Egy AI-haszn\u00e1lati eset kock\u00e1zatait k\u00f6nny\u0171 alulbecs\u00fclni, ha a szervezet csak azt n\u00e9zi, m\u0171k\u00f6dik-e a technol\u00f3gia. A val\u00f3di k\u00e9rd\u00e9s enn\u00e9l sz\u00e9lesebb: milyen d\u00f6nt\u00e9st befoly\u00e1sol, milyen \u00e9rintettekre hat, milyen hib\u00e1kra hajlamos, ki felel \u00e9rte, \u00e9s milyen bizony\u00edt\u00e9k marad arr\u00f3l, hogy a kock\u00e1zatokat val\u00f3ban kezelt\u00e9k.<\/p>\n\n\n\n
A NIST AI Risk Management Framework \u00e9s az ISO\/IEC 42001 ugyanahhoz a probl\u00e9m\u00e1hoz k\u00e9t k\u00fcl\u00f6nb\u00f6z\u0151 oldalr\u00f3l k\u00f6zel\u00edt. A NIST AI RMF m\u00f3dszertani keretet ad az AI-kock\u00e1zatok felt\u00e1r\u00e1s\u00e1hoz, \u00e9rt\u00e9kel\u00e9s\u00e9hez, m\u00e9r\u00e9s\u00e9hez \u00e9s kezel\u00e9s\u00e9hez, m\u00edg az ISO\/IEC 42001 menedzsmentrendszerk\u00e9nt rendezi szervezeti folyamatt\u00e1, felel\u0151ss\u00e9gg\u00e9 \u00e9s audit\u00e1lhat\u00f3 m\u0171k\u00f6d\u00e9ss\u00e9 az AI ir\u00e1ny\u00edt\u00e1s\u00e1t.<\/p>\n\n\n\n
A k\u00e9t megk\u00f6zel\u00edt\u00e9s egy\u00fctt k\u00fcl\u00f6n\u00f6sen er\u0151s. A NIST AI RMF seg\u00edt abban, hogy a szervezet j\u00f3l k\u00e9rdezzen \u00e9s j\u00f3l t\u00e9rk\u00e9pezze fel a kock\u00e1zatokat; az ISO\/IEC 42001 pedig abban, hogy ezek a felismer\u00e9sek ne maradjanak elemz\u00e9si jegyzetek, hanem m\u0171k\u00f6d\u0151 kontrollokk\u00e1, d\u00f6nt\u00e9si pontokk\u00e1 \u00e9s bizony\u00edt\u00e9kokk\u00e1 v\u00e1ljanak.<\/p>\n\n\n\n
A NIST AI RMF \u00e9s az ISO\/IEC 42001 k\u00f6z\u00f6tti legfontosabb k\u00fcl\u00f6nbs\u00e9g a szerep\u00fckben van. A NIST AI RMF kock\u00e1zatkezel\u00e9si keretk\u00e9nt seg\u00edt rendszerezni, hogyan azonos\u00edtsa, \u00e9rt\u00e9kelje, m\u00e9rje \u00e9s kezelje a szervezet az AI-val kapcsolatos kock\u00e1zatokat; a NIST saj\u00e1t meghat\u00e1roz\u00e1sa szerint a keretrendszer az egy\u00e9nekre, szervezetekre \u00e9s t\u00e1rsadalomra hat\u00f3 AI-kock\u00e1zatok jobb kezel\u00e9s\u00e9t t\u00e1mogatja (National Institute of Standards and Technology [NIST], 2023).<\/p>\n\n\n\n
Ez a m\u00f3dszertani jelleg azt jelenti, hogy a NIST AI RMF els\u0151sorban gondolkod\u00e1si \u00e9s elemz\u00e9si keretet ad. A szervezet a seg\u00edts\u00e9g\u00e9vel meg tudja nevezni a kock\u00e1zati kontextust, az \u00e9rintetteket, az \u00fczleti \u00e9s t\u00e1rsadalmi hat\u00e1sokat, a m\u00e9r\u00e9si lehet\u0151s\u00e9geket \u00e9s a kezel\u00e9si d\u00f6nt\u00e9seket. Ebben a szerepben a keretrendszer a kock\u00e1zati gondolkod\u00e1s t\u00e9rk\u00e9pe<\/strong>. Nem maga a teljes ir\u00e1ny\u00edt\u00e1si rendszer, hanem annak egyik leger\u0151sebb elemz\u00e9si alapja.<\/p>\n\n\n\n Az ISO\/IEC 42001 m\u00e1s logik\u00e1t k\u00f6vet. A szabv\u00e1ny az AI ir\u00e1ny\u00edt\u00e1si rendszer l\u00e9trehoz\u00e1s\u00e1hoz, bevezet\u00e9s\u00e9hez, fenntart\u00e1s\u00e1hoz \u00e9s folyamatos fejleszt\u00e9s\u00e9hez ad k\u00f6vetelm\u00e9nyeket \u00e9s ir\u00e1nymutat\u00e1st, vagyis a szervezeti m\u0171k\u00f6d\u00e9st teszi szab\u00e1lyozott\u00e1 (International Organization for Standardization [ISO], 2023a).<\/p>\n\n\n\n A menedzsmentrendszer l\u00e9nyege nem az, hogy egyetlen AI-haszn\u00e1lati eset kock\u00e1zatair\u00f3l j\u00f3 elemz\u00e9s k\u00e9sz\u00fclj\u00f6n. A c\u00e9l az, hogy a szervezet ism\u00e9telhet\u0151, felel\u0151ss\u00e9gekkel ell\u00e1tott, dokument\u00e1lt \u00e9s audit\u00e1lhat\u00f3 m\u00f3don kezelje az AI-val kapcsolatos c\u00e9lokat, kock\u00e1zatokat, kontrollokat \u00e9s fejleszt\u00e9si ig\u00e9nyeket. Ebben az \u00e9rtelemben a menedzsmentrendszer a kock\u00e1zati gondolkod\u00e1s m\u0171k\u00f6d\u00e9si rendje<\/strong>. A j\u00f3 elemz\u00e9s csak akkor v\u00e1lik szervezeti k\u00e9pess\u00e9gg\u00e9, ha folyamat, felel\u0151s, d\u00f6nt\u00e9si jogk\u00f6r \u00e9s bizony\u00edt\u00e9k kapcsol\u00f3dik hozz\u00e1.<\/p>\n\n\n\n A k\u00fcl\u00f6nbs\u00e9g gyakorlati p\u00e9ld\u00e1n is j\u00f3l l\u00e1that\u00f3. Egy \u00fcgyf\u00e9lszolg\u00e1lati chatbotn\u00e1l a NIST AI RMF seg\u00edthet felt\u00e1rni, milyen kock\u00e1zatot jelent a pontatlan v\u00e1lasz, az adatv\u00e9delmi f\u00e9lre\u00e9rt\u00e9s, a felhaszn\u00e1l\u00f3i t\u00falzott bizalom, az elt\u00e9r\u0151 \u00fcgyf\u00e9lt\u00edpusokra gyakorolt hat\u00e1s vagy a panaszkezel\u00e9s automatiz\u00e1l\u00e1sa. Az ISO\/IEC 42001 viszont azt k\u00e9rdezi, hogy ezek a kock\u00e1zatok hogyan ker\u00fclnek be az AI-nyilv\u00e1ntart\u00e1sba, ki hagyja j\u00f3v\u00e1 a kontrollokat, hogyan dokument\u00e1lj\u00e1k a tesztel\u00e9st, ki felel a monitoroz\u00e1s\u00e9rt, \u00e9s mikor kell \u00fajra\u00e9rt\u00e9kelni a rendszert.<\/p>\n\n\n\n Ez\u00e9rt a kock\u00e1zatelemz\u00e9s \u00f6nmag\u00e1ban m\u00e9g nem ir\u00e1ny\u00edt\u00e1s<\/strong>. Egy szervezet k\u00e9sz\u00edthet kiv\u00e1l\u00f3 kock\u00e1zati t\u00e9rk\u00e9pet, de ha a t\u00e9rk\u00e9p nem vezet j\u00f3v\u00e1hagy\u00e1shoz, kontrollhoz, felel\u0151sh\u00f6z vagy fel\u00fclvizsg\u00e1lathoz, akkor az AIMS szempontj\u00e1b\u00f3l csak r\u00e9szben hasznos. A menedzsmentrendszer ott kezd\u0151dik, ahol az elemz\u00e9sb\u0151l m\u0171k\u00f6d\u00e9si k\u00f6telezetts\u00e9g lesz.