Egy szervezetben k\u00f6nny\u0171 azt gondolni, hogy ha m\u00e1r m\u0171k\u00f6dik min\u0151s\u00e9gir\u00e1ny\u00edt\u00e1si rendszer \u00e9s inform\u00e1ci\u00f3biztons\u00e1gi ir\u00e1ny\u00edt\u00e1si rendszer, akkor az AI ir\u00e1ny\u00edt\u00e1sa is \u201emajd belef\u00e9r\u201d ezekbe. A gyakorlatban azonban az AI m\u00e1s t\u00edpus\u00fa k\u00e9rd\u00e9seket vet fel: nemcsak a folyamat min\u0151s\u00e9g\u00e9t vagy az inform\u00e1ci\u00f3 v\u00e9delm\u00e9t kell vizsg\u00e1lni, hanem azt is, hogy a modell hogyan jut kimenetre, hogyan v\u00e1ltozik, mennyire magyar\u00e1zhat\u00f3, \u00e9s milyen hat\u00e1st gyakorol emberekre, d\u00f6nt\u00e9sekre vagy bizalomra.<\/p>\n\n\n\n
Az ISO 9001, az ISO\/IEC 27001 \u00e9s az ISO\/IEC 42001 k\u00f6z\u00f6s nyelvet besz\u00e9lnek: c\u00e9lokr\u00f3l, felel\u0151ss\u00e9gekr\u0151l, kock\u00e1zatokr\u00f3l, dokument\u00e1lt inform\u00e1ci\u00f3kr\u00f3l, auditokr\u00f3l \u00e9s folyamatos fejleszt\u00e9sr\u0151l sz\u00f3lnak. M\u00e9gsem ugyanarra val\u00f3k. Az ISO 9001 a min\u0151s\u00e9gir\u00e1ny\u00edt\u00e1s, az ISO\/IEC 27001 az inform\u00e1ci\u00f3biztons\u00e1g, az ISO\/IEC 42001 pedig a mesters\u00e9ges intelligencia felel\u0151s szervezeti ir\u00e1ny\u00edt\u00e1s\u00e1nak kerete.<\/p>\n\n\n\n
A k\u00fcl\u00f6nbs\u00e9g meg\u00e9rt\u00e9se k\u00fcl\u00f6n\u00f6sen fontos azoknak a szervezeteknek, amelyek AI-alap\u00fa \u00fcgyf\u00e9lszolg\u00e1lati megold\u00e1st, d\u00f6nt\u00e9st\u00e1mogat\u00f3 elemz\u00e9st, HR-sz\u0171r\u00e9st, dokumentumfeldolgoz\u00e1st, predikt\u00edv karbantart\u00e1st vagy generat\u00edv AI-eszk\u00f6zt haszn\u00e1lnak. Ilyenkor nem az a k\u00e9rd\u00e9s, hogy melyik szabv\u00e1ny \u201ejobb\u201d, hanem az, hogy melyik milyen ir\u00e1ny\u00edt\u00e1si probl\u00e9m\u00e1ra ad v\u00e1laszt.<\/p>\n\n\n\n
Az ISO 9001 min\u0151s\u00e9gir\u00e1ny\u00edt\u00e1si szabv\u00e1nyk\u00e9nt azt t\u00e1mogatja, hogy a szervezet k\u00f6vetkezetesen k\u00e9pes legyen vev\u0151i \u00e9s alkalmazand\u00f3 k\u00f6vetelm\u00e9nyeknek megfelel\u0151 term\u00e9keket vagy szolg\u00e1ltat\u00e1sokat ny\u00fajtani, mik\u00f6zben jav\u00edtja teljes\u00edtm\u00e9ny\u00e9t \u00e9s vev\u0151i el\u00e9gedetts\u00e9g\u00e9t (International Organization for Standardization [ISO], 2015). A min\u0151s\u00e9gir\u00e1ny\u00edt\u00e1si n\u00e9z\u0151pontban ez\u00e9rt a k\u00f6z\u00e9ppontban a k\u00f6vetkezetes teljes\u00edt\u00e9s \u00e9s jav\u00edt\u00e1s \u00e1ll<\/strong>. Egy AI-alap\u00fa \u00fcgyf\u00e9lszolg\u00e1lati megold\u00e1sn\u00e1l ez p\u00e9ld\u00e1ul azt jelenti, hogy a v\u00e1laszok id\u0151ben, \u00e9rthet\u0151en, az elj\u00e1r\u00e1soknak megfelel\u0151en \u00e9s m\u00e9rhet\u0151 szolg\u00e1ltat\u00e1si szinten jelennek-e meg.<\/p>\n\n\n\n Az ISO\/IEC 27001 m\u00e1s f\u00f3kuszb\u00f3l k\u00f6zel\u00edt. Az inform\u00e1ci\u00f3biztons\u00e1gi ir\u00e1ny\u00edt\u00e1si rendszer c\u00e9lja, hogy a szervezet az inform\u00e1ci\u00f3biztons\u00e1gi kock\u00e1zatokat az ig\u00e9nyeihez igaz\u00edtva \u00e9rt\u00e9kelje \u00e9s kezelje, k\u00fcl\u00f6n\u00f6sen a bizalmass\u00e1g, s\u00e9rtetlens\u00e9g \u00e9s rendelkez\u00e9sre \u00e1ll\u00e1s v\u00e9delme \u00e9rdek\u00e9ben (ISO\/IEC, 2022). Ebben a logik\u00e1ban az inform\u00e1ci\u00f3 \u00e9rt\u00e9ke a v\u00e9detts\u00e9g\u00e9vel egy\u00fctt \u00e9rtelmezhet\u0151<\/strong>. Egy AI-eszk\u00f6zn\u00e9l ez nemcsak azt jelenti, hogy ki f\u00e9r hozz\u00e1 az adatokhoz, hanem azt is, hogy milyen adat ker\u00fcl a modellbe, hol t\u00f6rt\u00e9nik a feldolgoz\u00e1s, hogyan napl\u00f3znak, \u00e9s milyen k\u00fcls\u0151 szolg\u00e1ltat\u00f3i kitetts\u00e9g keletkezik.<\/p>\n\n\n\n Az ISO\/IEC 42001 ezzel szemben az AI ir\u00e1ny\u00edt\u00e1si rendszer k\u00f6vetelm\u00e9nyeit \u00edrja le. A szabv\u00e1ny c\u00e9lja az AI-rendszerek felel\u0151s fejleszt\u00e9s\u00e9nek, biztos\u00edt\u00e1s\u00e1nak vagy haszn\u00e1lat\u00e1nak szervezeti ir\u00e1ny\u00edt\u00e1sa, bele\u00e9rtve az AI-val kapcsolatos c\u00e9lokat, kock\u00e1zatokat, kontrollokat \u00e9s folyamatos fejleszt\u00e9st (ISO\/IEC, 2023a). Itt az AI nem eszk\u00f6zfunkci\u00f3, hanem ir\u00e1ny\u00edtott szervezeti k\u00e9pess\u00e9g<\/strong>. A k\u00e9rd\u00e9s nem csak az, hogy az AI m\u0171k\u00f6dik-e, hanem az is, hogy mik\u00e9nt hat d\u00f6nt\u00e9sekre, emberekre, felel\u0151ss\u00e9gekre \u00e9s audit\u00e1lhat\u00f3s\u00e1gra.<\/p>\n\n\n\n A h\u00e1rom szabv\u00e1ny ez\u00e9rt nem egym\u00e1s helyettes\u00edt\u0151je. Egy \u00fcgyf\u00e9lnek adott AI-v\u00e1lasz min\u0151s\u00e9g\u00e9t az ISO 9001 logik\u00e1ja seg\u00edthet vizsg\u00e1lni; a v\u00e1laszhoz haszn\u00e1lt \u00fcgyf\u00e9ladatok v\u00e9delm\u00e9t az ISO\/IEC 27001 logik\u00e1ja t\u00e1mogatja; a modellkimenet megb\u00edzhat\u00f3s\u00e1g\u00e1t, fel\u00fcgyelet\u00e9t, emberi kontrollj\u00e1t \u00e9s t\u00e1rsadalmi hat\u00e1s\u00e1t pedig az ISO\/IEC 42001 n\u00e9z\u0151pontja teszi l\u00e1that\u00f3v\u00e1. Ebben a megoszt\u00e1sban ugyanaz az AI-haszn\u00e1lat h\u00e1rom k\u00fcl\u00f6nb\u00f6z\u0151 kock\u00e1zati arcot mutat<\/strong>. Ha a szervezet csak az egyik n\u00e9z\u0151pontot alkalmazza, a m\u00e1sik kett\u0151 k\u00f6nnyen rejtve marad.<\/p>\n\n\n\n Az elt\u00e9r\u0151 f\u00f3kusz gyakorlati k\u00f6vetkezm\u00e9nye az, hogy m\u00e1s k\u00e9rd\u00e9sek ker\u00fclnek el\u0151t\u00e9rbe. A min\u0151s\u00e9gir\u00e1ny\u00edt\u00e1s azt k\u00e9rdezi: megfelel-e a szolg\u00e1ltat\u00e1s az elv\u00e1rt szintnek, k\u00f6vetelm\u00e9nyeknek \u00e9s vev\u0151i ig\u00e9nyeknek? Az inform\u00e1ci\u00f3biztons\u00e1g azt k\u00e9rdezi: v\u00e9dettek-e az adatok, rendszerek \u00e9s hozz\u00e1f\u00e9r\u00e9sek? Az AI-ir\u00e1ny\u00edt\u00e1s azt k\u00e9rdezi: felel\u0151sen, \u00e1tl\u00e1that\u00f3an, ar\u00e1nyos kock\u00e1zatkezel\u00e9ssel \u00e9s emberi fel\u00fcgyelettel haszn\u00e1ljuk-e a mesters\u00e9ges intelligenci\u00e1t?