Slaan oor na inhoud
ISMS.aanlyn

Risikobestuur van KI-verskaffers: Evaluering van derdeparty-KI-verskaffers

KI-verskafferrisiko is nie meer net 'n verkrygingsmerkie nie. Modelverskaffers, KI SaaS-gereedskap, ingebedde KI-funksies en data-etiketteringsvennote val almal binne jou risikoperimeter. Hierdie gids wys hoe om derdeparty-KI-verskaffers te assesseer, te kontrakteer en te monitor in ooreenstemming met ISO 42001 Aanhangsel A.10 en die EU KI-wet.

skrywer
Max Edwards
Opgedateer 24 April 2026
4/5 sterre

Wat is KI-verskaffersrisiko?

KI-verskafferrisiko is die blootstelling wat jou organisasie dra wanneer 'n derde party KI-vermoëns in jou produkte, prosesse of besluite verskaf, aanbied, oplei of insluit. Dit is breër as klassieke IT-verskafferrisiko, want 'n KI-verskaffer verwerk nie net jou data nie – hulle kan die uitsette vorm waarop jou werknemers en kliënte staatmaak, met gedrag wat mettertyd verander namate modelle heropgelei en opgedateer word.

Vyffase KI-verskafferrisikobestuurslewensiklus vanaf voorkontrak-ondersoek, kontrakklousules, aanboordbasislyn, deurlopende monitering, tot hernuwing of uittrede met data-terugbesorging

In die meeste organisasies vandag val KI-verskaffers in vier oorvleuelende kategorieë:

  • Stigtingmodelverskaffers soos OpenAI, Anthropic, Google, Mistral en Cohere, toeganklik via API en ingebed in interne gereedskap, agente of kliëntgerigte funksies.
  • KI-inheemse SaaS-gereedskap soos notanemers, koderingsassistente, kliëntediens-kopilote, verkoopsbevorderingsinstrumente en analitiese platforms waar KI die produk is.
  • Ingeboude KI in ondernemingsagteware soos KI-opsomming in CRM, KI-telling in HR-stelsels, KI-hersiening in kontrakbestuur, of KI-triage in diensbestuur, waar die KI 'n nuwe kenmerk in 'n bestaande verskaffersverhouding is.
  • Data-etikettering en opleidingsdataverskaffers wat stroomop van enige model wat jy bou sit, met beduidende invloed oor vooroordeel, kwaliteit en wettige basis vir opleiding.

Elke kategorie dra verskillende risiko's, maar hulle deel 'n gemeenskaplike probleem: die verskaffer beheer gedrag waarvoor jy aanspreeklik is. Reguleerders, kliënte en versekeraars verwag toenemend dat jy bewys dat jy daardie gedrag aktief beoordeel en toesig gehou het – nie net 'n kontrak geteken en aangegaan het nie.

Waarom het KI-verskaffersrisiko 'n direksieprobleem geword?

Drie kragte het toesig oor KI-verskaffers van 'n verkrygingstaak na 'n saak op direksievlak geskuif.

Gekonsentreerde afhanklikheid. 'n Handjievol fondamentmodelverskaffers sit nou onder duisende KI-funksies oor byna elke ondernemingstapel. Modelonderbrekings, beleidsveranderinge, prysveranderinge en geografiese beperkings versprei onmiddellik na jou produkte en kliëntreise. Dit is 'n konsentrasierisiko wat die direksie moet erken.

Nie-deterministiese gedrag. Anders as 'n tradisionele SaaS-verskaffer wie se sagteware vandag dieselfde doen as gister, kan 'n KI-verskaffer modelgewigte, stelselaanwysings, veiligheidsfilters en opleidingsdata sonder kennisgewing verander. Die uitset wat jy in toetsing bekragtig het, is dalk nie die uitset wat jou kliënt ses maande later in produksie sien nie.

Regulatoriese aanspreeklikheid. ISO 42001, die EU KI-wet, sektorreguleerders (FCA, PRA, NHS Digital, Ofcom), en databeskermingsowerhede plaas nou almal eksplisiete verpligtinge op die ontplooier van 'n KI-stelsel, nie net die bouer nie. Om na jou verskaffer te wys is nie meer 'n verweer nie. Jy moet bewys dat jy 'n geskikte verskaffer gekies het en hulle dopgehou het.

