ISO/IEC 23894:2023
(Main)Information technology - Artificial intelligence - Guidance on risk management
Information technology - Artificial intelligence - Guidance on risk management
This document provides guidance on how organizations that develop, produce, deploy or use products, systems and services that utilize artificial intelligence (AI) can manage risk specifically related to AI. The guidance also aims to assist organizations to integrate risk management into their AI-related activities and functions. It moreover describes processes for the effective implementation and integration of AI risk management. The application of this guidance can be customized to any organization and its context.
Technologies de l’information — Intelligence artificielle — Recommandations relatives au management du risque
Le présent document fournit des recommandations relatives à la manière dont les organismes qui développent, produisent, déploient ou utilisent des produits, systèmes et services faisant appel à l’intelligence artificielle (IA) peuvent gérer le risque spécifiquement lié à l’IA. Ces recommandations visent également à assister les organismes dans l’intégration du management du risque à leurs activités et fonctions liées à l’IA. Le présent document décrit en outre des processus pour la mise en œuvre et l’intégration efficaces du management du risque lié à l’IA. L’application de ces recommandations peut être adaptée à n’importe quel organisme et à son contexte.
General Information
- Status
- Published
- Publication Date
- 05-Feb-2023
- Technical Committee
- ISO/IEC JTC 1/SC 42 - Artificial intelligence
- Drafting Committee
- ISO/IEC JTC 1/SC 42/WG 3 - Trustworthiness
- Current Stage
- 6060 - International Standard published
- Start Date
- 06-Feb-2023
- Due Date
- 06-Mar-2023
- Completion Date
- 06-Feb-2023
Relations
- Consolidated By
ISO 5659 - Plastics - Smoke generation - Determination of optical density by a single-chamber test - Effective Date
- 28-Jan-2023
Overview
ISO/IEC 23894:2023 - "Information technology - Artificial intelligence - Guidance on risk management" provides targeted guidance for organizations that develop, produce, deploy or use AI products, systems and services. Mirroring the structure of ISO 31000:2018, this standard helps integrate AI-specific risk management into existing organizational governance, processes and the AI system life cycle. It is customizable to any organization and covers principles, a risk management framework and detailed processes for assessment, treatment, monitoring and improvement.
Keywords: ISO/IEC 23894:2023, AI risk management, ISO 31000, AI governance, risk assessment, AI lifecycle
Key topics and technical guidance
The standard focuses on practical, AI-specific guidance rather than prescriptive technical specifications. Main topics include:
- Principles of AI risk management
- Integrating risk management into all organizational activities
- Inclusiveness, customization and a structured approach tailored to AI
- Risk management framework (leadership to improvement)
- Leadership and commitment, assigning roles and accountability
- Integration with organizational objectives, design, implementation, evaluation and continual improvement
- Risk management process
- Communication and consultation with stakeholders
- Defining scope, context and risk criteria for AI use cases
- Risk assessment steps: identification, analysis and evaluation
- Risk treatment: selecting and implementing mitigation options
- Monitoring, review, recording and reporting of AI risks
- Annexes and practical aids
- Annex A: common AI-related objectives
- Annex B: AI risk sources (e.g., data, model, system and operational aspects)
- Annex C: mapping risk management activities to an AI system life cycle
Note: ISO/IEC 23894:2023 provides guidance that complements ISO 31000:2018 and other AI standards; it does not replace organizational policies or industry-specific regulatory requirements.
Practical applications and who should use it
ISO/IEC 23894:2023 is relevant to a wide range of stakeholders involved in AI risk and governance:
- AI developers, ML engineers and system architects - to embed risk controls into design and development
- Product managers and program leads - to align AI features with organizational risk appetite
- Risk managers, compliance and internal audit teams - to assess AI-specific threats and track mitigation
- Procurement and vendor management - to evaluate third-party AI suppliers against risk criteria
- Regulators and policy teams - to understand structured, standards-based approaches to AI risk
- Cross-functional teams (legal, privacy, security, ethics) - for stakeholder consultation and lifecycle oversight
Related standards
- ISO 31000:2018 - Risk management - Guidelines (framework alignment)
- ISO/IEC 22989:2022 - AI concepts and terminology
- ISO Guide 73:2009 - Risk management vocabulary
ISO/IEC 23894:2023 helps organizations operationalize AI risk management: aligning governance, technical controls, stakeholder engagement and continuous monitoring across the AI lifecycle.
ISO/IEC 23894:2023 - Information technology — Artificial intelligence — Guidance on risk management Released:2/6/2023
ISO/IEC 23894:2023 - Technologies de l’information — Intelligence artificielle — Recommandations relatives au management du risque Released:2/6/2023
Frequently Asked Questions
ISO/IEC 23894:2023 is a standard published by the International Organization for Standardization (ISO). Its full title is "Information technology - Artificial intelligence - Guidance on risk management". This standard covers: This document provides guidance on how organizations that develop, produce, deploy or use products, systems and services that utilize artificial intelligence (AI) can manage risk specifically related to AI. The guidance also aims to assist organizations to integrate risk management into their AI-related activities and functions. It moreover describes processes for the effective implementation and integration of AI risk management. The application of this guidance can be customized to any organization and its context.
This document provides guidance on how organizations that develop, produce, deploy or use products, systems and services that utilize artificial intelligence (AI) can manage risk specifically related to AI. The guidance also aims to assist organizations to integrate risk management into their AI-related activities and functions. It moreover describes processes for the effective implementation and integration of AI risk management. The application of this guidance can be customized to any organization and its context.
ISO/IEC 23894:2023 is classified under the following ICS (International Classification for Standards) categories: 35.020 - Information technology (IT) in general. The ICS classification helps identify the subject area and facilitates finding related standards.
ISO/IEC 23894:2023 has the following relationships with other standards: It is inter standard links to ISO 5659. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.
You can purchase ISO/IEC 23894:2023 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 23894
First edition
2023-02
Information technology — Artificial
intelligence — Guidance on risk
management
Technologies de l’information — Intelligence artificielle —
Recommandations relatives au management du risque
Reference number
© ISO/IEC 2023
© ISO/IEC 2023
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
© ISO/IEC 2023 – All rights reserved
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Principles of AI risk management . 1
5 Framework . 5
5.1 General . 5
5.2 Leadership and commitment . 5
5.3 Integration. 6
5.4 Design . 6
5.4.1 Understanding the organization and its context . 6
5.4.2 Articulating risk management commitment . 8
5.4.3 Assigning organizational roles, authorities, responsibilities and
accountabilities . 8
5.4.4 Allocating resources . 8
5.4.5 Establishing communication and consultation . 8
5.5 Implementation . . 9
5.6 Evaluation . 9
5.7 Improvement . 9
5.7.1 Adapting . 9
5.7.2 Continually improving . 9
6 Risk management process .9
6.1 General . 9
6.2 Communication and consultation. 9
6.3 Scope, context and criteria . 9
6.3.1 General . 9
6.3.2 Defining the scope . 10
6.3.3 External and internal context . 10
6.3.4 Defining risk criteria . 10
6.4 Risk assessment . 11
6.4.1 General . 11
6.4.2 Risk identification . 11
6.4.3 Risk analysis . . 14
6.4.4 Risk evaluation.15
6.5 Risk treatment .15
6.5.1 General .15
6.5.2 Selection of risk treatment options . 15
6.5.3 Preparing and implementing risk treatment plans . 16
6.6 Monitoring and review . 16
6.7 Recording and reporting . 16
Annex A (informative) Objectives .18
Annex B (informative) Risk sources .21
Annex C (informative) Risk management and AI system life cycle .24
Bibliography .26
iii
© ISO/IEC 2023 – All rights reserved
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical
activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international
organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the
work.
The procedures used to develop this document and those intended for its further maintenance
are described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria
needed for the different types of document should be noted. This document was drafted in
accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives or
www.iec.ch/members_experts/refdocs).
Attention is drawn to the possibility that some of the elements of this document may be the subject
of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent
rights. Details of any patent rights identified during the development of the document will be in the
Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents) or the IEC
list of patent declarations received (see https://patents.iec.ch).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see
www.iso.org/iso/foreword.html. In the IEC, see www.iec.ch/understanding-standards.
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 42, Artificial intelligence.
Any feedback or questions on this document should be directed to the user’s national standards
body. A complete listing of these bodies can be found at www.iso.org/members.html and
www.iec.ch/national-committees.
iv
© ISO/IEC 2023 – All rights reserved
Introduction
The purpose of risk management is the creation and protection of value. It improves performance,
encourages innovation and supports the achievement of objectives.
This document is intended to be used in connection with ISO 31000:2018. Whenever this document
extends the guidance given in ISO 31000:2018, an appropriate reference to the clauses of ISO 31000:2018
is made followed by AI-specific guidance, if applicable. To make the relationship between this document
and ISO 31000:2018 more explicit, the clause structure of ISO 31000:2018 is mirrored in this document
and amended by sub-clauses if needed.
This document is divided into three main parts:
Clause 4: Principles – This clause describes the underlying principles of risk management. The use of AI
requires specific considerations with regard to some of these principles as described in ISO 31000:2018,
Clause 4.
Clause 5: Framework – The purpose of the risk management framework is to assist the organization
in integrating risk management into significant activities and functions. Aspects specific to the
development, provisioning or offering, or use of AI systems are described in ISO 31000:2018, Clause 5.
