7 AI-spesifikke kontroller i ISO 42001 som skiller den fra ISO 27001 

Mange virksomheter som arbeider med ISO 27001 opplever at ISO 42001 virker kjent. Begge standardene bygger på de samme prinsippene for ledelsesforankring, risikostyring og kontinuerlig forbedring. 

Likevel er ISO 42001 mer enn en AI-versjon av ISO 27001. Standarden introduserer flere kontroller som er spesielt utviklet for utfordringene kunstig intelligens skaper. Det handler ikke bare om informasjonssikkerhet, men også om konsekvenser for mennesker, datakvalitet, transparens og ansvarlig bruk av AI. 

Her er syv av de viktigste kontrollområdene som skiller ISO 42001 fra tradisjonelle styringssystemer. 

Et sentralt krav i ISO 42001 er at virksomheten skal vurdere hvilke konsekvenser AI-systemer kan få for mennesker, grupper og samfunnet som helhet. 

Et AI-system kan fungere teknisk som forventet og samtidig skape uønskede konsekvenser. Det kan for eksempel påvirke ansettelsesprosesser, kundebehandling eller beslutningsgrunnlag på måter virksomheten ikke hadde forutsett. 

Dette perspektivet er langt mindre fremtredende i ISO 27001, hvor hovedfokuset er å beskytte informasjon og redusere sikkerhetsrisiko. 

ISO 42001 legger stor vekt på hvordan AI-systemer utvikles. 

Virksomheten skal definere mål og prosesser for ansvarlig utvikling, slik at hensyn som kvalitet, pålitelighet, sikkerhet og etiske vurderinger blir en del av utviklingsarbeidet. 

Dette er et viktig skille fra tradisjonelle IT-systemer. For AI handler risiko ikke bare om teknologien, men også om hvordan systemet er designet, trent og tatt i bruk.

Tradisjonell programvare testes for å sikre at den fungerer som forventet. For AI er dette ikke tilstrekkelig. 

Et AI-system kan være teknisk korrekt og samtidig gi misvisende eller uønskede resultater. Derfor stiller ISO 42001 krav til verifikasjon og validering gjennom hele livsløpet. 

Virksomheten må kunne dokumentere hvordan AI-systemet er testet, hvilke kriterier som er brukt, og hvordan resultatene er vurdert. 

En vanlig misforståelse er at AI-risiko vurderes én gang ved implementering. 

I praksis kan AI-systemer endre karakter over tid. Datagrunnlag kan utvikle seg, bruksmønstre kan endres, og resultatene kan bli dårligere enn forventet. 

ISO 42001 krever derfor at virksomheten etablerer prosesser for løpende overvåking av AI-systemenes ytelse og oppførsel. 

Dette er et område mange organisasjoner foreløpig har begrenset erfaring med. 

Kvaliteten på et AI-system er tett knyttet til kvaliteten på dataene det bygger på. 

ISO 42001 inneholder derfor flere kontroller som omhandler datainnsamling, datakvalitet, datahåndtering og dokumentasjon av dataenes opprinnelse. 

For mange virksomheter vil dette være et av de mest krevende områdene. Det er ofte enklere å anskaffe et AI-verktøy enn å dokumentere kvaliteten på dataene som brukes til å trene, konfigurere eller drifte det. 

Dårlige data gir sjelden gode AI-resultater. 

Brukere og andre interessenter må forstå hvordan AI-systemer påvirker dem. 

ISO 42001 legger derfor vekt på dokumentasjon, informasjon til brukere og rapportering av uønskede konsekvenser. 

Dette handler ikke nødvendigvis om å forklare alle tekniske detaljer, men om å gi tilstrekkelig informasjon til at brukere kan forstå systemets formål, begrensninger og risikoer. 

Transparens blir stadig viktigere etter hvert som AI tas i bruk i flere forretningskritiske prosesser. 

Et AI-system bør brukes til det formålet det er utviklet eller vurdert for. 

Dette kan virke selvsagt, men i praksis ser mange virksomheter at ansatte tar i bruk AI-verktøy på nye områder uten at risikoene er vurdert på forhånd. 

Et verktøy som er godkjent for å hjelpe med innholdsproduksjon, blir plutselig brukt som beslutningsstøtte, analyseverktøy eller kilde til faglige vurderinger. 

ISO 42001 adresserer denne utfordringen ved å kreve at virksomheten har kontroll på hva AI-systemer faktisk brukes til. 

Virksomheter som allerede arbeider med ISO 27001 vil kjenne igjen mange av prinsippene i ISO 42001. Begge standardene handler om styring, ansvarlighet og risikohåndtering. 

Samtidig introduserer ISO 42001 flere nye perspektiver som er spesifikke for kunstig intelligens. Konsekvensvurderinger, datakvalitet, transparens og ansvarlig bruk er områder som sjelden får like stor oppmerksomhet i tradisjonelle styringssystemer. 

Det er nettopp disse kontrollene som gjør AI governance til noe mer enn informasjonssikkerhet. Målet er ikke bare å beskytte virksomheten mot risiko, men også å sikre at AI-systemer utvikles og brukes på en ansvarlig, etterprøvbar og tillitvekkende måte. 

Vi hjelper virksomheter med rådgivning, etablering og videreutvikling av styringssystemer for AI. Ta kontakt for å høre hvordan vi kan hjelpe deg!