Die praktiese gevolg: KI-verskafferrisiko hoort op die ondernemingsrisikoregister, in die ouditkomiteepakket en in die KI-beleid, nie begrawe in verkryging nie.

Wat sê ISO 42001 oor KI-verskaffertoesig?

ISO 42001 spreek derdeparty-KI-verhoudings direk aan in Aanhangsel A.10, een van nege Aanhangsel A-beheergebiede. Die beheergebied dek verskaffers, die toewysing van verantwoordelikhede tussen organisasies en kliënte, want in 'n KI-voorsieningsketting kan jy al drie gelyktydig wees - verskaffer aan een party, ontplooier van 'n ander en kliënt van 'n derde.

Aanhangsel A.10 vereis dat u:

  • Vestig 'n proses vir die identifisering van KI-verskaffers en die KI-stelsels wat hulle aan jou verskaf
  • Ken verantwoordelikhede duidelik en skriftelik tussen u en u verskaffers toe, sodat daar geen gapings in aanspreeklikheid vir KI-risiko, impak en prestasie is nie.
  • Spreek KI-spesifieke oorwegings aan in verskafferkeuse, kontraktering en deurlopende bestuur, nie net generiese inligtingsekuriteitsterme nie
  • Verseker dat kliënte van jou KI-stelsels die inligting het wat hulle nodig het om dit verantwoordelik te gebruik

Aanhangsel B (wat normatief is, nie informatief nie) verskaf implementeringsriglyne vir elke Aanhangsel A-beheermaatreël, insluitend A.10. Saam met Aanhangsel A.10 raak KI-verskaffertoesig ook A.2 (beleide met betrekking tot KI), A.3 (interne organisasie en verantwoordelikhede), A.5 (beoordeling van die impak van KI-stelsels), A.7 (data vir KI-stelsels) en A.8 (inligting vir belangstellende partye). Vir die volledige stel, sien ons Bylae A kontroles verwysing en die toegewyde Aanhangsel A.10 Verhoudings met derde partye en kliënte bladsy.

jou Verklaring van toepaslikheid moet dokumenteer hoe jy elk van hierdie beheermaatreëls op jou KI-verskafferboedel toepas, insluitend enige uitsluitings en die regverdiging daarvoor.



Alles wat jy nodig het vir ISO 42001, in ISMS.online

Alles wat jy nodig het vir ISO 42001

Gestruktureerde inhoud, gekarteerde risiko's en ingeboude werkvloeie om jou te help om KI verantwoordelik en met selfvertroue te bestuur.

Aan die begin


Hoe beoordeel jy 'n KI-verskaffer?

KI-verskaffersondersoek moet verder gaan as 'n sekuriteitsvraelys. Jy assesseer nie net hoe die verskaffer jou data beskerm nie, maar ook hoe hulle die KI-stelsel waarop jy staatmaak, bou, bedryf, verander en uit diens stel. Die raamwerk hieronder dek die nege areas wat elke KI-verskafferassessering moet aanraak, met 'n voorbeeld van vrae om te vra en die rooi vlae wat 'n kontrak moet stop.