Clause 6: Processes – Risk management processes involve the systematic application of policies,
procedures and practices to the activities of communicating and consulting, establishing the context,
and assessing, treating, monitoring, reviewing, recording and reporting risk. A specialization of such
processes to AI is described in ISO 31000:2018, Clause 6.
Common AI-related objectives and risk sources are provided in Annex A and Annex B. Annex C provides
an example mapping between the risk management processes and an AI system life cycle.
v
© ISO/IEC 2023 – All rights reserved
INTERNATIONAL STANDARD ISO/IEC 23894:2023(E)
Information technology — Artificial intelligence —
Guidance on risk management
1 Scope
This document provides guidance on how organizations that develop, produce, deploy or use products,
systems and services that utilize artificial intelligence (AI) can manage risk specifically related to
AI. The guidance also aims to assist organizations to integrate risk management into their AI-related
activities and functions. It moreover describes processes for the effective implementation and
integration of AI risk management.
The application of this guidance can be customized to any organization and its context.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 31000:2018, Risk management — Guidelines
ISO Guide 73:2009, Risk management — Vocabulary
ISO/IEC 22989:2022, Information technology — Artificial intelligence — Artificial intelligence concepts
and terminology
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 31000:2018,
ISO/IEC 22989:2022 and ISO Guide 73:2009 apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
4 Principles of AI risk management
Risk management should address the needs of the organization using an integrated, structured and
comprehensive approach. Guiding principles allow an organization to identify priorities and make
decisions on how to manage the effects of uncertainty on its objectives. These principles apply to all
organizational levels and objectives, whether strategic or operational.
Systems and processes usually deploy a combination of various technologies and functionalities
in various environments, for specific use cases. Risk management should take into account the
whole system, with all its technologies and functionalities, and its impact on the environment and
stakeholders.
AI systems can introduce new or emergent risks for an organization, with positive or negative
consequences on objectives, or changes in the likelihood of existing risks. They also can necessitate
© ISO/IEC 2023 – All rights reserved
specific consideration by the organization. Additional guidance for the risk management principles,
framework and processes an organization can implement is provided by this document.
NOTE Different International Standards have significantly different definitions of the word “risk.” In
ISO 31000:2018 and related International Standards, “risk” involves a negative or positive deviation from the
objectives. In some other International Standards, “risk” involves potential negative outcomes only, for example,
safety-related concerns. This difference in focus can often cause confusion when trying to understand and
properly implement a conformant risk management process.
ISO 31000:2018, Clause 4 defines several generic principles for risk management. In addition to guidance
in ISO 31000:2018, Clause 4, Table 1 provides further guidance on how to apply such principles where
necessary.
Table 1 — Risk management principles applied to artificial intelligence
Principle Description (as given in ISO Implications for the development and
31000:2018, Clause 4) use of AI
a) Integrated Risk management is an integral part of all No specific guidance beyond ISO 31000:2018.
organizational activities.
b) Structured and com- A structured and comprehensive approach to No specific guidance beyond ISO 31000:2018.
prehensive risk management contributes to consistent
and comparable results.
c) Customized The risk management framework and process No specific guidance beyond ISO 31000:2018.
are customized and proportionate to the
organization’s external and internal context
related to its objectives.
© ISO/IEC 2023 – All rights reserved
TTabablele 1 1 ((ccoonnttiinnueuedd))
Principle Description (as given in ISO Implications for the development and
31000:2018, Clause 4) use of AI
d) Inclusive Appropriate and timely involvement of stake- Because of the potentially far-reaching im-
holders enables their knowledge, views and pacts of AI to stakeholders, it is important
perceptions to be considered. This results that organizations seek dialog with diverse
in improved awareness and informed risk internal and external groups, both to com-
management. municate harms and benefits, and to incor-
porate feedback and awareness into the risk
management process.
Organizations should also be aware that the
use of AI systems can introduce additional
stakeholders.
The areas in which the knowledge, views and
perceptions of stakeholders are of benefit
include but are not restricted to:
— Machine learning (ML) in particular
often relies on the set of data
appropriate to fulfil its objectives.
Stakeholders can help in the
identification of risks regarding
the data collection, the processing
operations, the source and type
of data, and the use of the data for
particular situations or where the
data subjects can be outliers.
— The complexity of AI technologies
creates challenges related to
transparency and explainability
of AI systems. The diversity of AI
technologies further drives these
challenges due to characteristics such
as multiple types of data modalities, AI
model topologies, and transparency
and reporting mechanisms that
should be selected per stakeholders’
needs. Stakeholders can help to
identify the goals and describe the
means for enhancing transparency
and explainability of AI systems. In
certain cases, these goals and means
can be generalized across the use case
and different stakeholders involved. In
other cases, stakeholder segmentation
of transparency frameworks and
reporting mechanisms can be tailored
to relevant personas (e.g. “regulators”,
“business owners”, “model risk
evaluators”) per the use case.
— Using AI systems for automated
decision-making can directly affect
internal and external stakeholders.
Such stakeholders can provide their
views and perceptions concerning,
for example, where human oversight
can be needed. Stakeholders can help
in defining fairness criteria and also
help to identify what constitutes bias
in the working of the AI system.
© ISO/IEC 2023 – All rights reserved
TTabablele 1 1 ((ccoonnttiinnueuedd))
Principle Description (as given in ISO Implications for the development and
31000:2018, Clause 4) use of AI
e) Dynamic Risks can emerge, change or disappear as an To implement the guidance provided by
organization’s external and internal context ISO 31000:2018, organizations should estab-
changes. Risk management anticipates, de- lish organizational structures and measures
tects, acknowledges and responds to those to identify issues and opportunities related
changes and events in an appropriate and to emerging risks, trends, technologies, uses
timely manner. and actors related to AI systems.
Dynamic risk management is particularly
important for AI systems because:
— The nature of AI systems is itself
dynamic, due to continuous learning,
refining, evaluating, and validating.
Additionally, some AI systems have
the ability to adapt and optimize
based on this loop, creating dynamic
changes on their own.
— Customer expectations around AI
systems are high and can potentially
change quickly as the systems
themselves do.
— Legal and regulatory requirements
related to AI are frequently changing
and being updated.
Integration with the management systems
on quality, environmental footprints, safety,
healthcare, legal or corporate responsibility,
or any combination of these maintained by
the organization, can also be considered to
further understand and manage AI-related
risks to the organization, individuals and
societies.
f) Best available infor- The inputs to risk management are based on Taking into account the expectation that AI
mation historical and current information, as well affects the way individuals interact with
as on future expectations. Risk management and react to technology, it is advisable for
explicitly takes into account any limitations organizations engaged in the development
and uncertainties associated with such of AI systems to keep track of relevant infor-
information and expectations. Information mation available regarding the further uses
should be timely, clear and available to rel- of the AI systems that they developed, while
evant stakeholders. users of AI systems can maintain records of
the uses of those systems throughout the
entire lifetime of the AI system.
As AI is an emerging technology and con-
stantly evolving, historical information
can be limited, and future expectations can
change quickly. Organizations should take
this into account.
The internal use of AI systems should be
considered, if any. Tracking the use of AI
systems by customers and external users
can be limited by intellectual property,
contractual or market-specific restrictions.
Such restrictions should be captured in the
AI risk management process and updated
when business conditions warrant revisiting.
© ISO/IEC 2023 – All rights reserved
TTabablele 1 1 ((ccoonnttiinnueuedd))
Principle Description (as given in ISO Implications for the development and
31000:2018, Clause 4) use of AI
g) Human and cultural Human behaviour and culture significantly Organizations engaged in the design, de-
factors influence all aspects of risk management at velopment or deployment of AI systems, or
each level and stage. any combination of these, should monitor
the human and cultural landscape in which
they are situated. Organizations should focus
on identifying how AI systems or compo-
nents interact with pre-existing societal
patterns that can lead to impacts on equitable
outcomes, privacy, freedom of expression,
fairness, safety, security, employment, the
environment, and human rights broadly.
h) Continual improve- Risk management is continually improved The identification of previously unknown
ment through learning and experience. risks related to the use of AI systems should
be considered in the continual improvement
process. Organizations engaged in the design,
development or deployment of AI systems or
system components, or any combination of
these, should monitor the AI ecosystem for
Performance successes, shortcomings and
lessons learned, and maintain awareness
of new AI research findings and techniques
(opportunities for improvement).
5 Framework
5.1 General
The purpose of the risk management framework is to assist the organization in integrating risk
management into significant activities and functions. The guidance provided in ISO 31000:2018, 5.1
applies.
Risk management involves assembling relevant information for an organization to make decisions and
address risk. While the governing body defines the overall risk appetite and organizational objectives,
it delegates the decision-making process of identifying, assessing and treating risk to management
within the organization.
[1]
ISO/IEC 38507 describes additional governance considerations for the organization regarding
the development, purchase or use of an AI system. Such considerations include new opportunities,
potential changes to the risk appetite as well as new governance policies to ensure the responsible use
of AI by the organization. It can be used in combination with the risk management processes described
in this document to help guide the dynamic and iterative organizational integration described in
ISO 31000:2018, 5.2.
5.2 Leadership and commitment
The guidance provided in ISO 31000:2018, 5.2 applies.