<\/p>\n\n\n\n A NIST AI RMF \u00e9s az ISO\/IEC 42001 teh\u00e1t nem egym\u00e1s alternat\u00edv\u00e1i. A NIST AI RMF rugalmas m\u00f3dszertani nyelvet ad az AI-kock\u00e1zatok meg\u00e9rt\u00e9s\u00e9hez; az ISO\/IEC 42001 pedig szabv\u00e1nyos\u00edtott m\u0171k\u00f6d\u00e9si keretet ad ahhoz, hogy a szervezet ezeket a kock\u00e1zatokat k\u00f6vetkezetesen kezelje. Ebben a kapcsolatban a NIST seg\u00edt j\u00f3l l\u00e1tni, az ISO seg\u00edt j\u00f3l m\u0171k\u00f6dtetni<\/strong>. A kett\u0151 egy\u00fctt adja azt a fegyelmet, amelyre egy audit\u00e1lhat\u00f3 AI ir\u00e1ny\u00edt\u00e1si rendszernek sz\u00fcks\u00e9ge van.<\/p>\n\n\n\n A k\u00fcl\u00f6nbs\u00e9get \u00e9rdemes a szervezet bels\u0151 kommunik\u00e1ci\u00f3j\u00e1ban is vil\u00e1goss\u00e1 tenni. Ha a vezet\u00e9s csak kock\u00e1zatkezel\u00e9si keretk\u00e9nt tekint minden AI governance eszk\u00f6zre, akkor hi\u00e1nyozhatnak a menedzsmentrendszer-k\u00f6vetelm\u00e9nyek. Ha viszont csak szabv\u00e1nyk\u00f6vetelm\u00e9nyekben gondolkodik, de nincs j\u00f3 m\u00f3dszertani kock\u00e1zatelemz\u00e9s, akkor a rendszer form\u00e1lis maradhat. Az er\u0151s AI-ir\u00e1ny\u00edt\u00e1s elemz\u0151 \u00e9s m\u0171k\u00f6dtet\u0151 k\u00e9pess\u00e9g egyszerre<\/strong>. Ez a kett\u0151ss\u00e9g adja a NIST AI RMF \u00e9s az ISO\/IEC 42001 \u00f6sszehangol\u00e1s\u00e1nak gyakorlati \u00e9rtelm\u00e9t.<\/p>\n\n\n\n A NIST AI RMF n\u00e9gy f\u0151 funkci\u00f3 k\u00f6r\u00e9 rendezi az AI-kock\u00e1zatkezel\u00e9si tev\u00e9kenys\u00e9geket: Govern, Map, Measure \u00e9s Manage. A NIST AI RMF 1.0 dokumentuma ezeket magas szint\u0171 funkci\u00f3kk\u00e9nt \u00edrja le, amelyek kateg\u00f3ri\u00e1kra \u00e9s alkateg\u00f3ri\u00e1kra bonthat\u00f3k; a Govern \u00e1tfog\u00f3, keresztmetszeti funkci\u00f3k\u00e9nt hatja \u00e1t a t\u00f6bbit (NIST, 2023).<\/p>\n\n\n\n A Govern funkci\u00f3 a szervezeti ir\u00e1ny\u00edt\u00e1sr\u00f3l sz\u00f3l. Ide tartoznak a szerepek, felel\u0151ss\u00e9gek, politik\u00e1k, kock\u00e1zati kult\u00fara, elsz\u00e1moltathat\u00f3s\u00e1g \u00e9s fel\u00fcgyeleti mechanizmusok. Egy AI ir\u00e1ny\u00edt\u00e1si rendszerben a governance <\/strong>nem<\/strong> projektl\u00e9p\u00e9s, hanem \u00e1lland\u00f3 ir\u00e1ny\u00edt\u00e1si h\u00e1tt\u00e9r<\/strong>. Ha nincs vil\u00e1gos ir\u00e1ny\u00edt\u00e1si rend, akkor a k\u00e9s\u0151bbi kock\u00e1zatelemz\u00e9s, m\u00e9r\u00e9s \u00e9s kezel\u00e9s is esetlegess\u00e9 v\u00e1lik.<\/p>\n\n\n\n A Map funkci\u00f3 a kontextus felt\u00e1r\u00e1s\u00e1ban seg\u00edt. Itt kell meg\u00e9rteni, milyen c\u00e9lra haszn\u00e1lj\u00e1k az AI-t, milyen folyamatba illeszkedik, milyen \u00e9rintettekre hat, milyen adatokat haszn\u00e1l, milyen \u00fczleti vagy t\u00e1rsadalmi k\u00f6vetkezm\u00e9nye lehet, \u00e9s milyen kock\u00e1zati k\u00f6rnyezetben m\u0171k\u00f6dik. Ebben a szakaszban a kock\u00e1zat a haszn\u00e1lati helyzetb\u0151l v\u00e1lik \u00e9rthet\u0151v\u00e9<\/strong>. Ugyanaz az AI-technol\u00f3gia alacsonyabb kock\u00e1zat\u00fa lehet bels\u0151 \u00f6tletel\u00e9sben, \u00e9s sokkal magasabb kock\u00e1zat\u00fa, ha \u00fcgyf\u00e9ljogokat vagy munkav\u00e1llal\u00f3i lehet\u0151s\u00e9geket befoly\u00e1sol.<\/p>\n\n\n\n A Measure funkci\u00f3 a kock\u00e1zatok m\u00e9r\u00e9s\u00e9re, \u00e9rt\u00e9kel\u00e9s\u00e9re \u00e9s nyomon k\u00f6vet\u00e9s\u00e9re ir\u00e1nyul. Ez nem kiz\u00e1r\u00f3lag sz\u00e1mszer\u0171 m\u00e9r\u00e9st jelent. Egy AI-rendszern\u00e9l m\u00e9rhet\u0151 a pontoss\u00e1g, hibaar\u00e1ny, robusztuss\u00e1g, adatmin\u0151s\u00e9g, alcsoportos teljes\u00edtm\u00e9ny, felhaszn\u00e1l\u00f3i visszajelz\u00e9s vagy incidensgyakoris\u00e1g, de kvalitat\u00edv \u00e9rt\u00e9kel\u00e9sre is sz\u00fcks\u00e9g lehet. Itt a m\u00e9r\u00e9s c\u00e9lja nem a l\u00e1tsz\u00f3lagos pontoss\u00e1g, hanem a d\u00f6nt\u00e9sk\u00e9pess\u00e9g<\/strong>. A szervezetnek azt kell megtudnia, hogy a kock\u00e1zat elfogadhat\u00f3-e, cs\u00f6kkenthet\u0151-e, vagy tov\u00e1bbi kontrollt ig\u00e9nyel.<\/p>\n\n\n\n A Manage funkci\u00f3 a kock\u00e1zatok kezel\u00e9s\u00e9re vonatkozik. Ide tartozik a kock\u00e1zatok prioriz\u00e1l\u00e1sa, a kontrollok kijel\u00f6l\u00e9se, a maradv\u00e1nykock\u00e1zat elfogad\u00e1sa, az incidenskezel\u00e9s, a kommunik\u00e1ci\u00f3 \u00e9s a folyamatos jav\u00edt\u00e1s. Ebben a funkci\u00f3ban a kock\u00e1zatkezel\u00e9s akkor val\u00f3s, ha d\u00f6nt\u00e9ssel j\u00e1r<\/strong>. Ha egy kock\u00e1zati meg\u00e1llap\u00edt\u00e1s nem vezet kontrollhoz, elfogad\u00e1si d\u00f6nt\u00e9shez vagy m\u00f3dos\u00edt\u00e1shoz, akkor a kezel\u00e9s csak form\u00e1lis marad.<\/p>\n\n\n\n A NIST AI RMF Playbook gyakorlati t\u00e1mogat\u00e1st ad a n\u00e9gy funkci\u00f3 alkalmaz\u00e1s\u00e1hoz. A Playbook javasolt int\u00e9zked\u00e9seket, kapcsol\u00f3d\u00f3 ir\u00e1nymutat\u00e1sokat \u00e9s hivatkoz\u00e1sokat k\u00edn\u00e1l a NIST AI RMF funkci\u00f3inak \u00e9s alkateg\u00f3ri\u00e1inak megval\u00f3s\u00edt\u00e1s\u00e1hoz, ugyanakkor nem ellen\u0151rz\u0151lista \u00e9s nem olyan l\u00e9p\u00e9ssor, amelyet minden esetben teljes eg\u00e9sz\u00e9ben v\u00e9gig kell k\u00f6vetni (NIST, n.d.).