信息技術(shù)—人工智能（AI）一AI系統(tǒng)影響評(píng)估參考編號(hào)ISO/IEC42005:2025(en)國際標(biāo)準(zhǔn)@@ISO/IEC20252025ISO/IEC42005：2025（en）CISO/IEC2025版權(quán)所有。除非另有規(guī)定或?qū)嵤┻^程中有特殊要求，未經(jīng)事先書面許可，不得以任何形式或任何方式（包括電子或機(jī)械手段，如復(fù)印、發(fā)布于互聯(lián)網(wǎng)或內(nèi)聯(lián)網(wǎng)）復(fù)制或以其他方式使用本出版物的任何部分。許可申請(qǐng)可向以下地址的ISO組織或請(qǐng)求者所在國的ISO成員機(jī)構(gòu)提出。國際版權(quán)局CP401·Ch.deBlandonnet8CH-1214日內(nèi)瓦游標(biāo)卡尺電話：+41227490111Email:copyright@網(wǎng)址：二在瑞士出版ISO/IEC2025-版權(quán)所有二III序言五 序言五 122規(guī)范性引用文件1 133術(shù)語與定義1 144縮寫術(shù)語2 255開發(fā)并實(shí)施人工智能系統(tǒng)影響評(píng)估流程3 3 35.2流程記錄3 35.3與其他組織管理流程的整合4 45.4人工智能系統(tǒng)影響評(píng)估的時(shí)間安排4 45.5人工智能系統(tǒng)影響評(píng)估的范圍5 55.6責(zé)任分配5 55.7確定敏感用途、限制用途及影響規(guī)模的閾值6 65.8開展人工智能系統(tǒng)影響評(píng)估7 75.9分析人工智能系統(tǒng)影響評(píng)估結(jié)果7 75.10記錄與報(bào)告7 7 85.12監(jiān)測與審查8 866記錄人工智能系統(tǒng)的影響評(píng)估9 9 96.2人工智能系統(tǒng)影響評(píng)估的范圍9 96.3AI系統(tǒng)信息9 96.3.1人工智能系統(tǒng)描述9 9 6.3.3人工智能系統(tǒng)的目的10 6.4數(shù)據(jù)信息與質(zhì)量1 1 6.4.2數(shù)據(jù)信息1 1 6.6部署環(huán)境14 III 6.7.2直接受影響的利益相關(guān)方15 附錄A（參考性）ISO/IEC4200121使用指南 21附錄B（參考性）ISO/IEC2389423聯(lián)合使用指南 23Ⅲ附錄C（參考性）危害與效益分類法25 25附錄D（參考性）將人工智能系統(tǒng)影響評(píng)估與其他評(píng)估對(duì)齊27 27附錄E（參考性）人工智能系統(tǒng)影響評(píng)估模板示例31 參考文獻(xiàn)38 38ⅢVISO/IEC42005：2025（en）前言國際標(biāo)準(zhǔn)化組織（ISO）與國際電工委員會(huì)（IEC）共同構(gòu)建了全球標(biāo)準(zhǔn)化的專業(yè)體系。作為ISO或IEC成員的各國機(jī)構(gòu)，通過各自組織設(shè)立的技術(shù)委員會(huì)參與國際標(biāo)準(zhǔn)制定，這些委員會(huì)專門負(fù)責(zé)特定技術(shù)領(lǐng)域的標(biāo)準(zhǔn)化工作。ISO與IEC的技術(shù)委員會(huì)在共同關(guān)注的領(lǐng)域開展協(xié)作。此外，其他國際組織（包括政府機(jī)構(gòu)和非政府組織）在與ISO及IEC保持聯(lián)絡(luò)后，也會(huì)參與相關(guān)標(biāo)準(zhǔn)化工作。用于編制本文件的程序以及用于進(jìn)一步維護(hù)的程序在ISO/IEC指令第1部分中描述。特別是，應(yīng)注意到不同類型文件所需的不同的批準(zhǔn)標(biāo)準(zhǔn)。本文件是根據(jù)ISO/IEC指令第2部分的編輯規(guī)則起草的（參見/directives或www.iec.ch/members專家/參考文件）。ISO和IEC指出，實(shí)施本文件可能涉及使用(a)專利。ISO和IEC對(duì)任何相關(guān)專利權(quán)利的有效性或適用性不作立場聲明。截至本文件發(fā)布之日，ISO和IEC尚未收到可能需要實(shí)施本文件的(a)專利通知。然而，實(shí)施者需注意，這可能不代表最新信息https://patents.iec.ch的專利數(shù)據(jù)庫中獲取。ISO和IEC不對(duì)識(shí)別任何或所有此類專利權(quán)利負(fù)責(zé)。本文件中使用的任何商品名稱均為為方便用戶而提供的信息，不構(gòu)成認(rèn)可。關(guān)于標(biāo)準(zhǔn)的自愿性質(zhì)、ISO特定術(shù)語和與合格評(píng)定相關(guān)的表達(dá)含義，以及ISO遵守世界貿(mào)易組織（WTO）技術(shù)性貿(mào)易壁壘（TBT）原則的信息，請(qǐng)參見/iso/foreword.html。在IEC中，請(qǐng)參見www.iec.ch/understanding-standards。如對(duì)本文件有任何反饋或疑問，請(qǐng)聯(lián)系用戶所在國家的標(biāo)準(zhǔn)化機(jī)構(gòu)。這些機(jī)構(gòu)的完整列表可以在/members.html上找到www.iec.ch/national-committees.VISO/IEC42005：2025（en）介紹隨著人工智能（AI）系統(tǒng)、產(chǎn)品、服務(wù)及組件的廣泛應(yīng)用，人們越來越關(guān)注其可能對(duì)社會(huì)各層面產(chǎn)生的影響。AI技術(shù)帶來了諸多前景廣闊的應(yīng)用：能夠自動(dòng)化處理復(fù)雜或危險(xiǎn)的工作，實(shí)現(xiàn)海量數(shù)據(jù)的快速精準(zhǔn)分析，推動(dòng)醫(yī)療健康等領(lǐng)域取得突破。但與此同時(shí)，人們也擔(dān)憂AI系統(tǒng)可能引發(fā)的負(fù)面影響，包括潛在的有害后果、不公平或歧視性結(jié)果、環(huán)境破壞以及勞動(dòng)力的非自愿縮減等問題。看似無害的人工智能系統(tǒng)開發(fā)與應(yīng)用，可能對(duì)個(gè)人、群體乃至整個(gè)社會(huì)產(chǎn)生深遠(yuǎn)影響（既有積極面也有消極面）。為確保人工智能技術(shù)應(yīng)用的透明度與可信度，相關(guān)機(jī)構(gòu)應(yīng)當(dāng)采取措施向利益相關(guān)方說明：這些潛在影響已得到充分考量。人工智能系統(tǒng)影響評(píng)估在治理、風(fēng)險(xiǎn)管控及合規(guī)性評(píng)估等綜合體系中發(fā)揮著關(guān)鍵作用，這些環(huán)節(jié)共同構(gòu)建起信任與問責(zé)的良性循環(huán)。ISO/IEC38507、ISO/IEC23894和ISO/IEC42001標(biāo)準(zhǔn)分別構(gòu)成了該生態(tài)系統(tǒng)中治理、風(fēng)險(xiǎn)管理和符合性評(píng)估（通過管理體系實(shí)現(xiàn)）的重要組成部分。這些標(biāo)準(zhǔn)都強(qiáng)調(diào)需要考慮對(duì)個(gè)人和社會(huì)的影響。治理機(jī)構(gòu)能夠理解這些影響，從而確保人工智能系統(tǒng)的開發(fā)和使用與企業(yè)價(jià)值觀和目標(biāo)保持一致。從事風(fēng)險(xiǎn)管理活動(dòng)的組織可以合理預(yù)見對(duì)個(gè)人和社會(huì)的影響，并將其恰當(dāng)?shù)丶{入整體組織風(fēng)險(xiǎn)評(píng)估。開發(fā)或使用人工智能系統(tǒng)的組織可將相關(guān)影響的理解和記錄納入管理體系，確保相關(guān)方的期望以及內(nèi)部和外部要求得到滿維1國際標(biāo)準(zhǔn)ISO/IEC42005：2025（en）國際標(biāo)準(zhǔn)ISO/IEC42005：2025（en）本文件為開展人工智能（AI）系統(tǒng)影響評(píng)估的組織提供指導(dǎo)，適用于可能受AI系統(tǒng)及其可預(yù)見應(yīng)用影響的個(gè)人和社會(huì)群體。內(nèi)容涵蓋評(píng)估實(shí)施的時(shí)間與方式、AI系統(tǒng)生命周期各階段的評(píng)估要點(diǎn)，以及AI系統(tǒng)影響評(píng)估文檔的編制指南。本文件適用于開發(fā)、提供或使用人工智能系統(tǒng)的組織。無論組織的規(guī)模、類型或性質(zhì)如何，本文件均適用。2規(guī)范性參考文獻(xiàn)本文引用下列文件時(shí)，其全部或部分內(nèi)容均構(gòu)成本文件的要求。對(duì)于標(biāo)注日期的引用，僅引用該日期的版本；對(duì)于未標(biāo)注日期的引用，則適用所引用文件的最新版本（包括任何修訂內(nèi)容）。3術(shù)語與定義—IECElectropedia：可在/上獲取3.1人工智能系統(tǒng)影響評(píng)估3.2預(yù)期用途人工智能系統(tǒng)設(shè)計(jì)的用途3.312ISO/IEC42005：2025（en）3.4預(yù)期用戶為特定人群或信息系統(tǒng)設(shè)計(jì)的人工智能系統(tǒng)[來源：ISO20282-1：2006,3.12，修改——“人員”已替換為“人員或信息系統(tǒng)”，“產(chǎn)品”已替換為“AI系統(tǒng)”。]3.5有關(guān)的當(dāng)事人股東能夠影響、受影響或自認(rèn)為受決策或活動(dòng)影響的個(gè)人或組織[來源：ISO/IEC42001：2023,3.2]3.6合理可預(yù)見的濫用以人工智能系統(tǒng)開發(fā)者或提供者未預(yù)期的方式使用該系統(tǒng)，但可能源于預(yù)期用戶可預(yù)見行為的后果注2：在消費(fèi)者安全領(lǐng)域，“合理可預(yù)見用途”日益成為“預(yù)期用途”的同義詞，“非預(yù)期用途”則成為“合理可預(yù)見誤用”的同義詞。注3：具體定義可能因標(biāo)準(zhǔn)或法規(guī)的具體應(yīng)用領(lǐng)域而略有差異。