In addition to the guidance provided in ISO 31000:2018, 5.2 the following applies:
Due to the particular importance of trust and accountability related to the development and use of AI,
top management should consider how policies and statements related to AI risks and risk management
are communicated to stakeholders. Demonstrating this level of leadership and commitment can be
critical for ensuring that stakeholders have confidence that AI is being developed and used responsibly.
The organization should therefore consider issuing statements related to its commitment to AI risk
management to increase confidence of their stakeholders on their use of AI.
© ISO/IEC 2023 – All rights reserved
Top management should also be aware of the specialized resources that can be needed to manage AI
risk, and allocate those resources appropriately.
5.3 Integration
The guidance provided in ISO 31000:2018, 5.3 applies.
5.4 Design
5.4.1 Understanding the organization and its context
The guidance provided in ISO 31000:2018, 5.4.1 applies.
In addition to guidance provided in ISO 31000:2018, 5.4.1, Table 2 lists additional factors to consider
when understanding the external context of an organization.
Table 2 — Consideration when establishing the external context of an organization
Generic guidance provided by ISO 31000:2018, Additional guidance for organizations engaged in AI
5.4.1
Organizations should consider at least the following Organizations should additionally consider, but not exclusively,
elements of their external context: the following elements:
— The social, cultural, political, legal, regulatory, — Relevant legal requirements, including those
financial, technological, economic and specifically relating to AI.
environmental factors, whether international,
— Guidelines on ethical use and design of AI and
national, regional or local;
automated systems issued by government-related
groups, regulators, standardization bodies, civil
society, academia and industry associations.
— Domain-specific guidelines and frameworks related to
AI.
— Key drivers and trends affecting the objectives — Technology trends and advancements in the various
of the organization; areas of AI.
— Societal and political implications of the deployment of
AI systems, including guidance from social sciences.
— External stakeholders’ relationships, — Stakeholder perceptions, which can be affected by
perceptions, values, needs and expectations; issues such as lack of transparency (also referred to as
opaqueness) of AI systems or biased AI systems.
— Stakeholder expectations on the availability of
specific AI-based solutions and the means by which
the AI models are made available (e.g. through a user
interface, software development kit).
— Contractual relationships and commitments; — How the use of AI, especially AI systems using
continuous learning, can affect the ability of the
organization to meet contractual obligations and
guarantees. Consequently, organizations should
carefully consider the scope of relevant contracts.
— Contractual relationships during the design and
production of AI systems and services. For example,
ownership and usage rights of test and training data
should be considered when provided by third parties.
— The complexity of networks and dependencies; — The use of AI can increase the complexity of networks
and dependencies.
© ISO/IEC 2023 – All rights reserved
TTabablele 2 2 ((ccoonnttiinnueuedd))
Generic guidance provided by ISO 31000:2018, Additional guidance for organizations engaged in AI
5.4.1
Organizations should consider at least the following Organizations should additionally consider, but not exclusively,
elements of their external context: the following elements:
— (guidance beyond ISO 31000:2018). — An AI system can replace an existing system and, in
such a case, an assessment of the risk benefits and risk
transfers of an AI system versus the existing system
can be undertaken, considering safety, environmental,
social, technical and financial issues associated with
the implementation of the AI system.
In addition to guidance provided in ISO 31000:2018, 5.4.1, Table 3 lists additional factors to consider
when understanding the internal context of an organization.
Table 3 — Consideration when establishing the internal context of an organization
Generic guidance provided by ISO 31000:2018, Additional guidance for organizations engaged in AI
5.4.1
Organizations should consider at least the follow- Organizations should additionally consider, but not exclu-
ing elements of their internal context: sively, the following elements:
— Vision, mission and values; — No specific guidance beyond ISO 31000:2018
— Governance, organizational structure, roles — No specific guidance beyond ISO 31000:2018
and accountabilities;
— Strategy, objectives and policies; — No specific guidance beyond ISO 31000:2018
— The organization’s culture; — The effect that an AI system can have on the
organization’s culture by shifting and introducing new
responsibilities, roles and tasks.
— Standards, guidelines and models adopted by — Any additional international, regional, national and
the organization; local standards and guidelines that are imposed by the
use of AI systems.
— Capabilities, understood in terms of resources — The additional risks to organizational knowledge
and knowledge (e.g. capital, time, people, related to transparency and explainability of AI
intellectual property, processes, systems and systems.
technologies);
— The use of AI systems can result in changes to the
number of human resources needed to realize a certain
capability, or in a variation of the type of resources
needed, for instance, deskilling or loss of expertise
where human decision-making is increasingly
supported by AI systems.
— The specific knowledge in AI technologies and data
science required to develop and use AI systems.
— The availability of AI tools, platforms and libraries
can enable the development of AI systems without
there being a full understanding of the technology, its
limitations and potential pitfalls.
— The potential for AI to raise issues and opportunities
related to intellectual property for specific AI systems.
Organizations should consider their own intellectual
property in this area and ways that intellectual
property can affect transparency, security and the
ability to collaborate with stakeholders, to determine
whether any steps should be taken.
© ISO/IEC 2023 – All rights reserved
TTabablele 3 3 ((ccoonnttiinnueuedd))
Generic guidance provided by ISO 31000:2018, Additional guidance for organizations engaged in AI
5.4.1
Organizations should consider at least the follow- Organizations should additionally consider, but not exclu-
ing elements of their internal context: sively, the following elements:
— Data, information systems and information — AI systems can be used to automate, optimize and
flows; enhance data handling.
— As consumers of data, additional quality and
completeness constraints on data and information can
be imposed by AI systems.
— Relationships with internal stakeholders, — Stakeholder perception, which can be affected by issues
taking into account their perceptions and such as lack of transparency of AI systems or biased AI
values; systems.
— Stakeholder needs and expectations can be satisfied to
a greater extent by specific AI systems.
— The need for stakeholders to be educated on capabilities,
failure modes and failure management of AI systems.
— Contractual relationships and commitments; — Stakeholder perception, which can be affected by
different challenges associated with AI systems such
as potential lack of transparency and unfairness.
— Stakeholder needs and expectations can be satisfied by
specific AI systems.
— The need for stakeholders to be educated on capabilities,
failure modes and failure management of AI systems.
— Stakeholders’ expectations of privacy, and individual
and collective fundamental rights and freedoms.
— Interdependencies and interconnections; — The use of AI systems can increase the complexity of
interdependencies and interconnections.
In addition to the guidance provided in ISO 31000:2018, 5.4.1, organizations should consider that the
use of AI systems can increase the need for specialized training.
5.4.2 Articulating risk management commitment
The guidance provided in ISO 31000:2018, 5.4.2 applies.
5.4.3 Assigning organizational roles, authorities, responsibilities and accountabilities
The guidance provided in ISO 31000:2018, 5.4.3 applies.
In addition to the guidance of ISO 31000:2018, 5.4.3, top management and oversight bodies, where
applicable, should allocate resources and identify individuals:
— with authority to address AI risks;
— with responsibility for establishing and monitoring processes to address AI risks.
5.4.4 Allocating resources
The guidance provided in ISO 31000:2018, 5.4.4 applies.
5.4.5 Establishing communication and consultation
The guidance provided in ISO 31000:2018, 5.4.5 applies.
© ISO/IEC 2023 – All rights reserved
5.5 Implementation
The guidance provided in ISO 31000:2018, 5.5 applies.
5.6 Evaluation
The guidance provided in ISO 31000:2018, 5.6 applies.
5.7 Improvement
5.7.1 Adapting
The guidance provided in ISO 31000:2018, 5.7.1 applies.
5.7.2 Continually improving
The guidance provided in ISO 31000:2018, 5.7.2 applies.
6 Risk management process
6.1 General
The guidance provided in ISO 31000:2018, 6.1 applies.
Organizations should implement a risk-based approach to identifying, assessing, and understanding
the AI risks to which they are exposed and take appropriate treatment measures according to the
level of risk. The success of the overall AI risk management process of an organization relies on the
identification, establishment and the successful implementation of narrowly scoped risk management
processes on strategic, operational, programme and project levels. Due to concerns related but not
limited to the potential complexity, lack of transparency and unpredictability of some AI-based
technologies, particular consideration should be given to risk management processes at the AI system
project level. These system project level processes should be aligned with the organization’s objectives
and should be both informed by and inform other levels of risk management. For example, escalations
and lessons learned at the AI project level should be incorporated at the higher levels, such as the
strategic, operational and programme levels, and others as applicable.
The scope, context and criteria of a project-level risk management process are directly affected by
the stages of the AI system’s life cycle that are in the scope of the project. Annex C shows possible
relations between a project-level risk management process and an AI system life cycle (as defined in
ISO/IEC 22989:2022).
6.2 Communication and consultation
The guidance provided in ISO 31000:2018, 6.2 applies.
The set of stakeholders that can be affected by AI systems can be larger than initially foreseen, can
include otherwise unconsidered external stakeholders and can extend to other parts of a society.
6.3 Scope, context and criteria
6.3.1 General
The guidance provided in ISO 31000:2018, 6.3.1 applies.
In addition to the guidance provided in ISO 31000:2018, 6.3.1, for organizations using AI the scope of
the AI risk management, the context of the AI risk management process and the criteria to evaluate
the significance of risk to support decision-making processes should be extended to identify where AI
© ISO/IEC 2023 – All rights reserved
systems are being developed or used in the organization. Such an inventory of AI development and use
should be documented and included in the organization’s risk management process.