<\/p>\n\n\n\n Ez a megk\u00f6zel\u00edt\u00e9s k\u00fcl\u00f6n\u00f6sen hasznos, mert az AI-kock\u00e1zatok nem minden szervezetben azonosak. Egy banki csal\u00e1sfelder\u00edt\u0151 modell, egy gy\u00e1rt\u00f3ipari predikt\u00edv karbantart\u00e1si rendszer \u00e9s egy bels\u0151 dokumentum\u00f6sszefoglal\u00f3 eszk\u00f6z m\u00e1s kock\u00e1zati t\u00e9rk\u00e9pet ig\u00e9nyel. A NIST AI RMF er\u0151ss\u00e9ge a rugalmas alkalmazhat\u00f3s\u00e1g<\/strong>. Nem egyetlen megfelel\u00e9si sablont ad, hanem struktur\u00e1lt gondolkod\u00e1st k\u00edn\u00e1l az elt\u00e9r\u0151 haszn\u00e1lati esetekhez.<\/p>\n\n\n\n A NIST AI RMF gyakorlati alkalmaz\u00e1sa sor\u00e1n \u00e9rdemes minden AI-haszn\u00e1lati esethez r\u00f6vid kock\u00e1zati t\u00e9rk\u00e9pet k\u00e9sz\u00edteni. Ez nem hossz\u00fa tanulm\u00e1nyk\u00e9nt indul, hanem olyan alaple\u00edr\u00e1sk\u00e9nt, amely \u00f6sszekapcsolja a c\u00e9lt, adatokat, felhaszn\u00e1l\u00f3kat, kimeneteket, \u00e9rintetti hat\u00e1sokat, hibalehet\u0151s\u00e9geket \u00e9s kontrollig\u00e9nyeket. Ebben a t\u00e9rk\u00e9pben a kock\u00e1zat nem elvont kateg\u00f3ria, hanem konkr\u00e9t m\u0171k\u00f6d\u00e9si k\u00f6vetkezm\u00e9ny<\/strong>. Egy pontatlan v\u00e1lasz, egy hib\u00e1s riaszt\u00e1s vagy egy torz rangsor m\u00e1s-m\u00e1s kontrollt ig\u00e9nyel.<\/p>\n\n\n\n A NIST funkci\u00f3i alapj\u00e1n egy egyszer\u0171 kock\u00e1zati t\u00e9rk\u00e9p \u00edgy \u00e9p\u00fclhet fel:<\/p>\n\n\n\n NIST funkci\u00f3<\/p>\n\n\n\n F\u0151 k\u00e9rd\u00e9s<\/p>\n\n\n\n Tipikus eredm\u00e9ny<\/p>\n\n\n\n Govern<\/p>\n\n\n\n Ki felel az AI-kock\u00e1zat\u00e9rt?<\/p>\n\n\n\n szerepek, politika, j\u00f3v\u00e1hagy\u00e1si rend<\/p>\n\n\n\n Map<\/p>\n\n\n\n Milyen kontextusban m\u0171k\u00f6dik az AI?<\/p>\n\n\n\n haszn\u00e1latieset-le\u00edr\u00e1s, \u00e9rintetti t\u00e9rk\u00e9p<\/p>\n\n\n\n Measure<\/p>\n\n\n\n Hogyan m\u00e9rhet\u0151 a kock\u00e1zat?<\/p>\n\n\n\n teszt, mutat\u00f3, kvalitat\u00edv \u00e9rt\u00e9kel\u00e9s<\/p>\n\n\n\n Manage<\/p>\n\n\n\n Mit tesz\u00fcnk a kock\u00e1zattal?<\/p>\n\n\n\n kontroll, felel\u0151s, maradv\u00e1nykock\u00e1zati d\u00f6nt\u00e9s<\/p>\n\n\n\n A t\u00e1bl\u00e1zat seg\u00edt abban, hogy a szervezet ne ugorjon azonnal kontrollmegold\u00e1sokra. El\u0151bb meg kell \u00e9rtenie a kontextust, majd m\u00e9rnie vagy \u00e9rt\u00e9kelnie kell a kock\u00e1zatot, \u00e9s csak ezut\u00e1n tud felel\u0151s d\u00f6nt\u00e9st hozni. A j\u00f3 kontroll mindig \u00e9rtett kock\u00e1zatra v\u00e1laszol<\/strong>. Ha a kontrollt a kock\u00e1zat felt\u00e1r\u00e1sa el\u0151tt v\u00e1lasztj\u00e1k ki, k\u00f6nnyen t\u00fal gyenge, t\u00fal er\u0151s vagy irrelev\u00e1ns lesz.<\/p>\n\n\n\n A NIST AI RMF teh\u00e1t k\u00fcl\u00f6n\u00f6sen alkalmas arra, hogy a szervezet kock\u00e1zati p\u00e1rbesz\u00e9det ind\u00edtson az AI-haszn\u00e1latr\u00f3l. Nem csak technikai csapatoknak sz\u00f3l, hanem \u00fczleti, jogi, compliance, adatv\u00e9delmi, inform\u00e1ci\u00f3biztons\u00e1gi \u00e9s vezet\u0151i szerepl\u0151knek is. Ez az\u00e9rt fontos, mert az AI-kock\u00e1zat k\u00f6z\u00f6s \u00e9rtelmez\u00e9st ig\u00e9nyel<\/strong>. A modell teljes\u00edtm\u00e9nye, az \u00fczleti c\u00e9l, az \u00e9rintetti hat\u00e1s \u00e9s a szervezeti felel\u0151ss\u00e9g csak egy\u00fctt ad haszn\u00e1lhat\u00f3 kock\u00e1zati k\u00e9pet.<\/p>\n\n\n\n Az ISO\/IEC 42001 a NIST AI RMF-hez k\u00e9pest m\u00e1s k\u00e9rd\u00e9st tesz fel. Nem els\u0151sorban azt k\u00e9rdezi, hogyan t\u00e9rk\u00e9pezz\u00fck fel m\u00f3dszertanilag az AI-kock\u00e1zatokat, hanem azt, hogyan \u00e9p\u00fcl be az AI ir\u00e1ny\u00edt\u00e1sa a szervezet menedzsmentrendszer\u00e9be. A szabv\u00e1ny AI management system standardk\u00e9nt politik\u00e1k, c\u00e9lok, folyamatok, felel\u0151ss\u00e9gek \u00e9s folyamatos fejleszt\u00e9si mechanizmusok kialak\u00edt\u00e1s\u00e1ra \u00e9p\u00fcl (ISO, 2023a).<\/p>\n\n\n\n Ez k\u00f6vetelm\u00e9nyalap\u00fa gondolkod\u00e1st jelent. A szervezetnek meg kell hat\u00e1roznia a hat\u00f3k\u00f6rt, \u00e9rtenie kell a kontextus\u00e1t, figyelembe kell vennie az \u00e9rdekelt feleket, ki kell jel\u00f6lnie a felel\u0151ss\u00e9geket, kezelnie kell a kock\u00e1zatokat \u00e9s lehet\u0151s\u00e9geket, biztos\u00edtania kell az er\u0151forr\u00e1sokat, m\u0171k\u00f6dtetnie kell a kontrollokat, \u00e9rt\u00e9kelnie kell a teljes\u00edtm\u00e9nyt, \u00e9s folyamatosan fejlesztenie kell a rendszert. Ebben a logik\u00e1ban az AI-ir\u00e1ny\u00edt\u00e1s nem kamp\u00e1ny, hanem ism\u00e9telhet\u0151 m\u0171k\u00f6d\u00e9s<\/strong>. A szervezet nem egyszeri projektk\u00e9nt kezeli az AI-t, hanem fenntartott menedzsmentrendszerk\u00e9nt.<\/p>\n\n\n\n Az ISO\/IEC 42001 egyik f\u0151 el\u0151nye, hogy alkalmas audit\u00e1lhat\u00f3 strukt\u00fara kialak\u00edt\u00e1s\u00e1ra. Ez k\u00fcl\u00f6n\u00f6sen fontos akkor, ha a szervezet tan\u00fas\u00edt\u00e1si felk\u00e9sz\u00fcl\u00e9sben gondolkodik, vagy ha bels\u0151 auditon, \u00fcgyf\u00e9lvizsg\u00e1laton, besz\u00e1ll\u00edt\u00f3i \u00e1tvil\u00e1g\u00edt\u00e1son vagy hat\u00f3s\u00e1gi k\u00e9rd\u00e9sen kereszt\u00fcl kell bizony\u00edtania az AI-ir\u00e1ny\u00edt\u00e1s m\u0171k\u00f6d\u00e9s\u00e9t. Ilyenkor az ir\u00e1ny\u00edt\u00e1s \u00e9rt\u00e9ke a bizony\u00edthat\u00f3s\u00e1gban is megjelenik<\/strong>. Nem el\u00e9g a helyes sz\u00e1nd\u00e9k; visszakereshet\u0151 d\u00f6nt\u00e9sekre, dokumentumokra \u00e9s kontrollokra van sz\u00fcks\u00e9g.