[來源：ISO/IECGuide51：2014,3.7（修訂版）——將“產(chǎn)品或系統(tǒng)”替換為“人工智能系統(tǒng)”，并將“供應(yīng)商”替換為“人工智能系統(tǒng)開發(fā)者或提供商”。]3.7限制使用使用受法律、組織政策或合同協(xié)議約束的人工智能系統(tǒng)3.8敏感使用3.9高管理層在最高層領(lǐng)導(dǎo)和控制組織的個(gè)人或群體條目注釋1：最高管理層有權(quán)在組織內(nèi)部授權(quán)并提供資源。條目注釋2：若管理體系的范圍僅覆蓋組織的某一部分，則最高管理層指直接指導(dǎo)和控制該組織部分的人員。4縮寫術(shù)語4縮寫術(shù)語AI（人工智能）AI（人工智能）2環(huán)境影響評(píng)估財(cái)務(wù)影響評(píng)估HRIA人權(quán)影響評(píng)估3ISO/IEC42005：2025（en）IT信息技術(shù)ML機(jī)器學(xué)習(xí)IT信息技術(shù)ML機(jī)器學(xué)習(xí)PIA隱私影響評(píng)估PII個(gè)人身份信息SIA安全影響評(píng)估5開發(fā)并實(shí)施人工智能系統(tǒng)影響評(píng)估流程5.1.1該組織應(yīng)建立結(jié)構(gòu)化且一致的AI系統(tǒng)影響評(píng)估執(zhí)行與記錄方法。所采用的流程可根據(jù)多種因素進(jìn)行調(diào)整。a)組織背景、治理結(jié)構(gòu)、目標(biāo)、政策及程序；b)合同義務(wù)；c)待開發(fā)或使用的鋁系統(tǒng)預(yù)期用途；d)風(fēng)險(xiǎn)偏好。5.1.3外部因素包括：a)適用的法律要求，包括禁止使用人工智能系統(tǒng)；b)監(jiān)管機(jī)構(gòu)制定的政策、指南及決策，這些文件對(duì)人工智能系統(tǒng)開發(fā)與應(yīng)用中法律要求的解釋或執(zhí)行具有影響；c)與鋁系統(tǒng)預(yù)期用途相關(guān)的激勵(lì)或后果。d)關(guān)于人工智能系統(tǒng)開發(fā)與使用的文化、傳統(tǒng)、價(jià)值觀、規(guī)范及倫理；e)基于人工智能系統(tǒng)的新產(chǎn)品與服務(wù)的競爭格局及發(fā)展趨勢；5.1.4第5條詳細(xì)列明了人工智能系統(tǒng)影響評(píng)估流程中可能涉及的要素，相關(guān)組織在實(shí)施該流程時(shí)可參考這些要素。5.2流程記錄組織應(yīng)建立并完善人工智能系統(tǒng)影響評(píng)估的完整流程文檔。相關(guān)文檔需定期更新，并在適當(dāng)情況下向利益相關(guān)方開放查閱。文檔內(nèi)容應(yīng)涵蓋第5條款規(guī)定的核心議題。具體文檔成果需根據(jù)組織需求和系統(tǒng)類型靈活調(diào)整，例如可包含以下內(nèi)容：a)有文件記錄的程序指南；3b)AI系統(tǒng)影響對(duì)齊指南或模板（參見附件D）或獨(dú)立模板（參見附件Ec)提高認(rèn)識(shí)和培訓(xùn)的用例；d)在相關(guān)人工智能管理系統(tǒng)中進(jìn)行各類管理評(píng)審的輸入；e)完成的人工智能系統(tǒng)影響評(píng)估及評(píng)估過程中的其他成果。4在數(shù)據(jù)保留政策和與數(shù)據(jù)相關(guān)的法律義務(wù)范圍內(nèi)，應(yīng)在整個(gè)AI系統(tǒng)影響評(píng)估過程中維護(hù)文檔retention，i.e.at設(shè)計(jì)、重新設(shè)計(jì)、部署和評(píng)估階段。5.3與其他組織管理流程的整合該組織應(yīng)記錄人工智能系統(tǒng)影響評(píng)估如何與其他組織流程整合。這可包括以下考量因素：a)該組織如何將人工智能系統(tǒng)影響評(píng)估與組織風(fēng)險(xiǎn)評(píng)估相結(jié)合；b)該組織如何將人工智能系統(tǒng)影響評(píng)估與其他類型的影響評(píng)估相結(jié)合；c)針對(duì)可合理預(yù)見的影響，已實(shí)施或計(jì)劃實(shí)施的組織治理、風(fēng)險(xiǎn)與合規(guī)流程有哪些。5.4AI系統(tǒng)影響評(píng)估的時(shí)機(jī)5.4.1在建立人工智能系統(tǒng)影響評(píng)估流程時(shí)，組織應(yīng)明確界定評(píng)估的實(shí)施時(shí)機(jī)與層級(jí)，以及既往評(píng)估報(bào)告的復(fù)用、轉(zhuǎn)用或修訂范圍。評(píng)估時(shí)間的確定可能受以下因素影響（但不限于）：a)適用的法律要求；b)合同義務(wù)與職業(yè)責(zé)任；c)內(nèi)部結(jié)構(gòu)、政策、流程、程序及資源，包括技術(shù)；d)AI系統(tǒng)風(fēng)險(xiǎn)等級(jí)（組織可考慮ISO/IEC23894：2023,6.3.4以獲取額外指導(dǎo)）；e)相關(guān)利益方（包括客戶）的預(yù)期；f)內(nèi)部人工智能系統(tǒng)生命周期流程；有關(guān)人工智能系統(tǒng)影響評(píng)估的時(shí)間安排以及如何將其與其他由組織進(jìn)行的影響評(píng)估相連接或協(xié)調(diào)的更多指導(dǎo)，請(qǐng)參閱附錄D。5.4.2當(dāng)以下因素發(fā)生變化時(shí)（但不限于）：a)人工智能系統(tǒng)預(yù)期用途的變更，包括該系統(tǒng)使用者的變更；b)客戶期望的變化；c)人工智能系統(tǒng)本身的變更，包括以下方面的變更：2)人工智能系統(tǒng)的復(fù)雜程度或類型；3)人工智能系統(tǒng)的性能表現(xiàn)；d)人工智能系統(tǒng)運(yùn)行環(huán)境的變化；e)人工智能系統(tǒng)所處環(huán)境的變化，包括以下方面的變化：41)適用的法律要求；53)內(nèi)部政策；4)人工智能系統(tǒng)的相關(guān)利益方；5)該組織當(dāng)前及未來運(yùn)營的地點(diǎn)與行業(yè)領(lǐng)域。在實(shí)施觸發(fā)重新評(píng)估的變更前，應(yīng)進(jìn)行人工智能風(fēng)險(xiǎn)評(píng)估和人工智能系統(tǒng)影響評(píng)估。5.4.3時(shí)間安排的考量因素可能包括：a)人工智能系統(tǒng)影響評(píng)估的實(shí)施頻率；c)人工智能系統(tǒng)影響評(píng)估的更新頻率；d)在何種情況下需要進(jìn)行新的AI系統(tǒng)影響評(píng)估或更新；e)與人工智能系統(tǒng)影響評(píng)估相關(guān)的其他影響評(píng)估有哪些？5.4.4當(dāng)需要進(jìn)行人工智能系統(tǒng)影響評(píng)估時(shí)，組織應(yīng)當(dāng)考慮是否采用分級(jí)篩選工具。例如，若組織確定僅需對(duì)“高風(fēng)險(xiǎn)”人工智能系統(tǒng)進(jìn)行影響評(píng)估，則應(yīng)在流程中明確界定何為“高風(fēng)險(xiǎn)”系統(tǒng)以及觸發(fā)影響評(píng)估的條件。分級(jí)篩選流程可采用簡化的AI系統(tǒng)影響評(píng)估版本，以判斷該系統(tǒng)是否屬于高風(fēng)險(xiǎn)并需進(jìn)行全面評(píng)估。5.5人工智能系統(tǒng)影響評(píng)估的范圍該組織應(yīng)界定人工智能系統(tǒng)影響評(píng)估的范圍，包括考慮5.1條款中提供的內(nèi)外部因素、相關(guān)利益方的期望以及對(duì)個(gè)人、群體或社會(huì)可合理預(yù)見的影響，確定人工智能系統(tǒng)影響評(píng)估的適用性及邊界。人工智能系統(tǒng)影響評(píng)估的范圍可包括但不限于：a)整個(gè)AI系統(tǒng)或AI系統(tǒng)中提供users(e.g.when可明確使用功能的組件；對(duì)AI系統(tǒng)的一個(gè)或多個(gè)組件進(jìn)行更改）；b）描述該組織在AIecosystem(e.g.data提供商、模型提供商、服務(wù)提供商或產(chǎn)品提供商中的角色）。若某系統(tǒng)由相互連接的人工智能系統(tǒng)構(gòu)成，該組織應(yīng)考慮是否進(jìn)行單一AI系統(tǒng)影響評(píng)估。注：對(duì)AI系統(tǒng)組件的變更可能影響整個(gè)AI系統(tǒng)在不同方面的整體表現(xiàn)注：對(duì)AI系統(tǒng)組件的變更可能影響整個(gè)AI系統(tǒng)在不同方面的整體表現(xiàn)當(dāng)事人5.6責(zé)任分配該組織應(yīng)確保在組織內(nèi)部明確分配并傳達(dá)人工智能系統(tǒng)影響評(píng)估的職責(zé)。相關(guān)職責(zé)取決于多種因素，包括人工智能系統(tǒng)影響評(píng)估的性質(zhì)、范圍和程度、是否已有先前評(píng)估，可能包括以下職責(zé)：a)確定評(píng)估范圍；5b)確保合理分配資源；c)確保文件信息的可獲取性：CISO/IEC2025-版權(quán)所有6ISO/IEC42005：2025（en））；5.7確定敏感用途、限制用途及影響規(guī)模的閾值b)相關(guān)利益方的預(yù)期；c)最新技術(shù)水平；e)文化、勞動(dòng)和社會(huì)規(guī)范；根據(jù)閾值類型和數(shù)量的不同，組織可實(shí)施包括審查與審批在內(nèi)的額外流程。例如，組織可判定某些用途或可預(yù)見的濫用行為屬于敏感范疇或違反組織政策。法律或其他外部要求可進(jìn)一步界定人工智能系統(tǒng)的使用敏感性或可預(yù)見濫用風(fēng)險(xiǎn)。若人工智能系統(tǒng)影響評(píng)估表明其計(jì)劃用途屬于“敏感”或“受限”類別，組織應(yīng)將后續(xù)步驟作為整體流程的一部分進(jìn)行記錄。示例2若發(fā)現(xiàn)敏感或受限用途，此類用途可上報(bào)管理層（包括審批）。