<\/p>\n\n\n\n Ez a k\u00fcl\u00f6nbs\u00e9g k\u00fcl\u00f6n\u00f6sen akkor v\u00e1lik \u00e9less\u00e9, amikor az AI nem puszt\u00e1n h\u00e1tt\u00e9reszk\u00f6z, hanem d\u00f6nt\u00e9st befoly\u00e1sol. Egy min\u0151s\u00e9gir\u00e1ny\u00edt\u00e1si rendszer \u00e9szlelheti, ha n\u0151 az \u00fcgyf\u00e9lpanaszok sz\u00e1ma. Egy inform\u00e1ci\u00f3biztons\u00e1gi rendszer kezelheti, ha s\u00e9r\u00fcl az adatbizalmass\u00e1g. Az AI ir\u00e1ny\u00edt\u00e1si rendszer viszont azt is vizsg\u00e1lja, hogy a modellkimenet d\u00f6nt\u00e9si befoly\u00e1sa \u00f6n\u00e1ll\u00f3 kontrollt ig\u00e9nyel<\/strong>. Ez olyan k\u00e9rd\u00e9s, amelyet sem a klasszikus min\u0151s\u00e9g\u00fcgyi, sem a klasszikus inform\u00e1ci\u00f3biztons\u00e1gi logika nem fed le teljes eg\u00e9sz\u00e9ben.<\/p>\n\n\n\n A h\u00e1rom szabv\u00e1ny teh\u00e1t nem verseng\u0151 megk\u00f6zel\u00edt\u00e9s, hanem elt\u00e9r\u0151 ir\u00e1ny\u00edt\u00e1si r\u00e9teg. Az ISO 9001 a szervezet \u00e9rt\u00e9kteremt\u0151 folyamatait teszi k\u00f6vetkezetesebb\u00e9. Az ISO\/IEC 27001 az inform\u00e1ci\u00f3s vagyon v\u00e9delm\u00e9t szervezi rendszerbe. Az ISO\/IEC 42001 az AI-rendszerek c\u00e9lj\u00e1t, hat\u00e1s\u00e1t, \u00e9letciklus\u00e1t \u00e9s kontrollj\u00e1t emeli vezet\u00e9si szintre.<\/p>\n\n\n\n A l\u00e9nyeg nem az, hogy minden AI-haszn\u00e1latra h\u00e1rom k\u00fcl\u00f6n\u00e1ll\u00f3 rendszert \u00e9p\u00edts\u00fcnk. A c\u00e9l ink\u00e1bb az, hogy a megl\u00e9v\u0151 min\u0151s\u00e9g\u00fcgyi \u00e9s inform\u00e1ci\u00f3biztons\u00e1gi m\u0171k\u00f6d\u00e9shez kapcsol\u00f3dva olyan AI-specifikus ir\u00e1ny\u00edt\u00e1s j\u00f6jj\u00f6n l\u00e9tre, amely nem hagyja rejtve az AI saj\u00e1tos kock\u00e1zatait. Ebben az \u00e9rtelemben az ISO\/IEC 42001 nem lev\u00e1ltja, hanem kieg\u00e9sz\u00edti a megl\u00e9v\u0151 <\/strong>ir\u00e1ny\u00edt\u00e1si rendszereket<\/strong>. A hozz\u00e1adott \u00e9rt\u00e9ke \u00e9ppen ott jelenik meg, ahol a min\u0151s\u00e9g vagy inform\u00e1ci\u00f3biztons\u00e1g \u00f6nmag\u00e1ban m\u00e1r nem el\u00e9g.<\/p>\n\n\n\n A h\u00e1rom szabv\u00e1ny k\u00f6z\u00f6tt jelent\u0151s hasonl\u00f3s\u00e1g van, mert mindegyik menedzsmentrendszerk\u00e9nt gondolkodik. Az ISO menedzsmentrendszer-szabv\u00e1nyok c\u00e9lja, hogy ism\u00e9telhet\u0151 l\u00e9p\u00e9seken, vezet\u0151i elk\u00f6telezetts\u00e9gen, \u00f6n\u00e9rt\u00e9kel\u00e9sen, korrekci\u00f3n \u00e9s folyamatos fejleszt\u00e9sen kereszt\u00fcl t\u00e1mogass\u00e1k a szervezeti c\u00e9lok el\u00e9r\u00e9s\u00e9t (ISO, n.d.-a). Ez\u00e9rt a k\u00f6z\u00f6s szerkezet nem jelent azonos szakmai f\u00f3kuszt<\/strong>. Ugyanaz a menedzsmentrendszer-nyelv m\u00e1s t\u00e1rgyter\u00fcletre alkalmazva m\u00e1s kontrollokat eredm\u00e9nyez.<\/p>\n\n\n\n A k\u00f6z\u00f6s elemek k\u00f6z\u00e9 tartozik a szervezet kontextus\u00e1nak meg\u00e9rt\u00e9se, az \u00e9rdekelt felek ig\u00e9nyeinek azonos\u00edt\u00e1sa, a hat\u00f3k\u00f6r kijel\u00f6l\u00e9se, a vezet\u0151i szerepv\u00e1llal\u00e1s, a kock\u00e1zatalap\u00fa gondolkod\u00e1s, az er\u0151forr\u00e1sok biztos\u00edt\u00e1sa, a kompetenci\u00e1k kezel\u00e9se, a dokument\u00e1lt inform\u00e1ci\u00f3k fenntart\u00e1sa, a m\u0171k\u00f6d\u00e9s szab\u00e1lyoz\u00e1sa, a teljes\u00edtm\u00e9ny\u00e9rt\u00e9kel\u00e9s, a bels\u0151 audit \u00e9s a fejleszt\u00e9s. Ezek a k\u00f6z\u00f6s elemek az\u00e9rt hasznosak, mert a szervezetnek nem kell mindent null\u00e1r\u00f3l fel\u00e9p\u00edtenie<\/strong>. Ha m\u00e1r m\u0171k\u00f6dik ISO 9001 vagy ISO\/IEC 27001 szerinti rendszer, akkor sz\u00e1mos ir\u00e1ny\u00edt\u00e1si mechanizmus \u00fajrahasznos\u00edthat\u00f3 az AI ir\u00e1ny\u00edt\u00e1si rendszerben is.<\/p>\n\n\n\n Az ISO harmoniz\u00e1lt szerkezetet alkalmaz t\u00f6bb menedzsmentrendszer-szabv\u00e1nyn\u00e1l, ami megk\u00f6nny\u00edti, hogy egy szervezet egyetlen integr\u00e1lt ir\u00e1ny\u00edt\u00e1si rendszerben feleljen meg t\u00f6bb szabv\u00e1ny k\u00f6vetelm\u00e9nyeinek (ISO, n.d.-b). Ez az integr\u00e1ci\u00f3 k\u00fcl\u00f6n\u00f6sen el\u0151ny\u00f6s AI-k\u00f6rnyezetben. Egy AI-haszn\u00e1lati eset ugyanis egyszerre \u00e9rintheti a szolg\u00e1ltat\u00e1smin\u0151s\u00e9get, az adatv\u00e9delmet, az inform\u00e1ci\u00f3biztons\u00e1got, az \u00fczleti kock\u00e1zatot \u00e9s az etikai megfelel\u00e9st.<\/p>\n\n\n\n Az integr\u00e1lt megk\u00f6zel\u00edt\u00e9sben a k\u00f6z\u00f6s rendszergerinc cs\u00f6kkenti a p\u00e1rhuzamos adminisztr\u00e1ci\u00f3t<\/strong>. Nem kell k\u00fcl\u00f6n-k\u00fcl\u00f6n auditprogramot, dokumentumkezel\u00e9si rendszert vagy k\u00e9pz\u00e9si nyilv\u00e1ntart\u00e1st l\u00e9trehozni minden szabv\u00e1nyhoz, ha a megl\u00e9v\u0151 rendszer k\u00e9pes befogadni az AI-specifikus k\u00f6vetelm\u00e9nyeket. Azonban ez csak akkor m\u0171k\u00f6dik j\u00f3l, ha a szervezet nem mossa \u00f6ssze a f\u00f3kuszokat.