<\/p>\n\n\n\n A szabv\u00e1ny szervezeti szinten kezeli az AI-val kapcsolatos kock\u00e1zatokat \u00e9s lehet\u0151s\u00e9geket. Ez azt jelenti, hogy nem csak egy-egy modell technikai \u00e1llapot\u00e1t vizsg\u00e1lja. Figyelmet kap az AI-politika, a haszn\u00e1lati esetek nyilv\u00e1ntart\u00e1sa, az \u00e9letciklus-kontroll, a kock\u00e1zatkezel\u00e9s, a felhaszn\u00e1l\u00f3i kompetencia, a k\u00fcls\u0151 szolg\u00e1ltat\u00f3k kezel\u00e9se, a dokument\u00e1lt inform\u00e1ci\u00f3 \u00e9s a vezet\u0151i \u00e1ttekint\u00e9s. Ebben az \u00e9rtelemben az ISO\/IEC 42001 a szervezet AI-m\u0171k\u00f6d\u00e9s\u00e9t teszi l\u00e1that\u00f3v\u00e1<\/strong>. A technikai kontrollokat szervezeti kontrollrendszerbe rendezi.<\/p>\n\n\n\n Az ISO\/IEC 23894 hasznos kieg\u00e9sz\u00edt\u0151 ebben a folyamatban, mert kifejezetten az AI-kock\u00e1zatkezel\u00e9shez ad ir\u00e1nymutat\u00e1st. A szabv\u00e1ny c\u00e9lja, hogy t\u00e1mogassa az AI-t fejleszt\u0151, el\u0151\u00e1ll\u00edt\u00f3, bevezet\u0151 vagy haszn\u00e1l\u00f3 szervezeteket az AI-specifikus kock\u00e1zatok kezel\u00e9s\u00e9ben, valamint a kock\u00e1zatkezel\u00e9s AI-val kapcsolatos tev\u00e9kenys\u00e9gekbe val\u00f3 integr\u00e1l\u00e1s\u00e1ban (ISO, 2023b).<\/p>\n\n\n\n Az ISO\/IEC 42001 k\u00f6vetelm\u00e9nyalap\u00fa m\u0171k\u00f6d\u00e9se akkor lesz er\u0151s, ha a szervezet nem csak szab\u00e1lyzatokat \u00edr, hanem t\u00e9nyleges d\u00f6nt\u00e9si pontokat m\u0171k\u00f6dtet. Ilyen pont lehet az AI-haszn\u00e1lati eset j\u00f3v\u00e1hagy\u00e1sa, az el\u0151zetes kock\u00e1zati besorol\u00e1s, az adatv\u00e9delmi vagy inform\u00e1ci\u00f3biztons\u00e1gi vizsg\u00e1lat ind\u00edt\u00e1sa, a valid\u00e1l\u00e1si eredm\u00e9nyek elfogad\u00e1sa, az \u00e9les\u00edt\u00e9si d\u00f6nt\u00e9s, a v\u00e1ltoz\u00e1skezel\u00e9s vagy az id\u0151szakos fel\u00fclvizsg\u00e1lat. Itt a menedzsmentrendszer a d\u00f6nt\u00e9si fegyelmet int\u00e9zm\u00e9nyes\u00edti<\/strong>. A j\u00f3v\u00e1hagy\u00e1s nem form\u00e1lis al\u00e1\u00edr\u00e1s, hanem kock\u00e1zati felel\u0151ss\u00e9gv\u00e1llal\u00e1s.<\/p>\n\n\n\n Az ISO\/IEC 42001 bevezet\u00e9se nem azt jelenti, hogy a szervezet minden AI-haszn\u00e1latra azonos m\u00e9lys\u00e9g\u0171 dokument\u00e1ci\u00f3t k\u00e9sz\u00edt. A kontrolloknak ar\u00e1nyosnak kell lenni\u00fck a haszn\u00e1lati eset hat\u00e1s\u00e1val, kock\u00e1zat\u00e1val \u00e9s szab\u00e1lyoz\u00e1si jelent\u0151s\u00e9g\u00e9vel. Egy bels\u0151 asszisztens, egy predikt\u00edv karbantart\u00e1si modell \u00e9s egy HR-d\u00f6nt\u00e9st\u00e1mogat\u00f3 rendszer nem azonos kontrollszintet ig\u00e9nyel. Ebben a rendszerben az ar\u00e1nyoss\u00e1g csak akkor m\u0171k\u00f6dik, ha a besorol\u00e1s k\u00f6vetkezetes<\/strong>. Ha nincs egys\u00e9ges el\u0151sz\u0171r\u00e9s, az ar\u00e1nyoss\u00e1g k\u00f6nnyen \u00f6nk\u00e9nyess\u00e9 v\u00e1lik.<\/p>\n\n\n\n A menedzsmentrendszer-kontrollok gyakran nem l\u00e1tv\u00e1nyosak, m\u00e9gis kulcsfontoss\u00e1g\u00faak. Ide tartozik p\u00e9ld\u00e1ul az AI-nyilv\u00e1ntart\u00e1s fenntart\u00e1sa, a felel\u0151ss\u00e9gi m\u00e1trix, az AI-haszn\u00e1lati szab\u00e1lyzat, a besz\u00e1ll\u00edt\u00f3i k\u00f6vetelm\u00e9nyek, a dokument\u00e1lt valid\u00e1l\u00e1s, a felhaszn\u00e1l\u00f3i k\u00e9pz\u00e9s \u00e9s az incidensjelent\u00e9si rend. Ezekben a kontroll nem technikai be\u00e1ll\u00edt\u00e1s, hanem szervezeti elv\u00e1r\u00e1s<\/strong>. A technikai eszk\u00f6z csak akkor lesz ir\u00e1ny\u00edtott, ha a szervezet tudja, milyen szab\u00e1lyok k\u00f6z\u00f6tt haszn\u00e1lhat\u00f3.<\/p>\n\n\n\n Az ISO\/IEC 42001 ez\u00e9rt k\u00fcl\u00f6n\u00f6sen fontos olyan szervezetekn\u00e9l, ahol az AI t\u00f6bb ter\u00fcleten jelenik meg. Ha a HR, marketing, \u00fcgyf\u00e9lszolg\u00e1lat, IT, p\u00e9nz\u00fcgy \u00e9s jogi ter\u00fclet k\u00fcl\u00f6n-k\u00fcl\u00f6n vezet be AI-eszk\u00f6z\u00f6ket, a kock\u00e1zatok sz\u00e9tsz\u00f3r\u00f3dnak. Az AIMS k\u00f6z\u00f6s nyelvet \u00e9s folyamatot ad ezek kezel\u00e9s\u00e9hez. Az <\/strong>AI <\/strong>ir\u00e1ny\u00edt\u00e1si<\/strong> <\/strong>rendszer<\/strong> a <\/strong>sz\u00e9tsz\u00f3rt<\/strong> AI-<\/strong>haszn\u00e1latot<\/strong> k\u00f6z\u00f6s ir\u00e1ny\u00edt\u00e1si t\u00e9rbe hozza<\/strong>. Ez a tan\u00fas\u00edt\u00e1si felk\u00e9sz\u00fcl\u00e9sen t\u00fal a mindennapi vezet\u0151i kontrollt is er\u0151s\u00edti.<\/p>\n\n\n\n A NIST AI RMF \u00e9s az ISO\/IEC 42001 \u00f6sszehangol\u00e1s\u00e1ban az ISO-oldal adja azt a k\u00e9rd\u00e9st: hol lesz ebb\u0151l folyamat, felel\u0151s \u00e9s bizony\u00edt\u00e9k? A NIST-oldal megmutatja, milyen kock\u00e1zatokat \u00e9rdemes felt\u00e1rni; az ISO-oldal megk\u00f6veteli, hogy ezek kezel\u00e9s\u00e9re a szervezet m\u0171k\u00f6d\u00e9si rendet alak\u00edtson ki. Ez a kapcsolat teszi lehet\u0151v\u00e9, hogy az AIMS ne puszt\u00e1n megfelel\u0151s\u00e9gi dokumentum legyen, hanem \u00e9l\u0151 ir\u00e1ny\u00edt\u00e1si rendszer.