Area Vrae om te vra rooi vlag
Data-opleiding Op watter data is die model opgelei? Is enige van ons data by verstek vir opleiding gebruik? Kan ons skriftelik uittree? Wat is die wettige basis vir opleidingsdata (toestemming, wettige belang, lisensiëring)? Die verskaffer kan jou nie die opleidingsdatabronne vertel nie, gebruik kliëntedata vir opleiding by verstek sonder om uit te teken, of maak staat op geskraapte data sonder 'n wettige basisverdediging.
Model deursigtigheid Kan u 'n modelkaart of stelselkaart verskaf? Wat is die bekende beperkings en foutmodusse? Hoe word die model weergawes gegee? Sal ons in kennis gestel word van modelruilings of groot heropleiding? Geen modeldokumentasie, stille modelruilings, geen weergawebeheer of weiering om die model hoegenaamd te beskryf nie (swart boks sonder versekering)
Sekuriteitshouding Is die verskaffer gesertifiseer volgens ISO 27001 en SOC 2? Hoe word kliëntdata geskei? Wat is die enkripsie, sleutelbestuur en toegangsbeheer rondom afleidingsverkeer en logs? Geen erkende sertifisering, gedeelde huurooreenkoms sonder segregasie, aanwysings en uitsette onbepaald in gewone teks aangeteken, of geen SSO en MFA nie.
Privaatheid en AVG Waar word data verwerk en gestoor? Is 'n dataverwerkingsooreenkoms in plek? Is daar voldoende oordragmeganismes vir internasionale vloei? Hoe word die regte van die betrokke persoon vir insette en uitsette hanteer? Geen DPA, oordragte buite die VK en EER sonder waarborge, geen meganisme om toegang tot of uitwissingsversoeke van data-onderwerpe te ondersteun nie, of onduidelike bewaring van aanwysings
Certificaties Is u gesertifiseer volgens ISO 42001? Besit u ISO 27001 en SOC 2 Tipe II? Wanneer was die laaste toesigoudits? Kan ons die sertifikate en omvangsverklarings sien? Geen ISO 42001 (of geen geloofwaardige padkaart daarvoor nie), vervalde sertifikate, omvangsverklarings wat die diens wat jy koop uitsluit, of slegs selfverklaring
Insident reaksie Hoe definieer julle 'n KI-insident? Wat is julle kennisgewing-SLA aan kliënte? Hoe hanteer julle modelhallusinasies, skadelike uitsette, vooroordeelinsidente en sekuriteitsbreuke? Kan ons 'n geredigeerde verslag na die insident sien? Geen KI-spesifieke voorvaldefinisie, kennisgewingvensters langer as 72 uur, geen na-voorvalrapportering, of onvermoë om enige vorige voorval wat van begin tot einde hanteer is, te wys nie.
Veranderings bestuur Hoe bestuur julle veranderinge aan modelgewigte, stelselaanwysings, veiligheidsfilters en relings? Kry ons kennisgewing? Kan ons op 'n vasgespelde weergawe bly? Hoe word veranderinge getoets voor bekendstelling? Rolopdaterings sonder kennisgewing, geen weergawe-vasmaakopsie, geen voorvrystellingstoetsing op ondernemingsverkeer of geen terugrolmeganisme nie
Subverwerkers Wie is jou subverwerkers, insluitend hosting, modelhosting, evaluering en data-etikettering? Hoe word hulle goedgekeur en geouditeer? Kry ons kennisgewing van veranderinge? Onvolledige lys van subverwerkers, ondeursigtige gebruik van sub-subverwerkers, geen reg om beswaar te maak teen nuwe subverwerkers nie, of gebruik van subverwerkers in ongunstige jurisdiksies
Uittreeplan Hoe kry ons ons data terug? Hoe lank word dit behou na beëindiging? Word aanwysings, uitsette en fyn afstemmingsdata volledig uitgevee? Is daar 'n oordraagbaarheidsformaat vir enige persoonlike konfigurasie- of evalueringsdata? Geen gedefinieerde uitgang, behoud gemeet in jare eerder as dae, geen uitvoerformaat of insluiting via eie evalueringsdata nie

Tel elke area, gewig volgens die KI-gebruiksgevalrisiko, en koppel die resultaat aan die verskafferrekord in jou verskafferregister. Die doelwit is 'n verdedigbare besluit, nie 'n perfekte telling nie.

Watter kontrakvoorwaardes moet jy van KI-verskaffers vereis?

KI-verskafferkontrakte moet verder gaan as standaard SaaS-terme. Sekuriteitskedules en dataverwerkingsooreenkomste hanteer die datalaag, maar KI-gedrag, verandering en aanspreeklikheid benodig hul eie klousules. Die onderstaande kontrolelys is die minimum wat ons in enige wesenlike KI-verskafferkontrak sou verwag:

