标准对比

ISO/IEC 42001 与 NIST AI RMF

一个是可认证的国际管理体系标准;另一个是自愿性的美国风险框架。两者互补——以下说明 ISO/IEC 42001 与 NIST AI Risk Management Framework 有何不同,以及如何并用。

简要版

  • NIST AI RMF 是自愿性的美国框架(Govern、Map、Measure、Manage);ISO/IEC 42001 是可认证的国际管理体系标准。
  • NIST 告诉您如何思考 AI 风险;ISO/IEC 42001 为您提供体系、控制措施与审核轨迹——外加一份经认可的证书。
  • 两者可清晰对应:NIST 的四项职能可在 ISO/IEC 42001 AIMS 内落地。
  • 美国组织常用 NIST 提供风险方法,用 ISO/IEC 42001 提供买家认可的可认证体系。

并列对比

两者如何对比

NIST AI RMFISO/IEC 42001
类型自愿性框架/指导可认证的管理体系标准
来源美国(NIST),2023 年国际(ISO/IEC),2023 年
结构4 项职能:Govern、Map、Measure、Manage(+ profiles)条款 4–10 + Annex A 控制措施 + SoA
认证无——自我评估经认可的第三方(Stage 1 + Stage 2)
侧重点可信 AI 风险管理完整的 AI 管理体系
证据推荐做法可审核的记录;强制性的成文信息

ISO/IEC 42001 更进一步之处

该标准在框架之外的增益

一份证书,而不仅是框架

NIST 靠自我评估;ISO/IEC 42001 提供买家与监管机构信任的独立、经认可的认证。

一套运行中的管理体系

超越风险分析:政策、职责、内部审核、管理评审与持续改进。

适用性声明

对每一项控制措施作出有文档记录、有理由的决定——NIST 并未规定的问责主线。

并用更佳

在 ISO/IEC 42001 体系内使用 NIST

两者天然可结合。将 NIST AI RMF 的 Govern–Map–Measure–Manage 各项职能用作 ISO/IEC 42001 AIMS 内的风险方法:NIST 决定您如何识别和衡量 AI 风险;ISO/IEC 42001 提供对其进行文档记录、审核与改进的可认证体系。对美国组织而言,这意味着一个连贯的项目——对内用 NIST,对外用一份受认可的证书。

问题

ISO/IEC 42001 与 NIST AI RMF——快速解答

NIST AI RMF 是一种认证吗?

不是——它是您自行应用的自愿性指导。ISO/IEC 42001 才是可认证的标准;两者相辅相成。

如果我们已遵循 NIST AI RMF,做 ISO/IEC 42001 有多难?

大部分风险思维可以迁移。ISO/IEC 42001 增加了管理体系外壳(政策、职责、审核、评审)和适用性声明,然后是一次经认可的审核。

美国公司应选哪一个?

通常两者都选:用 NIST 提供您的团队与监管机构认可的风险方法,用 ISO/IEC 42001 提供您的客户所要求的可审核、可认证体系。

将符合 NIST 的治理转化为一份证书

该工具包将符合 NIST 的风险管理落地为可审核、可认证的 ISO/IEC 42001 管理体系。