<\/p>\n\n\n\n A hat\u00f3k\u00f6r kijel\u00f6l\u00e9se mindh\u00e1rom szabv\u00e1nyban k\u00f6zponti k\u00e9rd\u00e9s, de elt\u00e9r\u0151 tartalommal. ISO 9001 eset\u00e9n a hat\u00f3k\u00f6r a min\u0151s\u00e9gir\u00e1ny\u00edt\u00e1si rendszerre, term\u00e9kekre, szolg\u00e1ltat\u00e1sokra \u00e9s folyamatokra vonatkozik. ISO\/IEC 27001 eset\u00e9n az inform\u00e1ci\u00f3biztons\u00e1gi ir\u00e1ny\u00edt\u00e1si rendszerre, inform\u00e1ci\u00f3s eszk\u00f6z\u00f6kre \u00e9s kock\u00e1zati k\u00f6rnyezetre. ISO\/IEC 42001 eset\u00e9n az AI-rendszerekre, AI-haszn\u00e1lati esetekre, \u00e9rintett folyamatokra \u00e9s AI-val kapcsolatos szervezeti felel\u0151ss\u00e9gekre. \u00cdgy a hat\u00f3k\u00f6r mindig azt mutatja meg, mit v\u00e1llal ir\u00e1ny\u00edtani a szervezet<\/strong>. Az AI-n\u00e1l ez k\u00fcl\u00f6n\u00f6sen \u00e9rz\u00e9keny, mert sok haszn\u00e1lat rejtett funkci\u00f3k\u00e9nt vagy k\u00fcls\u0151 szolg\u00e1ltat\u00e1sk\u00e9nt jelenik meg.<\/p>\n\n\n\n A kock\u00e1zatalap\u00fa gondolkod\u00e1s szint\u00e9n k\u00f6z\u00f6s, de m\u00e1s t\u00e1rgyra ir\u00e1nyul. A min\u0151s\u00e9gir\u00e1ny\u00edt\u00e1si kock\u00e1zat lehet p\u00e9ld\u00e1ul hib\u00e1s teljes\u00edt\u00e9s, vev\u0151i el\u00e9gedetlens\u00e9g, folyamatelt\u00e9r\u00e9s vagy nem megfelel\u0151 szolg\u00e1ltat\u00e1si szint. Az inform\u00e1ci\u00f3biztons\u00e1gi kock\u00e1zat lehet jogosulatlan hozz\u00e1f\u00e9r\u00e9s, adatveszt\u00e9s, rendszerle\u00e1ll\u00e1s vagy integrit\u00e1ss\u00e9r\u00fcl\u00e9s. Az AI-kock\u00e1zat lehet torz modellkimenet, magyar\u00e1zhatatlan d\u00f6nt\u00e9st\u00e1mogat\u00e1s, t\u00falzott felhaszn\u00e1l\u00f3i bizalom, nem megfelel\u0151 emberi fel\u00fcgyelet vagy t\u00e1rsadalmi hat\u00e1s.<\/p>\n\n\n\n Ez\u00e9rt a kock\u00e1zatkezel\u00e9si forma k\u00f6z\u00f6s, de a kock\u00e1zat tartalma elt\u00e9r\u0151<\/strong>. Egy megl\u00e9v\u0151 kock\u00e1zatkezel\u00e9si m\u00f3dszertan hasznos alap lehet, de az AI-kock\u00e1zatokat nem lehet egyszer\u0171en min\u0151s\u00e9g\u00fcgyi vagy inform\u00e1ci\u00f3biztons\u00e1gi kock\u00e1zatk\u00e9nt \u00e1tnevezni. Meg kell \u00e9rteni, hogy az AI kimenete milyen d\u00f6nt\u00e9si, emberi \u00e9s szervezeti k\u00f6vetkezm\u00e9nyt hordoz.<\/p>\n\n\n\n A dokument\u00e1lt inform\u00e1ci\u00f3k kezel\u00e9se is k\u00f6z\u00f6s elem. Mindh\u00e1rom rendszerben fontos, hogy a szervezet bizony\u00edtani tudja a m\u0171k\u00f6d\u00e9s\u00e9t: milyen szab\u00e1lyzatok, elj\u00e1r\u00e1sok, felel\u0151ss\u00e9gek, kock\u00e1zat\u00e9rt\u00e9kel\u00e9sek, auditok \u00e9s fejleszt\u00e9si int\u00e9zked\u00e9sek l\u00e9teznek. AI eset\u00e9ben azonban \u00faj dokument\u00e1ci\u00f3s elemek jelennek meg: AI-haszn\u00e1latieset-lap, AI-nyilv\u00e1ntart\u00e1s, modell- vagy szolg\u00e1ltat\u00e1sle\u00edr\u00e1s, kimeneti hat\u00e1s\u00e9rt\u00e9kel\u00e9s, emberi fel\u00fcgyeleti terv, valid\u00e1l\u00e1si eredm\u00e9nyek \u00e9s v\u00e1ltoz\u00e1skezel\u00e9si nyomvonal.<\/p>\n\n\n\n A bels\u0151 audit logik\u00e1ja szint\u00e9n hasonl\u00f3. Az auditor azt vizsg\u00e1lja, hogy a szervezet azt teszi-e, amit v\u00e1llalt, \u00e9s a rendszer alkalmas-e a c\u00e9lok el\u00e9r\u00e9s\u00e9re. Az AI eset\u00e9ben viszont az audit k\u00e9rd\u00e9sei m\u00e1sok lesznek. P\u00e9ld\u00e1ul: ismert-e minden l\u00e9nyeges AI-haszn\u00e1lati eset, van-e felel\u0151se a rendszernek, megt\u00f6rt\u00e9nt-e a kock\u00e1zat\u00e9rt\u00e9kel\u00e9s, dokument\u00e1lt-e az emberi fel\u00fcgyelet, \u00e9s k\u00f6vetik-e a modell vagy szolg\u00e1ltat\u00e1s v\u00e1ltoz\u00e1sait?<\/p>\n\n\n\n A k\u00f6z\u00f6s menedzsmentrendszer-elemek teh\u00e1t nagy el\u0151nyt jelentenek. A szervezet felhaszn\u00e1lhatja megl\u00e9v\u0151 auditfolyamatait, dokumentumkezel\u00e9s\u00e9t, kock\u00e1zat\u00e9rt\u00e9kel\u00e9si rendj\u00e9t, vezet\u0151i \u00e1ttekint\u00e9seit \u00e9s kompetenciakezel\u00e9s\u00e9t. Ugyanakkor az integr\u00e1ci\u00f3 nem lehet fogalmi egyszer\u0171s\u00edt\u00e9s<\/strong>. Az AI-ra vonatkoz\u00f3 saj\u00e1tos k\u00e9rd\u00e9seket k\u00fcl\u00f6n kell megnevezni, k\u00fcl\u00f6n kell \u00e9rt\u00e9kelni, \u00e9s ahol sz\u00fcks\u00e9ges, k\u00fcl\u00f6n kontrollokkal kell kezelni.<\/p>\n\n\n\n Az AI-specifikus kock\u00e1zatok egyik legfontosabb jellemz\u0151je, hogy gyakran nem illeszkednek teljesen sem a hagyom\u00e1nyos min\u0151s\u00e9g\u00fcgyi, sem az inform\u00e1ci\u00f3biztons\u00e1gi kateg\u00f3ri\u00e1kba. Egy AI-rendszer adhat gyors, konzisztens \u00e9s biztons\u00e1gosan kezelt kimenetet, mik\u00f6zben a kimenet m\u00e9gis torz, f\u00e9lrevezet\u0151 vagy nehezen magyar\u00e1zhat\u00f3. Ez\u00e9rt az AI-kock\u00e1zat nem mer\u00fcl ki hib\u00e1s folyamatban vagy adatsziv\u00e1rg\u00e1sban<\/strong>. A modell viselked\u00e9se \u00e9s d\u00f6nt\u00e9si hat\u00e1sa \u00f6n\u00e1ll\u00f3 vizsg\u00e1latot ig\u00e9nyel.<\/p>\n\n\n\n Az elfogults\u00e1g, vagyis a torz\u00edt\u00e1s tipikus AI-specifikus kock\u00e1zat. Min\u0151s\u00e9gir\u00e1ny\u00edt\u00e1si szempontb\u00f3l a szervezet \u00e9szreveheti, ha egy folyamat kimenete nem megfelel\u0151. Inform\u00e1ci\u00f3biztons\u00e1gi szempontb\u00f3l ellen\u0151rizheti, hogy az adatok v\u00e9dettek-e. De az AI-ir\u00e1ny\u00edt\u00e1snak azt is vizsg\u00e1lnia kell, hogy a modellkimenet bizonyos \u00fcgyf\u00e9lcsoportokat, munkav\u00e1llal\u00f3i csoportokat vagy \u00e9lethelyzeteket h\u00e1tr\u00e1nyosan \u00e9rinthet-e. A NIST AI RMF ez\u00e9rt az AI-kock\u00e1zatokat egy\u00e9nekre, szervezetekre \u00e9s t\u00e1rsadalmi rendszerekre gyakorolt lehets\u00e9ges hat\u00e1sokk\u00e9nt is kezeli (National Institute of Standards and Technology [NIST], 2023).