  • Reg om te oudit. 'n Kontraktuele reg om die verskaffer te oudit, of staat te maak op onafhanklike versekeringsverslae (ISO 42001-sertifikaat, SOC 2 Tipe II, penetrasietoetsopsommings) op 'n gedefinieerde kadens, wat die spesifieke KI-stelsel wat jy koop, dek.
  • Kennisgewing van modelverandering. Skriftelike kennisgewing van wesenlike veranderinge aan modelgewigte, stelselaanwysings, veiligheidsfilters of relings, met 'n gedefinieerde kennisgewingstydperk (gewoonlik 30 tot 90 dae vir ondernemingsgebruiksgevalle) en 'n weergawe-vaspenopsie vir gereguleerde werkladings.
  • Beperkings op datagebruik. Eksplisiete verbod op die gebruik van kliëntinsette, -uitsette, fyn afstemmingsdata of -metadata om die verskaffer se algemene modelle op te lei sonder skriftelike toestemming, met data-segregasieverbintenisse.
  • Verbintenisse tot akkuraatheid van uitsette. Verklarings oor beoogde gebruik, bekende beperkings en enige akkuraatheids- of veiligheidsmaatstawwe wat die verkoper publiseer, met remedies indien die verkoper gedokumenteerde vermoëns verwyder.
  • Voorvalkennisgewing. 'n Gedefinieerde KI-voorvalkennisgewing-SLA (wat 24 tot 72 uur teiken, afhangende van die erns) wat sekuriteitsbreuke, vooroordeelvoorvalle, skadelike uitvoergebeurtenisse en langdurige diensverswakking dek.
  • Intellektuele eiendom. Duidelike toewysing van IP in insette, uitsette en enige afgeleide werke, met vrywaring teen IP-eise van derde partye wat voortspruit uit modeluitsette.
  • Vrywaring en aanspreeklikheid. Pasgemaakte vrywarings vir databeskermingsbreuke, IP-oortredings in modeluitsette en regulatoriese boetes waar die verkoper se gedrag die onmiddellike oorsaak is, met aanspreeklikheidslimiete proporsioneel tot die risiko van die KI-gebruiksgeval.
  • Uitgang en data-terugsending. Gedefinieerde uitgangsproses met gewaarborgde uitvoerformate, verwyderingsertifikate en 'n maksimum bewaringstydperk vir oorblywende data na beëindiging (gewoonlik 30 tot 90 dae).
  • Kennisgewing van subverwerker. 'n Lys van huidige subverwerkers in die kontrak, vooraf skriftelike kennisgewing van veranderinge, en 'n reg om beswaar te maak op gedokumenteerde risikogronde.
  • Sertifiseringsonderhoud. 'n Verbintenis om verklaarde sertifikate (ISO 42001, ISO 27001, SOC 2) vir die termyn van die kontrak te handhaaf, met kennisgewing indien enige sertifisering verval of omvang verander.

Hierdie klousules moet risiko-gegradeer wees. 'n Fondasiemodelverskaffer in 'n kliëntgerigte besluitnemingspyplyn waarborg elke klousule; 'n lae-risiko interne produktiwiteitsinstrument kan op 'n ligter stel met gemonitorde hernuwings loop.

Hoe monitor jy KI-verskaffers na kontrak?

Deeglike sorgvuldigheid tydens aanboordneming is nodig, maar nie voldoende nie. KI-verskaffers verander, en so ook jou gebruik van hulle. Deurlopende monitering moet geskeduleerde herevaluerings met gebeurtenisgedrewe snellers kombineer.

Geskeduleerde aktiwiteite wat in jou KI-verskaffer se toesigkalender moet wees:

  • Jaarlikse hersiening van hoërisiko-verskaffers, tweejaarliks ​​vir mediumrisiko, wat dieselfde nege areas as aanboordneming dek met 'n delta-oorsig
  • Kwartaallikse hersiening van verskaffermodel-, subverwerker- en beleidsveranderingslogboeke teen u vasgespelde basislyn.
  • Jaarlikse hersiening van die verskaffer se ISO 42001-, ISO 27001- en SOC 2-sertifikate en omvangsverklarings
  • Hersiening van gepubliseerde voorval- en deursigtigheidsverslae van verskaffers (waar beskikbaar) by elke bestuursoorsigsiklus
  • Hersiening van die verskaffersafdeling van u Verklaring van toepaslikheid wanneer die verskaffer se omvang wesenlik verander

Gebeurtenisgedrewe snellers wat 'n onmiddellike herevaluering behoort te dwing:

  • 'n Verskaffer stel jou in kennis van 'n wesenlike modelverandering, 'n verandering van subverwerker of 'n beleidsverandering.
  • Die verkoper ly aan 'n publiek bekendgemaakte sekuriteits-, veiligheids- of vooroordeelvoorval
  • Die verskaffer verloor, verander die omvang van, of versuim om 'n vertroude sertifisering te hernu
  • Jy verander die KI-gebruiksgeval (byvoorbeeld, skuif 'n interne instrument na 'n kliëntgerigte werkvloei of 'n hoërisiko-konteks onder die EU-KI-wet)
  • 'n Nuwe regulasie, sektorriglyne of handhawingsaksie verander jou verpligtinge as 'n ontplooier wesenlik.

