Hoe om hierdie ISO 42001-kontrolelys te gebruik
ISO 42001 (voorheen ISO/IEC 42001:2023) is die internasionale standaard vir KI-bestuurstelsels (AIMS). Dit bied 'n gestruktureerde raamwerk vir organisasies wat KI-stelsels ontwikkel, verskaf of gebruik om dit verantwoordelik en in lyn met regulatoriese verwagtinge te doen.
Hierdie kontrolelys is in twee dele verdeel. Die eerste dek die bestuurstelselvereistes in Klousules 4—10, wat definieer hoe u organisasie sy AIMS beplan, ondersteun, bedryf en verbeter. Die tweede dek die 38 Aanhangsel A beheerdoelwitte, wat spesifieke risiko's en verantwoordelikhede oor die lewensiklus van die KI-stelsel aanspreek.
Werk deur elke item in volgorde. Gebruik die Status kolom om vordering na te spoor—merk items as Nie Begin Nie, Aan Die Gang of Voltooid. Waar jy gapings identifiseer, kruisverwys met ons gapingsanalise gids en implementeringsgids vir praktiese volgende stappe.
Bestuurstelselvereistes (Klausules 4—10)
Hierdie klousules volg die hoëvlakstruktuur van Aanhangsel SL wat deur ISO 27001, ISO 9001 en ander bestuurstelselstandaarde gedeel word. Indien u organisasie reeds een van hierdie sertifisering besit, sal u die patroon herken – maar let noukeurig op die KI-spesifieke vereistes soos KI-risikobepaling (6.1.2), KI-stelsel-impakbepaling (6.1.4) en operasionele beheermaatreëls vir KI-stelsels (8.2—8.4).
| klousule | Vereiste | Sleutelaksies | Status |
|---|---|---|---|
| 4.1 | Verstaan die organisasie en sy konteks | Identifiseer eksterne en interne kwessies wat relevant is vir u KI-aktiwiteite en AIMS-doel | ☐ |
| 4.2 | Begrip van die behoeftes en verwagtinge van belangstellendes | Lys belanghebbendes (reguleerders, kliënte, betrokke individue) en hul vereistes vir KI-beheer | ☐ |
| 4.3 | Bepaling van die omvang van die AIMS | Definieer grense – watter KI-stelsels, sake-eenhede en liggings binne die bestek val | ☐ |
| 4.4 | KI bestuurstelsel | Vestig, implementeer, onderhou en verbeter voortdurend die AIMS in lyn met die standaard | ☐ |
| 5.1 | Leierskap en toewyding | Topbestuur toon toewyding deur KI-beleid te stel, hulpbronne toe te ken en AIMS in besigheidsprosesse te integreer. | ☐ |
| 5.2 | KI-beleid | Stel 'n ontwerp op en keur dit goed KI-beleid wat verbintenisse insluit tot verantwoordelike KI gebruik, wetlike nakoming en voortdurende verbetering | ☐ |
| 5.3 | Organisatoriese rolle, verantwoordelikhede en gesag | Ken AIMS-rolle toe (KI-bestuursleier, risiko-eienaar, stelseleienaar) en kommunikeer verantwoordelikhede | ☐ |
| 6.1.1 | Stappe om risiko's en geleenthede aan te spreek (Algemeen) | Bepaal risiko's en geleenthede wat AIMS-uitkomste kan beïnvloed | ☐ |
| 6.1.2 | KI risikobepaling | Definieer en pas 'n KI-risikobepalingsproses toe wat die waarskynlikheid, erns en impak op individue en groepe dek | ☐ |
| 6.1.3 | KI-risikobehandeling | Kies risikobehandelingsopsies en karteer dit na Aanhangsel A-kontroles; produseer 'n Verklaring van toepaslikheid | ☐ |
| 6.1.4 | Impakassessering van KI-stelsels | Evalueer die potensiële impak van KI-stelsels op individue, groepe en samelewings voor ontplooiing | ☐ |
