Flux de mise en œuvre

ISO/IEC 42001 — de la fondation à l'amélioration continue

Une séquence pratique en 10 étapes pour mettre en œuvre un système de management de l'IA : bâtir la fondation, évaluer le risque et l'impact, sélectionner les mesures, mettre en œuvre les contrôles guidés par l'Annexe B, puis surveiller et améliorer.

Plan 1

Fondation du SMIA et socle de gouvernance

1Articles 4.1-4.4

Comprendre le contexte, les rôles de l'IA et le périmètre

Key output: Périmètre du SMIA, rôles de l'IA, parties intéressées, hypothèses légales/contextuelles et cartographie des processus.

2Articles 5.1-5.3 ; Annexe B.2-B.3

Établir le leadership, la politique et l'autorité

Key output: Politique IA, RACI, autorité d'approbation, signalement des préoccupations et modèle de responsabilité.

3Article 6.2 ; Articles 7.1-7.5

Définir les objectifs, le support et la maîtrise documentaire

Key output: Objectifs IA, ressources, compétences, sensibilisation, communication et documentation maîtrisée.

Plan 2

Conception fondée sur les risques et sélection des mesures

4Articles 4.4 et 8.1 ; Annexe B.4/B.9

Inventorier les systèmes d'IA et les utilisations prévues

Key output: Registre des systèmes d'IA, registre des outils, stade du cycle de vie, utilisation approuvée et propriété.

5Articles 6.1.1-6.1.4 ; 8.2 ; 8.4 ; Annexe B.5

Évaluer les risques, opportunités et impacts de l'IA

Key output: Critères de risque, évaluation des risques/impacts, journal des opportunités et analyse des parties affectées.

6Article 6.1.3 ; Article 8.3 ; Annexes A+B

Sélectionner les mesures, la DdA et le plan de traitement

Key output: Déclaration d'applicabilité, plan de traitement, décision sur le risque résiduel et plan de preuves.

Mettre en œuvre et exploiter les mesures sélectionnées

7Article 8.1 ; Annexe B.6-B.7

Mettre en œuvre les contrôles du cycle de vie et des données

Key output: Exigences, conception, V&V, déploiement, surveillance, journaux d'événements et preuves de jeux de données.

8Article 8.1 ; Annexe B.8-B.10

Mettre en œuvre les contrôles d'utilisation, de transparence et tiers

Key output: Information des utilisateurs, supervision humaine, enregistrements d'utilisation prévue et responsabilités fournisseur/client.

Check / Act

Boucle d'assurance et d'amélioration continue

9Articles 9.1-9.3 ; Articles 8.2-8.4

Surveiller, auditer et évaluer l'efficacité

Key output: Preuves de surveillance, constats d'audit, décisions de revue de direction et preuves de risque actualisées.

10Articles 10.1-10.2

Corriger, améliorer et mettre à jour le SMIA

Key output: CAPA, enseignements tirés, mesures améliorées et mise à jour des enregistrements de périmètre, politique, risque, DdA et cycle de vie.

Annex B

Colonne vertébrale des recommandations de l'Annexe B

Utilisez l'Annexe B pour traduire les mesures sélectionnées de l'Annexe A en actions de mise en œuvre concrètes. Adaptez au périmètre de l'organisation, au rôle de l'IA, au profil de risque et au cas d'usage.

Les sorties deviennent des informations documentées maîtrisées et des preuves d'audit.

B.2Politiques d'IA
B.3Organisation interne
B.4Ressources pour l'IA
B.5Évaluation d'impact
B.6Cycle de vie du système d'IA
B.7Données pour les systèmes d'IA
B.8Information des parties intéressées
B.9Utilisation des systèmes d'IA
B.10Relations avec les tiers/clients

Déclencheur événementiel

Nouveau cas d'usage d'IA, changement important, incident, manquement de surveillance, changement de fournisseur ou nouvelle exigence légale/client — revenez aux étapes de risque, d'impact, de DdA et de mise en œuvre des mesures.

Ce visuel résume le flux de mise en œuvre en utilisant uniquement des références d'articles/de mesures. Il ne reproduit pas le texte protégé des exigences de la norme ISO/IEC 42001.

Vous voulez mettre en œuvre ce flux avec des modèles prêts à l'emploi ?

Chaque sortie ci-dessus correspond à une politique Word ou une feuille Excel du pack.

Voir le pack