6.3.2 Defining the scope
The guidance provided in ISO 31000:2018, 6.3.2 applies.
The scope should take the specific tasks and responsibilities of the different levels of an organization
into account. Moreover, the objectives and purpose of the AI systems developed or used by the
organization should be considered.
6.3.3 External and internal context
The guidance provided in ISO 31000:2018, 6.3.3 applies.
Because of the magnitude of potential effects of AI systems, the organization should pay special
attention to the environment of its stakeholders when forming and establishing the context of the risk
management process.
Care should be taken to consider a list of stakeholders, including, but not limited to:
— the organization (itself);
— customers, partners and third parties;
— suppliers;
— end users;
— regulators;
— civil organizations;
— individuals;
— affected communities;
— societies.
Some other considerations for external and internal context are:
— whether AI systems can harm human beings, deny essential services (which if interrupted would
endanger life, health or personal safety) or infringe human rights (e.g. by unfair and biased
automated decision-making) or contribute to environmental harm;
— external and internal expectations for the organization’s social responsibility;
— external and internal expectations for the organization’s environmental responsibility.
[2]
The guidelines in ISO 26000:2010 outlining aspects of social responsibility should apply as a
framework for understanding and treating risk, particularly on core subjects of organizational
governance, human rights, labour practices, the environment, fair operating practices, consumer issues
and community involvement and development.
[3]
NOTE Further background information on trustworthiness is available in ISO/IEC TR 24028:2020 .
6.3.4 Defining risk criteria
The guidance provided in ISO 31000:2018, 6.3.4 applies.
In addition to the guidance provided in ISO 31000:2018, 6.3.4, Table 4 provides additional guidelines on
factors to be considered when defining risk criteria:
© ISO/IEC 2023 – All rights reserved
Table 4 — Additional guidance when defining risk criteria
Considerations for defining risk criteria as provid- Additional considerations in the context of the
ed in ISO 31000:2018, 6.3.4 development and use of AI systems
— The nature and type of uncertainties that can — Organizations should take reasonable steps to
affect outcomes and objectives (both tangible and understand uncertainty in all parts of the AI
intangible); system, including the utilized data, software,
mathematical models, physical extension, and
— How consequences (both positive and negative)
human-in-the-loop aspects of the system (such as
and likelihood will be defined and measured;
any related human activity during data collection
and labelling).
— Time-related factors; — No specific guidance beyond ISO 31000:2018
— Consistency in the use of measurements; — Organizations should be aware that AI is a fast-
moving technology domain. Measurement methods
should be consistently evaluated according to
their effectiveness and appropriateness for the AI
systems in use.
— How the level of risk is to be determined; — Organizations should establish a consistent
approach to determine the risk level. The approach
should reflect the potential impact of AI systems
regarding different AI-related objectives (see
Annex A).
— How combinations and sequences of multiple risks — No specific guidance beyond ISO 31000:2018
will be taken into account;
— The organization’s capacity. — The organization’s AI capacity, knowledge level
and ability to mitigate realized AI risks should be
considered when deciding its AI risk appetite.
6.4 Risk assessment
6.4.1 General
The guidance provided in ISO 31000:2018, 6.4.1 applies.
AI risks should be identified, quantified or qualitatively described and prioritized against risk criteria
and objectives relevant to the organization. Annex B provides a sample catalogue of AI-related risk
sources. Such a sample catalogue cannot be considered comprehensive. However, experience has
shown the value of using such a catalogue as base for any organization performing a risk assessment
exercise for the first time or integrating AI risk management into existing management structures. The
catalogue serves as a documented baseline for these organizations.
Organizations engaged in the development, provisioning or application of AI systems therefore should
align their risk assessment activities with the system life cycle. Different methods for risk assessment
can apply to different stages of the system life cycle.
6.4.2 Risk identification
6.4.2.1 General
The guidance provided in ISO 31000:2018, 6.4.2 applies.
6.4.2.2 Identification of assets and their value
The organization should identify assets related to the design and use of AI that fall within the scope of
the risk management process as defined in 6.3.2. Understanding what assets are within the scope and
the relative criticality or value of those assets is integral to assessing the impact. Both the value of the
asset and the nature of the asset (tangible or intangible) should be considered. Additionally, in relation
© ISO/IEC 2023 – All rights reserved
to the development and use of AI, assets should be considered in the context of elements including but
not limited to the following:
— Assets of and their value to the organization:
— Tangible assets can include data, models and the AI system itself.
— Intangible assets can include reputation and trust.
— Assets of and their value to individuals:
— Tangible assets can include an individual’s personal data,
— Intangible assets can include privacy, health, and safety of an individual.
— Assets of and their value to communities and societies:
— Tangible assets can include the environment,
— Intangible assets are likely more values based, such as socio-cultural beliefs, community
knowledge, educational access and equity.
For valuation of assets and the relation to impact
...
NORME ISO/IEC
INTERNATIONALE 23894
Première édition
2023-02
Technologies de l’information —
Intelligence artificielle —
Recommandations relatives au
management du risque
Information technology — Artificial intelligence — Guidance on risk
management
Numéro de référence
© ISO/IEC 2023
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2023
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
© ISO/IEC 2023 – Tous droits réservés
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives .1
3 Termes et définitions . 1
4 Principes du management du risque lié à l’IA . 1
5 Cadre organisationnel.5
5.1 Généralités . 5
5.2 Leadership et engagement . 5
5.3 Intégration. 6
5.4 Conception . 6
5.4.1 Compréhension de l’organisme et de son contexte . 6
5.4.2 Définir clairement l’engagement en matière de management du risque . 9
5.4.3 Attribution des rôles, pouvoirs et responsabilités au sein de l’organisme . 9
5.4.4 Affectation des ressources . 9
5.4.5 Établissement d’une communication et d’une concertation . 9
5.5 Mise en œuvre . 9
5.6 Évaluation . 9
5.7 Amélioration . 10
5.7.1 Adaptation . . 10
5.7.2 Amélioration continue . 10
6 Processus de gestion des risques .10
6.1 Généralités . 10
6.2 Communication et consultation . 10
6.3 Périmètre d’application, contexte et critères . 10
6.3.1 Généralités . 10
6.3.2 Définition du périmètre d’application . 11
6.3.3 Contexte interne et externe . 11
6.3.4 Définition des critères de risque . 11
6.4 Appréciation du risque . 12
6.4.1 Généralités .12
6.4.2 Identification du risque .12
6.4.3 Analyse du risque .15
6.4.4 Évaluation du risque . 16
6.5 Traitement du risque . 16
6.5.1 Généralités . 16
6.5.2 Sélection des options de traitement du risque . 17
6.5.3 Élaboration et mise en œuvre des plans de traitement du risque . 17
6.6 Suivi et revue . 17
6.7 Enregistrement et élaboration de rapports. 17
Annexe A (informative) Objectifs .19
Annexe B (informative) Sources de risques .23
Annexe C (informative) Management du risque et cycle de vie des systèmes d’IA .27
Bibliographie .30
iii
© ISO/IEC 2023 – Tous droits réservés
Avant-propos
L'ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes
nationaux membres de l'ISO ou de l’IEC participent au développement de Normes internationales
par l'intermédiaire des comités techniques créés par l'organisation concernée afin de s'occuper des
domaines particuliers de l'activité technique. Les comités techniques de l'ISO et de l’IEC collaborent
dans des domaines d'intérêt commun. D'autres organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO et l’IEC, participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a
été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives ou www.iec.ch/members_experts/refdocs).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet
de droits de propriété intellectuelle ou de droits analogues. L'ISO et l’IEC ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails
concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés
lors de l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations
de brevets reçues par l'ISO (voir www.iso.org/brevets) ou dans la liste des déclarations de brevets
reçues par l'IEC (voir https://patents.iec.ch).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de
l'adhésion de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les
obstacles techniques au commerce (OTC), voir www.iso.org/iso/avant-propos. Pour l'IEC, voir
www.iec.ch/understanding-standards.
Le présent document a été élaboré par le comité technique mixte ISO/IEC JTC 1, Technologies de
l’information, sous-comité SC 42, Intelligence artificielle.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/members.html et www.iec.ch/national-committees.
iv
© ISO/IEC 2023 – Tous droits réservés
Introduction
La finalité du management du risque est la création et la préservation de la valeur. Il améliore la
performance, favorise l’innovation et contribue à l’atteinte des objectifs.
Le présent document est destiné à être utilisé conjointement avec l’ISO 31000:2018. Lorsque le présent
document étend les recommandations données dans l’ISO 31000:2018, une référence appropriée aux
articles de l’ISO 31000:2018 est donnée et suivie de recommandations spécifiques à l’IA, le cas échéant.
Pour rendre la relation entre le présent document et l’ISO 31000:2018 plus explicite, la structure des
articles de l’ISO 31000:2018 est reflétée dans le présent document et amendée par des paragraphes
si nécessaire.
Le présent document est divisé en trois parties principales:
Article 4: Principes – Le présent article décrit les principes sous-jacents du management du risque.
L’utilisation de l’IA exige des considérations spécifiques eu égard à certains de ces principes, tels que
décrits dans l’Article 4 de l’ISO 31000:2018.
