ISO 42001 certifiering - Artificiell intelligens (AI)
ISO/IEC 42001 är en internationell standard för ledningssystem för artificiell intelligens (AI) – ofta benämnt AIMS (AI Management System). Standarden hjälper organisationer att införa ett strukturerat arbetssätt för att styra, kontrollera och förbättra hur AI används, utvecklas och förvaltas.
ISO 42001 är uppbyggd på samma sätt som andra etablerade ledningssystemstandarder, vilket gör den särskilt relevant för organisationer som redan arbetar enligt ISO 9001 (kvalitet) och/eller ISO 27001 (informationssäkerhet).
Varför ISO 42001?
AI skapar stora möjligheter – men också nya risker. ISO 42001 ger ett ramverk för att hantera exempelvis:
felaktiga eller oförklarliga AI-resultat
bias och diskriminerande utfall
bristande transparens och spårbarhet
förändringar i modellbeteende över tid (modell drift)
risker kopplade till leverantörer och externa AI-tjänster
incidenter kopplade till AI-beslut
Med ISO 42001 kan organisationen visa att AI används på ett ansvarsfullt, kontrollerat och systematiskt sätt
Mycket är samma som ISO 9001 och ISO 27001
En viktig styrka med ISO 42001 är att den är byggd enligt ISO:s High Level Structure (HLS) – samma struktur som ISO 9001 och ISO 27001. Det innebär att stora delar av ert befintliga ledningssystem kan återanvändas.
Exempel på sådant som i stort sett är gemensamt:
krav på kontext och intressenter (kapitel 4)
ledningens ansvar, policy och roller (kapitel 5)
mål, risker och planering (kapitel 6)
kompetens, kommunikation och dokumentstyrning (kapitel 7)
internrevision och ledningens genomgång (kapitel 9)
avvikelsehantering och ständiga förbättringar (kapitel 10)
För organisationer som redan är certifierade enligt ISO 9001/27001 blir ISO 42001 därför oftast ett “tillägg” snarare än ett helt nytt system.
Vad är skillnaden? (Det som är unikt för ISO 42001)
Skillnaden är att ISO 42001 fokuserar på AI-specifik styrning och kräver att organisationen kan visa kontroll över:
1) AI-system och användningsfall (scope + inventering)
ISO 42001 kräver en tydlig bild av:
vilka AI-system och AI-användningsfall som finns
vem som äger dem
hur de påverkar verksamhetens processer
vilka risker som är kopplade till dem
Detta går längre än ISO 9001/27001 där man ofta beskriver processer och informationsflöden, men inte alltid systematiskt inventerar AI.
2) AI-governance och ansvarsfördelning
ISO 42001 ställer krav på tydligare ansvar i AI-livscykeln, exempelvis roller som:
AI-systemägare / model owner
data owner
AI risk owner
ansvar för övervakning i drift
I ISO 9001/27001 finns ansvar och roller, men ISO 42001 kräver att det är tydligt kopplat till AI-systemens funktion och påverkan.
3) AI-riskhantering (nya risktyper)
ISO 27001 hanterar risker kopplade till informationssäkerhet (CIA: konfidentialitet, riktighet, tillgänglighet). ISO 42001 kräver även att ni hanterar AI-relaterade risker såsom:
bias och diskriminering
bristande robusthet
hallucinationer (framförallt generativ AI)
bristande förklarbarhet/transparens
oönskade konsekvenser för individer eller verksamhet
modellförsämring över tid
Det innebär ofta att riskmetoden behöver kompletteras med AI-dimensioner.
4) Livscykelkrav: från idé till avveckling
ISO 42001 lägger stor vikt vid att AI styrs genom hela livscykeln:
kravställning och design
inköp och leverantörsstyrning
test och validering
godkännande innan produktionssättning
driftövervakning och incidenthantering
ändringar, retraining och versionshantering
avveckling
Det är här ISO 42001 tydligt skiljer sig från 9001/27001, eftersom AI-system ofta förändras och beter sig dynamiskt.
5) Spårbarhet och dokumentation för AI-system
ISO 42001 kräver mer AI-specifik dokumentation än 9001/27001, t.ex.:
AI-systembeskrivning (syfte, avgränsningar, intended use)
dataunderlag och datakvalitet (proveniens, representativitet)
modell-/systemdokumentation (begränsningar, versionshistorik)
testprotokoll och valideringsresultat
plan för driftövervakning (monitoring)
Vilka dokument krävs – utöver ISO 9001 och ISO 27001?
Om ni redan har ett fungerande 9001/27001-system finns redan mycket på plats (styrning, revision, avvikelsehantering, dokumentstyrning, riskprocess m.m.).
De typiska “nya” dokumenten/artefakterna för ISO 42001 är:
A) Styrande dokument (på ledningssystemnivå)
AI-policy
AI-scope med tydlig avgränsning av AI-system/use cases
AI-governance (roller och ansvar kopplat till AI)
AI-riskmetod (riskkriterier som inkluderar AI-specifika risker)
AI-mål och mätetal (KPI:er kopplade till AI)
Rutin för acceptabel AI-användning (särskilt vid generativ AI)
AI-livscykelprocess (styrning från utveckling/inköp till drift)
B) Dokumentation per AI-system / användningsfall
AI-systemregister (AI inventory / AI register)
AI impact assessment / konsekvensbedömning
Datadokumentation (data provenance, kvalitet, bias-risk)
Modell-/systemdokumentation (model card/system card)
Test- och valideringsplan + protokoll
Övervakningsplan i drift (monitoring)
AI-incidentprocess (klassning och hantering av AI-incidenter)
Förändringshantering för modell/system (versioner, retraining)
C) “Statement of Applicability” – för AI-kontroller
Precis som ISO 27001 har SoA kopplat till Annex A-kontroller, kräver ISO 42001 normalt en motsvarande:
Applicability statement för AI-kontroller (vilka kontroller gäller, vilka gäller inte och varför)
PreWoe hjälper dig att bli ISO 42001 certifierad
Mindre företag kan skapa ett effektivt och smart ISO-arbete utan lägga ner massor av kostnader och tid. Kontakta oss så berättar vi mer
PreWoe är en digital plattform för små och medelstora företag som förenklar pappersarbetet och involvera alla medarbetare
Plattformen innehåller mallar och checklistor så att du slipper börja från ett tomt papper. Det gör att du spar massor av tid för att komma igång.
Vi erbjuder stöd i ISO-certifieringen av erfarna ISO-experter. Svenska ISO-konsulter www.isocertifiering.nu eller Danska ISO konsulenter www.isocertificering.dk
