Sok szervezet nem \u00fcres lappal kezdi az AI-ir\u00e1ny\u00edt\u00e1st. M\u00e1r m\u0171k\u00f6dik min\u0151s\u00e9gir\u00e1ny\u00edt\u00e1s, inform\u00e1ci\u00f3biztons\u00e1gi ir\u00e1ny\u00edt\u00e1s, adatv\u00e9delmi megfelel\u00e9s, besz\u00e1ll\u00edt\u00f3kezel\u00e9s, bels\u0151 audit, incidenskezel\u00e9s \u00e9s vezet\u0151s\u00e9gi \u00e1tvizsg\u00e1l\u00e1s. A val\u00f3di k\u00e9rd\u00e9s ez\u00e9rt nem az, hogyan kell egy teljesen \u00faj rendszert fel\u00e9p\u00edteni, hanem az, hogyan lehet az AI ir\u00e1ny\u00edt\u00e1si rendszert \u00fagy beilleszteni a megl\u00e9v\u0151 m\u0171k\u00f6d\u00e9sbe, hogy az ne n\u00f6velje feleslegesen az adminisztr\u00e1ci\u00f3t, m\u00e9gis kezelje az AI saj\u00e1tos kock\u00e1zatait.<\/p>\n\n\n\n
Az ISO\/IEC 42001 szerinti AIMS nem elszigetelt szab\u00e1lycsomag, hanem ir\u00e1ny\u00edt\u00e1si rendszer. Ez azt jelenti, hogy c\u00e9lokat, felel\u0151ss\u00e9geket, folyamatokat, kontrollokat, bizony\u00edt\u00e9kokat, m\u00e9r\u00e9si pontokat \u00e9s fejleszt\u00e9si mechanizmusokat kapcsol \u00f6ssze. A hat\u00e9kony bevezet\u00e9s egyik kulcsa az integr\u00e1ci\u00f3: a szervezet haszn\u00e1lja fel, ami m\u00e1r m\u0171k\u00f6dik, de ne olvassza bele az AI-specifikus kock\u00e1zatokat olyan \u00e1ltal\u00e1nos kontrollokba, amelyek nem k\u00e9pesek azokat pontosan kezelni.<\/p>\n\n\n\n
Az AI ir\u00e1ny\u00edt\u00e1si rendszer bevezet\u00e9s\u00e9n\u00e9l gyakori hiba, hogy a szervezet k\u00fcl\u00f6n megfelel\u0151s\u00e9gi projektk\u00e9nt kezeli az AIMS-t. Ilyenkor elk\u00e9sz\u00fcl n\u00e9h\u00e1ny \u00faj dokumentum, l\u00e9trej\u00f6n egy k\u00fcl\u00f6n nyilv\u00e1ntart\u00e1s, megsz\u00fcletik egy AI-politika, de a mindennapi m\u0171k\u00f6d\u00e9s alig v\u00e1ltozik. Ez r\u00f6vid t\u00e1von gyors megold\u00e1snak t\u0171nhet, hosszabb t\u00e1von azonban p\u00e1rhuzamos adminisztr\u00e1ci\u00f3hoz \u00e9s gyenge be\u00e1gyazotts\u00e1ghoz vezet.<\/p>\n\n\n\n
Az AIMS akkor m\u0171k\u00f6dik j\u00f3l, ha a megl\u00e9v\u0151 ir\u00e1ny\u00edt\u00e1si rendszerekre \u00e9p\u00fcl. A szervezetnek \u00e1ltal\u00e1ban m\u00e1r van kock\u00e1zat\u00e9rt\u00e9kel\u00e9si gyakorlata, dokumentumkezel\u00e9si rendje, bels\u0151 auditprogramja, incidenskezel\u00e9si folyamata \u00e9s vezet\u0151i fel\u00fclvizsg\u00e1lati ciklusa. Ezeket nem kell eldobni. A l\u00e9nyeg az, hogy az AIMS nem \u00faj b\u00fcrokr\u00e1cia, hanem AI-specifikus kiterjeszt\u00e9s<\/strong>, amely a megl\u00e9v\u0151 ir\u00e1ny\u00edt\u00e1si k\u00e9pess\u00e9geket teszi alkalmass\u00e1 az AI-rendszerek kezel\u00e9s\u00e9re.<\/p>\n\n\n\n Az ISO\/IEC 42001 logik\u00e1ja j\u00f3l illeszkedik az ISO menedzsmentrendszer-szabv\u00e1nyok gondolkod\u00e1s\u00e1hoz, mert a szervezeti kontextus, vezet\u00e9s, tervez\u00e9s, t\u00e1mogat\u00e1s, m\u0171k\u00f6d\u00e9s, teljes\u00edtm\u00e9ny\u00e9rt\u00e9kel\u00e9s \u00e9s fejleszt\u00e9s k\u00f6r\u00e9 rendezi az ir\u00e1ny\u00edt\u00e1st (International Organization for Standardization, 2023a). Ez lehet\u0151s\u00e9get ad arra, hogy a szervezet ne k\u00fcl\u00f6n\u00e1ll\u00f3 AI-szab\u00e1lyoz\u00e1si szigetet hozzon l\u00e9tre, hanem a megl\u00e9v\u0151 rendszerarchitekt\u00far\u00e1t b\u0151v\u00edtse.