| 6.2 | KI-doelwitte en beplanning om dit te bereik | Stel meetbare KI-doelwitte by relevante funksies en vlakke; beplan hulpbronne, verantwoordelikhede en tydlyne | ☐ |
| 6.3 | Beplanning van veranderinge | Verseker dat AIMS-veranderinge beplan word, met gevolge wat geassesseer word en hulpbronne toegeken word | ☐ |
| 7.1 | hulpbronne | Bepaal en verskaf die hulpbronne wat benodig word vir die AIMS | ☐ |
| 7.2 | bevoegdheid | Verseker dat personeel die nodige KI-beheer en tegniese bevoegdheid het; verskaf opleiding waar nodig | ☐ |
| 7.3 | Bewustheid | Maak seker dat alle relevante personeel die KI-beleid, hul AIMS-verantwoordelikhede en die implikasies van nie-nakoming verstaan. | ☐ |
| 7.4 | kommunikasie | Bepaal interne en eksterne kommunikasievereistes vir die AIMS | ☐ |
| 7.5 | Gedokumenteerde inligting | Skep, werk op en beheer alles dokumentasie vereistes vereis deur die standaard | ☐ |
| 8.1 | Operasionele beplanning en beheer | Beplan, implementeer en beheer die prosesse wat nodig is om aan AIMS-vereistes te voldoen en KI-doelwitte te lewer | ☐ |
| 8.2 | KI risikobepaling | Voer KI-risikobepalings uit met beplande tussenposes of wanneer beduidende veranderinge plaasvind; behou gedokumenteerde resultate | ☐ |
| 8.3 | KI-risikobehandeling | Implementeer die KI-risikobehandelingsplan en behou bewyse van uitkomste | ☐ |
| 8.4 | Impakassessering van KI-stelsels | Doen impakstudies vir KI-stelsels binne die omvang en dokumenteer bevindinge | ☐ |
| 9.1 | Monitering, meting, ontleding en evaluering | Definieer wat gemonitor moet word, metodes van meting en hoe gereeld; evalueer AIMS-prestasie | ☐ |
| 9.2 | Interne Oudit | Voer beplande interne oudits uit om te bevestig dat die AIMS aan die standaard voldoen en effektief geïmplementeer word. Sien ons ISO 42001-oudit lei | ☐ |
| 9.3 | Bestuur hersiening | Topbestuur hersien AIMS-prestasie, ouditresultate, risikostatus en verbeteringsgeleenthede met beplande tussenposes. | ☐ |
| 10.1 | Voortdurende verbetering | Verbeter voortdurend die geskiktheid, toereikendheid en doeltreffendheid van die AIMS | ☐ |
| 10.2 | Nie-konformiteit en regstellende aksie | Reageer op nie-ooreenstemmings, evalueer oorsake, implementeer korrektiewe aksies en hersien hul doeltreffendheid | ☐ |
Sodra jy deur elke klousule gewerk het, behoort jy 'n duidelike prentjie te hê van waar jou KI-bestuurstelsel staanplekke. Die volgende stap is om jou posisie teenoor die Aanhangsel A-kontroles te beoordeel.
Alles wat jy nodig het vir ISO 42001
Gestruktureerde inhoud, gekarteerde risiko's en ingeboude werkvloeie om jou te help om KI verantwoordelik en met selfvertroue te bestuur.
Aanhangsel A Kontrolelys vir Beheerdoelwitte
Aanhangsel A van ISO 42001 bevat 38 kontroles wat oor nege areas georganiseer is. Hierdie kontroles is nie almal verpligtend nie—jou Verklaring van toepaslikheid bepaal watter van toepassing is op grond van u KI-risikobepaling. U moet egter enige uitsluitings regverdig. Gebruik hierdie kontrolelys saam met ons gedetailleerde Bylae A kontroles gids vir implementeringsdetail.