<\/p>\n\n\n\n A magyar\u00e1zhat\u00f3s\u00e1g \u00e9s \u00e1tl\u00e1that\u00f3s\u00e1g szint\u00e9n k\u00fcl\u00f6n kock\u00e1zati ter\u00fclet. Egy \u00fcgyf\u00e9lszolg\u00e1lati AI megold\u00e1s p\u00e9ld\u00e1ul lehet gyors \u00e9s inform\u00e1ci\u00f3biztons\u00e1gilag v\u00e9dett, de ha nem vil\u00e1gos, mi alapj\u00e1n adott v\u00e1laszt, milyen tud\u00e1sforr\u00e1sra t\u00e1maszkodott, vagy mikor kell emberi fel\u00fclvizsg\u00e1lat, akkor a szervezet nehezen tudja kezelni a vitatott eseteket. Ilyenkor a kimenet \u00e9rthet\u0151s\u00e9ge a felel\u0151ss\u00e9g el\u0151felt\u00e9tele<\/strong>. Az AI ir\u00e1ny\u00edt\u00e1si rendszernek nem felt\u00e9tlen\u00fcl a modell minden bels\u0151 sz\u00e1m\u00edt\u00e1s\u00e1t kell k\u00f6z\u00e9rthet\u0151v\u00e9 tennie, de a c\u00e9l, korl\u00e1t, felhaszn\u00e1l\u00e1si szab\u00e1ly \u00e9s fel\u00fcgyelet dokument\u00e1l\u00e1s\u00e1t biztos\u00edtania kell.<\/p>\n\n\n\n A modellv\u00e1ltoz\u00e1s \u00e9s teljes\u00edtm\u00e9nyroml\u00e1s m\u00e1sik saj\u00e1tos probl\u00e9ma. Egy hagyom\u00e1nyos folyamatn\u00e1l a v\u00e1ltoz\u00e1s gyakran szab\u00e1lyzatm\u00f3dos\u00edt\u00e1shoz, rendszerfriss\u00edt\u00e9shez vagy folyamatv\u00e1ltoz\u00e1shoz k\u00f6t\u0151dik. AI eset\u00e9ben a teljes\u00edtm\u00e9ny akkor is v\u00e1ltozhat, ha a k\u00f6rnyezet, az adatok, a felhaszn\u00e1l\u00f3i viselked\u00e9s vagy a besz\u00e1ll\u00edt\u00f3i modellfriss\u00edt\u00e9s m\u00f3dosul. Ez\u00e9rt az AI-rendszer megb\u00edzhat\u00f3s\u00e1ga id\u0151ben v\u00e1ltoz\u00f3 tulajdons\u00e1g<\/strong>. A kor\u00e1bbi valid\u00e1l\u00e1s nem felt\u00e9tlen\u00fcl elegend\u0151, ha a haszn\u00e1lati k\u00f6rnyezet vagy a modell m\u0171k\u00f6d\u00e9se megv\u00e1ltozik.<\/p>\n\n\n\n Az emberi fel\u00fcgyelet szint\u00e9n AI-specifikus ir\u00e1ny\u00edt\u00e1si pont. A min\u0151s\u00e9gir\u00e1ny\u00edt\u00e1s is ismeri a j\u00f3v\u00e1hagy\u00e1st, ellen\u0151rz\u00e9st \u00e9s felel\u0151ss\u00e9gi szerepeket, de AI-n\u00e1l k\u00fcl\u00f6n k\u00e9rd\u00e9s, hogy az ember val\u00f3ban k\u00e9pes-e meg\u00e9rteni, megk\u00e9rd\u0151jelezni \u00e9s fel\u00fclb\u00edr\u00e1lni a g\u00e9pi kimenetet. Az EU AI Act is kock\u00e1zatalap\u00fa megk\u00f6zel\u00edt\u00e9st alkalmaz, \u00e9s az AI-rendszerek fejleszt\u0151ire \u00e9s alkalmaz\u00f3ira meghat\u00e1rozott haszn\u00e1latokn\u00e1l k\u00fcl\u00f6n k\u00f6telezetts\u00e9geket \u00e1llap\u00edt meg, k\u00fcl\u00f6n\u00f6sen a magas kock\u00e1zat\u00fa rendszerekn\u00e9l (European Commission, 2025).<\/p>\n\n\n\n A t\u00e1rsadalmi hat\u00e1s k\u00fcl\u00f6n\u00f6sen ott v\u00e1lik szervezeti k\u00e9rd\u00e9ss\u00e9, ahol az AI emberek lehet\u0151s\u00e9geit, hozz\u00e1f\u00e9r\u00e9s\u00e9t, t\u00e1j\u00e9koztat\u00e1s\u00e1t vagy \u00e9rt\u00e9kel\u00e9s\u00e9t befoly\u00e1solja. Egy HR-el\u0151sz\u0171r\u0151 rendszer, egy \u00fcgyf\u00e9lmin\u0151s\u00edt\u0151 modell vagy egy panaszokat prioriz\u00e1l\u00f3 chatbot nemcsak folyamatmin\u0151s\u00e9gi vagy inform\u00e1ci\u00f3biztons\u00e1gi k\u00e9rd\u00e9s. Ezek a rendszerek \u00e9rinthetik a m\u00e9lt\u00e1nyoss\u00e1got, az \u00e1tl\u00e1that\u00f3s\u00e1got \u00e9s a bizalmat. A HLEG megb\u00edzhat\u00f3 AI-r\u00f3l sz\u00f3l\u00f3 ir\u00e1nymutat\u00e1sa ez\u00e9rt olyan k\u00f6vetelm\u00e9nyeket emel ki, mint az emberi fel\u00fcgyelet, technikai robusztuss\u00e1g, adatir\u00e1ny\u00edt\u00e1s, \u00e1tl\u00e1that\u00f3s\u00e1g, m\u00e9lt\u00e1nyoss\u00e1g \u00e9s elsz\u00e1moltathat\u00f3s\u00e1g (High-Level Expert Group on Artificial Intelligence, 2019).<\/p>\n\n\n\n Az AI-specifikus kock\u00e1zatok gyakorlati felismer\u00e9s\u00e9hez \u00e9rdemes k\u00fcl\u00f6n k\u00e9rd\u00e9ssort alkalmazni:<\/p>\n\n\n\n Milyen kimenetet \u00e1ll\u00edt el\u0151 az AI?<\/p>\n\n\n\n Milyen d\u00f6nt\u00e9shez vagy folyamathoz kapcsol\u00f3dik a kimenet?<\/p>\n\n\n\n Kikre gyakorolhat k\u00f6zvetlen vagy k\u00f6zvetett hat\u00e1st?<\/p>\n\n\n\n Van-e lehet\u0151s\u00e9g emberi fel\u00fclvizsg\u00e1latra?<\/p>\n\n\n\n Mennyire \u00e9rthet\u0151 a kimenet a felhaszn\u00e1l\u00f3nak?<\/p>\n\n\n\n V\u00e1ltozhat-e a modell teljes\u00edtm\u00e9nye vagy m\u0171k\u00f6d\u00e9se?<\/p>\n\n\n\n Milyen t\u00e1rsadalmi, etikai vagy reput\u00e1ci\u00f3s hat\u00e1s jelenhet meg?<\/p>\n\n\n\n Ezek a k\u00e9rd\u00e9sek t\u00falmutatnak a klasszikus min\u0151s\u00e9g- \u00e9s inform\u00e1ci\u00f3biztons\u00e1gi ellen\u0151rz\u0151list\u00e1n. Nem az\u00e9rt, mert azok kev\u00e9sb\u00e9 fontosak, hanem mert az AI m\u00e1s m\u00f3don avatkozik be a szervezet m\u0171k\u00f6d\u00e9s\u00e9be. Egy AI-kimenet nemcsak adatot kezel vagy folyamatl\u00e9p\u00e9st t\u00e1mogat, hanem javaslatot, rangsort, besorol\u00e1st vagy kommunik\u00e1ci\u00f3t is l\u00e9trehozhat.<\/p>\n\n\n\n Az ISO\/IEC 23894 szerepe ebben az, hogy AI-specifikus kock\u00e1zatkezel\u00e9si ir\u00e1nymutat\u00e1st ad, amely illeszthet\u0151 a szervezet kock\u00e1zatkezel\u00e9si folyamataiba (ISO\/IEC, 2023b). Ez fontos kieg\u00e9sz\u00edt\u0151je az ISO\/IEC 42001-nek, mert seg\u00edt abban, hogy az AI-kock\u00e1zatokat ne csak \u00e1ltal\u00e1nos v\u00e1llalati kock\u00e1zatk\u00e9nt, hanem AI-jelleg\u00fck szerint \u00e9rt\u00e9kelj\u00fck.<\/p>\n\n\n\n Ez\u00e9rt az AI management f\u00f3kusz a kimenet hat\u00e1s\u00e1t is vizsg\u00e1lja<\/strong>. Nem \u00e1ll meg ann\u00e1l, hogy a rendszer rendelkez\u00e9sre \u00e1ll, az adat biztons\u00e1gos, vagy a szolg\u00e1ltat\u00e1si szint teljes\u00fcl. Azt is k\u00e9rdezi, hogy a kimenet m\u00e9lt\u00e1nyos-e, \u00e9rthet\u0151-e, fel\u00fcgyelhet\u0151-e, \u00e9s nem okoz-e olyan d\u00f6nt\u00e9si torzul\u00e1st, amelyet a szervezet k\u00e9s\u0151bb nem tud megmagyar\u00e1zni.<\/p>\n\n\n\n Az AI-specifikus kock\u00e1zatok elk\u00fcl\u00f6n\u00edt\u00e9se nem b\u00fcrokratikus finomhangol\u00e1s. Ez a k\u00fcl\u00f6nbs\u00e9g d\u00f6nti el, hogy a szervezet val\u00f3ban ir\u00e1ny\u00edtja-e az AI-t, vagy csak megl\u00e9v\u0151 rendszerek c\u00edmk\u00e9i al\u00e1 sorolja be. A felel\u0151s m\u0171k\u00f6d\u00e9shez mindh\u00e1rom n\u00e9z\u0151pont kell: min\u0151s\u00e9g, inform\u00e1ci\u00f3biztons\u00e1g \u00e9s AI management. Egyik sem teljes a m\u00e1sik kett\u0151 n\u00e9lk\u00fcl.