌نفعان مرتبط اطلاع‌رسانی شده‌اند؟
• آیا فرآیندی برای بازبینی و به‌روزرسانی این اهداف وجود دارد؟
 		 • اهداف مستند استفاده مسئولانه از هوش مصنوعی
• سوابق تأیید مدیریت
• سوابق اطلاع‌رسانی (مانند ایمیل‌ها، اسناد سیاستی)
• سوابق بازبینی و به‌روزرسانی
 
A.9.4
استفاده هدفمند از سیستم هوش مصنوعی
سازمان باید اطمینان حاصل کند که سیستم هوش مصنوعی مطابق با اهداف تعیین‌شده و مستندات مربوطه استفاده می‌شود.
• آیا فرآیند مستندی برای اطمینان از استفاده سیستم هوش مصنوعی فقط برای اهداف تعیین‌شده وجود دارد؟
• آیا سازمان سوابق استفاده از سیستم و انحراف‌ها را ثبت می‌کند؟
• آیا راهنماها و مستندات روشن درباره استفاده هدفمند به کاربران ارائه می‌شود؟
• آیا مکانیزمی برای شناسایی و رسیدگی به استفاده غیرمجاز وجود دارد؟
 		 • راهنماهای مستند استفاده از هوش مصنوعی
• لاگ‌های استفاده و گزارش‌های پایش سیستم
• سوابق وقوع استفاده غیرمجاز و اقدامات اصلاحی
• آموزش یا تأییدیه کاربران درباره استفاده هدفمند
 
A.10.2
تخصیص مسئولیت‌ها
سازمان باید اطمینان حاصل کند که مسئولیت‌ها در چرخه عمر سیستم هوش مصنوعی بین سازمان، شرکا، تأمین‌کنندگان، مشتریان و طرف‌های ثالث به‌درستی تخصیص یافته‌اند.
• آیا سازمان مسئولیت‌ها برای هر مرحله چرخه عمر سیستم هوش مصنوعی را تعریف و مستند کرده است؟
• آیا نقش‌ها و مسئولیت‌ها به‌وضوح بین تیم‌های داخلی، شرکا، تأمین‌کنندگان، مشتریان و طرف‌های ثالث تخصیص یافته‌اند؟
• آیا تمامی طرف‌های درگیر به مسئولیت‌های تعیین‌شده رضایت و تأیید داده‌اند؟
• آیا فرآیندی برای بازبینی و به‌روزرسانی این مسئولیت‌ها وجود دارد؟
 		 • ماتریس مسئولیت مستند شده هوش مصنوعی
• قراردادها و توافق‌نامه‌ها با نقش‌های مشخص
• سوابق بازبینی‌های دوره‌ای مسئولیت‌ها
• مستندات ارتباطی و تأییدیه طرف‌های درگیر
 
A.10.3
تأمین‌کنندگان
سازمان باید فرآیندی برای اطمینان از تطابق استفاده از خدمات، محصولات یا مواد ارائه‌شده توسط تأمین‌کنندگان با رویکرد توسعه و استفاده مسئولانه از هوش مصنوعی خود ایجاد کند.
• آیا سازمان فرآیند مستندی برای ارزیابی خدمات، محصولات یا مواد تأمین‌شده توسط تأمین‌کنندگان هوش مصنوعی ایجاد کرده است؟
• آیا این فرآیند اطمینان از تطابق با اصول مسئولانه هوش مصنوعی سازمان را فراهم می‌کند؟
• آیا توافق‌نامه‌های تأمین‌کنندگان برای انطباق اخلاقی و امنیتی بازبینی می‌شوند؟
• آیا مکانیزمی برای نظارت و ارزیابی مداوم تأمین‌کنندگان وجود دارد؟
 		 • فرآیند مستند ارزیابی تطابق تأمین‌کننده
• توافق‌نامه‌های تأمین‌کننده با بندهای مسئولیت هوش مصنوعی
• سوابق ارزیابی و بازبینی‌های تأمین‌کننده
• مستندات نظارت و ارزیابی مداوم تأمین‌کننده
 
A.10.4
مشتریان
سازمان باید اطمینان حاصل کند که رویکرد مسئولانه آن در توسعه و استفاده از سیستم‌های هوش مصنوعی نیازها و انتظارات مشتریان را در نظر می‌گیرد.
• آیا سازمان فرآیندی برای ارزیابی انتظارات و نیازهای مشتریان در رابطه با سیستم‌های هوش مصنوعی تعریف کرده است؟
• آیا این نیازها در طراحی، توسعه و استقرار سیستم در نظر گرفته می‌شوند؟
• آیا مکانیزمی برای دریافت و یکپارچه‌سازی بازخورد مشتریان وجود دارد؟
• آیا مدیریت این رویکرد را تأیید کرده است؟
 		 • فرآیند مستند ارزیابی انتظارات مشتریان در توسعه هوش مصنوعی
• سوابق بازخورد مشتریان و اصلاحات انجام‌شده در سیستم
• تأییدیه مدیریت برای رویکرد در نظر گرفتن مشتریان
 
         

 

نتیجه‌گیری: پیاده‌سازی هوش مصنوعی ایمن بدون کنترل ممکن نیست

در نهایت، سازمان‌هایی که به دنبال استفاده پایدار و قابل اطمینان از فناوری هوش مصنوعی هستند، نمی‌توانند بدون چارچوب کنترل و ممیزی مشخص، این مسیر را طی کنند. چک‌لیست ممیزی و کنترل AI نه تنها ریسک‌های حقوقی و عملیاتی را کاهش می‌دهد، بلکه به عنوان سندی برای ارتقای اعتماد مشتریان، شرکای تجاری و نهادهای نظارتی نیز عمل می‌کند. این استاندارد به شما کمک می‌کند تا از مرحله طراحی تا استقرار و بهره‌برداری، کلیه فرآیندهای مرتبط با سیستم‌های AI را به طور ساختاریافته، شفاف و قابل ردیابی مدیریت کنید.

منابع و مراجع

ISO/IEC 42001:2023 - AI management systems

ISO 42001 Checklist – Prepare for AI Compliance | A-LIGN

An extensive guide to ISO 42001 - Vanta

Understanding ISO 42001 and AIMS | ISMS.online

ISO 42001: paving the way for ethical AI | EY - US

 

دانلود چک لیست 
 

ISO42001 checklist.pdf

سوالات متداول چک‌لیست آمادگی برای گواهینامه ISO/IEC 42001

خیر. این چک‌لیست برای هر سازمانی که از هوش مصنوعی استفاده می‌کند – صرف‌نظر از اندازه یا صنعت – کاربرد دارد. حتی استارتاپ‌ها نیز می‌توانند با استفاده از آن، چارچوبی مسئولانه برای توسعه AI داشته باشند.

بله. این چک‌لیست بر اساس اصول و ساختارهای شناخته‌شده بین‌المللی طراحی شده و به‌راحتی می‌تواند با استانداردهایی مانند ISO/IEC 42001، NIST AI RMF و EU AI Act هماهنگ شود.
افزودن دیدگاه جدید
About text formats

Restricted HTML

  • تگ‌های HTML مجاز: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • خطوط و پاراگراف‌ها بطور خودکار اعمال می‌شوند.
  • Web page addresses and email addresses turn into links automatically.