以某人工智能系統(tǒng)為例，該系統(tǒng)對(duì)權(quán)利(尤其是兒童權(quán)利）產(chǎn)生重大影響，且其負(fù)面影響無法通過技術(shù)改進(jìn)緩解。此類問題可上報(bào)以決定是否因負(fù)面影響而審查該人工智能系統(tǒng)的發(fā)展。67針對(duì)人工智能系統(tǒng)可能產(chǎn)生的合理可預(yù)見影響進(jìn)行評(píng)估。例如，為確定此類影響的嚴(yán)重程度，人工智能系統(tǒng)影響評(píng)估可采用以下標(biāo)準(zhǔn)：若某項(xiàng)影響可能導(dǎo)致組織、特定群體或社會(huì)產(chǎn)生重大負(fù)面后果，則判定為嚴(yán)重（參見參考文獻(xiàn)[16]第3.2節(jié)）。5.8開展人工智能系統(tǒng)影響評(píng)估在進(jìn)行人工智能系統(tǒng)影響評(píng)估時(shí)，組織應(yīng)酌情考慮：a)識(shí)別所有已識(shí)別個(gè)人、群體及社會(huì)中合理可預(yù)見的人工智能系統(tǒng)影響（如對(duì)人權(quán)和基本權(quán)利的影響）。應(yīng)同時(shí)考慮有益影響與有害影響。b)其他考慮因素包括但不限于：1)這些影響如何轉(zhuǎn)化為組織風(fēng)險(xiǎn)；2)多個(gè)與人工智能相關(guān)的組織目標(biāo)如何影響個(gè)體群體和社會(huì)，例如參考文獻(xiàn)[16]第3.2節(jié)所述。c)識(shí)別對(duì)個(gè)人及群體的影響，如參考文獻(xiàn)[16]及第3.3節(jié)所述[16]，應(yīng)定期或在適當(dāng)情況下進(jìn)行，例如在人工智能系統(tǒng)生命周期的已識(shí)別階段盡早實(shí)施。d)評(píng)估已識(shí)別影響的嚴(yán)重程度與可能性，并確定這些影響將如何作為風(fēng)險(xiǎn)管理過程的一部分予以應(yīng)對(duì)。應(yīng)鼓勵(lì)并整合來自不同社區(qū)的輸入，因其可提供多樣化的視角。5.9人工智能系統(tǒng)影響評(píng)估結(jié)果分析人工智能系統(tǒng)影響評(píng)估的結(jié)果對(duì)人工智能系統(tǒng)的負(fù)責(zé)任使用和發(fā)展具有關(guān)鍵作用，應(yīng)將評(píng)估結(jié)果納入技術(shù)和管理決策。從技術(shù)層面來看，分析人工智能系統(tǒng)影響評(píng)估結(jié)果可用于提升產(chǎn)品或服務(wù)質(zhì)量、建立防范意外使用或可預(yù)見誤用的內(nèi)置防護(hù)機(jī)制、增強(qiáng)AI系統(tǒng)的安全性和穩(wěn)健性等。評(píng)估內(nèi)容還可包括確定應(yīng)對(duì)6.8.2條款所述利弊的措施類型。此外，評(píng)估結(jié)果需與5.7條款設(shè)定的閾值進(jìn)行比對(duì)，若未達(dá)標(biāo)則需制定整改措施。在管理層面，分析可用于為組織風(fēng)險(xiǎn)管理流程提供關(guān)于人工智能系統(tǒng)可預(yù)見影響的信息。這既包括對(duì)單個(gè)人工智能系統(tǒng)影響評(píng)估的考量，也包括對(duì)多項(xiàng)評(píng)估進(jìn)行整體分析，以確定趨勢如何在宏觀層面影響組織風(fēng)險(xiǎn)與目標(biāo)。5.10記錄與報(bào)告5.10.1機(jī)構(gòu)應(yīng)明確并記錄人工智能系統(tǒng)影響評(píng)估的記錄方式，同時(shí)規(guī)定評(píng)估結(jié)果的報(bào)告要求及應(yīng)對(duì)已識(shí)別影響的措施。評(píng)估格式可根據(jù)機(jī)構(gòu)需求靈活調(diào)整，可通過文檔模板、系統(tǒng)或任何支持記錄與報(bào)告的方法進(jìn)行呈現(xiàn)。5.10.2該組織可能同時(shí)存在內(nèi)部和外部報(bào)告需求。內(nèi)部報(bào)告的考量因素可包括向以下對(duì)象提交報(bào)告：a)高層管理；78ISO/IEC42005：2025（en）b)組織內(nèi)工作人員及執(zhí)行任務(wù)的人員，或在適當(dāng)情況下，其代表；c)人工智能生產(chǎn)者；5.10.3外部報(bào)告應(yīng)與相關(guān)利益方的身份、其期望及透明度需求相匹配，同時(shí)確保信息不會(huì)因安全、隱私或保密性原因而被不當(dāng)披露。外部報(bào)告的考量因素可包括：b)人工智能客戶；d)受人工智能系統(tǒng)影響的個(gè)人、群體或社會(huì)。5.10.4向相關(guān)利益方報(bào)告人工智能系統(tǒng)影響評(píng)估的內(nèi)容可包括：a)與預(yù)期人工智能系統(tǒng)用例相關(guān)的實(shí)際或可合理預(yù)見的影響信息，以及其他潛在有益用途及可合理預(yù)見的誤用（至少在宏觀層面）；b)盡可能多地納入已識(shí)別影響的維度，包括合理范圍內(nèi)盡可能多的6.8條款所列影響類型；c)為應(yīng)對(duì)已識(shí)別影響所采取的措施。在報(bào)告合理可預(yù)見的濫用行為時(shí)，組織可省略對(duì)攻擊者有用的具體細(xì)節(jié)。5.10.5報(bào)告應(yīng)采用規(guī)范化的結(jié)構(gòu)和措辭，以便相關(guān)利益方在必要時(shí)能獲取評(píng)估人工智能系統(tǒng)是否符合影響評(píng)估相關(guān)法律要求所需的信息。同時(shí)，報(bào)告內(nèi)容應(yīng)確保在涉及知識(shí)產(chǎn)權(quán)保護(hù)或安全原因無法提供某些部分時(shí)，仍能保持清晰易懂。5.11批準(zhǔn)流程該組織應(yīng)將人工智能系統(tǒng)影響評(píng)估流程中所需的各類審批記錄在案，包括超出既定閾值的審批（參見5.7條款）以及對(duì)整體AI系統(tǒng)影響評(píng)估的最終批準(zhǔn)。需考慮的因素包括：a)當(dāng)需要審批時(shí)（例如當(dāng)超過閾值時(shí)，或在人工智能系統(tǒng)影響后）b)評(píng)估已完成)；c)負(fù)責(zé)審批的人員（具體職責(zé)可能因?qū)徟愋投悾?；d）在任何situations(e.g.regulatory中是否需要外部批準(zhǔn)（外部相關(guān)利益方）。5.12監(jiān)測與審查5.12.1該組織應(yīng)制定并記錄人工智能系統(tǒng)影響評(píng)估的監(jiān)測與審查流程，包括以下內(nèi)容：a)當(dāng)其執(zhí)行時(shí)（無論是在既定節(jié)律下進(jìn)行，還是由事件觸發(fā)，或兩者兼有）；8b)負(fù)責(zé)監(jiān)督與審查的人員；95.12.2人工智能系統(tǒng)評(píng)估審查的輸出應(yīng)包含以下相關(guān)決策：a)持續(xù)改進(jìn)機(jī)會(huì)及對(duì)人工智能系統(tǒng)影響評(píng)估規(guī)劃與實(shí)施的任何變更需求；b)風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)處理流程的變更；c)對(duì)人工智能目標(biāo)的修改；d)對(duì)敏感用途、限制用途及影響量表的閾值進(jìn)行調(diào)整。6記錄人工智能系統(tǒng)影響評(píng)估6.1概述本條款包含可納入書面人工智能系統(tǒng)影響評(píng)估的指導(dǎo)原則。組織應(yīng)根據(jù)自身背景確定需求，本條款中的指導(dǎo)原則并非適用于所有組織。例如，實(shí)施第三方開發(fā)的人工智能系統(tǒng)的組織可能缺乏數(shù)據(jù)(6.4）或算法信息（6.5）的詳細(xì)信息。人工智能系統(tǒng)影響評(píng)估的范圍應(yīng)涵蓋以下內(nèi)容：需評(píng)估的人工智能系統(tǒng)、其可預(yù)見的影響，以及影響這些影響的內(nèi)外部因素。該評(píng)估范圍應(yīng)包括以下內(nèi)容：a)識(shí)別所涉及的人工智能系統(tǒng)；b)識(shí)別可能受人工智能系統(tǒng)影響的個(gè)人、群體及社會(huì)，包括其需求與期望，這些要素需與人工智能系統(tǒng)影響評(píng)估相關(guān)，并且組織能夠合理識(shí)別；c)預(yù)期用途及用例類型的描述；d)一份可合理預(yù)見的濫用清單，這些濫用可能影響對(duì)個(gè)人、群體及社會(huì)的識(shí)別。如適用，范圍描述應(yīng)明確指出a)至d)項(xiàng)所列內(nèi)容的例外情況。影響評(píng)估的范圍可包含或通過其他評(píng)估（如人權(quán)影響評(píng)估或人權(quán)盡職調(diào)查程序，參見附錄D）進(jìn)行補(bǔ)充，這些評(píng)估基于第6.3節(jié)所述人工智能系統(tǒng)信息的不同組成部分。6.3.1AI系統(tǒng)描述人工智能系統(tǒng)影響評(píng)估應(yīng)包含對(duì)AI系統(tǒng)的基本描述，說明該系統(tǒng)的功能及總體運(yùn)作方式。描述內(nèi)容需涵蓋AI系統(tǒng)具備的能力類型，以便潛在評(píng)審人員理解該系統(tǒng)及其運(yùn)行環(huán)境。AI系統(tǒng)描述可根據(jù)組織需求補(bǔ)充詳細(xì)信息，例如：a)人工智能系統(tǒng)架構(gòu)概述；9b)技術(shù)要求與規(guī)格；c)演示與概念驗(yàn)證。CISO/IEC2025-版權(quán)所有ISO/IEC42005：2025（en）關(guān)于人工智能系統(tǒng)功能的文檔應(yīng)包含對(duì)各項(xiàng)功能與能力的更具體詳盡描述，并說明這些功能是當(dāng)前已實(shí)現(xiàn)還是計(jì)劃開發(fā)。該文檔可包含以下方面的高層次描述：a)人工智能系統(tǒng)所使用的預(yù)測方法、數(shù)據(jù)類型、算法及模型（另見6.4和6.5節(jié)）；b)用戶交互；c)硬件與軟件配置；d)警報(bào)與閾值。