För de verksamheter som redan arbetar enligt ISO27001 har man förstås ett solklart försprång när det gäller att implementera ISO42001, den första internationella standarden för ledningssystem för AI. Som är vanligt i ISO-standarder bygger även 42001 på PDCA-cykeln, det vill säga ett ramverk för att planera, utföra, granska och agera när man jobbar med ständig förbättring av sitt ledningssystem. Så att addera 42001 handlar i de flesta fall just om att addera eller justera det man redan har och inte att bygga något helt nytt och separat.
Samtidigt är det viktigt att förstå att AI medför andra typer av risker och krav, som inte rör informationssäkerhet och därmed kräver anpassning av existerande styrdokument, processer och arbetssätt.
I den här artikeln försöker vi reda ut hur ledningssystemen kompletterar varandra, såväl som var de skiljer sig åt – och vad du behöver göra för att bygga in AI i ditt befintliga ledningssystem.
Medan ISO27001 fokuserar på informationssäkerhet handlar ISO42001 om att skapa ett ramverk för ansvarsfull och kontrollerad hantering av AI-system. Det omfattar därför inte bara informationssäkerhetsrisker utan också etiska frågeställningar, ansvarsfördelning, transparens i AI-verktygets beslut, samt möjlighet till mätning och spårbarhet av AI-prestanda (hur bra eller dåligt verktyget fungerar) och vilka effekter AI-verktyget ger i verksamheten.
I och med att det finns uppenbara informationssäkerhetsrisker med användandet av AI, precis som vilket verktyg som behandlar information som helst, har man förmodligen jobbat med att bedöma AI-verktyg ur vissa aspekter. Det kan handla om bedömningar av risker kopplat till konfidentialitet för information man matar in i AI-verktyget, risker kopplat till riktigheten hos svaren man får eller tillgänglighetsaspekter för informationen man får om man byggt processer som är beroende av den som input. Det kan även röra sig om betänkligheter kopplat till personuppgifter, hur de behandlas och hur de överförs till och från den som tillhandahåller AI-tjänsten. Det är därför troligt att man har identifierat en del risker, tillsatt säkerhetsåtgärder och formulerat styrdokument och processer som berör AI-användande.
För organisationer som redan har ett ledningssystem enligt ISO27001 är en möjlighet att bygga vidare på det enligt följande steg:
- Identifiera AI-tillämpningar:
Gör en inventering av var AI används eller planeras i verksamheten. Det kan handla om allt från kundtjänster med NLP (Natural Language Processing, eller naturlig språkbehandling – det som gör det möjligt för AI att förstå, tolka, generera och svara på mänskligt språk) till interna beslutsstöd baserade på maskininlärning. Här kan man börja med att se över redan genomförda riskanalyser eller leverantörsbedömningar för att få en start. - Riskanalys med AI-perspektiv:
Integrera AI-relaterade risker i den befintliga riskhanteringsmodellen. Det handlar inte bara om säkerhetsrisker utan också om etiska och legala risker, som diskriminering, ansvarsfrihet eller bristande transparens. Er nya riskmodell ska ta hänsyn till både informationssäkerhetsrisker (intrång, dataläckor etc.) och AI-relaterade risker (bias, förlorad transparens, automatiskt beslutsfattande och felaktig output). Vid behov så kan tidigare utförda riskanalyser behöva kompletteras med er anpassade riskmodell. - Policy och ansvar:
Etablera eller utveckla existerande riktlinjer för AI-användning ur ett holistiskt perspektiv och definiera tydliga roller. Vem äger datakvalitet? Vem är ansvarig om AI-systemet fattar felaktiga beslut? Vad styrs av lag och vad bör regleras i avtal med leverantörer? Vilken information får vi mata in i AI-systemet? Det ska finnas tydliga gränser för när AI får användas och vad som gäller för mänsklig översyn. Skapa tvärfunktionella team där IT, säkerhet, legal och etik samverkar för att bedöma och godkänna AI-projekt. - Spårbarhet och förklarbarhet:
Skapa rutiner för dokumentation, spårbarhet och transparens i beslut som tas med AI-stöd. Det är särskilt viktigt för att kunna förklara beslut både internt och externt. - Integrera i ledningssystemet:
Bygg in AI-styrning i befintliga processer för revision, uppföljning och internkontroll. Använd PDCA-cykeln för att säkerställa kontinuerlig förbättring. Fånga in hela AI-livscykeln – från utveckling och träning till implementering, monitorering och avveckling. Här kan ni komplettera existerande modeller för livscykelhantering. ISO 42001 kräver en helhetsbild, inte bara tekniska kontroller. - Utbilda:
Vissa av AI-förordningens regler har redan börjat gälla, och en av dessa är artikel 4. Kapitel 4 ställer krav på att alla som arbetar med drift eller användning av AI måste ha en tillräcklig nivå av AI-kunnighet, vilket innebär att organisationen måste tillhandahålla fortbildningar för dessa personer.
Att bygga in AI-aspekter i sitt befintliga ledningssystem skapar en trovärdig och säker grund för ansvarsfull AI-hantering – oavsett om ni köper in och använder AI-verktyg, eller utvecklar dem själva. Det visar att organisationen tar sitt ansvar på allvar – både gentemot kunder, partners och tillsynsmyndigheter.
Fem AI-risker som inte täcks av ISO27001 – men som ISO42001 adresserar
ISO27001 är en välbeprövad standard för informationssäkerhet, men den är inte konstruerad för att hantera övriga risker som kommer med artificiell intelligens. ISO42001 introducerar kompletterande mekanismer för att hantera AI:s unika utmaningar. Här är fem viktiga risker som ISO27001 inte fullt ut täcker, men som adresseras av ISO42001:
- Bias och diskriminering:
AI-system som tränas på snedvriden data riskerar att fatta beslut som är partiska eller diskriminerande. ISO42001 kräver kontroll av datakvalitet och rutiner för att upptäcka och hantera bias. Man pratar också mycket om implicit bias, vilket handlar om (ofta omedveten) bias som uppstår under träningsfasen som är inbyggd hos människor, och därigenom omedvetet och med ovilja överförs till algoritmerna. - Transparens och förklarbarhet:
ISO27001 ställer krav på dokumentation, men inte på att algoritmer ska vara förklarliga. ISO42001 tar upp behovet av att AI-beslut bör kunna förklaras för både interna och externa intressenter. - Oklara ansvarsförhållanden:
När AI agerar autonomt kan det vara svårt att avgöra vem som är ansvarig vid fel. ISO42001 kräver tydlig ansvarsfördelning i hela AI-livscykeln. - Etiska gråzoner:
AI kan fatta beslut som är juridiskt tillåtna men etiskt tveksamma. ISO42001 introducerar ett ramverk för etisk reflektion och krav på interna riktlinjer. - Föränderligt beteende:
ISO27001 ställer redan tydliga krav på kontinuerlig förbättring och återkommande riskanalyser, men 42001 bygger vidare på detta genom att tydligt adressera AI-systemens dynamiska karaktär. Den ställer därför mer detaljerade krav på övervakning, validering och hantering av AI-specifika beteendeförändringar.
För dig som redan arbetar med ledningssystem för informationssäkerhet kommer det kännas naturligt att addera AI-aspekten i det. Tillsammans ger de en helhetsbild av hur digitala system – inklusive AI – ska styras, kontrolleras och förbättras över tid. Genom att föra samman informationssäkerhet och AI-governance skapas ett robust ledningssystem för framtiden, där teknik, etik och informationssäkerhet samverkar.