Article 5: Cadre organisationnel – La finalité du cadre organisationnel de management du risque est
d’aider l’organisme à intégrer le management du risque dans les activités et les fonctions significatives.
Des aspects propres au développement, à la mise à disposition, à l’offre ou à l’utilisation de systèmes
d’IA sont décrits à l’Article 5 de l’ISO 31000:2018.
Article 6: Processus – Le processus de management du risque implique l’application systématique
de politiques, de procédures et de pratiques aux activités de communication et de consultation,
d’établissement du contexte et d’appréciation, de traitement, de suivi, de revue, d’enregistrement et de
compte rendu du risque. Une spécialisation desdits processus relatifs à l’IA est décrite dans l’Article 6
de l’ISO 31000:2018.
Des objectifs et sources de risques courants liés à l’IA sont fournis à l’Annexe A et l’Annexe B. L’Annexe C
fournit un exemple de cartographie entre le processus de management du risque et le cycle de vie d’un
système d’IA.
v
© ISO/IEC 2023 – Tous droits réservés
NORME INTERNATIONALE ISO/IEC 23894:2023(F)
Technologies de l’information — Intelligence artificielle —
Recommandations relatives au management du risque
1 Domaine d’application
Le présent document fournit des recommandations relatives à la manière dont les organismes qui
développent, produisent, déploient ou utilisent des produits, systèmes et services faisant appel à
l’intelligence artificielle (IA) peuvent gérer le risque spécifiquement lié à l’IA. Ces recommandations
visent également à assister les organismes dans l’intégration du management du risque à leurs activités
et fonctions liées à l’IA. Le présent document décrit en outre des processus pour la mise en œuvre et
l’intégration efficaces du management du risque lié à l’IA.
L’application de ces recommandations peut être adaptée à n’importe quel organisme et à son contexte.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s’applique (y compris les
éventuels amendements).
ISO 31000:2018, Management du risque — Lignes directrices
Guide ISO 73:2009, Management du risque — Vocabulaire
ISO/IEC 22989:2022, Technologies de l'information — Intelligence artificielle — Concepts et terminologie
relatifs à l'intelligence artificielle
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l’ISO 31000:2018,
l’ISO/IEC 22989:2022 et le Guide ISO 73:2009 s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp;
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/ .
4 Principes du management du risque lié à l’IA
Il convient que le management du risque aborde les besoins de l’organisme à l’aide d’une approche
intégrée, structurée et globale. Des principes directeurs permettent à un organisme d’identifier des
priorités et de prendre des décisions sur la façon de gérer les effets de l’incertitude sur ses objectifs.
Ces principes s’appliquent à tous les niveaux et objectifs organisationnels, qu’ils soient stratégiques ou
opérationnels.
Les systèmes et processus déploient habituellement une combinaison de plusieurs technologies et
fonctionnalités dans divers environnements, pour des cas d’utilisation spécifiques. Il convient que
le management du risque tienne compte du système dans sa globalité, avec toutes ses technologies,
ses fonctionnalités, son impact sur l’environnement et ses parties prenantes.
© ISO/IEC 2023 – Tous droits réservés
Les systèmes d’IA peuvent introduire des risques nouveaux ou émergents pour un organisme, avec
des conséquences positives ou négatives sur ses objectifs, ou une modification de la vraisemblance
des risques existants. Ils peuvent également nécessiter une considération spécifique de la part de
l’organisme. Des recommandations additionnelles pour les principes de management du risque, le cadre
organisationnel et les processus qu’un organisme peut mettre en œuvre sont fournies dans le présent
document.
NOTE La définition du mot «risque» peut différer significativement dans les différentes Normes
internationales. Dans l’ISO 31000:2018 et les normes associées, «risque» implique un écart positif ou négatif
par rapport à des objectifs. Dans d’autres Normes internationales, «risque» implique des conséquences
potentiellement négatives uniquement, par exemple, des préoccupations relatives à la sûreté. Cette différence de
perspective peut fréquemment porter à confusion lorsqu’il s’agit d’essayer de comprendre et de mettre en œuvre
correctement un processus de management du risque conforme.
L’Article 4 de l’ISO 31000:2018 définit plusieurs principes génériques pour le management du risque.
Outre les recommandations données dans l’ISO 31000:2018, Article 4, le Tableau 1 fournit des
recommandations supplémentaires relatives à la façon d’appliquer ces principes, le cas échéant.
Tableau 1 — Principes du management du risque appliqués à l’intelligence artificielle
Principe Description (telle que donnée dans Implications pour le développement et l’utili-
l’ISO 31000:2018, Article 4) sation de l’IA
a) Intégré Le management du risque est intégré Aucune recommandation spécifique au-delà de
à toutes les activités de l’organisme. l’ISO 31000:2018.
b) Structuré et Une approche structurée et globale Aucune recommandation spécifique au-delà de
global du management du risque contribue à l’ISO 31000:2018.
la cohérence de résultats qui peuvent
être comparés.
c) Adapté Le cadre organisationnel et le proces- Aucune recommandation spécifique au-delà de
sus de management du risque sont l’ISO 31000:2018.
adaptés et proportionnés au contexte
externe et interne de l’organisme
aussi bien qu’à ses objectifs.
d) Inclusif L’implication appropriée et au En raison de l’importance possible des impacts
moment opportun des parties pre- de l’IA sur les parties prenantes, il est important
nantes permet de prendre en compte que les organismes cherchent à établir un dia-
leurs connaissances, leurs opinions logue avec divers groupes internes et externes,
et leur perception. Cela conduit à un afin de communiquer sur les avantages et incon-
management du risque mieux éclairé vénients, et d’intégrer leur retour d’information
et plus pertinent. et leur perception au processus de management
du risque.
Il convient que les organismes soient également
conscients que l’utilisation de systèmes d’IA peut
impliquer l’introduction de parties prenantes
additionnelles.
Les domaines dans lesquels les connaissances,
les opinions et les perceptions des parties pre-
nantes sont utiles incluent, sans s’y limiter:
— En particulier, l’apprentissage automatique
(ML, de l’anglais «machine learning»)
repose souvent sur un ensemble approprié
de données pour remplir ses objectifs. Les
parties prenantes peuvent ainsi aider à
identifier les risques relatifs à la collecte
des données, aux opérations de traitement,
à la source et au type de données ainsi
qu’à l’utilisation des données dans des
circonstances particulières ou lorsque les
personnes concernées peuvent constituer
des exceptions.
© ISO/IEC 2023 – Tous droits réservés
TTabableleaauu 1 1 ((ssuuiitte)e)
Principe Description (telle que donnée dans Implications pour le développement et l’utili-
l’ISO 31000:2018, Article 4) sation de l’IA
— La complexité des technologies d’IA donne
naissance à des défis liés à la transparence
et à l’explicabilité des systèmes d’IA.
La diversité des technologies d’IA renforce
ces défis en raison de caractéristiques telles
que les différents types de modalités de
données, les topologies des modèles d’IA,
ainsi que les mécanismes de transparence
et d’établissement de rapports qu’il
convient de sélectionner en fonction
des besoins des parties prenantes. Les
parties prenantes peuvent contribuer à
l’identification des buts et à la description
des moyens d’améliorer la transparence
et à l’explicabilité des systèmes d’IA. Dans
certains cas, ces buts et moyens peuvent
être généralisés sur l’ensemble du cas
d’utilisation et pour les différentes parties
prenantes impliquées. Dans d’autres cas, la
segmentation des parties prenantes en ce
qui concerne les cadres de transparence et
des mécanismes de création de rapports
peut être adaptée en fonction des différents
acteurs (par exemple, «organismes
de réglementation», «propriétaires
d’entreprise», «évaluateurs de risques du
modèle») et du cas d’utilisation.
— L’utilisation de systèmes d’IA pour la prise
automatisée de décisions peut directement
affecter les parties prenantes internes et
externes. Ces dernières peuvent fournir
leurs opinions et leurs perceptions
concernant, par exemple, les situations
pouvant nécessiter une supervision
humaine. Les parties prenantes peuvent
aider à définir des critères d’équité,
de même qu’à identifier ce qui constitue un
biais dans le fonctionnement du système
d’IA.
e) Dynamique Des risques peuvent surgir, être Pour mettre en œuvre les recommandations
modifiés ou disparaître lorsque le fournies par l’ISO 31000:2018, il convient que
contexte externe et interne d’un les organismes établissent des structures et
organisme change. Le management mesures organisationnelles afin d’identifier les
du risque anticipe, détecte, reconnaît défis et opportunités liés aux risques émergents,
et réagit à ces changements et événe- aux tendances, aux technologies, aux utilisations
ments en temps voulu et de manière et aux acteurs liés aux systèmes d’IA.
appropriée.
Le management dynamique du risque est parti-
culièrement important pour les systèmes d’IA,
car:
© ISO/IEC 2023 – Tous droits réservés
TTabableleaauu 1 1 ((ssuuiitte)e)
Principe Description (telle que donnée dans Implications pour le développement et l’utili-
l’ISO 31000:2018, Article 4) sation de l’IA
— La nature des systèmes d’IA est elle-
même dynamique, en raison du caractère
continu de l’apprentissage, de l’affinage,
de l’évaluation et de la validation. En outre,
certains systèmes d’IA sont en mesure de
s’adapter et de s’optimiser grâce à cette
boucle, ce qui entraîne des évolutions
dynamiques en tant que telles.
