ISO/IEC42001：2023标准诞生的背景和意义

最近几年，人工智能得到快速发展，不同于普通的软件和传统IT技术，人工智能在给企业、人类和社会带来价值和机会的同时，也带来了新的风险和影响。本文详细分析了人工智能的特点以及给企业、人类和社会带来的风险和影响，介绍了ISO/IEC 42001：2023标准的制定和发布过程，并从四方面详细分析了该标准的作用和意义。

一、ISO/IEC 42001：2023标准诞生的背景

对人工智能的简单理解，就是模拟人类认知，执行需要人类智能才能完成的任务。人工智能可以协助人类完成各种任务，代替人类工作，甚至在很多方面超越人类。因此，人工智能的应用和发展将大幅提高工作效率，代替人类完成很多过去无法完成的工作，带来社会和产业颠覆性的变革，影响企业、社会和人类生活的方方面面，为人类社会带来巨大的利益。因此，人工智能被认为将引领全球第四次工业革命，受到全球越来越多企业、社会组织和政府的高度重视。

2025年7月23日，美国发布了《AI行动计划》，该计划明确了美国人工智能发展的三大支柱与关键举措；2025年7月31日，国务院常务会议审议通过《关于深入实施“人工智能+”行动的意见》，对中国人工智能的发展提供了明确目标和重点行动要求。

因为人工智能不同于普通的软件和传统IT技术，存在以下方面的明显不同的特点（见表1）。

正是因为人工智能与普通的软件和传统IT技术的明显不同，决定了人工智能的应用和发展在给企业、人类和社会带来价值和机会的同时，会带来新的风险和影响：

算法偏见与歧视。人工智能依赖对大量数据的学习，而数据本身可能存在偏见和歧视，使得人工智能基于数据的分析和推理得出的决策模型会出现偏差，输出结果会带有明显的偏见和歧视，偏离人类社会的价值观。

安全漏洞与滥用风险。人工智能可能被恶意利用，比如用于诈骗、破坏、制造病毒、破解密码、攻击和伤害人类等危害人类社会和国家安全的活动等。

黑箱决策与责任模糊。人工智能决策过程复杂，很难追溯和理解其决策逻辑，出现问题，责任难以界定。

侵犯个人隐私。人工智能可能收集、使用、推理出一些个人隐私数据，有意或者无意地侵犯个人隐私，造成不良后果甚至是法律责任。

超级智能失控。人工智能的发展使其能力超越人类，可能摆脱人类控制，对人类构成重大威胁。

正是因为认识到人工智能与普通软件和传统IT技术的明显不同以及其可能带来的风险和影响，所以人工智能的提供、开发、生产、测试、部署、使用和监管者需要有不同于普通软件和传统IT技术的管理理念、模式和方法。在此背景下，国际标准化组织（ISO）和国际电工委员会（IEC）决定联合开发人工智能管理体系（AIMS）国际标准，以填补全球治理空白。该标准由ISO/IEC 联合技术委员会JTC下属的人工智能分技术委员会SC 42主导制定，汇集了来自50多个国家的技术专家、企业代表和政府机构。

2020年，SC 42启动标准预研；

2022年11月，标准初稿向全球公开征求意见；

2023年6月，标准形成最终草案稿；

2023年12月18日，ISO/IEC正式发布ISO/IEC 42001：2023。

二、ISO/IEC 42001：2023标准诞生的意义

该标准在ISO管理体系框架的基础上，融合全球关于人工智能风险管控的最新理念和最佳实践，力图通过在人工智能全生命周期的各个阶段不同组织的角色定位，对人工智能进行系统的风险评估和处置以及对人类和社会造成的影响评估，管控人工智能的风险和影响。ISO管理体系框架本身整合全球在管理方面的最新理念和最佳实践，应用于质量、环境、职业健康安全、资产、创新等管理领域，形成了各自的管理体系标准，得到广泛应用并取得了良好的效果。该标准又针对人工智能的特点，为各种类型的组织制定和实施人工智能风险管控措施提供了参考，因此该标准可以帮助组织在较短时间内建立和完善人工智能管理体系，有效控制和降低人工智能风险和影响。

人工智能带来的风险和影响已经逐渐显现，而且会随着人工智能的发展变得越来越大，甚至会危害人类、社会和国家安全，受到越来越多的企业、社会组织和监管机构的重视，因此人工智能风险的管控能力和水平也必然将成为客户选择供应商和合作伙伴，以及监管机构对产品和企业行为进行监督的考虑因素。ISO/IEC 42001：2023是人工智能管理体系的认证标准，适合于各种类型的组织。企业和其他类型的组织可以依据该标准建立人工智能管理体系，如果通过认证，可以对外展示其在人工智能风险方面的管理能力和管理水平，得到客户、合作伙伴和监管部门的信任，获得更多的市场机会和竞争优势。

人工智能的发展，在给企业和社会带来巨大利益和机会的同时，会给企业和社会带来风险和影响，使其逐渐成为很多企业ESG管理的实质性议题。实质性议题的管控需要系统化的方法，议题的披露需要围绕治理、战略、风险管理以及指标和目标4个方面提供信息和证据。ISO/IEC 42001：2023作为人工智能管理体系标准，为企业管控人工智能风险和影响提供了体系化的方法和要求，完美覆盖这4个方面的要求。企业按照该标准建立人工智能管理体系并通过认证，不但可以有效管控人工智能风险，提升企业在人工智能方面的管理绩效，而且按照要求披露，可以为ESG评级提升提供有力的证据。

已经有人工智能专家发出警示，把人工智能比做幼虎，看起来可爱，但终究会长大。人工智能在快速发展，可能在不远的将来全面超越人类，人工智能如果失控与人类为敌，将给人类社会带来巨大的灾难，使“终结者”成为现实。但人工智能给人类带来的巨大利益使人类社会不会放弃人工智能，并且会全力以赴迎接人工智能的到来。

但未雨绸缪，从现在开始，就应该采取有力措施防控人工智能带来的风险。该标准的发布为人工智能发展的参与者提供了系统方法以管控人工智能风险。也许在该标准的帮助下，越来越多的组织能够更清晰地认识到人工智能的风险，进而采取切实有效的方法加以防控，从而可以将人工智能这个幼虎驯养成为与人为善的朋友，而不是危害人类的恶虎。