| Beheerverwysing | Beheer naam | Belangrike Bewyse Vereiste | Status |
|---|---|---|---|
| A.2 — Beleide verwant aan KI | |||
| A.2.2 | KI-beleid | Goedgekeurde KI-beleidsdokument, kommunikasierekords | ☐ |
| A.2.3 | Belyning met ander beleide | Beleidskruisverwysingsmatriks wat ooreenstemming met inligtingsekuriteit-, dataprivaatheids- en etiekbeleide toon | ☐ |
| A.2.4 | Hersiening van KI-beleid | Geskeduleerde hersieningsrekords, weergawegeskiedenis, bestuursondertekening | ☐ |
| A.3 — Interne Organisasie | |||
| A.3.2 | KI-rolle en verantwoordelikhede | RACI-matriks of rolbeskrywings wat KI-bestuur, -ontwikkeling en -bedrywighede dek | ☐ |
| A.3.3 | Rapportering van bekommernisse | Gedokumenteerde rapporteringskanaal, eskalasieprosedures, rekords van geopperde bekommernisse | ☐ |
| A.4 — Hulpbronne vir KI-stelsels | |||
| A.4.2 | Hulpbrondokumentasie | Inventaris van KI-stelselhulpbronne (data, berekening, gereedskap, personeel) | ☐ |
| A.4.3 | Databronne | Data-inventarisse, datavloeidiagramme, toegangsbeheer | ☐ |
| A.4.4 | Gereedskapbronne | Register van KI-ontwikkelings- en ontplooiingsinstrumente, weergawebeheer | ☐ |
| A.4.5 | Stelsel- en rekenaarhulpbronne | Infrastruktuurdokumentasie, kapasiteitsplanne, toegangsbeheer | ☐ |
| A.4.6 | Menslike hulpbronne | Bevoegdheidsrekords, opleidingsplanne, kwalifikasiebewyse | ☐ |
| A.5 — Evaluering van die impak van KI-stelsels | |||
| A.5.2 | Proses vir die assessering van die impak van KI-stelsel | Gedokumenteerde impakbepalingsmetodologie, assesseringsjablone | ☐ |
| A.5.3 | Dokumentasie van assesserings | Voltooide impakbeoordelingsrekords vir elke KI-stelsel binne die bestek | ☐ |
| A.5.4 | Impak op individue | Analise van die gevolge vir individuele regte, veiligheid en welstand; versagtingsmaatreëls | ☐ |
| A.5.5 | Samelewingsimpakte | Assessering van breër maatskaplike gevolge, insluitend vooroordeel, billikheid en omgewingsimpak | ☐ |
| A.6 — KI-stelsel lewensiklus | |||
| A.6.1.2 | Doelwitte vir verantwoordelike ontwikkeling | Gedokumenteerde doelwitte wat billikheid, deursigtigheid, aanspreeklikheid en veiligheid dek | ☐ |
| A.6.1.3 | Prosesse vir verantwoordelike ontwerp | Ontwerpprosesdokumentasie wat verantwoordelike KI-beginsels in elke stadium insluit | ☐ |
| A.6.2.2 | Vereistespesifikasie | Funksionele en nie-funksionele vereistes, insluitend etiese en wetlike beperkings | ☐ |
| A.6.2.3 | Dokumentasie van ontwerp | Stelselargitektuurdokumente, ontwerpbesluite, afruilrekords | ☐ |
| A.6.2.4 | Verifikasie en bekragtiging | Toetsplanne, toetsresultate, aanvaardingskriteria, vooroordeel en prestasietoetsrekords | ☐ |
| A.6.2.5 | Ontplooiing | Implementeringsprosedures, kontrolelyste vir inwerkingstelling, terugrolplanne | ☐ |
| A.6.2.6 | Bedryf en monitering | Moniteringsdashboards, prestasiemetrieke, dryfopsporingslogboeke | ☐ |
| A.6.2.7 | Tegniese dokumentasie | Modelkaarte, stelselbeskrywings, algoritmedokumentasie | ☐ |
| A.6.2.8 | Gebeurtenis logs | Logprosedures, logbewaringsbeleide, ouditspoorbewyse | ☐ |
| A.7 — Data vir KI-stelsels | |||