— Les attentes des clients concernant les
systèmes d’IA sont élevées et peuvent
évoluer rapidement, tout comme les
systèmes eux-mêmes.
— Les exigences juridiques et réglementaires
relatives à l’IA font fréquemment l’objet de
modifications et de mises à jour.
L’intégration à des systèmes de management
relatifs à la qualité, à l’empreinte environnemen-
tale, à la sûreté, aux soins de santé, à la respon-
sabilité juridique ou sociétale, ou à plusieurs de
ces systèmes maintenus par l’organisme peut
également être prise en compte pour mieux
comprendre et gérer les risques liés à l’IA pour
l’organisme, les individus et les sociétés.
f) Meilleure infor- Les données d’entrée du manage- Compte tenu de l’attente concernant l’impact
mation dispo- ment du risque sont fondées sur des probable de l’IA sur la façon dont les individus
nible informations historiques et actuelles interagissent avec la technologie, et y réagissent,
ainsi que sur les attentes futures. Le il est recommandé pour les organismes enga-
management du risque tient compte gés dans le développement de systèmes d’IA de
explicitement de toutes limites et garder une trace des informations pertinentes
incertitudes associées à ces infor- disponibles concernant les autres utilisations
mations et attentes. Il convient que des systèmes d’IA qu’ils ont développés, et pour
les informations soient disponibles les utilisateurs de systèmes d’IA de tenir à jour
à temps, claires et accessibles aux des enregistrements des utilisations de ces sys-
parties prenantes pertinentes. tèmes tout au long de l’intégralité du cycle de vie
du système d’IA.
L’IA étant une technologie émergente et en
constante évolution, les informations historiques
peuvent être limitées et les attentes futures
peuvent évoluer rapidement. Il convient que les
organismes en tiennent compte.
Il convient de tenir compte de l’utilisation en
interne de systèmes d’IA, le cas échéant. Assurer
le suivi de l’utilisation des systèmes d’IA par
des clients et des utilisateurs externes peut être
limité par des restrictions de propriété intellec-
tuelle, contractuelles ou propres au marché. Il
convient que de telles restrictions soient prises
en compte dans le processus de management du
risque lié à l’IA et mises à jour lorsque les condi-
tions d’activité le justifient.
© ISO/IEC 2023 – Tous droits réservés
TTabableleaauu 1 1 ((ssuuiitte)e)
Principe Description (telle que donnée dans Implications pour le développement et l’utili-
l’ISO 31000:2018, Article 4) sation de l’IA
g) Facteurs Le comportement humain et la Il convient que les organismes engagés dans
humains et culture influent de manière significa- la conception, le développement ou le déploie-
culturels tive sur tous les aspects du manage- ment de systèmes d’IA, ou dans plusieurs de ces
ment du risque à chaque niveau et à mécanismes, surveillent le paysage humain et
chaque étape. culturel dans lequel ils évoluent. Il convient que
les organismes se concentrent sur l’identification
de la façon dont les systèmes ou composants
d’IA interagissent avec les modèles sociétaux
existants, eu égard à l’obtention de conséquences
équitables, au respect de la vie privée, à la liberté
d’expression, à l’équité, à la sûreté, à la sécurité,
à l’emploi, à l’environnement et aux droits de
l’homme dans leur ensemble.
h) Amélioration Le management du risque est amé- Il convient que l’identification des risques aupa-
continue lioré en continu par l’apprentissage et ravant inconnus liés à l’utilisation de systèmes
l’expérience. d’IA soit prise en compte dans le processus
d’amélioration continue. Il convient que les
organismes engagés dans la conception, le déve-
loppement ou le déploiement de systèmes ou de
composants de systèmes d’IA, ou d’une combi-
naison de ces derniers, surveillent l’écosystème
d’IA eu égard aux réussites relatives à la perfor-
mance, aux lacunes et aux enseignements tirés,
et restent conscients des nouvelles conclusions
de recherche et techniques d’IA (opportunités
d’amélioration).
5 Cadre organisationnel
5.1 Généralités
La finalité du cadre organisationnel de management du risque est d’aider l’organisme à intégrer le
management du risque dans les activités et les fonctions significatives. Les recommandations données
dans l’ISO 31000:2018, 5.1, s’appliquent.
Le management du risque implique de réunir des informations pertinentes pour qu’un organisme
prenne des décisions et aborde le risque. Tandis que l’organe de gouvernance définit l’appétit global
pour le risque et les objectifs organisationnels, il délègue le processus de prise de décision relatif à
l’identification, à l’appréciation et au traitement du risque à la direction au sein de l’organisme.
[1]
L’ISO/IEC 38507 décrit des considérations additionnelles relatives à la gouvernance pour l’organisme
en ce qui concerne le développement, l’achat ou l’utilisation d’un système d’IA. De telles considérations
incluent les nouvelles opportunités, les modifications potentielles relatives à l’appétit pour le risque
ainsi que les nouvelles politiques de gouvernance pour garantir l’utilisation responsable de l’IA par
l’organisme. Elles peuvent être utilisées conjointement avec le processus de management du risque
décrit dans le présent document pour contribuer à guider l’intégration organisationnelle dynamique et
itérative décrite dans l’ISO 31000:2018, 5.2.
5.2 Leadership et engagement
Les recommandations données dans l’ISO 31000:2018, 5.2, s’appliquent.
Outre les recommandations fournies dans l’ISO 31000:2018, 5.2, les éléments suivants s’appliquent:
En raison de l’importance particulière de la confiance et de la redevabilité liées au développement et à
l’utilisation de l’IA, il convient que la direction tienne compte de la façon dont les politiques et énoncés
© ISO/IEC 2023 – Tous droits réservés
relatifs aux risques de l’IA et au management du risque sont communiqués aux parties prenantes. Faire
preuve de ce niveau de leadership et d’engagement peut être critique pour garantir que les parties
prenantes ont confiance dans le fait que l’IA est développée et utilisée de manière responsable.
Il convient que l’organisme considère par conséquent la publication d’énoncés relatifs à son engagement
vis-à-vis du management du risque lié à l’IA pour accroître la confiance de ses parties prenantes dans
son utilisation de l’IA.
Il convient que la direction soit également consciente des ressources spécialisées qui peuvent être
nécessaires pour gérer le risque lié à l’IA et qu’elle affecte ces ressources de manière appropriée.
5.3 Intégration
Les recommandations données dans l’ISO 31000:2018, 5.3, s’appliquent.
5.4 Conception
5.4.1 Compréhension de l’organisme et de son contexte
Les recommandations données dans l’ISO 31000:2018, 5.4.1, s’appliquent.
Outre les recommandations données dans l’ISO 31000:2018, 5.4.1, le Tableau 2 énumère les facteurs
additionnels à prendre en compte lors de la compréhension du contexte externe d’un organisme.
Tableau 2 — Considération lors de l’établissement du contexte externe d’un organisme
Recommandations génériques données Recommandations additionnelles pour les organismes enga-
par l’ISO 31000:2018, 5.4.1 gés dans l’IA
Il convient que les organismes considèrent Il convient que les organismes considèrent également, sans s’y
au moins les éléments suivants de leur limiter, les éléments suivants:
contexte externe:
— facteurs sociaux, culturels, politiques, — exigences légales pertinentes, y compris celles qui sont
légaux, réglementaires, financiers, spécifiquement relatives à l’IA;
technologiques, économiques et
— lignes directrices sur l’utilisation et la conception éthiques
environnementaux, au niveau
de systèmes automatisés et d’IA publiées par des groupes
international, national, régional ou
liés au gouvernement, des organismes de régulation,
local;
des organismes de normalisation, des sociétés civiles,
des académies et des associations industrielles;
— lignes directrices et cadres organisationnels spécifiques au
domaine pour l’IA;
— moteurs et tendances clés ayant — tendances et avancées technologiques dans les différents
une incidence sur les objectifs de domaines de l’IA;
l’organisme;
— implications sociétales et politiques du déploiement de
systèmes d’IA, y compris les recommandations issues des
sciences sociales;
— relations avec les parties prenantes — perceptions des parties prenantes, qui peuvent être
externes, leurs perceptions, leurs affectées par des enjeux tels que le manque de transparence
valeurs, leurs besoins et leurs attentes; (également opacité) des systèmes d’IA ou des systèmes d’IA
biaisés;
— attentes des parties prenantes sur la disponibilité de
solutions spécifiques basées sur l’IA et les moyens
par lesquels les modèles d’IA sont mis à disposition
(par exemple, par l’interface utilisateur ou par un kit de
développement logiciel);
© ISO/IEC 2023 – Tous droits réservés
TTabableleaauu 2 2 ((ssuuiitte)e)
Recommandations génériques données Recommandations additionnelles pour les organismes enga-
par l’ISO 31000:2018, 5.4.1 gés dans l’IA
Il convient que les organismes considèrent Il convient que les organismes considèrent également, sans s’y
au moins les éléments suivants de leur limiter, les éléments suivants:
contexte externe:
— relations contractuelles et — incidence de l’utilisation de l’IA, en particulier de systèmes
engagements; d’IA utilisant l’apprentissage continu, sur la capacité
de l’organisme à respecter ses obligations et garanties
contractuelles. De ce fait, il convient que les organismes
examinent attentivement la portée des contrats concernés;
— relations contractuelles établies pendant la conception et
la production de systèmes ou services d’IA. Par exemple,
il convient que les droits de propriété et d’utilisation des
données d’essai et d’entraînement soient pris en compte
lorsqu’ils sont fournis par des parties tierces;
— complexité des réseaux et des — l’utilisation de l’IA peut accroître la complexité des réseaux
dépendances; et des dépendances;
— (recommandations au-delà de — un système d’IA peut remplacer un système existant et,
l’ISO 31000:2018); dans un tel cas, une appréciation des avantages relatifs
au risque et des transferts de risque d’un système d’IA
par rapport à ceux du système existant peut être réalisée,
en tenant compte des enjeux de sûreté ainsi que des
environnementaux, sociaux, techniques et financiers
associés à la mise en œuvre du système d’IA.