Elke moniteringsaktiwiteit moet bewyse lewer wat gekoppel is aan die verskafferrekord, die relevante Aanhangsel A-kontroles en die KI-risikoregisterinskrywings waartoe die verskaffer bydra. Só omskep jy verskaffertoesig van 'n verkrygingsritueel in ouditeerbare bestuur.



ISMS.online se kragtige dashboard

Begin maklik met 'n persoonlike produkdemonstrasie

Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.

Bespreek jou demo


Hoe verander die EU KI-wet die verpligtinge van KI-verskaffers?

Die EU KI-wet skep 'n gestruktureerde stel verpligtinge wat deur die KI-voorsieningsketting vloei. As jy 'n ontplooier van 'n hoërisiko-KI-stelsel is, of 'n verskaffer wat 'n derdeparty-model insluit, word jou verskafferkeuses voldoeningskeuses.

Belangrike stroomaf implikasies vir toesig oor KI-verskaffers:

  • Verskafferverpligtinge bereik u verskaffers. Verskaffers van algemene KI-modelle (GPAI) het hul eie verpligtinge rakende tegniese dokumentasie, opsommings van opleidingsdata, kopieregbeleid en (vir sistemiese risikomodelle) teenstrydige toetsing, voorvalrapportering en kuberveiligheid. Jy behoort stigtingsmodelverskaffers te vra om bewyse te lewer van hoe hulle daaraan voldoen.
  • Ontplooierverpligtinge bereik jou. As jy 'n hoërisiko-KI-stelsel gebruik, het jy verpligtinge vir menslike toesig, logbewaring, monitering, voorvalrapportering en (in baie gevalle) 'n impakstudie op fundamentele regte. Om daaraan te voldoen, vereis dit inligting van die verskaffer, waarvoor gekontrakteer moet word.
  • Inligtingvloei deur die ketting. Verskaffers moet ontplooiers die tegniese dokumentasie en gebruiksaanwysings gee wat nodig is om aan hul verpligtinge te voldoen. U behoorlike sorgvuldigheid moet verifieer dat hierdie materiaal werklik bestaan ​​vir enige hoërisiko-KI-komponent wat u verkry.
  • Aansienlike wysigingsrisiko. As jy 'n algemene doelmodel verfyn, toepas of hergebruik tot die punt van wesenlike wysiging, kan jy 'n verskaffer in eie reg word – met die gepaardgaande ooreenstemmingsbeoordelingslas. Verskafferskontrakte moet duidelik maak watter wysigings toegelaat word en nie, en watter versekerings daarmee gepaardgaan.
  • Verbode praktyke. Sekere KI-gebruike (sosiale telling, ongeteikende gesigskraap, emosie-inferensie in die werkplek en onderwys, en ander) is verbode. Jou KI-beleid en verskafferassessering moet gebruiksgevalle teen hierdie verbodsbepalings sif voor kontraktering, nie daarna nie.

ISO 42001 en die EU KI-wet is komplementêr. Die standaard gee jou die bestuurstelsel vir steierwerk; die Wet definieer die wetlike verpligtinge wat steierwerk moet dra. 'n Goed bestuurde verskaffertoesigproses dien beide.

Hoe ISMS.online KI-verskafferrisikobestuur bestuur

ISMS.aanlyn gee KI-verskaffertoesig 'n gestruktureerde tuiste binne jou breër KI-bestuurstelsel. Eerder as om verskafferdata oor verkrygingsblaaie, sekuriteitsvraelyste, regslêers en voldoeningsopsporings te versprei, konsolideer die platform die lewensiklus in een gekoppelde werkruimte:

  • Verskafferregister met KI-spesifieke velde. Elke KI-verskaffer het 'n rekord met verskaffertipe (fondamentsmodel, KI SaaS, ingebedde KI, data-etikettering), gebruiksgevalle, risikovlak, sertifisering, subverwerkers en relevante Aanhangsel A-beheerskakels.
  • KI omsigtigheid-vraelyste. Voorafgeboude sjablone wat die nege assesseringsareas dek, met puntebepaling, goedkeuring en gestoorde bewyse aangeheg aan die verskafferrekord.
  • Kontrak- en klousuleopsporing. Belangrike KI-klousules (ouditreg, modelveranderingskennisgewing, datagebruik, voorval-SLA, uitgang) word as velde op die verskafferrekord nagespoor, sodat jy in 'n oogopslag oor jou KI-boedel kan rapporteer.
  • Deurlopende monitering van werkstrome. Geskeduleerde herevaluerings, sertifikaatvervalwaarskuwings, veranderingslogboekhersienings en snellergebaseerde herevaluerings, alles gekoppel aan die verskafferrekord en die KI-risikoregister.
  • Gekoppelde KI-risiko- en impakassesserings. Verskafferinskrywings koppel direk aan KI-risikoregisterinskrywings (Klausule 6.1.2) en KI-stelsel-impakbeoordelings (Klausule 6.1.4), dus word verskaffersrisiko as deel van die algehele KI-risikoprentjie behandel, nie as 'n parallelle heelal nie.
  • Ouditbewyse op beheervlak. Elke assessering, hersiening en herassessering lewer bewyse wat gekoppel is aan die spesifieke Aanhangsel A-beheer wat dit ondersteun, gereed vir toesigoudits.