<\/p>\n\n\n\n A megl\u00e9v\u0151 ISO 9001 \u00e9s ISO\/IEC 27001 rendszerek jelent\u0151s el\u0151nyt adhatnak az ISO\/IEC 42001 bevezet\u00e9s\u00e9hez. Egy min\u0151s\u00e9gir\u00e1ny\u00edt\u00e1si rendszerben \u00e1ltal\u00e1ban m\u00e1r l\u00e9tezik folyamatle\u00edr\u00e1s, elt\u00e9r\u00e9skezel\u00e9s, vev\u0151i visszajelz\u00e9s, bels\u0151 audit, vezet\u0151i \u00e1tvizsg\u00e1l\u00e1s \u00e9s folyamatos fejleszt\u00e9s. Ezekre az AI ir\u00e1ny\u00edt\u00e1si rendszer is \u00e9p\u00edthet. Ugyanakkor a megl\u00e9v\u0151 rendszer gyors\u00edt, de nem helyettes\u00edt<\/strong>. Az AI-specifikus c\u00e9lokat, kock\u00e1zatokat \u00e9s kontrollokat k\u00fcl\u00f6n meg kell hat\u00e1rozni.<\/p>\n\n\n\n Az ISO 9001 k\u00fcl\u00f6n\u00f6sen hasznos akkor, amikor az AI egy szolg\u00e1ltat\u00e1si folyamat min\u0151s\u00e9g\u00e9t befoly\u00e1solja. Egy AI-alap\u00fa \u00fcgyf\u00e9lszolg\u00e1lati asszisztens eset\u00e9n m\u00e9rhet\u0151 a v\u00e1laszid\u0151, az els\u0151 megold\u00e1si ar\u00e1ny, az \u00fcgyf\u00e9l-el\u00e9gedetts\u00e9g, a panaszok sz\u00e1ma vagy a hib\u00e1s t\u00e1j\u00e9koztat\u00e1s ar\u00e1nya. Ezek min\u0151s\u00e9g\u00fcgyi k\u00e9rd\u00e9sek. A min\u0151s\u00e9gir\u00e1ny\u00edt\u00e1s azonban \u00f6nmag\u00e1ban nem felt\u00e9tlen\u00fcl vizsg\u00e1lja, hogy a modell milyen adatokb\u00f3l tanult, hogyan v\u00e1ltozik, \u00e9s milyen esetekben ig\u00e9nyel emberi fel\u00fclvizsg\u00e1latot.<\/p>\n\n\n\n Ez\u00e9rt a min\u0151s\u00e9gir\u00e1ny\u00edt\u00e1s a szolg\u00e1ltat\u00e1s eredm\u00e9ny\u00e9t, nem felt\u00e9tlen\u00fcl a modellhat\u00e1st l\u00e1tja<\/strong>. Ha egy chatbot v\u00e1laszai gyorsak \u00e9s egys\u00e9gesek, a min\u0151s\u00e9gmutat\u00f3k kedvez\u0151ek lehetnek. Ett\u0151l m\u00e9g el\u0151fordulhat, hogy a rendszer bizonyos \u00fcgyt\u00edpusokban f\u00e9lrevezet\u0151 v\u00e1laszt ad, vagy a felhaszn\u00e1l\u00f3k t\u00falzottan megb\u00edznak a kimenet\u00e9ben. Ez m\u00e1r AI management k\u00e9rd\u00e9s.<\/p>\n\n\n\n Az ISO\/IEC 27001 hasonl\u00f3an er\u0151s alapot ad az AI inform\u00e1ci\u00f3biztons\u00e1gi kezel\u00e9s\u00e9hez. Seg\u00edt vizsg\u00e1lni a hozz\u00e1f\u00e9r\u00e9seket, adat\u00e1raml\u00e1sokat, jogosults\u00e1gokat, besz\u00e1ll\u00edt\u00f3i kock\u00e1zatokat, napl\u00f3z\u00e1st, incidenskezel\u00e9st \u00e9s rendelkez\u00e9sre \u00e1ll\u00e1st. Egy AI-eszk\u00f6z eset\u00e9ben ezek n\u00e9lk\u00fcl\u00f6zhetetlen kontrollok. Az inform\u00e1ci\u00f3biztons\u00e1g azonban \u00f6nmag\u00e1ban nem v\u00e1laszolja meg, hogy az AI-kimenet m\u00e9lt\u00e1nyos-e, \u00e9rtelmezhet\u0151-e, vagy milyen emberi fel\u00fcgyeletet ig\u00e9nyel.<\/p>\n\n\n\n \u00cdgy az inform\u00e1ci\u00f3biztons\u00e1g az adatot v\u00e9di, de nem \u00e9rt\u00e9keli a d\u00f6nt\u00e9si befoly\u00e1st teljes k\u00f6r\u0171en<\/strong>. Egy AI-rendszer lehet hozz\u00e1f\u00e9r\u00e9skezel\u00e9sben, titkos\u00edt\u00e1sban \u00e9s napl\u00f3z\u00e1sban megfelel\u0151, mik\u00f6zben a kimenete torz vagy nehezen fel\u00fclvizsg\u00e1lhat\u00f3. Ez\u00e9rt az AI ir\u00e1ny\u00edt\u00e1si rendszer nem az ISMS versenyt\u00e1rsa, hanem annak kieg\u00e9sz\u00edt\u0151 r\u00e9tege.<\/p>\n\n\n\n A megl\u00e9v\u0151 rendszerekre \u00e9p\u00edt\u00e9s legnagyobb el\u0151nye, hogy a szervezet m\u00e1r rendelkezik ir\u00e1ny\u00edt\u00e1si szok\u00e1sokkal. Ismeri a hat\u00f3k\u00f6r fogalm\u00e1t, a dokument\u00e1lt inform\u00e1ci\u00f3 kezel\u00e9s\u00e9t, a bels\u0151 auditot, a helyesb\u00edt\u0151 int\u00e9zked\u00e9seket, a kock\u00e1zati gondolkod\u00e1st \u00e9s a vezet\u0151i \u00e1ttekint\u00e9st. Ezt az \u00e9retts\u00e9get \u00e9rdemes kihaszn\u00e1lni. Az AI-ir\u00e1ny\u00edt\u00e1s akkor er\u0151s, ha nem k\u00fcl\u00f6n szigetk\u00e9nt \u00e9p\u00fcl fel<\/strong>. A legjobb megold\u00e1s \u00e1ltal\u00e1ban az, ha az AIMS a megl\u00e9v\u0151 ir\u00e1ny\u00edt\u00e1si rendszerhez kapcsol\u00f3dik.<\/p>\n\n\n\n Ennek ugyanakkor vannak hat\u00e1rai. Ha a szervezet puszt\u00e1n egy \u00faj mell\u00e9kletet tesz az ISO 9001 vagy ISO\/IEC 27001 rendszer\u00e9hez, de nem hoz l\u00e9tre AI-nyilv\u00e1ntart\u00e1st, AI-haszn\u00e1latieset-le\u00edr\u00e1st, AI-specifikus kock\u00e1zat\u00e9rt\u00e9kel\u00e9st \u00e9s emberi fel\u00fcgyeleti rendet, akkor az ISO\/IEC 42001 l\u00e9nyege nem val\u00f3sul meg. A formai integr\u00e1ci\u00f3 nem azonos a tartalmi ir\u00e1ny\u00edt\u00e1ssal.<\/p>\n\n\n\n A gyakorlatban \u00e9rdemes elk\u00fcl\u00f6n\u00edteni, hogy mely megl\u00e9v\u0151 elemek haszn\u00e1lhat\u00f3k k\u00f6zvetlen\u00fcl, \u00e9s hol kell AI-specifikus kieg\u00e9sz\u00edt\u00e9s:<\/p>\n\n\n\n Megl\u00e9v\u0151 ir\u00e1ny\u00edt\u00e1si elem<\/p>\n\n\n\n Hasznos alap<\/p>\n\n\n\n AI-specifikus kieg\u00e9sz\u00edt\u00e9s<\/p>\n\n\n\n Dokumentumkezel\u00e9s<\/p>\n\n\n\n szab\u00e1lyzatok, elj\u00e1r\u00e1sok kezel\u00e9se<\/p>\n\n\n\n AI-nyilv\u00e1ntart\u00e1s, modell- \u00e9s haszn\u00e1latieset-dokument\u00e1ci\u00f3<\/p>\n\n\n\n Bels\u0151 audit<\/p>\n\n\n\n auditprogram, auditm\u00f3dszertan<\/p>\n\n\n\n AI-kimenet, fel\u00fcgyelet, modellv\u00e1ltoz\u00e1s vizsg\u00e1lata<\/p>\n\n\n\n Kock\u00e1zatkezel\u00e9s<\/p>\n\n\n\n kock\u00e1zati m\u00e1trix, felel\u0151s\u00f6k<\/p>\n\n\n\n torz\u00edt\u00e1s, magyar\u00e1zhat\u00f3s\u00e1g, emberi kontroll<\/p>\n\n\n\n Besz\u00e1ll\u00edt\u00f3kezel\u00e9s<\/p>\n\n\n\n szerz\u0151d\u00e9ses \u00e9s szolg\u00e1ltat\u00f3i kontroll<\/p>\n\n\n\n AI-modellfriss\u00edt\u00e9s, adatfelhaszn\u00e1l\u00e1s, kimeneti korl\u00e1t<\/p>\n\n\n\n K\u00e9pz\u00e9s<\/p>\n\n\n\n kompetencia-nyilv\u00e1ntart\u00e1s<\/p>\n\n\n\n AI-haszn\u00e1lati szab\u00e1lyok, t\u00falzott bizalom kezel\u00e9se<\/p>\n\n\n\n A t\u00e1bl\u00e1zat mutatja, hogy az integr\u00e1ci\u00f3 akkor m\u0171k\u00f6dik, ha a megl\u00e9v\u0151 elem AI-tartalmat kap<\/strong>. Nem kell minden folyamatot \u00fajratervezni, de minden relev\u00e1ns folyamatot ki kell eg\u00e9sz\u00edteni az AI saj\u00e1tos kock\u00e1zataival. Ez k\u00fcl\u00f6n\u00f6sen igaz a besz\u00e1ll\u00edt\u00f3i AI-eszk\u00f6z\u00f6kre, ahol a szervezet nem mindig l\u00e1tja a modell bels\u0151 m\u0171k\u00f6d\u00e9s\u00e9t, m\u00e9gis felel a saj\u00e1t felhaszn\u00e1l\u00e1si k\u00f6rnyezet\u00e9\u00e9rt.