在記錄人工智能系統(tǒng)功能與能力時(shí)，組織應(yīng)識(shí)別并限制向特定群體披露技術(shù)細(xì)節(jié)，以降低濫用可能性。需考慮的其他與人工智能系統(tǒng)功能和能力相關(guān)的文件，包括對(duì)其他系統(tǒng)及其功能和能力的依賴或關(guān)系；例如，若所記錄的人工智能系統(tǒng)依賴于屬于其他產(chǎn)品或系統(tǒng)的一部分模型。應(yīng)明確記錄人工智能系統(tǒng)的用途，以便潛在評(píng)審人員理解該組織開發(fā)或使用該系統(tǒng)的原因，以及人工智能技術(shù)如何助力實(shí)現(xiàn)這些目標(biāo)。在記錄系統(tǒng)用途時(shí)，組織應(yīng)考慮以下因素：a)人工智能系統(tǒng)的終端用戶或主要客戶；b)人工智能系統(tǒng)如何滿足用戶需求；c)該人工智能系統(tǒng)的價(jià)值主張；d)在決定使用人工智能系統(tǒng)時(shí)所做出的任何權(quán)衡。.4預(yù)期用途6.3.4預(yù)期用途人工智能系統(tǒng)對(duì)個(gè)人、群體及社會(huì)的影響部分取決于其預(yù)期用途。預(yù)期用途可通過用例或場景進(jìn)行詳細(xì)說明，這些場景可能包括：a)該人工智能系統(tǒng)為特定用戶群體或客戶群體設(shè)計(jì)的功能或目標(biāo)；b)終端用戶何時(shí)何地能使用該人工智能系統(tǒng)；c)人工智能系統(tǒng)是否存在限制（包括時(shí)間限制，例如該系統(tǒng)預(yù)期運(yùn)行的時(shí)間段）。人工智能系統(tǒng)及其功能與能力可具有多種預(yù)期用途。組織應(yīng)識(shí)別并記錄這些預(yù)期用途，包括有益用途。個(gè)體面部。預(yù)期用途包括：一在銀行分行提供個(gè)性化的服務(wù)。6.3.5未預(yù)期的用途該組織應(yīng)識(shí)別并記錄可合理預(yù)見的濫用行為。例如，銀行開發(fā)的人工智能系統(tǒng)，可以通過個(gè)人面部生物特征掃描來識(shí)別個(gè)人。非預(yù)期用途可能包括不當(dāng)使用個(gè)人身份信息（PII）。例如，銀行開發(fā)識(shí)別個(gè)人。非預(yù)期用途可能包括不當(dāng)使用個(gè)人身份信息（PII）。注2ISO/IEC42001為向相關(guān)利益方傳達(dá)可接受用途提供了指導(dǎo)，同時(shí)不可接受和禁止的使用。為探索人工智能系統(tǒng)的其他潛在應(yīng)用價(jià)值，該機(jī)構(gòu)應(yīng)采取適當(dāng)方法：a)識(shí)別該組織可采用的人工智能系統(tǒng)的其他有益用途。b)識(shí)別用戶可實(shí)施的人工智能系統(tǒng)的其他有益用途。6.4數(shù)據(jù)信息與質(zhì)量某些人工智能系統(tǒng)會(huì)利用訓(xùn)練集、驗(yàn)證集和測試集來創(chuàng)建、測試和驗(yàn)證訓(xùn)練模型。生產(chǎn)數(shù)據(jù)被輸入這些訓(xùn)練模型后，就會(huì)生成輸出數(shù)據(jù)。如果使用的訓(xùn)練集、驗(yàn)證集和測試集不符合人工智能系統(tǒng)的實(shí)際需求，就可能導(dǎo)致輸出結(jié)果出現(xiàn)偏差，進(jìn)而對(duì)個(gè)人、群體乃至整個(gè)社會(huì)造成負(fù)面影響。更嚴(yán)重的是，訓(xùn)練數(shù)據(jù)中記錄的歷史性或當(dāng)前存在的歧視行為和不公平現(xiàn)象，可能會(huì)讓訓(xùn)練好的模型在后續(xù)應(yīng)用中延續(xù)甚至放大這些歧視或不公。6.4.2數(shù)據(jù)信息數(shù)據(jù)集可伴隨從無到全面的各類描述性信息。當(dāng)信息最為全面時(shí)，組織可評(píng)估特定數(shù)據(jù)集在人工智能系統(tǒng)中的應(yīng)用影響。組織在確定人工智能系統(tǒng)影響評(píng)估應(yīng)包含的信息時(shí)，應(yīng)考慮這一因素。在進(jìn)行人工智能系統(tǒng)影響評(píng)估時(shí)，若需記錄所使用的數(shù)據(jù)集，相關(guān)機(jī)構(gòu)應(yīng)綜合考量數(shù)據(jù)質(zhì)量、數(shù)據(jù)治理、安全及隱私保護(hù)流程等要素。具體應(yīng)包含以下內(nèi)容：a)數(shù)據(jù)信息可供潛在人工審核。數(shù)據(jù)信息可存儲(chǔ)為機(jī)器可讀形式，但亦應(yīng)可供人工審核者使用。b)數(shù)據(jù)的獲取方式及來源（數(shù)據(jù)獲取是否符合組織的法律義務(wù)、倫理原則及其他政策要求c)數(shù)據(jù)量與人工智能系統(tǒng)需求的相對(duì)比例；d)數(shù)據(jù)集來源（例如數(shù)據(jù)發(fā)起方、數(shù)據(jù)持有方、數(shù)據(jù)使用者、數(shù)據(jù)處理流程或數(shù)據(jù)存儲(chǔ)位置）；e)已知或可合理預(yù)見的數(shù)據(jù)集中存在非預(yù)期偏倚風(fēng)險(xiǎn)；f)數(shù)據(jù)集涵蓋的地理區(qū)域；g)數(shù)據(jù)質(zhì)量處理流程；h)數(shù)據(jù)集的訪問控制與保護(hù)；i）數(shù)據(jù)時(shí)間范圍（數(shù)據(jù)集中的i.e.start和數(shù)據(jù)集結(jié)束日期）；j)數(shù)據(jù)相關(guān)利益方的審查（包括是否已完成多樣化的審查）；k)數(shù)據(jù)集是真實(shí)、合成還是半合成的。ISO/IEC42005：2025（en）a)適用于該情境的數(shù)據(jù)質(zhì)量特征；6.5算法與模型信息在某些情況下（例如部署方或用戶第6.5.2至6.5.5小節(jié)中推薦的部分信息可能無法獲取、獲取精度不一或被認(rèn)為無關(guān)緊要。但這些信息對(duì)于理解人工智能系統(tǒng)的組件至關(guān)重要。關(guān)于算法、模型等各類組件的信息具有實(shí)用價(jià)值。必須始終以人工智能系統(tǒng)整體為基準(zhǔn)進(jìn)行影響評(píng)估。6.5.2有關(guān)該組織所使用的算法的信息）；c)thevalidityofthealgorithm(e.g.hasthealgorithm由該領(lǐng)域的可信專家測試和驗(yàn)證）；）；e)算法所需數(shù)據(jù)；f)算法對(duì)不良結(jié)果的敏感性（e.g.spurious相關(guān)性、過度擬合或傳播不必要的偏倚）。ISO/IEC42005：2025（en）在制定人工智能系統(tǒng)影響評(píng)估的算法文檔時(shí)，組織應(yīng)考慮以下事項(xiàng)：a)符合適用的法律、組織或技術(shù)要求；b)未達(dá)標(biāo)要求的實(shí)現(xiàn)計(jì)劃；c)整個(gè)AI系統(tǒng)開發(fā)生命周期中算法的文檔記錄；d)人工智能系統(tǒng)所用算法的審批流程。在為人工智能系統(tǒng)開發(fā)模型文檔時(shí)，組織應(yīng)考慮以下事項(xiàng)：a）data(e.g.training、驗(yàn)證、測試）以及用于開發(fā)模型的算法（參見6.5.3b)模型訓(xùn)練方法；c)訓(xùn)練集、驗(yàn)證集和測試集之間的數(shù)據(jù)樣本不重復(fù)使用；d)為訓(xùn)練、測試和驗(yàn)證多個(gè)模型所采取的步驟；e)選擇適當(dāng)特征的標(biāo)準(zhǔn)與步驟；f)模型選擇標(biāo)準(zhǔn)；g)用于評(píng)估模型性能的度量（e.g.accuracy、受試者工作特征、混淆矩陣、均方根誤差或平均距離聚類中心）；h)評(píng)估所選模型在生產(chǎn)數(shù)據(jù)上的泛化能力；i)評(píng)估所選模型是否延續(xù)或產(chǎn)生不良偏倚或其他危害；j)評(píng)估模型輸出數(shù)據(jù)是否包含或產(chǎn)生PII；k)模型的穩(wěn)健性；1）如果生產(chǎn)數(shù)據(jù)的特性開始與原始訓(xùn)練數(shù)據(jù)不同，用于檢測和糾正數(shù)據(jù)drift(e.g.retraining模型的方法；m)模型再訓(xùn)練的標(biāo)準(zhǔn)與流程；n)持續(xù)學(xué)習(xí)的影響（如已實(shí)施）；o)計(jì)算與環(huán)境方面的考量。對(duì)于經(jīng)本組織重新培訓(xùn)的模型（e.g.fine-tuned可以考慮使用新數(shù)據(jù)和新方案。重新培訓(xùn)前對(duì)模型的考慮可參考模型提供方披露的信息。對(duì)于導(dǎo)入并應(yīng)用于人工智能系統(tǒng)的預(yù)訓(xùn)練模型，應(yīng)結(jié)合新數(shù)據(jù)和應(yīng)用場景重新評(píng)估e)至i)項(xiàng)以及a)、c)和d)項(xiàng)中的測試內(nèi)容。6.5.5模型開發(fā)信息在制定人工智能系統(tǒng)影響評(píng)估模型的文檔時(shí)，組織應(yīng)考慮以下事項(xiàng)：a)符合相關(guān)法律、組織或技術(shù)要求；ISO/IEC42005：2025（en）b)未達(dá)標(biāo)要求的實(shí)現(xiàn)計(jì)劃；c)在人工智能系統(tǒng)開發(fā)生命周期中對(duì)模型的文檔記錄。6.6部署環(huán)境6.6.1地理區(qū)域與語言人工智能系統(tǒng)的影響可能與其部署國家或地區(qū)的地理、文化或法律背景相關(guān)，因此在記錄人工智能系統(tǒng)影響評(píng)估時(shí)應(yīng)予以考慮。在記錄部署于特定國家或地區(qū)的AI系統(tǒng)的影響時(shí)，該組織應(yīng)考慮：a)當(dāng)前部署的AI系統(tǒng)位置及未來可能的部署位置；b)特定于地理部署區(qū)域的法律要求；d)受歧視群體、高危群體及邊緣化群體；e)地理部署區(qū)域使用的語言，特別是當(dāng)前支持的自然語言處理系統(tǒng)所使用的語言；f)可存在于特定地理區(qū)域的行為、社會(huì)及生理人類特征。