Rozvoj systémů umělé inteligence (AI) je fascinující proces, který se projevuje v mnoha oblastech a přináší zvýšení efektivity a produktivity i zlepšení služeb zákazníkům. Tento obor však čelí řadě výzev, jako jsou etické otázky, transparentnost a důvěra, kybernetická bezpečnost či obavy z dopadů na zaměstnanost. Proto by organizace měly od počátku podchytit iniciativy spojené s vytvářením nebo používáním systémů umělé inteligence.
Norma ISO/IEC 42001
Na konci roku 2023 byla vydána nová norma ISO/IEC 42001:2023 Informační technologie – Umělá inteligence – Systém managementu, která je určena pro všechny organizace, které poskytují nebo používají produkty nebo služby založených na umělé inteligenci.
Norma obsahuje kapitoly 4 až 10 specifikující požadavky pro vytvoření, implementaci, udržování a neustálé zlepšování systému managementu umělé inteligence (AIMS). Mimo jiné obsahuje také normativní přílohu A – Referenční cíle opatření a opatření, které mají organizace použít pro řízení rizik a dosažení cílů v oblasti AI.
Rozdílová (gap) analýza souladu s ISO/IEC 42001 a její přínosy
Posouzením shody s výše uvedenými požadavky může organizace vyhodnotit, zda a do jaké míry je s nimi v souladu, kde existují mezery (neshody) a kde jsou příležitosti pro zlepšení. Může také určit účinnost nebo vyspělost stávající praxe. To vše se souhrnně označuje jako rozdílová analýza nebo analýza mezer či gap analýza s následujícími přínosy.
- Identifikace a pochopení stávajícího stavu a vyspělosti systému managementu a kontrolních opatření ve vztahu k příslušným požadavkům
- Optimalizace plánování zavedení systému managementu i kontrolních opatření
- Hodnocení pokroku rozvoje systému managementu i kontrolních opatření
- Efektivní využití výstupů v procesu managementu rizik
Postup rozdílové analýzy
Postup rozdílové analýzy sestává ze 5 navazujících kroků.
- Stanovení kontextu a rozsahu
- Identifikace a hodnocení stávajícího stavu
- Definice cílového stavu
- Specifikace kroků pro dosažení cílového stavu
- Konsolidace informací a závěrečná zpráva
Účelem stanovení kontextu je definovat cíle a rozsah rozdílové analýzy.
Účelem identifikace a posouzení současného stavu je shromáždit informace a zdokumentovat současný stav systému managementu nebo kontrolních opatření a posoudit úroveň jejich vyspělosti. Určení úrovně vyspělosti procesu nebo kontrolních opatření se provádí pomocí kvantitativní hierarchické stupnice. V praxi se stupnice obvykle vyjadřuje jako stupnice 0-5, přičemž čím vyšší číslo, tím vyšší úroveň vyspělosti. Je důležité, aby byl při hodnocení vyspělosti získán objektivní důkaz o splnění požadavků v příslušné úrovni.
Účelem definování cílového stavu je stručně popsat požadovaný cílový stav s ohledem na příslušné požadavky a stanovit jeho cílovou úroveň vyspělosti.
Účelem specifikace kroků pro dosažení cílového stavu je identifikace rozdílů mezi stávajícím a cílovým stavem a určení činností potřebných k překlenutí rozdílů a přechodu do cílového stavu.
Účelem konsolidace je přezkoumat a potvrdit výsledky rozdílové analýzy a vyvodit závěry z ní. Výsledky a závěry z rozdílové analýzy by měly být součástí závěrečné zprávy. Dobrou praxí je grafická prezentace výsledků rozdílové analýzy, která na první pohled napoví, kde jsou největší mezery a na co je třeba upřít pozornost.
Úroveň vyspělosti
Určení úrovně vyspělosti procesů nebo opatření je dobrou praxí, která pomáhá organizacím pochopit jejich současnou úroveň výkonnosti. Existuje několik modelů, například model CMMI (Capability Maturity Model Integration), který definuje 5 úrovní zralosti:
- Initial (počáteční): Procesy a opatření jsou nedefinované a chaotické.
- Managed (řízený): Procesy a opatření jsou plánované, prováděné a řízené.
- Defined (definovaný): Procesy a opatření jsou popsány a standardizovány.
- Quantitatively Managed (kvantitativně řízený): Procesy a opatření jsou měřeny a analyzovány.
- Optimizing (optimalizovaný): Procesy a opatření jsou neustále zlepšovány.
Příklad záznamu v rozdílové analýze
| ID | Téma | Opatření | Stručný popis stavu | Vyspělost | Klíčový faktor změny | Priorita |
|---|---|---|---|---|---|---|
| A.2.2 | Politika AI | Organizace musí dokumentovat politiku pro vývoj nebo používání systémů AI. | Organizace schválila a komunikovala obecnou politiku IA podle článku 5.2 normy. Politika AI však neřeší dopady na příslušné zainteresované strany nebo tématicky specifické aspekty (správa aktiv AI, posouzení dopadů systémů AI, vývoj systémů AI atp.). | 1 | Dokumentovat, schválit a komunikovat tématicky-specifické politiky AI. | 1 (neshoda) |