Die praktiese uitkoms: wanneer 'n ouditeur vra hoe jy aan Aanhangsel A.10 vir jou KI-voorsieningsketting voldoen, is die antwoord 'n enkele deeglike ondersoek – verskaffer, assessering, kontrak, moniteringsgeskiedenis, bewyse – nie 'n week se skermkiekies en sigblaaie nie.

Waarom ISMS.online kies vir KI-verskafferrisiko?

ISMS.aanlyn is gebou vir KI-bestuur van begin tot einde, dus is verskaffers toesig 'n eersteklas deel van die platform eerder as 'n aanbousel. Hier is wat jy kry:

  • KI-spesifieke verskafferregister. Doelgerigte velde vir KI-verskaffertipe, gebruiksgevalle, risikovlak, sertifisering, subverwerkers en modelweergawes, nie 'n generiese verskafferslys wat hergebruik is vanaf 'n IT-bate-instrument nie.
  • Voorafgeboude KI-due diligence-sjablone. Vraelyste is in lyn met ISO 42001 Aanhangsel A.10, Aanhangsel B-riglyne, en EU KI-wet se verpligtinge stroomaf, sodat spanne vanaf 'n standaarde-belynde basislyn begin eerder as om vrae van nuuts af te skryf.
  • Geïntegreer met die KI-risikoregister. Verskaffersrisiko skakel direk met KI-risiko's (Klausule 6.1.2) en KI-stelsel-impakassesserings (Klausule 6.1.4), met puntebepaling-, behandelings- en hersieningsiklusse op een plek.
  • Leef Verklaring van toepaslikheid. Die verskaffer-afdeling van jou SoA bly op datum soos verskaffers, kontroles en regverdigings verander, nie gevries in 'n Word-dokument nie.
  • Deurlopende monitering ingebou. Geskeduleerde herbeoordelings, waarskuwings oor sertifikaatverval en gebeurtenis-geïnduseerde hersienings hou verskaffertoesig aktief oor die volle kontraklewensiklus.
  • Hergebruik van veelvuldige standaarde. Verskafferrekords wat gedeel word oor ISO 42001 en die verskafferkontroles van u bestaande ISO-bestuurstelsels, sodat u een verskafferprogram bestuur, nie verskeie nie. Vir die oorvleueling, sien ISO 42001 vs ISO 27001.
  • Metode van versekerde resultate. Bewese implementeringsbenadering, aanvaardingsondersteuning en regstreekse hulp sodat KI-verskaffertoesig binne weke, nie kwartale, aan die gang is.

Of jy nou van nul af begin of 'n bestaande derdeparty-risikoprogram opgradeer na KI-spesifieke standaarde, ISMS.aanlyn gee jou die gereedskap om KI-verskafferrisikobestuur in lyn met ISO 42001 en die EU KI-wet uit te voer. Vir die volledige implementeringskonteks, sien ons implementeringsgids, of kop terug na die ISO 42001-hub.

Gereed om die platform in aksie te sien? Bespreek 'n demo.

Vrae & Antwoorde

Wat is risikobestuur van KI-verskaffers?

KI-verskafferrisikobestuur is die proses om derde partye te identifiseer, te assesseer, te kontrakteer en te monitor wat KI-vermoë aan jou organisasie verskaf. Dit dek fondamentmodelverskaffers, KI-inheemse SaaS-gereedskap, ingebedde KI-funksies in ondernemingsagteware, en data-etikettering of opleidingsdataverskaffers. Dit brei klassieke derdepartyrisiko uit met KI-spesifieke oorwegings soos opleidingsdata, modeldeursigtigheid, nie-deterministiese gedrag en veranderingsbestuur van modelgewigte en stelselaanwysings.