Outre les recommandations données dans l’ISO 31000:2018, 5.4.1, le Tableau 3 énumère les facteurs
additionnels à prendre en compte lors de la compréhension du contexte interne d’un organisme.
Tableau 3 — Considération lors de l’établissement du contexte interne d’un organisme
Recommandations génériques données Recommandations additionnelles pour les organismes enga-
par l’ISO 31000:2018, 5.4.1 gés dans l’IA
Il convient que les organismes considèrent Il convient que les organismes considèrent également, sans s’y
au moins les éléments suivants de leur limiter, les éléments suivants:
contexte interne:
— vision, mission et valeurs; — aucune recommandation spécifique au-delà de
l’ISO 31000:2018;
— gouvernance, organisation, rôles et — aucune recommandation spécifique au-delà de
responsabilités; l’ISO 31000:2018;
— stratégie, objectifs et politiques; — aucune recommandation spécifique au-delà de
l’ISO 31000:2018;
— culture de l’organisme; — effet qu’un système d’IA peut avoir sur la culture de
l’organisme en modifiant et en introduisant de nouveaux
rôles, responsabilités et tâches;
— normes, lignes directrices et modèles — toute norme et ligne directrice locale, régionale, nationale
adoptés par l’organisme; et internationale additionnelle imposée par l’utilisation de
systèmes d’IA;
© ISO/IEC 2023 – Tous droits réservés
TTabableleaauu 3 3 ((ssuuiitte)e)
Recommandations génériques données Recommandations additionnelles pour les organismes enga-
par l’ISO 31000:2018, 5.4.1 gés dans l’IA
Il convient que les organismes considèrent Il convient que les organismes considèrent également, sans s’y
au moins les éléments suivants de leur limiter, les éléments suivants:
contexte interne:
— capacités, en termes de ressources — risques additionnels pour les connaissances de l’organisme
et de connaissances (par exemple par rapport à la transparence et à l’explicabilité des
capital, temps, personnel, propriété systèmes d’IA;
intellectuelle, processus, systèmes et
— l’utilisation de systèmes d’IA peut entraîner des
technologies);
modifications dans le nombre de ressources humaines
nécessaires pour réaliser une certaine capacité ou une
variation du type de ressources nécessaires, par exemple,
lors d’une perte de compétences ou d’expertise lorsque le
processus humain de prise de décisions est de plus en plus
soutenu par des systèmes d’IA;
— connaissances spécifiques dans les technologies de l’IA et la
science des données exigées pour développer et utiliser des
systèmes d’IA;
— la disponibilité d’outils, de plateformes et de bibliothèques
d’IA peut permettre le développement de systèmes d’IA
sans que la technologie, ses limites et ses dangers potentiels
soient complètement compris;
— potentiel de l’IA à soulever des enjeux et opportunités
liés à la propriété intellectuelle pour des systèmes d’IA
spécifiques. Il convient que les organismes prennent en
considération leur propre propriété intellectuelle dans ce
domaine, ainsi que les façons dont la propriété intellectuelle
peut influencer la transparence, la sécurité et la capacité à
collaborer avec les parties prenantes, afin de déterminer les
étapes qu’il y a lieu de mettre en œuvre;
— données, systèmes d’information et — des systèmes d’IA peuvent être utilisés pour automatiser,
circulation de l’information; optimiser et améliorer le traitement des données;
— en tant que consommateurs de données, les systèmes d’IA
peuvent se voir imposer des contraintes de qualité et de
complétude additionnelles relatives aux données et aux
informations;
— relations avec les parties prenantes — perception des parties prenantes, qui peut être affectée par
internes, en tenant compte de leurs des enjeux tels que le manque de transparence des systèmes
perceptions et de leurs valeurs; d’IA ou des systèmes d’IA biaisés;
— les besoins et attentes des parties prenantes peuvent être
satisfaits dans une plus grande mesure par des systèmes
d’IA spécifiques;
— besoin de la part des parties prenantes d’être formées
aux capacités, modes de défaillance et management des
défaillances des systèmes d’IA;
© ISO/IEC 2023 – Tous droits réservés
TTabableleaauu 3 3 ((ssuuiitte)e)
Recommandations génériques données Recommandations additionnelles pour les organismes enga-
par l’ISO 31000:2018, 5.4.1 gés dans l’IA
Il convient que les organismes considèrent Il convient que les organismes considèrent également, sans s’y
au moins les éléments suivants de leur limiter, les éléments suivants:
contexte interne:
— relations contractuelles et — perception des parties prenantes, qui peut être affectée
engagements; par différents défis associés aux systèmes d’IA, tels que le
manque potentiel de transparence et d’équité;
— les besoins et attentes des parties prenantes peuvent être
satisfaits par des systèmes d’IA spécifiques;
— besoin de la part des parties prenantes d’être formées
aux capacités, modes de défaillance et management des
défaillances des systèmes d’IA;
— attentes des parties prenantes en matière de confidentialité,
de droits fondamentaux individuels et collectifs et de
libertés;
— interdépendances et interconnexions; — l’utilisation de systèmes d’IA peut accroître la complexité
des interdépendances et des interconnexions.
Outre les recommandations fournies dans l’ISO 31000:2018, 5.4.1, il convient que les organismes
tiennent compte du fait que les systèmes d’IA peuvent accroître le besoin en formation spécialisée.
5.4.2 Définir clairement l’engagement en matière de management du risque
Les recommandations données dans l’ISO 31000:2018, 5.4.2, s’appliquent.
5.4.3 Attribution des rôles, pouvoirs et responsabilités au sein de l’organisme
Les recommandations données dans l’ISO 31000:2018, 5.4.3, s’appliquent.
Outre les recommandations de l’ISO 31000:2018, 5.4.3, il convient que la direction et les organes de
supervision, le cas échéant, affectent les ressources et identifient les individus:
— ayant le pouvoir de gérer les risques liés à l’IA;
— ayant la responsabilité d’établir et de surveiller les processus pour gérer les risques liés l’IA.
5.4.4 Affectation des ressources
Les recommandations données dans l’ISO 31000:2018, 5.4.4, s’appliquent.
5.4.5 Établissement d’une communication et d’une concertation
Les recommandations données dans l’ISO 31000:2018, 5.4.5, s’appliquent.
5.5 Mise en œuvre
Les recommandations données dans l’ISO 31000:2018, 5.5, s’appliquent.
5.6 Évaluation
Les recommandations données dans l’ISO 31000:2018, 5.6, s’appliquent.
© ISO/IEC 2023 – Tous droits réservés
5.7 Amélioration
5.7.1 Adaptation
Les recommandations données dans l’ISO 31000:2018, 5.7.1, s’appliquent.
5.7.2 Amélioration continue
Les recommandations données dans l’ISO 31000:2018, 5.7.2, s’appliquent.
6 Processus de gestion des risques
6.1 Généralités
Les recommandations données dans l’ISO 31000:2018, 6.1, s’appliquent.
Il convient que les organismes mettent en œuvre une approche fondée sur les risques pour identifier,
apprécier et comprendre les risques liés à l’IA auxquels ils sont exposés et prendre des mesures de
traitement appropriées conformément au niveau de risque. La réussite du processus global de
management du risque lié à l’IA d’un organisme repose sur l’identification, l’établissement et la mise
en œuvre réussie de processus de management du risque à portée ajustée aux niveaux stratégique,
opérationnel, du programme et du projet. En raison de préoccupations qui se rapportent, sans s’y limiter,
à la complexité, au manque de transparence et à l’imprévisibilité de certaines technologies basées sur
l’IA, il convient d’apporter une considération particulière au processus de management du risque au
niveau du projet des systèmes d’IA. Il convient que ces processus au niveau du projet des systèmes
d’IA soient alignés avec les objectifs de l’organisme et il convient qu’ils échangent, dans les deux sens,
des informations avec les autres niveaux du management du risque. Par exemple, il convient que les
remontées d’informations et les enseignements tirés au niveau du projet de l’IA soient intégrés à des
niveaux supérieurs, tels que les niveaux stratégique, opérationnel, du programme et autres, suivant le
cas.
La portée, le contexte et les critères d’un processus de management du risque au niveau du projet sont
directement affectés par les étapes du cycle de vie du système d’IA relevant de la portée du projet.
L’Annexe C démontre des relations possibles entre un processus de management du risque au niveau du
projet et le cycle de vie d’un système d’IA (tel que défini dans l’ISO/IEC 22989:2022).