<\/p>\n\n\n\n Az integr\u00e1ci\u00f3 legnagyobb el\u0151nye a haszn\u00e1lhat\u00f3s\u00e1g. Ha egy szervezet m\u00e1r alkalmaz ISO 9001 szerinti min\u0151s\u00e9gir\u00e1ny\u00edt\u00e1si rendszert, akkor ismeri a folyamatgazd\u00e1k, c\u00e9lok, m\u00e9r\u0151sz\u00e1mok, elt\u00e9r\u00e9skezel\u00e9s \u00e9s folyamatos fejleszt\u00e9s logik\u00e1j\u00e1t (International Organization for Standardization, 2015). Ha m\u0171k\u00f6dik ISO\/IEC 27001 szerinti inform\u00e1ci\u00f3biztons\u00e1gi ir\u00e1ny\u00edt\u00e1s, akkor m\u00e1r van kock\u00e1zatkezel\u00e9si, hozz\u00e1f\u00e9r\u00e9s-szab\u00e1lyoz\u00e1si, incidenskezel\u00e9si \u00e9s audit\u00e1l\u00e1si alap (International Organization for Standardization, 2022). Ezekre az AIMS k\u00e9pes r\u00e1kapcsol\u00f3dni.<\/p>\n\n\n\n A k\u00fcl\u00f6n projektk\u00e9nt kezelt AI-ir\u00e1ny\u00edt\u00e1s ezzel szemben k\u00f6nnyen elszakad a val\u00f3di d\u00f6nt\u00e9sekt\u0151l. Lehet, hogy a compliance csapat vezet egy AI-nyilv\u00e1ntart\u00e1st, de az \u00fczleti ter\u00fclet k\u00f6zben \u00faj eszk\u00f6zt v\u00e1s\u00e1rol. Lehet, hogy az inform\u00e1ci\u00f3biztons\u00e1g felm\u00e9ri a hozz\u00e1f\u00e9r\u00e9seket, de nem l\u00e1t r\u00e1 a modell d\u00f6nt\u00e9si hat\u00e1s\u00e1ra. Ilyenkor a p\u00e1rhuzamos rendszer nem kontrollt, hanem vakfoltot termel<\/strong>, mert a felel\u0151ss\u00e9gek \u00e9s bizony\u00edt\u00e9kok t\u00f6bb helyen, elt\u00e9r\u0151 logik\u00e1val keletkeznek.<\/p>\n\n\n\n Az integr\u00e1ci\u00f3 nem azonos az egyszer\u0171 \u00e1tm\u00e1sol\u00e1ssal. Nem el\u00e9g azt mondani, hogy \u201eaz AI-kock\u00e1zatok is beker\u00fclnek a kock\u00e1zati nyilv\u00e1ntart\u00e1sba\u201d, ha a nyilv\u00e1ntart\u00e1s mez\u0151i nem k\u00e9pesek kezelni az AI saj\u00e1toss\u00e1gait. Egy hagyom\u00e1nyos kock\u00e1zati \u0171rlap gyakran j\u00f3l kezeli a val\u00f3sz\u00edn\u0171s\u00e9get, hat\u00e1st, kontrollt \u00e9s felel\u0151st, de nem k\u00e9rdez r\u00e1 az AI-rendszer c\u00e9lj\u00e1ra, auton\u00f3mi\u00e1j\u00e1ra, tan\u00edt\u00f3adataira, \u00e9rintetti hat\u00e1saira, modellkorl\u00e1taira, driftj\u00e9re vagy emberi fel\u00fclvizsg\u00e1lat\u00e1ra.<\/p>\n\n\n\n Az AIMS be\u00e1gyaz\u00e1sa ez\u00e9rt kett\u0151s gondolkod\u00e1st ig\u00e9nyel. Egyr\u00e9szt meg kell keresni a megl\u00e9v\u0151 folyamatokat, amelyek alkalmasak az AI-ir\u00e1ny\u00edt\u00e1s hordoz\u00e1s\u00e1ra. M\u00e1sr\u00e9szt ki kell jel\u00f6lni azokat a pontokat, ahol AI-specifikus tartalomra, d\u00f6nt\u00e9si krit\u00e9riumra vagy bizony\u00edt\u00e9kra van sz\u00fcks\u00e9g. Ebben az integr\u00e1ci\u00f3 \u00e9rt\u00e9ke a k\u00f6z\u00f6s folyamat \u00e9s a k\u00fcl\u00f6n tartalom egyens\u00falya<\/strong>, nem pedig az, hogy minden AI-k\u00e9rd\u00e9st bepr\u00e9sel\u00fcnk egy \u00e1ltal\u00e1nos sablonba.