該組織應(yīng)進(jìn)一步記錄為改進(jìn)人工智能系統(tǒng)未來版本所規(guī)劃的措施，這些措施需考慮部署國家或地區(qū)的地理文化特征及法律要求。為確保對(duì)具有共同語言、文化或特征的地理集中群體進(jìn)行適當(dāng)代表性考量，人工智能系統(tǒng)應(yīng)使用代表其部署地區(qū)（地區(qū)）的數(shù)據(jù)進(jìn)行訓(xùn)練、測試和驗(yàn)證。若該人工智能系統(tǒng)已預(yù)先訓(xùn)練，則應(yīng)使用代表其部署地區(qū)（地區(qū)）的數(shù)據(jù)對(duì)其進(jìn)行徹底測試和驗(yàn)證。Alongwiththegeographicalenvironmentofthedeployment，人工智能系統(tǒng)影響評(píng)估文件應(yīng)包含技術(shù)部署環(huán)境及相關(guān)限制條件的信息。這些信息可包括：a)是否為在線服務(wù)、應(yīng)用程序等；b)是否為一個(gè)平臺(tái)；c)是否采用云部署；e)是否僅限特定硬件使用；f)是否僅作為特定應(yīng)用程序的組成部分提供；g)人工智能系統(tǒng)所需的基礎(chǔ)架構(gòu)；h)安全方面的考慮；i)相關(guān)背景信息，包括對(duì)人工智能系統(tǒng)的認(rèn)知及既往使用經(jīng)驗(yàn)。6.7相關(guān)利益方6.7.1概述在開展影響評(píng)估的文件編制過程中，組織應(yīng)當(dāng)考慮對(duì)個(gè)人、群體及社會(huì)的具體影響，以及對(duì)其他利益相關(guān)方應(yīng)承擔(dān)的角色與義務(wù)。該組織應(yīng)在人工智能系統(tǒng)影響評(píng)估中，識(shí)別并記錄可能受該系統(tǒng)及其預(yù)期用途影響的個(gè)人、群體或社會(huì)。相關(guān)利益方既包括直接與人工智能系統(tǒng)互動(dòng)的人員，也包括可能受其影響但無需直接互動(dòng)的人員。相關(guān)利益方的示例包括：a)人工智能用戶；b)弱勢群體；c)工人；d)數(shù)據(jù)主體?？赡苁苋斯ぶ悄芟到y(tǒng)影響的個(gè)人及社會(huì)群體。在人工智能系統(tǒng)影響評(píng)估過程中，應(yīng)咨詢代表相關(guān)利益方的團(tuán)體或個(gè)人及團(tuán)體本身。咨詢結(jié)果應(yīng)予以記錄。與相關(guān)利益方開展磋商的規(guī)模和范圍，應(yīng)與人工智能系統(tǒng)影響評(píng)估流程的規(guī)模和范圍相匹配，通過分級(jí)篩選流程預(yù)估初始風(fēng)險(xiǎn)等級(jí)（例如若預(yù)估風(fēng)險(xiǎn)等級(jí)較高，則人工智能系統(tǒng)影響評(píng)估及磋商流程可相應(yīng)加強(qiáng)）。無論風(fēng)險(xiǎn)等級(jí)如何，磋商流程都能幫助組織以善意理解并回應(yīng)相關(guān)方的利益訴求與關(guān)切。磋商應(yīng)向相關(guān)方提供及時(shí)且切合實(shí)際的信息，納入多元視角，充分考慮弱勢群體或個(gè)人的具體需求，確保受影響的相關(guān)方免遭報(bào)復(fù)與追責(zé)，必要時(shí)保障保密性與匿名性，并給予個(gè)人挑戰(zhàn)決策的機(jī)會(huì)，必要時(shí)可申請(qǐng)救濟(jì)。6.7.3其他相關(guān)利益方該組織應(yīng)考慮在人工智能系統(tǒng)影響評(píng)估過程中識(shí)別并記錄其他相關(guān)方。這些相關(guān)方雖未必直接受到人工智能系統(tǒng)的影響，但其與該系統(tǒng)的關(guān)系需予以記錄。例如：a)人工智能生產(chǎn)者；b)相關(guān)主管部門，例如政策制定者和監(jiān)管機(jī)構(gòu)；c)專業(yè)協(xié)會(huì)與聯(lián)盟。6.8實(shí)際影響及可合理預(yù)見的影響6.8.1概述對(duì)于6.7.2條款中明確列出的相關(guān)利益方，應(yīng)明確其可合理預(yù)見的獲益與風(fēng)險(xiǎn)。ISO/IEC42005：2025（en）6.8.2利弊分析概述針對(duì)每個(gè)相關(guān)利益方，需分析其可合理預(yù)見的利弊。例如，開展影響評(píng)估的機(jī)構(gòu)應(yīng)考慮各相關(guān)方因與人工智能系統(tǒng)互動(dòng)而可能獲得的可預(yù)見收益。本條款中的子條款可用于評(píng)估與不同目標(biāo)相關(guān)的可預(yù)見利弊。這些目標(biāo)并非窮盡性列舉，還可考慮其他目標(biāo)。更多詳情請(qǐng)參閱附件C。責(zé)任追究問責(zé)制是指個(gè)人或?qū)嶓w對(duì)其行為、決策或績效（包括人工智能系統(tǒng)所作的決策）承擔(dān)的責(zé)任或狀態(tài)。人工智能系統(tǒng)的應(yīng)用可重塑現(xiàn)有問責(zé)機(jī)制。關(guān)于問責(zé)目標(biāo)的詳細(xì)說明，請(qǐng)參閱ISO/IEC23894：2023標(biāo)準(zhǔn)A.2章節(jié)。此外，ISO/IEC38507標(biāo)準(zhǔn)從組織治理角度闡述了人工智能在企業(yè)中的應(yīng)用與問責(zé)機(jī)制。對(duì)于每個(gè)已識(shí)別的相關(guān)利益方，組織應(yīng)分析使用人工智能系統(tǒng)后與問責(zé)制相關(guān)的合理可預(yù)見的益處和危害。以下為供參考的示例：1)人工智能系統(tǒng)可能對(duì)其法律地位、生活機(jī)會(huì)或人權(quán)造成影響；2)人工智能系統(tǒng)可能對(duì)相關(guān)方造成身體或心理傷害的風(fēng)險(xiǎn)；b)若人工智能系統(tǒng)未能充分實(shí)現(xiàn)其部署目的，將對(duì)相關(guān)利益方造成的影響；c)由于開發(fā)人工智能系統(tǒng)所采用數(shù)據(jù)的選擇與使用，對(duì)相關(guān)利益方造成的影響；d)由于未對(duì)人工智能系統(tǒng)及其輸出實(shí)施適當(dāng)?shù)娜斯けO(jiān)督，對(duì)相關(guān)利益方造成的影響；e)因無法對(duì)人工智能系統(tǒng)作出的決策提出異議或挑戰(zhàn)，而對(duì)相關(guān)利益方造成的影響。透明度透明度是指組織或系統(tǒng)具備的一種特性，即以全面、易懂且易于獲取的方式，向相關(guān)利益方傳達(dá)有關(guān)活動(dòng)、決策及系統(tǒng)屬性的適當(dāng)信息。對(duì)于人工智能系統(tǒng)而言，系統(tǒng)透明度的信息可涵蓋以下方面：功能特性、性能表現(xiàn)、局限性、組件構(gòu)成、操作流程、評(píng)估指標(biāo)、設(shè)計(jì)目標(biāo)、設(shè)計(jì)決策與假設(shè)、數(shù)據(jù)來源及標(biāo)注規(guī)范。有關(guān)AI系統(tǒng)的信息和理解程度可能對(duì)相關(guān)方產(chǎn)生影響。有關(guān)透明度目標(biāo)的更多信息，請(qǐng)參閱ISO/IEC對(duì)于每個(gè)已識(shí)別的相關(guān)利益方，組織應(yīng)分析在使用人工智能系統(tǒng)時(shí)與透明度相關(guān)的合理可預(yù)見的益處和危害。以下是需考慮的相關(guān)利益方影響示例：a)是否缺乏關(guān)于人工智能系統(tǒng)能力、其約束條件及局限性的充分信息，或信息未以目標(biāo)相關(guān)利益方可理解的格式提供；ISO/IEC42005：2025（en）b)他們是否未意識(shí)到自己正在與人工智能系統(tǒng)互動(dòng)。公平性的內(nèi)涵具有高度情境依賴性，其具體表現(xiàn)取決于多重因素，包括組織目標(biāo)、人工智能系統(tǒng)的應(yīng)用目的以及系統(tǒng)運(yùn)行環(huán)境。使用人工智能系統(tǒng)進(jìn)行自動(dòng)化決策時(shí)，可能對(duì)特定個(gè)人或群體造成不公平影響。這種不公平現(xiàn)象可能源于多種原因，例如目標(biāo)函數(shù)中的偏見、數(shù)據(jù)集失衡、人類在訓(xùn)練數(shù)據(jù)及系統(tǒng)反饋過程中存在的主觀偏差。此外，產(chǎn)品設(shè)計(jì)理念中的偏見、問題表述方式，以及部署人工智能系統(tǒng)的時(shí)機(jī)和地點(diǎn)選擇不當(dāng)，也可能導(dǎo)致不公平結(jié)果。關(guān)于公平性目標(biāo)的詳細(xì)說明，請(qǐng)參閱ISO/IEC23894：2023標(biāo)準(zhǔn)中的A.6章節(jié)。對(duì)于每個(gè)已識(shí)別的相關(guān)利益方，組織應(yīng)分析所使用的人工智能系統(tǒng)可能對(duì)個(gè)人和社會(huì)產(chǎn)生的、與公平性組織目標(biāo)相關(guān)的、可合理預(yù)見的益處和危害。以下是需考慮的相關(guān)利益方影響示例：a）對(duì)于任何特定人口groups(e.g.age范圍、性別或宗教，AI系統(tǒng)性能不合理地更好或更差；b)該人工智能系統(tǒng)以基于相關(guān)人群群體對(duì)其實(shí)施不公平歧視的方式代表利益相關(guān)方；c)為相關(guān)利益方提供無障礙服務(wù)，確保其不會(huì)因殘疾或數(shù)字技能不足而被排除在外；d)不良偏見對(duì)高危人群的影響。更多信息請(qǐng)參閱ISO/IECTS12791。隱私如果AI系統(tǒng)使用包含PII的數(shù)據(jù)進(jìn)行開發(fā)、輸入或輸出，則AI系統(tǒng)可能對(duì)隱私產(chǎn)生影響。ISO/IEC23894：2023，A.8提供了關(guān)于隱私目標(biāo)的信息，包括與AI系統(tǒng)相關(guān)的個(gè)人數(shù)據(jù)的收集、使用、披露和推斷。在確定相關(guān)利益方后，組織應(yīng)分析其可合理預(yù)見的原因。