6.2 Communication et consultation
Les recommandations données dans l’ISO 31000:2018, 6.2, s’appliquent.
L’ensemble de parties prenantes pouvant être affectées par des systèmes d’IA peut être plus vaste que
celui initialement prévu et peut inclure des parties prenantes externes qui ne seraient pas considérées
dans un cas contraire et s’étendre à d’autres parties d’une société.
6.3 Périmètre d’application, contexte et critères
6.3.1 Généralités
Les recommandations données dans l’ISO 31000:2018, 6.3.1, s’appliquent.
Outre les recommandations données dans l’ISO 31000:2018, 6.3.1, pour les organismes qui utilisent
l’IA, il convient d’étendre le périmètre d’application du management du risque lié à l’IA, le contexte
du processus de management du risque lié à l’IA et les critères permettant d’évaluer l’importance du
risque afin d’étayer les processus décisionnels pour identifier si des systèmes d’IA sont en cours de
développement ou d’utilisation au sein de l’organisme. Il convient qu’un tel inventaire du développement
...
Die Norm ISO/IEC 23894:2023 bietet wertvolle Leitlinien zur Risikomanagement im Bereich der Künstlichen Intelligenz (KI) und ist von großer Relevanz für Organisationen, die Produkte, Systeme und Dienstleistungen entwickeln, produzieren oder einsetzen, die KI verwenden. Der Umfang dieser Norm ist umfassend und deckt alle Aspekte ab, die für ein effektives Risikomanagement im Zusammenhang mit KI notwendig sind. Ein herausragendes Merkmal der Norm ist ihre Anwendbarkeit auf verschiedene Organisationen und deren spezifischen Kontexte. Dies ermöglicht es Unternehmen, die Leitlinien individuell anzupassen und in ihre bestehenden Arbeitsabläufe zu integrieren. Diese Flexibilität ist entscheidend, da die Risikolandschaft im Bereich der KI stark variieren kann. Die Norm fördert ein proaktives Herangehen an das Risikomanagement, indem sie Organisationsstrukturen und Prozesse beschreibt, die für eine effektive Implementierung von KI-Risikomanagement erforderlich sind. Ein weiterer wichtiger Aspekt ist die Betonung der Integration von Risikomanagement in alle KI-bezogenen Aktivitäten und Funktionen. Diese ganzheitliche Perspektive unterstützt Unternehmen dabei, nicht nur einzelne Risiken zu identifizieren und zu bewerten, sondern auch ein umfassendes Risikobewusstsein innerhalb der gesamten Organisation zu schaffen. Dies trägt dazu bei, das Vertrauen der Stakeholder in KI-Systeme zu stärken und die Sicherheit sowie die ethische Nutzung von KI-Technologien zu fördern. Zusammengefasst bietet die ISO/IEC 23894:2023 eine strukturierte und pragmatische Herangehensweise an das Risikomanagement im Kontext der Künstlichen Intelligenz, die für jede Organisation von Bedeutung ist. Aufgrund der zunehmenden Relevanz und Integration von KI in verschiedene Branchen stellt diese Norm ein unverzichtbares Instrument dar, um Risiken adäquat zu managen und Chancen optimal zu nutzen.
ISO/IEC 23894:2023は、情報技術分野における人工知能(AI)に関するリスク管理のガイダンスを提供する重要な文書です。この標準は、製品、システム、およびサービスを開発、製造、展開、または利用する組織が、特にAIに関連するリスクをどのように管理するかについての指針を示しています。リスク管理をAI関連の活動や機能に統合するための支援を行うことを目的としており、AIリスク管理の効果的な実施と統合に必要なプロセスも説明しています。 この標準の強みは、その汎用性と適応性にあります。ISO/IEC 23894:2023は、さまざまな組織やその文脈に合わせてカスタマイズできるため、特定のニーズに応じたリスク管理の方法を導入することが可能です。また、AI技術の急速な進化に対応するため、最新のベストプラクティスや方法論を取り入れている点も評価されます。 標準が示すリスク管理のガイダンスは、AIを利用する業界全体にとって非常に重要です。それにより、組織はリスクを適切に評価し、軽減策を講じることができるため、AI技術の利活用が促進され、安全性の向上につながります。ISO/IEC 23894:2023は、AIのリスク管理に関する国際的な基盤を提供し、関連する組織が持続可能で信頼性の高いAI環境を構築する上での重要な一歩となるでしょう。
ISO/IEC 23894:2023 표준은 인공지능(AI)을 활용하는 제품, 시스템 및 서비스를 개발, 생산, 배포 또는 사용하는 조직이 AI와 관련된 리스크를 관리하는 방법에 대한 지침을 제공합니다. 이 표준의 범위는 AI와 관련된 활동 및 기능에 리스크 관리를 통합하도록 조직을 지원하는 내용을 포함하고 있습니다. 이는 AI 리스크 관리의 효과적인 구현 및 통합을 위한 프로세스를 설명합니다. ISO/IEC 23894:2023의 강점은 리스크 관리에 대한 포괄적인 접근 방식을 제공하는 점입니다. 이 문서는 조직이 인공지능 기술을 활용하는 과정에서 발생할 수 있는 다양한 리스크를 식별하고 평가할 수 있도록 안내하며, 각 조직의 상황에 맞게 이 지침을 적절히 조정할 수 있는 유연성을 제공합니다. 이러한 맞춤형 적용 가능성은 이 표준이 다양한 산업 및 조직 유형에 실질적인 도움을 줄 수 있음을 의미합니다. 또한, 이 표준은 인공지능 기술의 발전과 함께 더욱 중요한 리스크 관리의 필요성을 반영하고 있습니다. AI 기술이 사회에 미치는 영향을 고려할 때, ISO/IEC 23894:2023는 AI와 관련된 리스크를 보다 체계적으로 관리할 수 있는 토대를 마련해 줍니다. 이를 통해 조직은 AI의 안전성과 신뢰성을 높이고, 이해관계자와의 신뢰를 구축할 수 있습니다. ISO/IEC 23894:2023의 적용은 모든 조직에 적합하며, AI 리스크 관리의 효과적인 통합을 통해 혁신적인 발전을 도모하는 데 중요한 역할을 합니다. 따라서, 이 표준은 조직이 AI를 안전하고 책임감 있게 활용할 수 있도록 돕는 필수 문서로 자리 잡고 있습니다.
The ISO/IEC 23894:2023 standard presents a comprehensive framework for organizations involved in the development, production, deployment, or use of artificial intelligence (AI) products, systems, and services. The primary focus of this standard is to provide robust guidance on risk management specifically pertaining to AI, addressing a critical aspect of AI integration in various organizational contexts. One of the primary strengths of ISO/IEC 23894:2023 lies in its emphasis on the customization of risk management practices. The standard acknowledges that different organizations operate within varying contexts and environments, thus allowing for flexible adaptation of the guidelines. This adaptability ensures that organizations can tailor their risk management processes effectively to reflect their unique operating conditions, resources, and objectives. Additionally, the standard outlines methodologies for the effective implementation and integration of AI risk management within an organization’s operations. By emphasizing the integration of risk management into AI-related activities and functions, the guidance encourages a proactive approach, enabling organizations to foresee and mitigate potential risks associated with AI technologies. The relevance of ISO/IEC 23894:2023 is underscored by the rapid advancements and increasing adoption of AI technologies across diverse sectors. As organizations continue to leverage AI for improved efficiency and innovation, the need for structured risk management becomes paramount. This standard equips organizations with the necessary tools and processes to ensure that their AI initiatives are not only effective but also responsible and sustainable. Overall, ISO/IEC 23894:2023 emerges as a vital resource for organizations aiming to navigate the complexities of AI risk management. Its scope, strengths in customization, focus on integration, and relevance in contemporary technological landscapes establish it as an essential guide for responsible AI deployment and usage.
La norme ISO/IEC 23894:2023, intitulée "Technologies de l'information - Intelligence artificielle - Directives sur la gestion des risques", constitue un document essentiel pour toute organisation impliquée dans le développement, la production, le déploiement ou l'utilisation de produits et systèmes d'intelligence artificielle (IA). Son champ d'application est clairement défini, offrant des lignes directrices précises sur la gestion des risques associés à l'IA. Parmi les points forts de cette norme, l'accent sur l'intégration de la gestion des risques dans les activités et fonctions liées à l'IA est particulièrement pertinent. Cela permet aux organisations d'adapter les processus de gestion des risques de manière à les intégrer de façon fluide dans leur fonctionnement. La flexibilité de l'application des directives est un autre atout majeur, car elle permet à chaque organisation d'ajuster son approche en fonction de son contexte spécifique, ce qui renforce la pertinence et l'efficacité du document. De plus, la norme décrit des processus clairs pour la mise en œuvre et l'intégration efficaces de la gestion des risques liés à l'IA. Cela permet aux entreprises de structurer leurs efforts en matière de gestion des risques de manière cohérente et systématique, en minimisant les risques potentiels tout en maximisant les avantages de l'utilisation de l'intelligence artificielle. La norme ISO/IEC 23894:2023 est donc un outil crucial pour toute organisation souhaitant naviguer le paysage complexe des risques liés à l'IA, tout en s'assurant que ces risques sont correctement évalués et gérés, ce qui contribue à un développement responsable et éthique de l'intelligence artificielle.
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...