| A.7.2 | Data vir ontwikkeling | Dataseleksiekriteria, verteenwoordigendheidsanalise, vooroordeelbeoordelings | ☐ |
| A.7.3 | Verkryging van data | Databronrekords, toestemmings-/lisensiedokumentasie, regsbasis | ☐ |
| A.7.4 | Kwaliteit van data | Datakwaliteitsmetrieke, valideringsprosedures, fouthanteringsrekords | ☐ |
| A.7.5 | Data-oorsprong | Data-afstammingsdokumentasie, bewaringskettingrekords | ☐ |
| A.7.6 | Data-voorbereiding | Voorverwerkingspyplyne, transformasielogboeke, etiketteringsprosedures | ☐ |
| A.8 — Inligting vir Belangstellendes | |||
| A.8.2 | Stelseldokumentasie vir gebruikers | Gebruikersgidse, vermoëverklarings, bekende beperkings | ☐ |
| A.8.3 | Eksterne verslagdoening | Gepubliseerde deursigtigheidsverslae, regulatoriese voorleggings | ☐ |
| A.8.4 | Kommunikasie van voorvalle | Prosedures vir voorvalkennisgewing, kommunikasiesjablone, kennisgewingrekords | ☐ |
| A.8.5 | Inligting vir belangstellendes | Rekords van belanghebbendekommunikasie, openbaarmakingsbeleid | ☐ |
| A.9 — Gebruik van KI-stelsels | |||
| A.9.2 | Prosesse vir verantwoordelike gebruik | Aanvaarbare gebruiksprosedures, menslike toesigmeganismes, eskalasiepaaie | ☐ |
| A.9.3 | Doelwitte vir verantwoordelike gebruik | Meetbare doelwitte vir verantwoordelike KI-gebruik, moniteringskriteria | ☐ |
| A.9.4 | Beoogde gebruik | Gedokumenteerde beoogde gebruiksverklarings, randvoorwaardes, verbode gebruike | ☐ |
| A.10 — Verhoudings met derde partye en kliënte | |||
| A.10.2 | Toewysing van verantwoordelikhede | Verantwoordelikheidstoewysingsdokumente, kontraktuele klousules vir KI-verpligtinge | ☐ |
| A.10.3 | Verskaffers | Verskafferbeoordelingsrekords, omsigtigheidstoetsverslae, kontraktuele KI-vereistes | ☐ |
| A.10.4 | Kliënte | Kliëntkommunikasierekords, gebruiksriglyne, terugvoermeganismes | ☐ |
Sodra jy elke kontrole geassesseer het, stel jou regverdigings saam in 'n Verklaring van toepaslikheidHierdie dokument is 'n verpligte ouditlewering en koppel elke kontrole aan u risikobehandelingsbesluite.
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Waarom ISMS.online kies vir ISO 42001-voldoening?
Om deur 'n kontrolelys op papier te werk is 'n begin—maar om voortdurend te bestuur ISO 42001 voldoening oor spanne, KI-stelsels en ouditsiklusse heen vereis 'n platform wat vir die werk gebou is. ISMS.aanlyn kaarte direk na elke item op hierdie kontrolelys:
- Voorafgeboude ISO 42001-beheerstelle — Elke Aanhangsel A-kontrole is vooraf gelaai met riglyne, sodat jou span presies weet watter bewyse om in te samel en waar om dit te stoor.
- KI-risikoregister — Voer KI-risikobepalings (Klausule 6.1.2) en KI-stelsel-impakbepalings (Klausule 6.1.4) uit en dokumenteer dit in 'n gestruktureerde, ouditeerbare register.
- Beleid- en dokumentbestuur — Konsep, weergawe, goedkeur en versprei jou KI-beleid en alle ondersteunende dokumentasie vanuit 'n enkele werkruimte.
- Verklaring van Toepaslikheid-bouer — Genereer jou SoA outomaties vanaf jou risikobehandelingsbesluite, met volledige regverdigingsopsporing vir ingeslote en uitgeslote kontroles.