<\/p>\n\n\n\n Az AI-kock\u00e1zatok dokument\u00e1l\u00e1sa nem adminisztrat\u00edv mell\u00e9kfeladat. Az AI-rendszerek m\u0171k\u00f6d\u00e9se sokszor \u00f6sszetett, t\u00f6bb adatforr\u00e1st, modellt, szolg\u00e1ltat\u00f3t, felhaszn\u00e1l\u00f3i d\u00f6nt\u00e9st \u00e9s szervezeti folyamatot \u00e9rint. Ilyen k\u00f6rnyezetben a dokument\u00e1ci\u00f3 a k\u00f6z\u00f6s eml\u00e9kezet \u00e9s felel\u0151ss\u00e9g eszk\u00f6ze<\/strong>. Ha a szervezet k\u00e9s\u0151bb nem tudja megmutatni, mi\u00e9rt \u00e9s milyen felt\u00e9telekkel vezette be az AI-t, akkor a kock\u00e1zatkezel\u00e9s nehezen bizony\u00edthat\u00f3.<\/p>\n\n\n\n A NIST AI RMF kock\u00e1zati nyelve seg\u00edt abban, hogy a dokument\u00e1ci\u00f3 ne csak technikai le\u00edr\u00e1s legyen. A kock\u00e1zati t\u00e9rk\u00e9pben meg kell jelenni\u00fck az \u00e9rintetteknek, c\u00e9loknak, felt\u00e9telez\u00e9seknek, hibalehet\u0151s\u00e9geknek, m\u00e9r\u00e9si m\u00f3dszereknek \u00e9s kezel\u00e9si d\u00f6nt\u00e9seknek. \u00cdgy a dokument\u00e1lt kock\u00e1zat nem statikus lista, hanem d\u00f6nt\u00e9si alap<\/strong>. A vezet\u00e9s, jogi ter\u00fclet, compliance, inform\u00e1ci\u00f3biztons\u00e1g \u00e9s \u00fczleti folyamatgazda ugyanabb\u00f3l az \u00e9rtelmez\u00e9si keretb\u0151l tud dolgozni.<\/p>\n\n\n\n Az ISO\/IEC 42001 oldal\u00e1r\u00f3l a dokument\u00e1ci\u00f3 audit\u00e1lhat\u00f3 bizony\u00edt\u00e9kk\u00e1 v\u00e1lik. Nemcsak azt kell l\u00e1tni, hogy a kock\u00e1zatot azonos\u00edtott\u00e1k, hanem azt is, hogy mi t\u00f6rt\u00e9nt vele: ki \u00e9rt\u00e9kelte, milyen kontrollt v\u00e1lasztottak, ki hagyta j\u00f3v\u00e1, milyen maradv\u00e1nykock\u00e1zatot fogadtak el, \u00e9s mikor lesz fel\u00fclvizsg\u00e1lat. Ebben a megk\u00f6zel\u00edt\u00e9sben a bizony\u00edt\u00e9k azt mutatja meg, hogy a kock\u00e1zatot t\u00e9nylegesen kezelt\u00e9k<\/strong>. A dokumentum nem \u00f6nmag\u00e1\u00e9rt van, hanem a felel\u0151s d\u00f6nt\u00e9st teszi visszakereshet\u0151v\u00e9.<\/p>\n\n\n\n A kommunik\u00e1ci\u00f3 legal\u00e1bb ilyen fontos. Az AI-kock\u00e1zat nem maradhat az adattud\u00f3sok, fejleszt\u0151k vagy compliance szak\u00e9rt\u0151k bels\u0151 nyelv\u00e9ben. A felhaszn\u00e1l\u00f3nak \u00e9rtenie kell, mire haszn\u00e1lhatja az AI-t, mikor kell ellen\u0151riznie a kimenetet, hogyan jelenthet hib\u00e1t, \u00e9s milyen d\u00f6nt\u00e9sn\u00e9l nem t\u00e1maszkodhat automatikusan a rendszerre. Itt a kock\u00e1zatkommunik\u00e1ci\u00f3 a kontroll r\u00e9sze<\/strong>. Ha a felhaszn\u00e1l\u00f3 nem \u00e9rti a korl\u00e1tokat, a rendszer val\u00f3s kock\u00e1zata magasabb lesz, mint amit a dokument\u00e1ci\u00f3 mutat.<\/p>\n\n\n\n Az AI-kock\u00e1zatok kommunik\u00e1l\u00e1s\u00e1hoz t\u00f6bb c\u00e9lcsoportot kell elk\u00fcl\u00f6n\u00edteni. A vezet\u00e9snek strat\u00e9giai \u00e9s maradv\u00e1nykock\u00e1zati k\u00e9pre van sz\u00fcks\u00e9ge. Az \u00fczleti folyamatgazd\u00e1nak m\u0171k\u00f6d\u00e9si hat\u00e1sra \u00e9s felel\u0151ss\u00e9gekre. Az IT- \u00e9s biztons\u00e1gi ter\u00fcletnek adat\u00e1raml\u00e1sra, hozz\u00e1f\u00e9r\u00e9sre \u00e9s incidensfolyamatokra. A jogi \u00e9s adatv\u00e9delmi szerepl\u0151knek megfelel\u00e9si t\u00e9nyekre. A v\u00e9gfelhaszn\u00e1l\u00f3nak pedig haszn\u00e1lati szab\u00e1lyokra \u00e9s beavatkoz\u00e1si pontokra. Ugyanazt a kock\u00e1zatot t\u00f6bb nyelven kell elmondani<\/strong>. Ez nem egyszer\u0171s\u00edt\u00e9s, hanem szervezeti \u00e9rthet\u0151s\u00e9g.<\/p>\n\n\n\n A dokument\u00e1lt kock\u00e1zati t\u00e9rk\u00e9p \u00e9s az audit\u00e1lhat\u00f3 bizony\u00edt\u00e9k nem ugyanaz. A kock\u00e1zati t\u00e9rk\u00e9p elemz\u00e9si eszk\u00f6z: megmutatja, milyen kock\u00e1zatok mer\u00fclnek fel \u00e9s milyen kapcsolatokban. Az audit\u00e1lhat\u00f3 bizony\u00edt\u00e9k m\u0171k\u00f6d\u00e9si igazol\u00e1s: megmutatja, hogy a szervezet mit tett a kock\u00e1zatokkal. Ez\u00e9rt a m\u00f3dszertani dokumentum nem v\u00e1ltja ki a menedzsmentrendszer-bizony\u00edt\u00e9kot<\/strong>. Mindkett\u0151re sz\u00fcks\u00e9g van, de m\u00e1s szerepet t\u00f6ltenek be.<\/p>\n\n\n\n Egy AI-haszn\u00e1lati esetn\u00e9l p\u00e9ld\u00e1ul a kock\u00e1zati t\u00e9rk\u00e9p tartalmazhatja, hogy a chatbot f\u00e9lrevezet\u0151 v\u00e1laszt adhat \u00f6sszetett panaszokra. Az audit\u00e1lhat\u00f3 bizony\u00edt\u00e9k ezzel szemben az lesz, hogy a szervezet meghat\u00e1rozta az automatikus v\u00e1laszad\u00e1s korl\u00e1tait, tesztelte a kritikus \u00fcgyt\u00edpusokat, emberi \u00e1tad\u00e1sra vonatkoz\u00f3 szab\u00e1lyt vezetett be, \u00e9s napl\u00f3zza a vitatott eseteket. Ebben a p\u00e9ld\u00e1ban a kock\u00e1zat akkor v\u00e1lik ir\u00e1ny\u00edtott\u00e1, amikor kontroll kapcsol\u00f3dik hozz\u00e1<\/strong>. Az elemz\u00e9s \u00e9s a m\u0171k\u00f6d\u00e9s \u00edgy \u00e9r \u00f6ssze.