使用AI系統(tǒng)時(shí)與隱私相關(guān)的益處和危害。PII負(fù)責(zé)人可以是相關(guān)利益方。以下是需考慮的相關(guān)利益方影響示例：a)是否采集PII用于AI系統(tǒng)開發(fā)或使用（e.g.model培訓(xùn)）；b)與為開發(fā)或使用AI系統(tǒng)而進(jìn)行的PII處理相關(guān)的隱私泄露所產(chǎn)生的影響；c)與PII處理相關(guān)的組織對(duì)相關(guān)利益方的義務(wù)和期望，以及履行以下義務(wù)和期望的機(jī)制，包括但不限于：2)存在不希望出現(xiàn)的偏倚、歧視或不準(zhǔn)確的風(fēng)險(xiǎn)；3)個(gè)人資料分析和行為監(jiān)控的風(fēng)險(xiǎn)；4)自動(dòng)化決策與人工干預(yù)；5)獲取信息；6）行使權(quán)利。ISO/IEC42005：2025（en）數(shù)據(jù)保護(hù)或隱私影響評(píng)估可以幫助評(píng)估相關(guān)利益方的合理可預(yù)見的影響。ISO/IEC29134是一個(gè)可用的指導(dǎo)范例。ISO/IEC27701提供了進(jìn)一步的要求和指導(dǎo)，以幫助組織履行其保護(hù)PII的義務(wù)?？煽啃訧SO/IEC22989：2022,5.15.3將可靠性描述為AI系統(tǒng)正確運(yùn)行的能力（即AI系統(tǒng)滿足規(guī)定的要求并表現(xiàn)出一致的預(yù)期行為和結(jié)果）。對(duì)于每個(gè)已識(shí)別的相關(guān)利益方，組織應(yīng)分析使用AI系統(tǒng)時(shí)與可靠性相關(guān)的合理可預(yù)見的益處和危以下是需考慮的相關(guān)利益方影響示例：——人工智能系統(tǒng)在運(yùn)行階段是否未達(dá)到聲明的性能要求；—若對(duì)人工智能系統(tǒng)進(jìn)行更新、數(shù)據(jù)漂移或概念漂移（參見ISO/IEC22989：2022標(biāo)準(zhǔn)）)導(dǎo)致其性能不符合要求；—由可預(yù)測性故障（如假陽性或假陰性）引發(fā)的影響；—無論是人工智能系統(tǒng)本身還是其輸出結(jié)果，若遭未經(jīng)授權(quán)的第三方篡改，導(dǎo)致無法達(dá)到既定的性能要求。安全安全性是指在定義的條件下，AI系統(tǒng)不會(huì)進(jìn)入危及人類生命、健康、福祉、財(cái)產(chǎn)或環(huán)境的狀態(tài)的特性。使用AI系統(tǒng)可能會(huì)引入新的安全性問題。有關(guān)安全性目標(biāo)的更多信息，請(qǐng)參閱ISO/IEC23894：2023，A.10。對(duì)于每個(gè)已識(shí)別的相關(guān)利益方，組織應(yīng)分析使用人工智能系統(tǒng)時(shí)與安全性相關(guān)的合理可預(yù)見的益處和危害。以下是需考慮的相關(guān)利益方影響示例：a)人工智能系統(tǒng)是否存在不安全行為；b)人工智能系統(tǒng)變更所產(chǎn)生的影響，包括因識(shí)別問題或提升系統(tǒng)性能而引發(fā)的影響；c]由已知假陽性、假陰性及其他已知故障導(dǎo)致的影響?？山忉屝訧SO/IEC22989：2022,5.15.6將可解釋性描述為人工智能系統(tǒng)的一種屬性，即以人類能夠理解的方式表達(dá)影響人工智能系統(tǒng)結(jié)果的重要因素。它還指出，由于深度神經(jīng)網(wǎng)絡(luò)的complexity(e.g.the輸出比決策樹的輸出更難解釋，因此某些人工智能系統(tǒng)的輸出比其他輸出更難以解釋。對(duì)于每個(gè)已識(shí)別的相關(guān)利益方，組織應(yīng)分析在使用AI系統(tǒng)時(shí)與可解釋性相關(guān)的合理可預(yù)見的益處和危害。以下是需考慮的相關(guān)利益方影響示例：a)基于人工智能系統(tǒng)輸出信息及缺失信息所可獲取的決策依據(jù)，對(duì)于該用例具有重大意義；b)如何在人工智能系統(tǒng)全生命周期（包括設(shè)計(jì)開發(fā)、驗(yàn)證確認(rèn)及部署等階段）中考量可解釋性（例如：可解釋性能否幫助相關(guān)利益方提升已部署系統(tǒng)的性能，或輔助其做出是否采用該系統(tǒng)的決策）；c)可解釋性對(duì)相關(guān)利益方信任人工智能系統(tǒng)的影響；ISO/IEC42005：2025（en）d)由解釋失敗或不正確/不完整解釋所引發(fā)的影響。人工智能系統(tǒng)影響評(píng)估應(yīng)考慮人工智能系統(tǒng)的環(huán)境影響，包括但不限于：a)既有負(fù)面影響也有正面影響；b)人工智能系統(tǒng)從啟動(dòng)到退役全生命周期中產(chǎn)生的影響；c)資源消耗；d)有益的人工智能應(yīng)用的部署所產(chǎn)生的有益影響，例如保護(hù)瀕危動(dòng)物speciesl21]或優(yōu)化電力智能電網(wǎng)的性能[22]；e]其有害影響，例如助長和推動(dòng)環(huán)境不可持續(xù)的消費(fèi)行為。若人工智能系統(tǒng)發(fā)生故障或存在合理可預(yù)見的濫用風(fēng)險(xiǎn)，相關(guān)利益方可能受到影響。人工智能系統(tǒng)影響評(píng)估應(yīng)考慮以下因素：a)人工智能系統(tǒng)可能出現(xiàn)的已知或可預(yù)見故障類型，以及這些潛在故障對(duì)相關(guān)利益方可能造成的影b)人工智能系統(tǒng)可能被合理預(yù)見的濫用方式，以及此類合理預(yù)見的濫用對(duì)相關(guān)利益方造成的影響。該組織應(yīng)記錄人工智能系統(tǒng)的潛在故障。這些故障可能包括向人工智能系統(tǒng)輸入的潛在意外類型，以及特定人工智能系統(tǒng)組件或流程的故障。此外，還可能涉及人為錯(cuò)誤、硬件或軟件故障，以及系統(tǒng)或流程的非預(yù)期交互。該組織應(yīng)確定人工智能系統(tǒng)故障對(duì)已識(shí)別相關(guān)利益方（參見6.7節(jié)）的影響。應(yīng)記錄人工智能系統(tǒng)故障對(duì)特定個(gè)人群體或社會(huì)造成的后果及影響。該組織應(yīng)記錄合理可預(yù)見的人工智能系統(tǒng)誤用情況。評(píng)估惡意行為者故意濫用該系統(tǒng)可能帶來的收益具有參考價(jià)值。該組織應(yīng)確定并記錄因人工智能系統(tǒng)典型合理可預(yù)見的誤用而對(duì)已識(shí)別利益相關(guān)方（參見6.7節(jié)）產(chǎn)生的合理可預(yù)見影響。6.9應(yīng)對(duì)傷害和利益的措施該組織應(yīng)考慮在人工智能系統(tǒng)影響評(píng)估中記錄技術(shù)和管理層面的措施，以應(yīng)對(duì)危害與益處，例如：a)技術(shù)層面需實(shí)施的措施建議。相關(guān)建議應(yīng)作為人工智能系統(tǒng)特定審批流程的組成部分予以考慮(參見5.11）。20示例1：開發(fā)團(tuán)隊(duì)在確認(rèn)合理需求后，提議為用戶注冊表添加加密功能。對(duì)隱私的可預(yù)見負(fù)面影響。示例2建議實(shí)施治理措施，以確保人工智能系統(tǒng)開發(fā)或使用符合預(yù)期目標(biāo)。這些影響在人工智能系統(tǒng)的生命周期中得到解決。示例3當(dāng)人工智能系統(tǒng)（AI）的性能未能滿足要求時(shí)，其操作人員可選擇退役、召回或更新該系統(tǒng)。AI系統(tǒng)的退役可能對(duì)相關(guān)利益方產(chǎn)生影響（例如經(jīng)濟(jì)損失或健康風(fēng)險(xiǎn)）。b)針對(duì)人工智能系統(tǒng)制定與執(zhí)行組織政策時(shí)，供最高管理層審議的建議。示例4：某開發(fā)團(tuán)隊(duì)發(fā)現(xiàn)，潛在客戶使用語言生成系統(tǒng)制作銷售提案時(shí)，存在將系統(tǒng)錯(cuò)誤關(guān)聯(lián)至真實(shí)人物的風(fēng)險(xiǎn)。是否向該客戶出售系統(tǒng)屬于商業(yè)決策范疇，可在合同簽訂時(shí)予以考量。示例5：建議對(duì)使用AI系統(tǒng)人員、組織其他相關(guān)人員及其他相關(guān)利益方（如自動(dòng)化決策影響相關(guān)方）進(jìn)行培訓(xùn)和意識(shí)提升。缺乏或不足的培訓(xùn)與意識(shí)可能造成危害。示例6組織可確定其評(píng)估優(yōu)先事項(xiàng)，并建立基礎(chǔ)設(shè)施以將需解決的措施映射至這些優(yōu)先事項(xiàng)。這些優(yōu)先事項(xiàng)可包括隱私、勞工、不受歡迎的偏見、歧視、透明度、問責(zé)制或其他原則。在制定和更新風(fēng)險(xiǎn)處理計(jì)劃時(shí)，應(yīng)考慮這些建議。20ISO/IEC42005：2025（en）提供信息的ISO/IEC42001標(biāo)準(zhǔn)使用指南ISO/IEC42001標(biāo)準(zhǔn)包含針對(duì)人工智能系統(tǒng)影響評(píng)估的要求與表A.1—ISO/IEC42001標(biāo)準(zhǔn)中與本文件相關(guān)的條款的)進(jìn)行評(píng)估的必要性。人工智能系統(tǒng)影響評(píng)估的潛在觸發(fā)因素。本文件主要可視為協(xié)助組織創(chuàng)建過程和過程和實(shí)施指南指出，進(jìn)行人工智能系統(tǒng)影響評(píng)估的需求應(yīng)記錄在人工智能政策中CISO/IEC2025-版權(quán)所有22..國際標(biāo)準(zhǔn)化組織/國際電工委員會(huì)42001:2023類型摘要本文件本文件如何支持ISO/IEC42001B.3.2角色與實(shí)施指南實(shí)施指南-安斯指出，該組織應(yīng)開展人工智能系統(tǒng)影響評(píng)估在分配角色時(shí)需考慮本條款闡述在定義人工智能系統(tǒng)影響評(píng)估的角色與職責(zé)時(shí)需考慮的附加因素B.4.2資源文檔實(shí)施指南該實(shí)施指南列出了以下內(nèi)容資源—AI系統(tǒng)組件數(shù)據(jù)資源，一tooling資源系統(tǒng)和計(jì)算資源人力資源。