- Ouditbestuur — Beplan interne oudits (Klausule 9.2), ken bevindinge toe, spoor korrektiewe aksies na (Klausule 10.2), en voer bewyspakkette vir eksterne ouditeure uit. Sien ons ISO 42001-oudit gids vir meer.
- Bewysversameling en -koppeling — Heg bewyse direk aan kontroles en klousules. Wanneer jou ouditeur om bewyse vra, is dit reeds georganiseerd en gereed.
- Geïntegreerde bestuurstelselondersteuning — As jy reeds ISO 27001 of ISO 27701 gebruik, ISMS.aanlyn laat jou toe om alle standaarde vanaf een platform te bestuur met gedeelde kontroles en verminderde duplisering.
Gereed om van kontrolelys na aksie oor te skakel? Bespreek 'n demo om te sien hoe ISMS.aanlyn versnel jou pad na ISO 42001 sertifisering.
Vrae & Antwoorde
Hoeveel vereistes is daar in ISO 42001?
ISO 42001 bevat bestuurstelselvereistes oor sewe klousules (Klausule 4 tot Klousule 10) plus 38 Aanhangsel A-beheerdoelwitte wat in nege beheerareas gegroepeer is. Die klousules definieer hoe jy jou KI-bestuurstelsel vestig, bedryf en verbeter, terwyl die Aanhangsel A-beheermaatreëls spesifieke aspekte aanspreek. KI bestuur verantwoordelikhede soos datakwaliteit, impakbepaling en derdeparty-bestuur.
Moet ek al 38 Aanhangsel A-kontroles implementeer?
Nie noodwendig nie. Die beheermaatreëls wat jy implementeer, hang af van jou KI-risikobepaling en die omvang van jou KI-stelsels. Jy moet jou besluite in 'n dokument dokumenteer. Verklaring van toepaslikheid, en regverdig beide die beheermaatreëls wat u gekies het en dié wat u uitgesluit het. Ouditeure sal hierdie regverdigings hersien, dus elke uitsluiting benodig 'n duidelike, risikogebaseerde rasionaal.
Wat is die verskil tussen die klousulevereistes en Aanhangsel A-kontroles?
Die klousulevereistes (4—10) is verpligtend vir elke organisasie wat sertifisering soek. Hulle definieer die bestuurstelselraamwerk: konteks, leierskap, beplanning, ondersteuning, bedrywighede, prestasie-evaluering en verbetering. Die Aanhangsel A-kontroles is 'n verwysingstel doelwitte wat jy selektief toepas op grond van jou risikobehandelingsplan. Dink aan die klousules as die enjin van jou AIMS en Aanhangsel A as die spesifieke kontroles wat jy aanpas om geïdentifiseerde risiko's aan te spreek.
Hoe lank neem dit om hierdie kontrolelys te voltooi en sertifisering te verkry?
Tydlyne wissel na gelang van die grootte en volwassenheid van die organisasie. 'n Organisasie met 'n bestaande ISO 27001-bestuurstelsel kan tipies ISO 42001-sertifisering binne 3-6 maande behaal deur sy bestaande prosesse uit te brei. Organisasies wat van nuuts af begin, moet vir 6-12 maande beplan. Deur 'n platform soos ISMS.aanlyn met voorafgeboude sjablone en begeleide werkvloeie kan hierdie tydlyn aansienlik verminder word. Ons implementeringsgids verskaf 'n gedetailleerde uiteensetting.
Kan ek hierdie kontrolelys vir 'n interne oudit gebruik?
Ja. Hierdie kontrolelys stem direk ooreen met die vereistes wat 'n eksterne ouditeur sal assesseer. Gebruik dit as 'n basislyn vir jou interne ouditprogram (Klausule 9.2) om nie-ooreenstemmings te identifiseer voor u sertifiseringsoudit. Vir elke item wat as onvolledig gemerk is, maak 'n bevinding en ken 'n regstellende aksie met 'n sperdatum toe. Ons ISO 42001-oudit Die gids dek die volledige interne ouditproses.