<\/p>\n\n\n\n A megl\u00e9v\u0151 ISO\/IEC 27001 rendszer p\u00e9ld\u00e1ul kezelheti, hogy egy k\u00fcls\u0151 AI-szolg\u00e1ltat\u00f3val milyen adatfeldolgoz\u00e1si, hozz\u00e1f\u00e9r\u00e9si \u00e9s incidens\u00e9rtes\u00edt\u00e9si felt\u00e9teleket kell tiszt\u00e1zni. Az ISO\/IEC 42001 ehhez hozz\u00e1teszi, hogy a szolg\u00e1ltat\u00e1s AI-kimenete milyen d\u00f6nt\u00e9si szerepet kap, hogyan valid\u00e1lj\u00e1k, mik\u00e9nt t\u00f6rt\u00e9nik az emberi fel\u00fclvizsg\u00e1lat, \u00e9s hogyan kezelik a modell vagy szolg\u00e1ltat\u00e1s v\u00e1ltoz\u00e1s\u00e1t.<\/p>\n\n\n\n A megl\u00e9v\u0151 ISO 9001 rendszer pedig seg\u00edthet abban, hogy az AI-alap\u00fa folyamatok teljes\u00edtm\u00e9nye m\u00e9rhet\u0151 legyen. De az AI ir\u00e1ny\u00edt\u00e1si rendszernek azt is vizsg\u00e1lnia kell, hogy a teljes\u00edtm\u00e9nymutat\u00f3k nem rejtenek-e el kock\u00e1zatot. P\u00e9ld\u00e1ul egy chatbot v\u00e1laszideje javulhat, mik\u00f6zben a v\u00e1laszok szakmai pontoss\u00e1ga vagy m\u00e9lt\u00e1nyoss\u00e1ga romlik. Ilyenkor a gyorsabb szolg\u00e1ltat\u00e1s nem felt\u00e9tlen\u00fcl jobb szolg\u00e1ltat\u00e1s<\/strong>. Az AI-n\u00e1l a min\u0151s\u00e9g m\u00e9r\u00e9s\u00e9t ki kell eg\u00e9sz\u00edteni kimeneti megb\u00edzhat\u00f3s\u00e1ggal \u00e9s fel\u00fcgyeleti kontrollal.<\/p>\n\n\n\n A megl\u00e9v\u0151 ir\u00e1ny\u00edt\u00e1si rendszerekre \u00e9p\u00edt\u00e9s teh\u00e1t er\u0151forr\u00e1s-hat\u00e9kony \u00e9s szakmailag indokolt. De csak akkor m\u0171k\u00f6dik, ha a szervezet felismeri az AI saj\u00e1tos t\u00e1rgy\u00e1t. Az ISO\/IEC 42001 nem \u00fajabb adminisztrat\u00edv r\u00e9teg a megl\u00e9v\u0151 rendszereken, hanem az AI-val kapcsolatos felel\u0151ss\u00e9gek rendez\u00e9se olyan pontokon, amelyeket a kor\u00e1bbi szabv\u00e1nyok csak r\u00e9szben fednek le.<\/p>\n\n\n\n Az integr\u00e1lt audit\u00e1l\u00e1s alapja az, hogy ugyanazt az AI-haszn\u00e1lati esetet t\u00f6bb ir\u00e1ny\u00edt\u00e1si n\u00e9z\u0151pontb\u00f3l vizsg\u00e1ljuk. Vegy\u00fcnk p\u00e9ldak\u00e9nt egy AI-alap\u00fa \u00fcgyf\u00e9lszolg\u00e1lati megold\u00e1st, amely be\u00e9rkez\u0151 \u00fcgyf\u00e9lk\u00e9rd\u00e9seket oszt\u00e1lyoz, v\u00e1laszjavaslatot k\u00e9sz\u00edt, \u00e9s bizonyos egyszer\u0171 k\u00e9rd\u00e9sekre automatikus v\u00e1laszt ad. Ez a rendszer min\u0151s\u00e9gir\u00e1ny\u00edt\u00e1si, inform\u00e1ci\u00f3biztons\u00e1gi \u00e9s AI management szempontb\u00f3l is relev\u00e1ns.<\/p>\n\n\n\n Min\u0151s\u00e9gir\u00e1ny\u00edt\u00e1si n\u00e9z\u0151pontb\u00f3l a f\u0151 k\u00e9rd\u00e9s az, hogy a megold\u00e1s jav\u00edtja-e az \u00fcgyf\u00e9lszolg\u00e1lati folyamatot. Cs\u00f6kken-e a v\u00e1laszid\u0151, n\u0151-e az els\u0151re megoldott \u00fcgyek ar\u00e1nya, cs\u00f6kken-e a t\u00e9ves t\u00e1j\u00e9koztat\u00e1s, \u00e9s k\u00f6vetkezetesebb lesz-e az \u00fcgyf\u00e9lkommunik\u00e1ci\u00f3? Ebben a n\u00e9z\u0151pontban az AI a szolg\u00e1ltat\u00e1smin\u0151s\u00e9g egyik befoly\u00e1sol\u00f3 t\u00e9nyez\u0151je<\/strong>. Az auditor azt vizsg\u00e1lja, hogy a rendszer eredm\u00e9nye illeszkedik-e a meghat\u00e1rozott min\u0151s\u00e9gi c\u00e9lokhoz.<\/p>\n\n\n\n Inform\u00e1ci\u00f3biztons\u00e1gi n\u00e9z\u0151pontb\u00f3l a k\u00e9rd\u00e9s m\u00e1s. Milyen \u00fcgyf\u00e9ladatokat kezel a rendszer? Hov\u00e1 ker\u00fclnek a k\u00e9rd\u00e9sek, v\u00e1laszok \u00e9s napl\u00f3k? Ki f\u00e9r hozz\u00e1 a besz\u00e9lget\u00e9sekhez? T\u00f6rt\u00e9nik-e k\u00fcls\u0151 feldolgoz\u00e1s? Milyen incidenskezel\u00e9si szab\u00e1ly vonatkozik az AI-eszk\u00f6zre? Itt az AI-eszk\u00f6z adat\u00e1raml\u00e1sa \u00f6n\u00e1ll\u00f3 biztons\u00e1gi t\u00e9rk\u00e9pet ig\u00e9nyel<\/strong>. A besz\u00e1ll\u00edt\u00f3i \u00e9s felh\u0151szolg\u00e1ltat\u00f3i kapcsolatok k\u00fcl\u00f6n\u00f6sen fontosak.<\/p>\n\n\n\n AI management n\u00e9z\u0151pontb\u00f3l a f\u00f3kusz ism\u00e9t v\u00e1ltozik. A k\u00e9rd\u00e9s az, hogy a modell milyen kimenetet \u00e1ll\u00edt el\u0151, milyen esetekben adhat automatikus v\u00e1laszt, mikor sz\u00fcks\u00e9ges emberi j\u00f3v\u00e1hagy\u00e1s, hogyan tesztelt\u00e9k a v\u00e1laszokat, hogyan kezelik a hib\u00e1s vagy f\u00e9lrevezet\u0151 kimenetet, \u00e9s hogyan k\u00f6vetik a tud\u00e1sb\u00e1zis vagy modell v\u00e1ltoz\u00e1sait. Ebben a n\u00e9z\u0151pontban a g\u00e9pi v\u00e1lasz d\u00f6nt\u00e9si \u00e9s bizalmi hat\u00e1st hordoz<\/strong>. Egy \u00fcgyf\u00e9l sz\u00e1m\u00e1ra az AI-v\u00e1lasz k\u00f6nnyen a szervezet hivatalos \u00e1ll\u00e1spontj\u00e1nak t\u0171nhet.