silhouette photography of man
22 lipca 2025

Normy regulujące zasady korzystania z AI 

W miarę jak sztuczna inteligencja (SI) przekształca branże na całym świecie, organizacje stają przed rosnącą presją, by wdrażać ją w sposób odpowiedzialny.
SI oferuje ogromne możliwości – od zwiększenia wydajności operacyjnej po tworzenie innowacyjnych produktów i usług. Jednak wraz z rosnącą mocą tych systemów rośnie również ryzyko związane z ich wpływem na ludzi, społeczeństwo i środowisko. Odpowiedzialne wdrażanie sztucznej inteligencji staje się więc nie tylko kwestią etyki, ale również koniecznością biznesową.

 

W odpowiedzi na te wyzwania, Międzynarodowa Organizacja Normalizacyjna (ISO) we współpracy z Międzynarodową Komisją Elektrotechniczną (IEC) opracowała zestaw uzupełniających się norm wspierających organizacje w odpowiedzialnym zarządzaniu technologiami SI. Wśród nich kluczową rolę odgrywa ISO/IEC 42005, która – obok norm takich jak ISO 38507 (zarządzanie SI w kontekście ładu korporacyjnego), ISO/IEC 23894 (zarządzanie ryzykiem SI) oraz ISO/IEC 42001 (systemy zarządzania SI) – stanowi istotne ogniwo w kompleksowych ramach regulacyjnych.

 

Podczas gdy ISO/IEC 42001 określa ogólne zasady zarządzania sztuczną inteligencją, ISO/IEC 42005 koncentruje się na ocenie wpływu konkretnych systemów, oraz ich potencjalnych skutków dla społeczeństwa oraz środowiska na wszystkich etapach cyklu życia systemu. Norma ta stanowi odpowiedź na potrzebę bardziej precyzyjnego i praktycznego podejścia do oceny konsekwencji wdrażania tej technologii.

 

Istotą ISO/IEC 42005 jest wskazanie dobrych praktyk w zakresie projektowania, oceny oraz dokumentacji działań SI, w sposób przejrzysty, rzetelny i ukierunkowany na interesariuszy. W odróżnieniu od szerokiej, organizacyjnej perspektywy przyjętej przez ISO/IEC 42001, nowy standard skupia się na poziomie poszczególnych rozwiązań technologicznych, badając ich konkretne oddziaływanie. Ponadto standard promuje podejście do oceny wpływu, obejmujące zarówno zamierzone, jak i niezamierzone skutki korzystania z SI. Wprowadza m.in. pojęcie „przewidywalnego nadużycia” (eng. predictable misuse), odnoszącego się do przypadków użycia systemu, które nie były planowane przez twórców, ale mogą zostać łatwo przewidziane na podstawie typowych wzorców zachowań użytkowników. Norma rozróżnia również „użycia wrażliwe”, czyli przypadki mogące mieć znaczący wpływ na jednostki lub grupy społeczne, oraz „użycia ograniczone” – wynikające z regulacji prawnych lub wewnętrznych polityk organizacji.

 

U podstaw standard opiera się na dwóch filarach - wdrożeniu procesu oceny oraz wymaganiach dokumentacyjnych, które w szczegółach wyglądają następująco:

 

Wdrożenie procesu oceny wpływu
Norma nakłada obowiązek przeprowadzenia ocen wpływu na różnych etapach cyklu życia systemu SI – od projektowania, przez testowanie i wdrożenie, aż po bieżącą eksploatację. Wymagana jest jasna definicja zakresu oceny, przypisanie odpowiedzialności oraz ustalenie progów klasyfikujących użycia jako wrażliwe lub ograniczone. W kwestii realizacji proces rozbity jest na 4 kroki:

  • identyfikację potencjalnych skutków
  • analizę i dokumentowanie wyników
  • określenie procedur zatwierdzania
  • wdrożenie mechanizmów monitorowania i przeglądu

Bardzo ważnym elementem jest integracja tych działań z istniejącymi procesami zarządzania w organizacji – tak, aby ocena wpływu nie była działaniem jednorazowym, lecz trwałym elementem cyklu decyzyjnego.