<\/p>\n\n\n\n A dokument\u00e1l\u00e1sn\u00e1l ar\u00e1nyoss\u00e1gra is sz\u00fcks\u00e9g van. Nem minden AI-haszn\u00e1lati eset ig\u00e9nyel hossz\u00fa jelent\u00e9st, de minden \u00e9rdemi haszn\u00e1latn\u00e1l legyen minim\u00e1lis le\u00edr\u00e1s: c\u00e9l, adatok, felhaszn\u00e1l\u00f3k, kimenet, d\u00f6nt\u00e9si hat\u00e1s, kock\u00e1zati besorol\u00e1s, kontrollok \u00e9s felel\u0151s\u00f6k. Magasabb hat\u00e1s\u00fa rendszerekn\u00e9l r\u00e9szletesebb valid\u00e1l\u00e1s, m\u00e9r\u00e9s, \u00e9rintetti hat\u00e1s\u00e9rt\u00e9kel\u00e9s, jogi vizsg\u00e1lat \u00e9s vezet\u0151i j\u00f3v\u00e1hagy\u00e1s lehet indokolt. Itt az ar\u00e1nyos dokument\u00e1ci\u00f3 a kock\u00e1zati s\u00falyhoz igazodik<\/strong>. A c\u00e9l nem a dokumentummennyis\u00e9g n\u00f6vel\u00e9se, hanem a bizony\u00edthat\u00f3 ir\u00e1ny\u00edt\u00e1s.<\/p>\n\n\n\n A HLEG megb\u00edzhat\u00f3 AI-r\u00f3l sz\u00f3l\u00f3 ir\u00e1nymutat\u00e1sa h\u00e9t kulcsk\u00f6vetelm\u00e9nyt emel ki, t\u00f6bbek k\u00f6z\u00f6tt az emberi fel\u00fcgyeletet, technikai robusztuss\u00e1got, adatir\u00e1ny\u00edt\u00e1st, \u00e1tl\u00e1that\u00f3s\u00e1got, m\u00e9lt\u00e1nyoss\u00e1got \u00e9s elsz\u00e1moltathat\u00f3s\u00e1got (High-Level Expert Group on Artificial Intelligence, 2019). Ezek a szempontok j\u00f3l mutatj\u00e1k, hogy a kock\u00e1zatkommunik\u00e1ci\u00f3 nem kiz\u00e1r\u00f3lag bels\u0151 m\u0171k\u00f6d\u00e9si k\u00e9rd\u00e9s. Az \u00e9rintettek bizalma, a felhaszn\u00e1l\u00f3k felel\u0151s viselked\u00e9se \u00e9s az audit\u00e1lhat\u00f3s\u00e1g mind f\u00fcgg att\u00f3l, hogy a szervezet mennyire vil\u00e1gosan tud besz\u00e9lni az AI korl\u00e1tair\u00f3l.<\/p>\n\n\n\n A dokument\u00e1l\u00e1s \u00e9s kommunik\u00e1ci\u00f3 teh\u00e1t a NIST\u2013ISO \u00f6sszehangol\u00e1s egyik legfontosabb gyakorlati pontja. A NIST AI RMF seg\u00edt megnevezni \u00e9s szerkezetbe rendezni a kock\u00e1zatokat; az ISO\/IEC 42001 seg\u00edt ezeket kontrollokhoz, felel\u0151s\u00f6kh\u00f6z \u00e9s bizony\u00edt\u00e9kokhoz k\u00f6tni. A szervezet akkor m\u0171k\u00f6dik \u00e9retten, ha a kock\u00e1zati felismer\u00e9s nem marad szak\u00e9rt\u0151i fejben, hanem megjelenik d\u00f6nt\u00e9si rendben, felhaszn\u00e1l\u00f3i szab\u00e1lyban, vezet\u0151i riportban \u00e9s auditnyomban is.<\/p>\n\n\n\n A NIST AI RMF \u00e9s az ISO\/IEC 42001 \u00f6sszehangol\u00e1sa legk\u00f6nnyebben konkr\u00e9t AI-haszn\u00e1lati eseten kereszt\u00fcl \u00e9rthet\u0151 meg. Vegy\u00fcnk p\u00e9ldak\u00e9nt egy AI-alap\u00fa \u00fcgyf\u00e9lszolg\u00e1lati megold\u00e1st, amely be\u00e9rkez\u0151 k\u00e9rd\u00e9seket oszt\u00e1lyoz, v\u00e1laszjavaslatot k\u00e9sz\u00edt, \u00e9s bizonyos egyszer\u0171 \u00fcgyekben automatikus v\u00e1laszt ad. Ez a rendszer \u00fczletileg hasznos lehet, de kock\u00e1zatot is hordoz: hib\u00e1s v\u00e1laszt adhat, rosszul prioriz\u00e1lhat, \u00e9rz\u00e9keny adatot kezelhet, vagy t\u00falzott bizalmat kelthet a felhaszn\u00e1l\u00f3kban.<\/p>\n\n\n\n A NIST AI RMF alapj\u00e1n el\u0151sz\u00f6r a Govern szintet kell tiszt\u00e1zni. Ki a rendszer \u00fczleti gazd\u00e1ja? Ki felel a technikai m\u0171k\u00f6d\u00e9s\u00e9rt? Ki vizsg\u00e1lja az adatv\u00e9delmi \u00e9s inform\u00e1ci\u00f3biztons\u00e1gi k\u00e9rd\u00e9seket? Ki d\u00f6nt az \u00e9les\u00edt\u00e9sr\u0151l, \u00e9s ki fogadja el a maradv\u00e1nykock\u00e1zatot? Ebben a szakaszban a felel\u0151ss\u00e9g kijel\u00f6l\u00e9se megel\u0151zi a technikai finomhangol\u00e1st<\/strong>. Ha nincs felel\u0151s m\u0171k\u00f6d\u00e9si rend, a k\u00e9s\u0151bbi m\u00e9r\u00e9sek \u00e9s kontrollok gazd\u00e1tlanok maradhatnak.<\/p>\n\n\n\n A Map szakaszban a szervezet felt\u00e1rja a haszn\u00e1lati kontextust. Milyen \u00fcgyt\u00edpusokat kezelhet az AI? Milyen \u00fcgyekn\u00e9l k\u00f6telez\u0151 emberi \u00e1tad\u00e1s? Milyen \u00fcgyf\u00e9ladatokat dolgoz fel? Milyen hat\u00e1ssal van a v\u00e1lasz az \u00fcgyf\u00e9l jogaira, el\u00e9gedetts\u00e9g\u00e9re vagy hozz\u00e1f\u00e9r\u00e9s\u00e9re? Itt a kontextus hat\u00e1rozza meg a kock\u00e1zat val\u00f3di s\u00faly\u00e1t<\/strong>. Egy \u00e1ltal\u00e1nos t\u00e1j\u00e9koztat\u00f3 v\u00e1lasz m\u00e1s kock\u00e1zat\u00fa, mint egy panasz elutas\u00edt\u00e1s\u00e1t el\u0151k\u00e9sz\u00edt\u0151 aj\u00e1nl\u00e1s.<\/p>\n\n\n\n A Measure szakaszban m\u00e1r m\u00e9rni \u00e9s \u00e9rt\u00e9kelni kell. Vizsg\u00e1lhat\u00f3 a v\u00e1laszpontoss\u00e1g, a t\u00e9ves oszt\u00e1lyoz\u00e1s, az emberi fel\u00fclb\u00edr\u00e1l\u00e1sok ar\u00e1nya, a panaszok sz\u00e1ma, az adatv\u00e9delmi hib\u00e1k el\u0151fordul\u00e1sa, az automatikus v\u00e1laszok min\u0151s\u00e9ge \u00e9s a kritikus \u00fcgyt\u00edpusok kezel\u00e9se. Ebben a pontban a m\u00e9r\u00e9snek a kock\u00e1zati d\u00f6nt\u00e9st kell szolg\u00e1lnia<\/strong>. Nem el\u00e9g azt l\u00e1tni, hogy az \u00e1tlagos pontoss\u00e1g j\u00f3; azt is vizsg\u00e1lni kell, hol hib\u00e1zik a rendszer, \u00e9s ezeknek milyen k\u00f6vetkezm\u00e9nye van.<\/p>\n\n\n\n A Manage szakaszban a szervezet kiv\u00e1lasztja a kontrollokat. Ilyen lehet az automatikus v\u00e1laszad\u00e1s korl\u00e1toz\u00e1sa, emberi j\u00f3v\u00e1hagy\u00e1s kritikus \u00fcgyekben, v\u00e1laszsablonok j\u00f3v\u00e1hagy\u00e1sa, tud\u00e1sb\u00e1zis-v\u00e1ltoz\u00e1skezel\u00e9s, felhaszn\u00e1l\u00f3i k\u00e9pz\u00e9s, hibajelent\u00e9si csatorna, mintav\u00e9teles ellen\u0151rz\u00e9s \u00e9s incidenskezel\u00e9s. Itt a kontroll akkor j\u00f3, ha a konkr\u00e9t hibalehet\u0151s\u00e9gre v\u00e1laszol<\/strong>. A chatbot \u00e1ltal\u00e1nos fel\u00fcgyelete nem el\u00e9g, ha a val\u00f3di kock\u00e1zat a panaszok t\u00e9ves lez\u00e1r\u00e1sa.