<\/p>\n\n\n\n A h\u00e1romoszlopos \u00f6sszehasonl\u00edt\u00e1s \u00edgy n\u00e9zhet ki:<\/p>\n\n\n\n Vizsg\u00e1lati szempont<\/p>\n\n\n\n ISO 9001 n\u00e9z\u0151pont<\/p>\n\n\n\n ISO\/IEC 27001 n\u00e9z\u0151pont<\/p>\n\n\n\n ISO\/IEC 42001 n\u00e9z\u0151pont<\/p>\n\n\n\n F\u0151 c\u00e9l<\/p>\n\n\n\n k\u00f6vetkezetes, m\u00e9rhet\u0151 \u00fcgyf\u00e9lszolg\u00e1lati min\u0151s\u00e9g<\/p>\n\n\n\n \u00fcgyf\u00e9ladatok \u00e9s rendszerek v\u00e9delme<\/p>\n\n\n\n felel\u0151s, fel\u00fcgyelt AI-kimenet<\/p>\n\n\n\n F\u0151 k\u00e9rd\u00e9s<\/p>\n\n\n\n jobb-e a szolg\u00e1ltat\u00e1si teljes\u00edtm\u00e9ny?<\/p>\n\n\n\n biztons\u00e1gos-e az adatkezel\u00e9s?<\/p>\n\n\n\n megb\u00edzhat\u00f3 \u00e9s kontroll\u00e1lt-e a modellkimenet?<\/p>\n\n\n\n Tipikus kock\u00e1zat<\/p>\n\n\n\n hib\u00e1s v\u00e1lasz, rossz \u00fcgyf\u00e9l\u00e9lm\u00e9ny<\/p>\n\n\n\n adatki\u00e1raml\u00e1s, jogosulatlan hozz\u00e1f\u00e9r\u00e9s<\/p>\n\n\n\n torz, f\u00e9lrevezet\u0151 vagy t\u00fal magabiztos AI-v\u00e1lasz<\/p>\n\n\n\n Kontroll<\/p>\n\n\n\n min\u0151s\u00e9gmutat\u00f3k, panaszkezel\u00e9s, elt\u00e9r\u00e9skezel\u00e9s<\/p>\n\n\n\n hozz\u00e1f\u00e9r\u00e9skezel\u00e9s, napl\u00f3z\u00e1s, besz\u00e1ll\u00edt\u00f3i kontroll<\/p>\n\n\n\n valid\u00e1l\u00e1s, emberi fel\u00fcgyelet, haszn\u00e1lati korl\u00e1t<\/p>\n\n\n\n Bizony\u00edt\u00e9k<\/p>\n\n\n\n SLA, \u00fcgyf\u00e9lpanasz, min\u0151s\u00e9griport<\/p>\n\n\n\n hozz\u00e1f\u00e9r\u00e9si napl\u00f3, kock\u00e1zatkezel\u00e9si terv<\/p>\n\n\n\n AI-nyilv\u00e1ntart\u00e1s, teszteredm\u00e9ny, fel\u00fcgyeleti szab\u00e1ly<\/p>\n\n\n\n A t\u00e1bl\u00e1zat megmutatja, hogy ugyanaz a rendszer m\u00e1s-m\u00e1s bizony\u00edt\u00e9kot ig\u00e9nyel. Egy min\u0151s\u00e9g\u00fcgyi auditor sz\u00e1m\u00e1ra fontos lehet az \u00fcgyf\u00e9l-el\u00e9gedetts\u00e9gi mutat\u00f3. Egy inform\u00e1ci\u00f3biztons\u00e1gi auditor sz\u00e1m\u00e1ra az adat\u00e1raml\u00e1s \u00e9s hozz\u00e1f\u00e9r\u00e9s. Egy AI management auditor sz\u00e1m\u00e1ra a kimeneti valid\u00e1l\u00e1s, emberi fel\u00fcgyelet \u00e9s modellv\u00e1ltoz\u00e1s kezel\u00e9se. Ez\u00e9rt az integr\u00e1lt audit nem \u00f6sszevon\u00e1s, hanem \u00f6sszehangolt n\u00e9z\u0151pontv\u00e1lt\u00e1s<\/strong>. A hat\u00e9kony audit nem egyetlen k\u00e9rd\u00e9ssort er\u0151ltet mindenre, hanem meg\u00e9rti, melyik f\u00f3kusz mit vizsg\u00e1l.<\/p>\n\n\n\n Az integr\u00e1lt audit\u00e1l\u00e1s el\u0151nye, hogy cs\u00f6kkenti a p\u00e1rhuzamos terhel\u00e9st. Nem kell h\u00e1rom k\u00fcl\u00f6n id\u0151pontban ugyanazt az \u00fcgyf\u00e9lszolg\u00e1lati folyamatot teljesen \u00fajra felt\u00e1rni. Egy j\u00f3l tervezett auditprogramban a k\u00f6z\u00f6s elemek \u2014 hat\u00f3k\u00f6r, felel\u0151s\u00f6k, dokument\u00e1lt inform\u00e1ci\u00f3, k\u00e9pz\u00e9s, besz\u00e1ll\u00edt\u00f3kezel\u00e9s, v\u00e1ltoz\u00e1skezel\u00e9s \u2014 egyszerre vizsg\u00e1lhat\u00f3k, mik\u00f6zben az egyes szabv\u00e1nyok saj\u00e1t k\u00e9rd\u00e9sei k\u00fcl\u00f6n megmaradnak.<\/p>\n\n\n\n Ez azonban csak akkor m\u0171k\u00f6dik, ha az auditorok \u00e9s folyamatgazd\u00e1k \u00e9rtik a f\u00f3kuszk\u00fcl\u00f6nbs\u00e9get. Az integr\u00e1lt audit\u00e1l\u00e1s nem jelenthet AI-kock\u00e1zatok n\u00e9lk\u00fcli \u00e1ltal\u00e1nos\u00edt\u00e1st<\/strong>. Ha a vizsg\u00e1lat csak az ISO 9001 \u00e9s ISO\/IEC 27001 megszokott k\u00e9rd\u00e9seit ism\u00e9tli, akkor az AI saj\u00e1tos kock\u00e1zatai kimaradnak. Az AI management auditnak r\u00e1 kell k\u00e9rdeznie a modellkimenetre, a felhaszn\u00e1l\u00f3i t\u00falzott bizalomra, a magyar\u00e1zhat\u00f3s\u00e1gra, a v\u00e1ltoz\u00e1skezel\u00e9sre \u00e9s az emberi fel\u00fcgyeletre.<\/p>\n\n\n\n Az integr\u00e1lt audit\u00e1l\u00e1s j\u00f3 gyakorlata, ha az audit el\u0151k\u00e9sz\u00edt\u00e9sekor a szervezet AI-haszn\u00e1lati esetek szerint gondolkodik. Nem \u00e1ltal\u00e1ban \u201eaz AI-t\u201d audit\u00e1lja, hanem konkr\u00e9t rendszereket \u00e9s folyamatokat: \u00fcgyf\u00e9lszolg\u00e1lati chatbotot, dokumentumfeldolgoz\u00f3 modult, predikt\u00edv karbantart\u00e1si modellt vagy HR-el\u0151sz\u0171r\u0151 eszk\u00f6zt. \u00cdgy a k\u00e9rd\u00e9sek val\u00f3s m\u0171k\u00f6d\u00e9shez kapcsol\u00f3dnak.<\/p>\n\n\n\n Egy AI-alap\u00fa \u00fcgyf\u00e9lszolg\u00e1lati megold\u00e1sn\u00e1l p\u00e9ld\u00e1ul az auditor megk\u00e9rdezheti:<\/p>\n\n\n\n milyen \u00fcgyt\u00edpusokra haszn\u00e1lhat\u00f3 az AI;<\/p>\n\n\n\n milyen v\u00e1laszokat adhat automatikusan;<\/p>\n\n\n\n mikor kell emberi j\u00f3v\u00e1hagy\u00e1s;<\/p>\n\n\n\n milyen \u00fcgyf\u00e9ladatokat dolgoz fel;<\/p>\n\n\n\n milyen min\u0151s\u00e9gi mutat\u00f3k m\u00e9rik a m\u0171k\u00f6d\u00e9st;<\/p>\n\n\n\n milyen hibajelent\u00e9si \u00e9s panaszkezel\u00e9si folyamat kapcsol\u00f3dik hozz\u00e1;<\/p>\n\n\n\n hogyan friss\u00fcl a tud\u00e1sb\u00e1zis;<\/p>\n\n\n\n hogyan dokument\u00e1lj\u00e1k a v\u00e1ltoz\u00e1sokat.<\/p>\n\n\n\n Ezek a k\u00e9rd\u00e9sek egyszerre \u00e9rintik a min\u0151s\u00e9get, inform\u00e1ci\u00f3biztons\u00e1got \u00e9s AI managementet. A k\u00fcl\u00f6nbs\u00e9g abban van, hogy melyik n\u00e9z\u0151pont milyen bizony\u00edt\u00e9kot v\u00e1r. Az audit\u00e1lhat\u00f3s\u00e1g a n\u00e9z\u0151pontok k\u00f6z\u00f6tti kapcsolatb\u00f3l \u00e9p\u00fcl fel<\/strong>. A szervezet akkor tud j\u00f3l v\u00e1laszolni, ha nem k\u00fcl\u00f6n dokumentumhalmazokat k\u00e9sz\u00edt, hanem \u00f6sszekapcsolt ir\u00e1ny\u00edt\u00e1si bizony\u00edt\u00e9kokat tart fenn.<\/p>\n\n\n\n Az integr\u00e1lt audit\u00e1l\u00e1s el\u0151k\u00e9sz\u00edtheti a tan\u00fas\u00edt\u00e1si felk\u00e9sz\u00fcl\u00e9st is. Egy szervezet, amely m\u00e1r rendelkezik ISO 9001 vagy ISO\/IEC 27001 tapasztalattal, gyorsabban \u00e9rti az ISO\/IEC 42001 logik\u00e1j\u00e1t: hat\u00f3k\u00f6r, vezet\u0151i szerepv\u00e1llal\u00e1s, kock\u00e1zatkezel\u00e9s, dokument\u00e1lt inform\u00e1ci\u00f3, bels\u0151 audit, vezet\u0151s\u00e9gi \u00e1tvizsg\u00e1l\u00e1s \u00e9s fejleszt\u00e9s. A kih\u00edv\u00e1s nem a menedzsmentrendszer-forma, hanem az AI-specifikus tartalom.