本文件第6.6條處理各種方面如B.4.2所述，記錄這些要素對(duì)于評(píng)估人工智能系統(tǒng)的影響至關(guān)重要。在某些情況下，可能需要對(duì)資源進(jìn)行記錄以影響評(píng)估。評(píng)估可以實(shí)現(xiàn)總體需要文件化資源；組織應(yīng)對(duì)此作出決定它自己控制目標(biāo)人工智能系統(tǒng)對(duì)個(gè)人和社會(huì)的影響受AI系統(tǒng)影響的個(gè)體應(yīng)進(jìn)行評(píng)估整個(gè)文檔Thisdocumentprovidesguid-對(duì)如何實(shí)現(xiàn)這一目標(biāo)的思考。B.5.2人工智能系統(tǒng)的影響評(píng)價(jià)程序控制與實(shí)施指導(dǎo)控制環(huán)節(jié)主要針對(duì)人工智能系統(tǒng)影響評(píng)估流程進(jìn)行規(guī)范5本文件第5條提供關(guān)于如何操作的指導(dǎo)建立和實(shí)施人工智能系統(tǒng)人工智能系統(tǒng)影響評(píng)估流程，為組織如何實(shí)施提供詳細(xì)指導(dǎo)B.5.3人工智能系統(tǒng)影響評(píng)估的文檔記錄控制與實(shí)施指導(dǎo)控制涉及人工智能的文檔記錄系統(tǒng)影響評(píng)估。6本文件第6條提供關(guān)于組織如何記錄人工智能系統(tǒng)影響評(píng)估的詳細(xì)指導(dǎo)。B.5.4評(píng)估人工智能系統(tǒng)對(duì)m個(gè)個(gè)體的影響個(gè)體群控制與實(shí)施指導(dǎo)該控制措施針對(duì)可合理預(yù)見的對(duì)個(gè)人及群體的影響進(jìn)行評(píng)估。文中提及的各個(gè)方面B.5.4的詳細(xì)討論見于本文件第6.7條。B.5.5評(píng)估社會(huì)影響人工智能系統(tǒng)控制與實(shí)施指導(dǎo)該控制措施旨在評(píng)估可合理預(yù)見的社會(huì)影響文中提及的各個(gè)方面B.5.5的詳細(xì)討論見于本文件第B.6.1.3負(fù)責(zé)任的流程設(shè)計(jì)與開發(fā)植入引導(dǎo)該控制涉及人工智能系統(tǒng)影響相關(guān)流程的實(shí)施與文檔編制本文件的兩個(gè)條款探討將影響評(píng)估整合至人工智能整體生命周期2223B.1總則ISO/IEC23894為開發(fā)、提供或使用人工智能系統(tǒng)的組織提供了風(fēng)險(xiǎn)管理指導(dǎo)。該標(biāo)準(zhǔn)基于描述組織風(fēng)險(xiǎn)管理的ISO31000，闡釋了如何將ISO31000的原則、框架和流程應(yīng)用于人工智能領(lǐng)域。本附錄則指導(dǎo)如何通過人工智能系統(tǒng)影響評(píng)估來支持風(fēng)險(xiǎn)管理。B.2風(fēng)險(xiǎn)管理與人工智能系統(tǒng)影響評(píng)估之間的差異ISO31000（及其衍生標(biāo)準(zhǔn)ISO/IEC23894）將風(fēng)險(xiǎn)管理定義為“通過協(xié)調(diào)活動(dòng)指導(dǎo)和控制組織應(yīng)對(duì)風(fēng)險(xiǎn)”（ISO31000：2018,3.2）。該標(biāo)準(zhǔn)強(qiáng)調(diào)風(fēng)險(xiǎn)管理具有“迭代性特征，能協(xié)助組織制定戰(zhàn)略、達(dá)成目標(biāo)并 做出明智決策”（ISO31000：2018，引言）。因此，風(fēng)險(xiǎn)管理是一項(xiàng)全局性管理活動(dòng)，涵蓋人工智能系統(tǒng)開發(fā)人員的項(xiàng)目開發(fā)方式、系統(tǒng)供應(yīng)商的客戶關(guān)系管理，以及用戶對(duì)AI系統(tǒng)功能的使用場景。與通用風(fēng)險(xiǎn)管理不同，AI系統(tǒng)影響評(píng)估專門針對(duì)人工智能系統(tǒng)可能產(chǎn)生的合理可預(yù)見影響進(jìn)行分析：a)僅限于特定的相關(guān)利益方，即個(gè)人、群體、社會(huì)及環(huán)境；b)人工智能系統(tǒng)的潛在或具體應(yīng)用，而非整體治理與管理問題，例如商業(yè)戰(zhàn)略、合規(guī)管理、財(cái)務(wù)管理或技術(shù)戰(zhàn)略。因此，人工智能系統(tǒng)影響評(píng)估相較于風(fēng)險(xiǎn)管理更側(cè)重于產(chǎn)品或服務(wù)導(dǎo)向的視角。該評(píng)估亦旨在由直接參與人工智能系統(tǒng)開發(fā)、部署或技術(shù)管理的團(tuán)隊(duì)執(zhí)行。然而，人工智能系統(tǒng)影響評(píng)估是整體風(fēng)險(xiǎn)管理生命周期的重要組成部分，也是成功風(fēng)險(xiǎn)評(píng)估不可或缺的輸入要素。B.3與人工智能系統(tǒng)影響評(píng)估相關(guān)的風(fēng)險(xiǎn)管理原則圖B.1展示了ISO/IEC23894與本文件之間的關(guān)系。圖中ISO/IEC23894的各部分均標(biāo)注了適用的ISO/IEC23894子條款以供參考。2324ISO/IEC42005：2025（en）組織目標(biāo)ISO/IEC風(fēng)險(xiǎn)管理ISO/IEC238946.1風(fēng)險(xiǎn)評(píng)估[ISO/IEC238946.4]對(duì)個(gè)體的影響ISO/IEC23894器官影響對(duì)個(gè)體的影響ISO/IEC23894ISO/IEC23894事件發(fā)生可能性ISO/IEC23894事件發(fā)生可能性ISO/IEC23894事件發(fā)生可能性器官影響ISO/IEC23894潛在事件ISO/IEC23894ISO/IEC23894器官影響ISO/IEC23894全系統(tǒng)E.gthc組織的分享至領(lǐng)導(dǎo)風(fēng)險(xiǎn)結(jié)果評(píng)估ISO/IEC23894ISO/IEC23894對(duì)社會(huì)的影響對(duì)社會(huì)的影響對(duì)社會(huì)的影響的影響對(duì)目標(biāo)對(duì)個(gè)體的國際標(biāo)準(zhǔn)潛在事件潛在事件影響胞質(zhì)共爾8圖B.1—ISO/IEC23894：2023與本文件的關(guān)系24CISO/IEC2025-版權(quán)所有25ISO/IEC42005：2025（en）表C.1為組織提供了分析人工智能系統(tǒng)合理可預(yù)見危害與效益的模板。組織應(yīng)考慮針對(duì)受該人工表C.1—危害與益處未妥善管理的數(shù)據(jù)（如未標(biāo)注、未標(biāo)記、未經(jīng)批準(zhǔn)、未評(píng)估適用性等）可能導(dǎo)致數(shù)人類的監(jiān)督與管控能夠催生新的見解，并推動(dòng)人工智能系統(tǒng)的改進(jìn)，從而惠及相關(guān)領(lǐng)域適當(dāng)?shù)目山忉屝运接兄诮⑿湃闻c理解相關(guān)利益方可解釋性特征有助于減少人工智能系統(tǒng)中的回溯錯(cuò)誤決策程序充分了解人工智能系統(tǒng)的預(yù)期用途、功能及局限性，從而降低誤解或誤用的風(fēng)險(xiǎn)相關(guān)利益方可安全使用該人工智能系統(tǒng),或在供應(yīng)商及第三方情況下履行安全義務(wù)2526包括披露敏感信息相關(guān)利益方可基于)服務(wù)質(zhì)量一致組沒有補(bǔ)救計(jì)劃和人工智能系統(tǒng)缺乏監(jiān)測導(dǎo)致數(shù)據(jù)集過時(shí)，人工智能系統(tǒng)輸出結(jié)果不可靠用于訓(xùn)練模型的數(shù)據(jù)沒有得到適當(dāng)?shù)?6D.1總則本附錄的目的是提供關(guān)于如何實(shí)施人工智能系統(tǒng)影響評(píng)估的指導(dǎo)，以反映ISO/IEC42001和現(xiàn)有評(píng)估要求（e.g.contemplating風(fēng)險(xiǎn)、法律、安全、隱私、數(shù)據(jù)倫理、人權(quán)、采購和架構(gòu)）的方式，與現(xiàn)有或相關(guān)評(píng)估一起。其目的是促進(jìn)和避免這些評(píng)估的重復(fù)。若能高效且恰當(dāng)?shù)貙?shí)施，人工智能系統(tǒng)影響評(píng)估可對(duì)現(xiàn)有其他審查（可能在人工智能系統(tǒng)生命周期內(nèi)多次進(jìn)行）起到補(bǔ)充和借鑒作用。一D.2協(xié)調(diào)指南：幫助組織協(xié)調(diào)和建立其現(xiàn)有影響評(píng)估的指南，通過現(xiàn)有影響評(píng)估流程更高效、更有效地滿足ISO/IEC42001的要求，并避免重復(fù)。一D.3影響評(píng)估對(duì)齊指南：幫助組織確定現(xiàn)有影響評(píng)估如何映射到AI系統(tǒng)影響評(píng)估，并可提升以加快完成AI系統(tǒng)影響評(píng)估的進(jìn)程?！狣.4映射指南：本指南通過可視化方式，將擬建人工智能系統(tǒng)的影響評(píng)估與組織現(xiàn)有或相關(guān)評(píng)估流程進(jìn)行映射。該指南闡明了協(xié)調(diào)機(jī)會(huì)，減少重復(fù)工作，從而提升人工智能系統(tǒng)影響評(píng)估的效率。嵌入組織的整體管理體系中。D.2協(xié)調(diào)指南許多組織已經(jīng)常規(guī)地進(jìn)行與ITsystems(e.g.risk評(píng)估、隱私評(píng)估和人權(quán)評(píng)估相關(guān)的不同類型的影響力評(píng)估。雖然每種評(píng)估都有特定的目的，但這些評(píng)估在涉及的相關(guān)利益方和所需數(shù)據(jù)方面往往具有相似性。