每一项技术和每一项新事物都伴随着风险，在系列文章（一）AI服务合规与管理、系列文章（二）AIGC网络安全风险及应对中，我们重点探讨了人工智能面临的挑战和风险，以及企业AI治理的思路。随着欧盟《人工智能法案》的通过，全球AI相关立法逐步加速，对于AI风险管理、AI质量管理、AI责任分配等均从法律法规层面提出要求。企业在考虑将AI作为战略目标的同时，也需同步考虑通过体系化方式开展AI治理工作，构建可信赖的AI产品和服务。本文将重点介绍全球首个可认证的人工智能管理体系标准ISO 42001，以及“可信人工智能治理等级标识”测评服务，帮助企业从0到1，分阶段逐步实现可信AI治理体系化建设。

人工智能管理体系ISO 42001简介

2023年12月18日，ISO/IEC 42001《信息技术—人工智能—管理系统》正式发布，成为第一部针对人工智能的国际管理体系标准。此标准为所有涉AI组织提供了完整的人工智能管理体系框架，不仅覆盖了AI的研发、部署、运营及监控等各个环节，更重视组织文化、组织能力、组织治理在AI管理中的核心作用。

ISO/IEC 42001将帮助组织建立一个全面的AI治理框架，定义负责人工智能系统人员的角色和职责，以及更负责任地部署人工智能系统所需的规则、流程和控制。根据ISO 42001建立人工智能管理体系（AIMS）：

1、有助于建立符合法律法规并满足相关方期待的人工智能治理体系，有效管理人工智能相关风险，确保采取适当的缓解措施，并提供负责任和问责的证据。

2、全面的AIMS能够灵活地吸收和整合未来的人工智能监管要求，使组织以稳健、从容的姿态走好人工智能发展安全合规之路。

3、通过在组织内应用有效的管理原则，在内外部建立对管理体系绩效的信任。

4、增强对人工智能应用的信任，增强客户的信心和满意度，从而增加业务需求。

可信AI治理等级标识

对于企业来说，AIMS建设既能帮助企业满足监管合规要求，也能强化自身AI治理能力，增强客户信任。然而，对于很多企业来说，“从0到1”一步到位建设AIMS难度大、成本高、耗时长。大多企业AI治理基础相对薄弱，不具备相对完善的风险管理、系统开发生命周期、信息安全、数据安全、隐私合规等管理框架作为AI治理基础，相关组织结构和人员也存在不足，难以“一步到位”完成AIMS建立和运行。在此背景下，安永推出“可信AI治理等级标识”服务，将人工智能管理体系建设这一终极目标转化为分步走、进阶式的治理方法，为企业铺设了一条真正能够落地实现的可信AI建设之路。

“可信AI治理等级标识”标准对标融合国内外主流的人工智能法规和标准要求，包括ISO/IEC 42001-2023 人工智能管理体系、欧盟《人工智能法案》、中国人工智能相关管理办法等，形成3个等级标准（基础级、提高级、体系级），共计41个控制项，具备广泛的合规适用性。在建立人工智能管理体系时，组织首先应就自身在人工智能系统领域的角色进行定位。组织的角色不同，建立和实施人工智能管理体系的内容也是有差异的。根据ISO 42001，AI提供者是指提供使用一个或多个人工智能系统的产品或服务的组织或实体，人工智能提供商包括人工智能平台提供商和人工智能产品或服务提供商；AI部署者是指使用人工智能产品或服务的组织或实体。企业可根据其AI角色（AI提供者、AI部署者）、AI产品类型等要素，选择适合自身的可信AI治理等级目标，定位适用的人工智能合规风险管理控制框架和控制项，通过评估附加第三方背书的双重价值，为AI产品和服务提供合规保障。

► 1级——绿色徽章（基础级）

基础级对应的控制项和控制要求为国内外主流人工智能法规和标准要求中通用的、共有的、基础的AI管理要求。基础级要求适用于所有AI角色，通过基础级评估可获得绿色徽章和证书。

► 2级——蓝色徽章（提高级）

对于风险等级为中、高的AI系统，可进一步进行“可信AI治理等级标识”2级（提高级）的建设和认证工作。2级标准对不同的AI角色（AI提供者、AI部署者）有不同的控制要求，企业可根据要求遵守不同的能力提升路径，通过提高级评估可获得蓝色徽章和证书。

► 3级——黑色徽章（体系级）

对于风险等级为高的AI系统，可进一步进行“可信AI治理等级标识”3级（体系级）的建设和认证工作，以期满足ISO 42001的全部控制项要求。3级标准要求主要源自ISO 42001的正文部分，帮助企业体系化运行AI治理体系，通过体系级评估可获得黑色徽章和证书，并获得ISO 42001的认证证书。

可信AI治理等级标识服务

安永提供可信AI治理等级标识咨询服务，帮助企业进行可信AI的评测和AI治理建设，而后将会引入权威的国际认证机构DNV进行等级审核。对于经评估和审核的产品，国际权威认证机构将授予“可信AI治理等级标识”，为产品在激烈的国内外AI市场竞争中增添一枚“可信”徽章。可信AI治理等级标识具有如下特色：

► 广泛的合规适应性

可信AI治理等级评估框架融合了国内外主流的人工智能法规和标准要求，包括ISO/IEC 42001-2023 人工智能管理体系、欧盟《人工智能法案》、中国人工智能相关管理办法、标准（《生成式人工智能服务管理暂行办法》《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》以及算法模型备案要求），具备广泛的合规适应性，为AI企业和产品出海奠定了扎实的合规基石。

► 权威的风险治理框架

AI治理和风险管理基于安永和DNV两家全球性专业机构的方法，根据企业是否为AI提供者或部署者等角色、AI产品类型等要素，可以直接匹配适用的人工智能治理要求，按照不同的风险控制项进行评测，更能体现AI生态中不同环节的风险特性。

► 阶梯式等级划分

不同的AI角色和不同风险等级的AI产品需承担不同程度的合规风险管理责任。“可信AI治理等级标识”服务将人工智能管理体系要求划分为三个级别，更好地满足不同程度的AI风险管理需求，也为企业铺设了一条“由基础逐步迈向进阶”的可信AI建设道路。

► “评估+背书”双重价值

评估覆盖AI产品及AI企业总体治理水平，深入业务逻辑、训练数据、算法模型以及基础安全多个方面，帮助企业评估AI产品整体风险、提升整体治理水平；通过评估后，由国际权威认证机构DNV颁发“可信AI治理等级标识”，为企业带来“评估+背书”双重价值加持。

结语

本系列文章总结了不同国家和地区的AI治理实践、企业AI合规与治理的关注重点、AIGC安全风险及应对、AIGC合规关注重点等，也从可信AI治理和体系建设角度，提出安永独特的解决方案和服务“可信AI治理等级标识”，为企业提供可信AI相关评估、建设和背书等端到端服务。更多安永观点，敬请期待《可信人工智能治理白皮书》。

本文是为提供一般信息的用途所撰写，并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。