<\/p>\n\n\n\n A gyakorl\u00f3 feladat l\u00e9nyege ez\u00e9rt nem egy elm\u00e9leti \u00f6sszehasonl\u00edt\u00e1s elk\u00e9sz\u00edt\u00e9se. Egy AI-alap\u00fa \u00fcgyf\u00e9lszolg\u00e1lati megold\u00e1s h\u00e1romoszlopos vizsg\u00e1lata seg\u00edt felismerni, hogy ugyanaz a rendszer egyszerre lehet min\u0151s\u00e9g\u00fcgyi, inform\u00e1ci\u00f3biztons\u00e1gi \u00e9s AI-ir\u00e1ny\u00edt\u00e1si k\u00e9rd\u00e9s. A j\u00f3 elemz\u00e9s ott kezd\u0151dik, ahol a n\u00e9z\u0151pontok nem fedik el egym\u00e1st<\/strong>. Ha a szervezet meg tudja mondani, melyik k\u00e9rd\u00e9s melyik f\u00f3kuszba tartozik, akkor m\u00e1r k\u00e9pes ar\u00e1nyosabb kontrollokat kijel\u00f6lni.<\/p>\n\n\n\n Az ISO 9001, az ISO\/IEC 27001 \u00e9s az ISO\/IEC 42001 teh\u00e1t nem h\u00e1rom k\u00fcl\u00f6n vil\u00e1g. K\u00f6z\u00f6s menedzsmentrendszer-nyelvet haszn\u00e1lnak, de elt\u00e9r\u0151 probl\u00e9m\u00e1t kezelnek. A min\u0151s\u00e9gir\u00e1ny\u00edt\u00e1s a k\u00f6vetkezetes teljes\u00edt\u00e9st, az inform\u00e1ci\u00f3biztons\u00e1g az inform\u00e1ci\u00f3 v\u00e9delm\u00e9t, az AI management pedig az AI-rendszerek felel\u0151s szervezeti hat\u00e1s\u00e1t teszi ir\u00e1ny\u00edthat\u00f3v\u00e1. A mesters\u00e9ges intelligencia akkor illeszkedik fenntarthat\u00f3an a v\u00e1llalati m\u0171k\u00f6d\u00e9sbe, ha a szervezet nem pr\u00f3b\u00e1lja egyetlen megl\u00e9v\u0151 szabv\u00e1ny al\u00e1 beszor\u00edtani, hanem a m\u00e1r m\u0171k\u00f6d\u0151 rendszerekre \u00e9p\u00edtve, azok hat\u00e1rait felismerve alak\u00edt ki c\u00e9lzott AI-ir\u00e1ny\u00edt\u00e1st.<\/p>\n\n\n\n ISO\/IEC 42001:2023 \u00e1ttekint\u00e9s: https:\/\/www.iso.org\/standard\/42001<\/p>\n\n\n\n ISO 9001:2015 \u00e1ttekint\u00e9s: https:\/\/www.iso.org\/standard\/62085.html<\/p>\n\n\n\n ISO\/IEC 27001:2022 \u00e1ttekint\u00e9s: https:\/\/www.iso.org\/standard\/27001<\/p>\n\n\n\n ISO menedzsmentrendszer-szabv\u00e1nyok: https:\/\/www.iso.org\/management-system-standards.html<\/p>\n\n\n\n NIST AI Risk Management Framework: https:\/\/www.nist.gov\/itl\/ai-risk-management-framework<\/p>\n\n\n\n NIST AI RMF 1.0 explainer video: https:\/\/www.nist.gov\/video\/introduction-nist-ai-risk-management-framework-ai-rmf-10-explainer-video<\/p>\n\n\n\n European Commission. (2025). AI Act<\/em>. Shaping Europe\u2019s Digital Future. https:\/\/digital-strategy.ec.europa.eu\/en\/policies\/regulatory-framework-ai<\/p>\n\n\n\n High-Level Expert Group on Artificial Intelligence. (2019). Ethics guidelines for trustworthy AI<\/em>. European Commission. https:\/\/digital-strategy.ec.europa.eu\/en\/library\/ethics-guidelines-trustworthy-ai<\/p>\n\n\n\n International Organization for Standardization. (n.d.-a). Management system standards<\/em>. ISO. https:\/\/www.iso.org\/management-system-standards.html<\/p>\n\n\n\n International Organization for Standardization. (n.d.-b). Management system standards list<\/em>. ISO. https:\/\/www.iso.org\/management-system-standards-list.html<\/p>\n\n\n\n International Organization for Standardization. (2015). ISO 9001:2015: Quality management systems \u2014 Requirements<\/em>. ISO. https:\/\/www.iso.org\/standard\/62085.html<\/p>\n\n\n\n International Organization for Standardization. (2022). ISO\/IEC 27001:2022: Information security, cybersecurity and privacy protection \u2014 Information security management systems \u2014 Requirements<\/em>. ISO. https:\/\/www.iso.org\/standard\/27001<\/p>\n\n\n\n International Organization for Standardization. (2023a). ISO\/IEC 42001:2023: Information technology \u2014 Artificial intelligence \u2014 Management system<\/em>. ISO. https:\/\/www.iso.org\/standard\/42001<\/p>\n\n\n\n International Organization for Standardization. (2023b). ISO\/IEC 23894:2023: Information technology \u2014 Artificial intelligence \u2014 Guidance on risk management<\/em>. ISO. https:\/\/www.iso.org\/standard\/77304.html<\/p>\n\n\n\n National Institute of Standards and Technology. (2023). Artificial Intelligence Risk Management Framework (AI RMF 1.0)<\/em>. U.S. Department of Commerce. https:\/\/doi.org\/10.6028\/NIST.AI.100-1<\/p>\n","protected":false},"excerpt":{"rendered":" Az ISO 42001 szabv\u00e1ny az AI-rendszerek felel\u0151s ir\u00e1ny\u00edt\u00e1s\u00e1t szab\u00e1lyozza, kieg\u00e9sz\u00edtve az ISO 9001 \u00e9s ISO 27001 szabv\u00e1nyokat, amelyek a min\u0151s\u00e9g \u00e9s inform\u00e1ci\u00f3biztons\u00e1g ter\u00fclet\u00e9n ny\u00fajtanak keretet.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_sas_skip_auto_schedule":false,"_sas_force_auto_schedule":false,"footnotes":""},"categories":[761],"tags":[765,794,419,780,792,766,791,158,788,7,793],"series":[],"class_list":["post-701","post","type-post","status-publish","format-standard","hentry","category-iranyitasi-rendszer-aims","tag-audit","tag-dokumentacio","tag-informaciobiztonsag","tag-iranyitas","tag-iso-27001","tag-iso-42001","tag-iso-9001","tag-kockazatkezeles","tag-menedzsmentrendszer","tag-mesterseges-intelligencia","tag-minosegiranyitas"],"yoast_head":"\nK\u00f6z\u00f6s menedzsmentrendszer-elemek<\/h2>\n\n\n\n
AI-specifikus kock\u00e1zatok a min\u0151s\u00e9g \u00e9s biztons\u00e1g mellett<\/h2>\n\n\n\n
Mire el\u00e9g a megl\u00e9v\u0151 ISO 9001 \u00e9s 27001?<\/h2>\n\n\n\n
Integr\u00e1lt audit\u00e1l\u00e1s egy AI-\u00fcgyf\u00e9lszolg\u00e1lati p\u00e9ld\u00e1n<\/h2>\n\n\n\n
Tov\u00e1bbi olvasnival\u00f3<\/h2>\n\n\n\n
Felhaszn\u00e1lt szakirodalom<\/h2>\n\n\n\n