如果不考慮如何有效地利用并貢獻(xiàn)于其他可能需要的評(píng)估，而單獨(dú)增加針對(duì)人工智能系統(tǒng)的影響力評(píng)估，可能會(huì)導(dǎo)致不必要的摩擦、成本和延遲，從而影響人工智能系統(tǒng)的負(fù)責(zé)任使用。組織可以采用的一種方法是部署協(xié)調(diào)指南，以幫助對(duì)人工智能系統(tǒng)影響（assessment(e.g.risk、法律、安全、隱私、數(shù)據(jù)倫理、人權(quán)、采購或架構(gòu)）所需的相關(guān)審查進(jìn)行協(xié)調(diào)，從而加快影響評(píng)估并避免流程中的重復(fù)。為了確保協(xié)調(diào)指南的有效性，組織可以考慮任命一位或多位在這些領(lǐng)域具有經(jīng)驗(yàn)的協(xié)調(diào)負(fù)責(zé)人或團(tuán)隊(duì)，作為相關(guān)內(nèi)部職能之間的協(xié)調(diào)者。實(shí)施協(xié)調(diào)指南的關(guān)鍵考慮因素包括：a)確定哪些人工智能系統(tǒng)將接受審查（即屬于人工智能管理體系的范圍以及組織已完成或即將完成的其他影響評(píng)估如何為該審查提供依據(jù)。注：關(guān)于人工智能系統(tǒng)影響評(píng)估范圍的進(jìn)一步指導(dǎo)，請(qǐng)參閱ISO/IEC42001：2023第5.1節(jié)。注：關(guān)于人工智能系統(tǒng)影響評(píng)估范圍的進(jìn)一步指導(dǎo)，請(qǐng)參閱ISO/IEC42001：2023第5.1節(jié)。b)不同類型的AI系統(tǒng)影響評(píng)估可涉及一系列外部相關(guān)利益方。采取整體協(xié)調(diào)的參與方式有助于CISO/IEC2025-版權(quán)所有28ISO/IEC42005：2025（en）該組織需理解并管理累積性及系統(tǒng)層面的風(fēng)險(xiǎn)，從而提升任何單項(xiàng)評(píng)估的實(shí)用性。c)許多影響評(píng)估中涉及的問題，如網(wǎng)絡(luò)安全和隱私，是相同的，但通過略有不同的視角進(jìn)行審查。協(xié)調(diào)指南可以幫助識(shí)別哪些框架、問題和數(shù)據(jù)在不同類型的影響評(píng)估中傾向于相似并因此被復(fù)制，以及存在哪些關(guān)鍵差異可以被理解和（prioritised(e.g.cybersecurity和隱私）。d)同步審查可實(shí)現(xiàn)資源的更高效利用及審查流程的加速。例如，隱私影響評(píng)估可包含數(shù)據(jù)信息與質(zhì)量的相關(guān)信息。當(dāng)此類評(píng)估工作與人工智能系統(tǒng)審查同步進(jìn)行，可同時(shí)考量并解決兩種情境下與數(shù)據(jù)信息及質(zhì)量相關(guān)的影e)確定人工智能系統(tǒng)的組成部分，可為影響評(píng)估范圍提供參考，從而有助于理解其影響評(píng)估方式。組織內(nèi)部多個(gè)AI系統(tǒng)之間可能產(chǎn)生依賴關(guān)系，從而引發(fā)涌現(xiàn)行為并評(píng)估其影響。一種方法是按使用場景對(duì)人工智能系統(tǒng)進(jìn)行分類。例如，所有用于金融貸款的系統(tǒng)可歸入同一評(píng)估體系。每次修改AI系統(tǒng)時(shí)，該評(píng)估體系即可同步更新，使組織能夠評(píng)估AI系統(tǒng)變更的影響。系統(tǒng)化并避免重復(fù)。當(dāng)人工智能系統(tǒng)的構(gòu)成要素被識(shí)別后，組織可更準(zhǔn)確地確定與該系統(tǒng)影響相關(guān)的評(píng)估范圍。評(píng)估，從而促進(jìn)這些評(píng)估之間的協(xié)調(diào)。D.3影響評(píng)估對(duì)齊指南組織通常會(huì)開展多種影響評(píng)估，以滿足其現(xiàn)有評(píng)估要求。根據(jù)本文件，組織已開展的評(píng)估可為人工智能系統(tǒng)影響評(píng)估提供有價(jià)值的輸入。制定影響評(píng)估對(duì)齊指南的示例流程如下：—步驟1.確定與正在進(jìn)行的人工智能影響評(píng)估相關(guān)的現(xiàn)有影響評(píng)估。作為一般指導(dǎo)，與正在進(jìn)行的人工智能影響評(píng)估相關(guān)的現(xiàn)有影響評(píng)估包括：—任何與企業(yè)活動(dòng)相關(guān)的人權(quán)影響評(píng)估（HRIA該活動(dòng)將受到所評(píng)估的AI的某種方式的增強(qiáng)或影響；—任何與人工智能系統(tǒng)中待處理數(shù)據(jù)相關(guān)的隱私影響評(píng)估（PIA）；—所有與人工智能系統(tǒng)將要影響或運(yùn)行的環(huán)境相關(guān)的環(huán)境影響評(píng)估（EIA）；—與人工智能系統(tǒng)相關(guān)的組織信息系統(tǒng)變更所涉及的任何安全影響評(píng)估（SIA—與人工智能系統(tǒng)相關(guān)支出及收入相關(guān)的任何財(cái)務(wù)影響評(píng)估（FIA）；—所有涉及人工智能系統(tǒng)可能對(duì)業(yè)務(wù)功能及流程造成影響的商業(yè)影響評(píng)估（BIA）?！襟E2.從現(xiàn)有影響評(píng)估中提取與正在進(jìn)行的人工智能影響評(píng)估相關(guān)的內(nèi)容，如表D.1所示。表D.1為矩陣圖，展示組織如何識(shí)別現(xiàn)有影響評(píng)估與人工智能系統(tǒng)影響評(píng)估之間的對(duì)齊情況。可采用影響評(píng)估對(duì)齊指南來明確人工智能系統(tǒng)影響評(píng)估（如本文件所述）的哪些條款及子條款需參考現(xiàn)有影響評(píng)估。表D.1僅作示例提供，可根據(jù)組織需求進(jìn)行調(diào)整。2829行子條款本文件編號(hào)段落本文件潛在投入從a相關(guān)HRIA潛在的輸入來自相關(guān)PIA潛在的輸入來自相關(guān)環(huán)境影響評(píng)估報(bào)告潛在的輸入來自相關(guān)FIA潛在的輸入來自相關(guān)潛在的輸入來自相關(guān)SIAN/AXX2.--4.---XX-XX--X-XX-XX-XX--XX-XXXXN/AX鑰匙X：可能涉及人工智能系統(tǒng)影響評(píng)估的輸入數(shù)據(jù)映射指南是一種配有說明材料的視覺指南，用于展示人工智能系統(tǒng)的工作原理影響評(píng)估可與其他現(xiàn)有或相關(guān)評(píng)估結(jié)合使用，以避免重復(fù)和重疊?！媾挪椴⒆R(shí)別人工智能系統(tǒng)風(fēng)險(xiǎn)源。該映射指南本身是一個(gè)簡單的概念性起點(diǎn)，旨在幫助組織采取綜合方法進(jìn)行影響評(píng)估。該工具旨在闡明：—與人工智能系統(tǒng)影響評(píng)估相關(guān)或重疊的現(xiàn)有影響評(píng)估范圍；——各種影響評(píng)估如何共享共同的背景〔anizational目標(biāo)、管理目標(biāo)、風(fēng)險(xiǎn)或領(lǐng)導(dǎo)力]，同時(shí)允許主題領(lǐng)域（e.g.AI、隱私、質(zhì)量或安全性）的差異。此舉旨在支持并反映管理體系標(biāo)準(zhǔn)方法，其中統(tǒng)一的結(jié)構(gòu)確保一致性，同時(shí)允許存在差異。2930ISO/IEC42005：2025（en）圖D.1展示了人工智能系統(tǒng)影響評(píng)估與組織內(nèi)不同領(lǐng)域其他影響評(píng)估之間的潛在關(guān)聯(lián)，旨在展示一種潛在的實(shí)施案例。組織管理組織管理組織目標(biāo)風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評(píng)估[s]事件影響和和和事似然事件的潛在×事件的潛在×事變影響評(píng)估ISO/IEC23894參見圖B.1影響對(duì)個(gè)體的影響對(duì)社會(huì)的影響影響評(píng)估評(píng)估財(cái)政的影響結(jié)果風(fēng)險(xiǎn)ISO/IEC23894對(duì)個(gè)體的對(duì)社會(huì)的安全影影響門響圖D.1—人工智能系統(tǒng)影響評(píng)估與其他評(píng)估之間的潛在關(guān)系30CISO/IEC2025-版權(quán)所有E.1總則本附件提供了一份可供組織使用和定制的示例模板，用于記錄人工智能系統(tǒng)影響評(píng)估。模板中的字段基于第6條的子條款制定。組織開發(fā)或使用的每個(gè)人工智能系統(tǒng)都應(yīng)至少進(jìn)行一次影響評(píng)估。但在人工智能系統(tǒng)的整個(gè)生命周期中，可能需要對(duì)同一系統(tǒng)進(jìn)行多次影響評(píng)估。注：組織的人工智能政策很可能包含關(guān)于何時(shí)完成人工智能系統(tǒng)影響評(píng)估的要求。在某些情況下，組織的人工智能政策可能規(guī)定，對(duì)于組織開發(fā)或使用的每一項(xiàng)人工智能系統(tǒng)，都必須進(jìn)行人工智能系統(tǒng)影響評(píng)估。在其他情況下，組織的人工智能政策可能描述了滿足特定條件時(shí)，需要進(jìn)行人工智能系統(tǒng)影響評(píng)估的情形。注：組織的人工智能政策很可能包含關(guān)于何時(shí)完成人工智能系統(tǒng)影響評(píng)估的要求。在某些情況下，組織的人工智能政策可能規(guī)定，對(duì)于組織開發(fā)或使用的每一項(xiàng)人工智能系統(tǒng)，都必須進(jìn)行人工智能系統(tǒng)影響評(píng)估。在其他情況下，組織的人工智能政策可能描述了滿足特定條件時(shí)，需要進(jìn)行人工智能系統(tǒng)影響評(píng)估的情形?？蓪⒃u(píng)估納入現(xiàn)有影響評(píng)估中。E.2人工智能系統(tǒng)影響評(píng)估模板示例在人工智能