 

Wymagania dokumentacyjne
Dokumentacja powinna być czytelna zarówno dla zespołów technicznych, jak i nietechnicznych, oraz obejmować aspekty takie jak:

  • zamierzony sposób użycia systemu
  • profil użytkowników
  • przewidywalne scenariusze niewłaściwego wykorzystania
  • kontekst wdrożeniowy
  • źródła danych, ich jakość oraz specyfikację modeli i algorytmów

Istotne jest również zidentyfikowanie grup dotkniętych potencjalnym wpływem oraz określenie działań minimalizujących ryzyko i wzmacniających pozytywne efekty działania systemu. Dokumentacja powinna być aktualizowana w miarę rozwoju systemu i zmieniających się warunków.

 

Aspekt komplementarności z normą ISO/IEC 42001
Chcąc nakreślić zależności pomiędzy standardami 42005 i 42001, spróbujmy najpierw wskazać co każdy z nich wyróżnia: 

  • ISO/IEC 42001 definiuje organizacyjny system zarządzania SI, tworząc strukturę obejmująca role oraz dokumentacje mające zapewnić odpowiedzialne zarządzanie technologiami SI na poziomie całej organizacji.
  • ISO/IEC 42005 skupia się na wpływie pojedynczych systemów SI, oferując metodologię oceny ich oddziaływania na otoczenie.

Wdrażanie ISO/IEC 42001 zwykle wiąże się z szeroką transformacją organizacyjną, wymagającą współpracy wielu działów oraz zaangażowania kierownictwa. Z kolei ISO/IEC 42005 może być stosowane selektywnie – w odniesieniu do konkretnych systemów – co czyni je użytecznym narzędziem dla organizacji wdrażających SI etapowo lub w ograniczonym zakresie. Obie normy są komplementarne: ISO/IEC 42001 zapewnia strukturę dla zarządzania ocenami wpływu, a ISO/IEC 42005 dostarcza metody ich przeprowadzania. Załącznik A normy 42005 zawiera praktyczne wskazówki dotyczące integracji jej zapisów z wymaganiami ISO/IEC 42001.

 

Ocena wpływu jako element aktywnego bezpieczeństwa
Skuteczna ocena konsekwencji korzystania z  SI to nie tylko obowiązek wynikający z normy – to fundament budowania systemów, które są odporne, bezpieczne i godne zaufania. Współczesne podejścia do bezpieczeństwa SI coraz częściej obejmują:

  • symulacje realistycznych zagrożeń, takich jak manipulacje wejściami (prompt injection), jailbreaki czy eskalacja uprawnień (o czym pisaliśmy już tutaj)
  • modelowanie zagrożeń na wczesnym etapie rozwoju, pozwalające na przewidywanie wpływu jeszcze przed wdrożeniem systemu
  • cyfrową dokumentację opartą na dowodach, ułatwiającą raportowanie zgodności i skuteczność działań zaradczych

Wykorzystanie takich metod pozwala przekształcić ocenę wpływu z biernego działania kontrolnego w aktywny komponent inżynierii bezpieczeństwa SI. Efektywna integracja oceny wpływu z praktykami inżynierskimi pomaga połączyć analizę ryzyka z wdrażaniem technicznych środków ochrony.


ISO/IEC 42005 dostarcza praktycznej metodologii oceny wpływu, która stanowi istotne uzupełnienie dla organizacyjnych mechanizmów zarządzania opisanych w ISO/IEC 42001. Wspólnie tworzą solidny fundament dla odpowiedzialnego i transparentnego rozwoju systemów SI – takich, które nie tylko działają efektywnie, ale również respektują wartości społeczne i etyczne minimalizując ryzyko niepożądanych konsekwencji. Konsultanci reprezentujący firmę ACE pomogą Ci w interpretacji zapisów obu norm oraz wskażą działania niezbędne do bezpiecznego wdrożenia SI w Twojej organizacji.

 

 

Autor: Grzegorz P.

 

 

Audit          

Consultancy          

Education

Copyright © ACE. All Rights Reserved.