<\/p>\n\n\n\n Az ISO\/IEC 42001 ugyanebben a p\u00e9ld\u00e1ban azt k\u00e9ri, hogy mindez menedzsmentrendszerk\u00e9nt jelenjen meg. A haszn\u00e1lati eset ker\u00fclj\u00f6n AI-nyilv\u00e1ntart\u00e1sba. Legyen dokument\u00e1lt c\u00e9l, kock\u00e1zati besorol\u00e1s, felel\u0151ss\u00e9gi rend, valid\u00e1l\u00e1si bizony\u00edt\u00e9k, \u00e9les\u00edt\u00e9si j\u00f3v\u00e1hagy\u00e1s, m\u0171k\u00f6d\u00e9si szab\u00e1ly, monitoroz\u00e1si terv \u00e9s v\u00e1ltoz\u00e1skezel\u00e9si elj\u00e1r\u00e1s. Ebben a m\u0171k\u00f6d\u00e9sben az ISO a NIST-elemz\u00e9st audit\u00e1lhat\u00f3 rendd\u00e9 alak\u00edtja<\/strong>. A m\u00f3dszertani meg\u00e1llap\u00edt\u00e1s \u00edgy nem marad elszigetelt kock\u00e1zati jegyzet.<\/p>\n\n\n\n A gyakorl\u00f3 feladat szempontj\u00e1b\u00f3l \u00e9rdemes elk\u00fcl\u00f6n\u00edteni, mely elemek m\u00f3dszertani elemz\u00e9sek \u00e9s melyek menedzsmentrendszer-bizony\u00edt\u00e9kok. A m\u00f3dszertani elemz\u00e9s felt\u00e1rja, mi lehet a kock\u00e1zat, mi\u00e9rt fontos, hogyan m\u00e9rhet\u0151, \u00e9s milyen kezel\u00e9si opci\u00f3k vannak. A menedzsmentrendszer-bizony\u00edt\u00e9k azt igazolja, hogy a szervezet d\u00f6nt\u00f6tt, kontrollt vezetett be, felel\u0151st jel\u00f6lt ki \u00e9s fel\u00fclvizsg\u00e1lati rendet m\u0171k\u00f6dtet. Az elemz\u00e9s meg\u00e9rti a kock\u00e1zatot, a bizony\u00edt\u00e9k igazolja a kezel\u00e9st<\/strong>. Ez a k\u00fcl\u00f6nbs\u00e9g alapvet\u0151 az AIMS \u00e9rett m\u0171k\u00f6d\u00e9s\u00e9hez.<\/p>\n\n\n\n Egy r\u00f6vid kock\u00e1zati t\u00e9rk\u00e9p p\u00e9ld\u00e1ul \u00edgy n\u00e9zhet ki:<\/p>\n\n\n\n Kock\u00e1zati elem<\/p>\n\n\n\n NIST szerinti m\u00f3dszertani elemz\u00e9s<\/p>\n\n\n\n ISO\/IEC 42001 szerinti bizony\u00edt\u00e9k<\/p>\n\n\n\n Hib\u00e1s automatikus v\u00e1lasz<\/p>\n\n\n\n kritikus \u00fcgyt\u00edpusok \u00e9s hibahat\u00e1sok felt\u00e1r\u00e1sa<\/p>\n\n\n\n j\u00f3v\u00e1hagyott v\u00e1laszkorl\u00e1t \u00e9s emberi \u00e1tad\u00e1si szab\u00e1ly<\/p>\n\n\n\n \u00dcgyf\u00e9ladatok kezel\u00e9se<\/p>\n\n\n\n adat\u00e1raml\u00e1s \u00e9s \u00e9rintetti hat\u00e1s \u00e9rt\u00e9kel\u00e9se<\/p>\n\n\n\n adatv\u00e9delmi vizsg\u00e1lat \u00e9s hozz\u00e1f\u00e9r\u00e9si kontroll dokumentuma<\/p>\n\n\n\n T\u00falzott felhaszn\u00e1l\u00f3i bizalom<\/p>\n\n\n\n felhaszn\u00e1l\u00f3i viselked\u00e9s \u00e9s d\u00f6nt\u00e9si hat\u00e1s elemz\u00e9se<\/p>\n\n\n\n k\u00e9pz\u00e9si anyag, haszn\u00e1lati \u00fatmutat\u00f3 \u00e9s ellen\u0151rz\u00e9si elj\u00e1r\u00e1s<\/p>\n\n\n\n Tud\u00e1sb\u00e1zis elavul\u00e1sa<\/p>\n\n\n\n modell- vagy tartalomv\u00e1ltoz\u00e1s kock\u00e1zat\u00e1nak felt\u00e1r\u00e1sa<\/p>\n\n\n\n v\u00e1ltoz\u00e1snapl\u00f3 \u00e9s \u00fajratesztel\u00e9si bizony\u00edt\u00e9k<\/p>\n\n\n\n Panaszok t\u00e9ves prioriz\u00e1l\u00e1sa<\/p>\n\n\n\n d\u00f6nt\u00e9si hat\u00e1s \u00e9s \u00e9rintetti k\u00f6vetkezm\u00e9ny elemz\u00e9se<\/p>\n\n\n\n valid\u00e1l\u00e1si eredm\u00e9ny \u00e9s vezet\u0151i elfogad\u00e1si d\u00f6nt\u00e9s<\/p>\n\n\n\n Ez a t\u00e1bl\u00e1zat j\u00f3l mutatja, hogy ugyanaz a kock\u00e1zat k\u00e9t szinten jelenik meg. El\u0151sz\u00f6r meg kell \u00e9rteni \u00e9s \u00e9rt\u00e9kelni kell, majd szervezeti kontrollal kell kezelni. Ebben a NIST \u00e9s az ISO nem p\u00e1rhuzamos munk\u00e1t, hanem egym\u00e1sra \u00e9p\u00fcl\u0151 m\u0171k\u00f6d\u00e9st ad<\/strong>. A m\u00f3dszertan seg\u00edt a tartalom helyes megfogalmaz\u00e1s\u00e1ban, a menedzsmentrendszer pedig biztos\u00edtja a v\u00e9grehajt\u00e1st \u00e9s a bizony\u00edt\u00e1st.<\/p>\n\n\n\n Az \u00f6sszehangol\u00e1s m\u00e1s AI-haszn\u00e1lati esetekn\u00e9l is hasonl\u00f3 logik\u00e1t k\u00f6vet. Egy HR-el\u0151sz\u0171r\u0151 rendszern\u00e9l a Map szakaszban az \u00e9rintetti hat\u00e1s, a d\u00f6nt\u00e9si szerep \u00e9s a torz\u00edt\u00e1si kock\u00e1zat ker\u00fcl el\u0151t\u00e9rbe; a Measure szakaszban az alcsoportos teljes\u00edtm\u00e9ny, hibaar\u00e1ny \u00e9s fel\u00fclb\u00edr\u00e1l\u00e1si lehet\u0151s\u00e9g; az ISO-oldalon pedig a j\u00f3v\u00e1hagy\u00e1s, emberi fel\u00fcgyelet, dokument\u00e1lt kock\u00e1zat\u00e9rt\u00e9kel\u00e9s \u00e9s audit\u00e1lhat\u00f3s\u00e1g. Egy predikt\u00edv karbantart\u00e1si modelln\u00e9l m\u00e1s kock\u00e1zatok lesznek fontosak, de a logika ugyanaz marad.<\/p>\n\n\n\n Az OECD AI Principles a megb\u00edzhat\u00f3 \u00e9s emberk\u00f6zpont\u00fa AI haszn\u00e1lat\u00e1t t\u00e1mogatj\u00e1k, k\u00fcl\u00f6n\u00f6sen az emberi jogok, demokratikus \u00e9rt\u00e9kek, \u00e1tl\u00e1that\u00f3s\u00e1g, robusztuss\u00e1g \u00e9s elsz\u00e1moltathat\u00f3s\u00e1g hangs\u00falyoz\u00e1s\u00e1val (Organisation for Economic Co-operation and Development [OECD], 2024). Ez a sz\u00e9lesebb ir\u00e1nyelvi h\u00e1tt\u00e9r j\u00f3l illeszkedik a NIST\u2013ISO kapcsolat gyakorlati tanuls\u00e1g\u00e1hoz: az AI-kock\u00e1zatkezel\u00e9s nemcsak technikai megb\u00edzhat\u00f3s\u00e1got, hanem szervezeti felel\u0151ss\u00e9get \u00e9s \u00e9rintetti hat\u00e1skezel\u00e9st is jelent.