Vereis ISO 42001 assesserings van KI-verskaffers?

Ja. Aanhangsel A.10 van ISO 42001 spreek derdeparty- en kliënteverhoudings direk aan, en vereis dat organisasies KI-verskaffers identifiseer, verantwoordelikhede toewys en KI-spesifieke oorwegings oor die verskafferslewensiklus bestuur. Aanhangsel B (normatief) verskaf implementeringsriglyne. Jou ISMS.aanlyn Die Verklaring van Toepaslikheid moet dokumenteer hoe u hierdie beheermaatreëls op u KI-verskaffersbestand toepas, met enige uitsluitings geregverdig.

Wat is die grootste rooi vlae in 'n KI-verskafferassessering?

Die mees algemene struikelblokke is: opleiding oor kliëntdata by verstek sonder om uit te teken, geen modeldokumentasie of weergawebeheer, geen erkende sertifisering (ISO 42001, ISO 27001, SOC 2) of vervalde sertifisering, geen KI-spesifieke voorvalreaksie of kennisgewing-SLA, stille modelveranderinge sonder kennisgewing, ondeursigtige subverwerkerreëlings, en geen gedefinieerde uitgangsproses nie. Enigeen hiervan behoort 'n risikobesluit op senior vlak te veroorsaak voor kontrakondertekening.

Hoe gereeld moet ons KI-verskaffers herevalueer?

Jaarlikse herevaluering is 'n redelike basislyn vir hoërisiko-KI-verskaffers, met tweejaarlikse hersiening vir mediumrisiko-verskaffers en ligter monitering vir laerisiko-verskaffers. Bo-op die skedule behoort gebeurtenisgedrewe snellers – wesenlike model- of subverwerkerverandering, publiek bekendgemaakte voorval, sertifiseringsverlies, verandering van gebruiksgeval, nuwe regulasie – 'n onmiddellike herevaluering af te dwing, ongeag die kalender.

Beïnvloed die EU KI-wet ons KI-verskafferkontrakte?

Ja. Die EU KI-wet plaas verpligtinge op verskaffers, ontplooiers en invoerders van KI-stelsels, en inligting moet deur die ketting vloei om aan daardie verpligtinge te voldoen. Kontrakte met stigtingsmodelverskaffers en stroomaf KI-verskaffers moet die tegniese dokumentasie, gebruiksaanwysings, deursigtigheidsinligting en voorvalkennisgewing vereis wat nodig is sodat u aan u ontplooier- of verskafferverpligtinge kan voldoen. Verfyning of wesenlike wysiging van 'n algemene doelmodel kan ook 'n ontplooier in 'n verskaffer verander, wat kontraktueel aangespreek moet word.

Is 'n ISO 27001-gesertifiseerde verskaffer genoeg vir KI-gebruiksgevalle?

Nee. ISO 27001 dek inligtingsekuriteitsbestuur en is 'n sterk basislyn, maar dit spreek nie KI-spesifieke risiko's aan soos opleidingsdata-herkoms, modeldeursigtigheid, impak op geaffekteerde individue, vooroordeel of modelveranderingsbestuur nie. Vir wesenlike KI-gebruiksgevalle moet jy ook soek na ISO 42001 (of 'n geloofwaardige padkaart daarvoor), SOC 2 Tipe II wat die KI-diens in omvang dek, en eksplisiete KI-klousules in die kontrak wat verder gaan as inligtingsekuriteitsterme.

Kan ISMS.online KI-verskaffersrisiko saam met algemene verskaffersrisiko bestuur?

Ja. ISMS.aanlyn is 'n multistandaardplatform, so KI-verskaffers sit in dieselfde verskafferregister as u breër derde partye, met KI-spesifieke velde, omsigtigheidstoetsjablone en moniteringswerkvloeie bo-op. Dit beteken een verskafferprogram, een stel bewyse en een ouditroete – wat ISO 42001 Aanhangsel A.10 en die verskafferkontroles van u bestaande bestuurstelsels in 'n enkele aansig dek.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Lente 2026
Hoë Presteerder - Lente 2026 Klein Besigheid VK
Streeksleier - Lente 2026 EU
Streekleier - Lente 2026 EMEA
Streeksleier - Lente 2026 VK
Hoë Presteerder - Lente 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.