<\/p>\n\n\n\n A m\u00f3dszertani \u00e9s audit\u00e1l\u00e1si szempontok \u00f6sszehangol\u00e1sa akkor m\u0171k\u00f6dik j\u00f3l, ha a szervezet minden AI-haszn\u00e1lati esetn\u00e9l ugyanazt az alapritmust k\u00f6veti:<\/p>\n\n\n\n azonos\u00edtja a haszn\u00e1lati esetet;<\/p>\n\n\n\n felt\u00e1rja a kontextust \u00e9s \u00e9rintetti hat\u00e1st;<\/p>\n\n\n\n \u00e9rt\u00e9keli \u00e9s m\u00e9ri a kock\u00e1zatokat;<\/p>\n\n\n\n kontrollokat rendel hozz\u00e1juk;<\/p>\n\n\n\n dokument\u00e1lja a d\u00f6nt\u00e9seket \u00e9s bizony\u00edt\u00e9kokat;<\/p>\n\n\n\n monitorozza a m\u0171k\u00f6d\u00e9st;<\/p>\n\n\n\n v\u00e1ltoz\u00e1s eset\u00e9n \u00fajra\u00e9rt\u00e9keli a kock\u00e1zatot.<\/p>\n\n\n\n Ez a sorrend nem merev projektm\u00f3dszertan, hanem ir\u00e1ny\u00edt\u00e1si logika. A kock\u00e1zatkezel\u00e9si keret elemz\u00e9st ad, a menedzsmentrendszer m\u0171k\u00f6d\u00e9st k\u00f6vetel<\/strong>. A szervezet akkor j\u00e1r el \u00e9retten, ha nem v\u00e1lasztja sz\u00e9t mesters\u00e9gesen a kett\u0151t, hanem a NIST AI RMF felismer\u00e9seit be\u00e9p\u00edti az ISO\/IEC 42001 szerinti AIMS kontrolljaiba.<\/p>\n\n\n\n A NIST AI RMF \u00e9s az ISO\/IEC 42001 \u00f6sszehangol\u00e1s\u00e1nak legfontosabb tanuls\u00e1ga, hogy a felel\u0151s AI-ir\u00e1ny\u00edt\u00e1snak k\u00e9t szinten kell m\u0171k\u00f6dnie. El\u0151sz\u00f6r vil\u00e1gosan fel kell t\u00e1rni, milyen kock\u00e1zatot hordoz az adott AI-haszn\u00e1lat. Ezut\u00e1n bizony\u00edthat\u00f3v\u00e1 kell tenni, hogy a szervezet d\u00f6nt\u00f6tt ezekr\u0151l a kock\u00e1zatokr\u00f3l, kontrollokat vezetett be, felel\u0151s\u00f6ket jel\u00f6lt ki, \u00e9s m\u0171k\u00f6d\u00e9s k\u00f6zben is figyeli a rendszert. Az AI-kock\u00e1zatkezel\u00e9s \u00edgy nem egyszeri elemz\u00e9s, hanem audit\u00e1lhat\u00f3, tanul\u00f3 \u00e9s folyamatosan fejleszthet\u0151 szervezeti gyakorlat.<\/p>\n\n\n\n NIST AI Risk Management Framework: https:\/\/www.nist.gov\/itl\/ai-risk-management-framework<\/p>\n\n\n\n NIST AI RMF Playbook: https:\/\/www.nist.gov\/itl\/ai-risk-management-framework\/nist-ai-rmf-playbook<\/p>\n\n\n\n ISO\/IEC 42001:2023 \u00e1ttekint\u00e9s: https:\/\/www.iso.org\/standard\/42001<\/p>\n\n\n\n ISO\/IEC 23894:2023 \u00e1ttekint\u00e9s: https:\/\/www.iso.org\/standard\/77304.html<\/p>\n\n\n\n OECD AI Principles: https:\/\/oecd.ai\/en\/ai-principles<\/p>\n\n\n\n European Commission \u2013 Ethics Guidelines for Trustworthy AI: https:\/\/digital-strategy.ec.europa.eu\/en\/library\/ethics-guidelines-trustworthy-ai<\/p>\n\n\n\n High-Level Expert Group on Artificial Intelligence. (2019). Ethics guidelines for trustworthy AI<\/em>. European Commission. https:\/\/digital-strategy.ec.europa.eu\/en\/library\/ethics-guidelines-trustworthy-ai<\/p>\n\n\n\n International Organization for Standardization. (2023a). ISO\/IEC 42001:2023: Information technology \u2014 Artificial intelligence \u2014 Management system<\/em>. ISO. https:\/\/www.iso.org\/standard\/42001<\/p>\n\n\n\n International Organization for Standardization. (2023b). ISO\/IEC 23894:2023: Information technology \u2014 Artificial intelligence \u2014 Guidance on risk management<\/em>. ISO. https:\/\/www.iso.org\/standard\/77304.html<\/p>\n\n\n\n National Institute of Standards and Technology. (2023). Artificial Intelligence Risk Management Framework (AI RMF 1.0)<\/em>. U.S. Department of Commerce. https:\/\/doi.org\/10.6028\/NIST.AI.100-1<\/p>\n\n\n\n National Institute of Standards and Technology. (n.d.). NIST AI Risk Management Framework Playbook<\/em>. U.S. Department of Commerce. https:\/\/www.nist.gov\/itl\/ai-risk-management-framework\/nist-ai-rmf-playbook<\/p>\n\n\n\n Organisation for Economic Co-operation and Development. (2024). OECD AI Principles<\/em>. OECD.AI Policy Observatory. https:\/\/oecd.ai\/en\/ai-principles<\/p>\n\n\n\n Organisation for Economic Co-operation and Development. (2024). Recommendation of the Council on Artificial Intelligence<\/em>. OECD Legal Instruments. https:\/\/legalinstruments.oecd.org\/en\/instruments\/oecd-legal-0449<\/p>\n","protected":false},"excerpt":{"rendered":" A NIST AI RMF m\u00f3dszertani keretet ny\u00fajt az AI-kock\u00e1zatok felt\u00e1r\u00e1s\u00e1hoz \u00e9s kezel\u00e9s\u00e9hez, m\u00edg az ISO 42001 szabv\u00e1ny menedzsmentrendszerk\u00e9nt szab\u00e1lyozza az AI ir\u00e1ny\u00edt\u00e1s\u00e1t \u00e9s m\u0171k\u00f6dtet\u00e9s\u00e9t.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_sas_skip_auto_schedule":false,"_sas_force_auto_schedule":false,"footnotes":""},"categories":[761],"tags":[5,765,781,780,766,87,158,85,311,826,827],"series":[],"class_list":["post-705","post","type-post","status-publish","format-standard","hentry","category-iranyitasi-rendszer-aims","tag-ai","tag-audit","tag-felelosseg","tag-iranyitas","tag-iso-42001","tag-kockazat","tag-kockazatkezeles","tag-kontroll","tag-menedzsment","tag-nist-ai-rmf","tag-szabvany"],"yoast_head":"\nA NIST AI RMF gyakorlati haszn\u00e1lata<\/h2>\n\n\n\n
Az ISO\/IEC 42001 k\u00f6vetelm\u00e9nyalap\u00fa logik\u00e1ja<\/h2>\n\n\n\n
Dokument\u00e1l\u00e1s \u00e9s kommunik\u00e1ci\u00f3<\/h2>\n\n\n\n
\u00d6sszehangol\u00e1s egy AI-haszn\u00e1lati esetben<\/h2>\n\n\n\n
Tov\u00e1bbi olvasnival\u00f3<\/h2>\n\n\n\n
Felhaszn\u00e1lt szakirodalom<\/h2>\n\n\n\n