<\/p>\n\n\n\n A vezet\u0151i szint sz\u00e1m\u00e1ra az integr\u00e1ci\u00f3 az\u00e9rt fontos, mert \u00edgy az AI nem v\u00e1lik k\u00fcl\u00f6n\u00e1ll\u00f3 technol\u00f3giai t\u00e9m\u00e1v\u00e1. Az AI-haszn\u00e1lat \u00e9rintheti az \u00fczleti strat\u00e9gi\u00e1t, \u00fcgyf\u00e9lkapcsolatot, munkav\u00e1llal\u00f3i folyamatokat, adatv\u00e9delmet, inform\u00e1ci\u00f3biztons\u00e1got, besz\u00e1ll\u00edt\u00f3i kock\u00e1zatot \u00e9s reput\u00e1ci\u00f3t. Ez\u00e9rt az AI-ir\u00e1ny\u00edt\u00e1s szervezeti k\u00e9rd\u00e9s, nem kiz\u00e1r\u00f3lag IT-feladat<\/strong>, \u00e9s akkor m\u0171k\u00f6dik, ha ugyanabba a vezet\u0151i d\u00f6nt\u00e9si k\u00f6rnyezetbe ker\u00fcl, mint m\u00e1s l\u00e9nyeges kock\u00e1zatok.<\/p>\n\n\n\n A NIST AI Risk Management Framework is hangs\u00falyozza, hogy az AI-kock\u00e1zatok kezel\u00e9s\u00e9hez a szervezetnek nem csup\u00e1n technikai m\u00e9r\u00e9sre, hanem ir\u00e1ny\u00edt\u00e1si, kontextus\u00e9rtelmez\u00e9si, m\u00e9r\u00e9si \u00e9s kezel\u00e9si funkci\u00f3kra van sz\u00fcks\u00e9ge (National Institute of Standards and Technology, 2023). Ez j\u00f3l illeszkedik az AIMS integr\u00e1ci\u00f3s szeml\u00e9let\u00e9hez: az AI-kock\u00e1zat nem \u00f6nmag\u00e1ban \u00e1ll, hanem a szervezet c\u00e9ljaihoz, folyamataihoz, \u00e9rintettjeihez \u00e9s kontrolljaihoz kapcsol\u00f3dik.<\/p>\n\n\n\n Az integr\u00e1lt megk\u00f6zel\u00edt\u00e9s m\u00e1sik el\u0151nye az audit\u00e1lhat\u00f3s\u00e1g. Ha az AIMS ugyanazokat a dokumentumkezel\u00e9si, v\u00e1ltoz\u00e1skezel\u00e9si, audit- \u00e9s vezet\u0151i fel\u00fclvizsg\u00e1lati mechanizmusokat haszn\u00e1lja, mint a megl\u00e9v\u0151 ir\u00e1ny\u00edt\u00e1si rendszerek, akkor kevesebb k\u00fcl\u00f6n bizony\u00edt\u00e9kot kell fenntartani. Ilyenkor az audit\u00e1lhat\u00f3s\u00e1g nem dokumentumt\u00f6bbletb\u0151l, hanem nyomon k\u00f6vethet\u0151s\u00e9gb\u0151l fakad<\/strong>, mert az AI-val kapcsolatos d\u00f6nt\u00e9sek beilleszkednek a m\u00e1r ismert bizony\u00edt\u00e9kl\u00e1ncba.<\/p>\n\n\n\n Az AIMS m\u00e9gsem olvadhat fel teljesen m\u00e1s rendszerekben. Ha minden AI-kontrollt inform\u00e1ci\u00f3biztons\u00e1gi kontrollk\u00e9nt kezelnek, akkor h\u00e1tt\u00e9rbe szorulhat a m\u00e9lt\u00e1nyoss\u00e1g, magyar\u00e1zhat\u00f3s\u00e1g, \u00e9rintetti hat\u00e1s vagy emberi fel\u00fcgyelet. Ha minden AI-k\u00e9rd\u00e9st min\u0151s\u00e9gir\u00e1ny\u00edt\u00e1sk\u00e9nt \u00e9rtelmeznek, akkor nem biztos, hogy kell\u0151en er\u0151s lesz az adatv\u00e9delmi vagy modellbiztons\u00e1gi f\u00f3kusz. A l\u00e9nyeg teh\u00e1t nem a teljes \u00f6sszeolvaszt\u00e1s, hanem az ir\u00e1ny\u00edtott illeszt\u00e9s.<\/p>\n\n\n\n Az AIMS integr\u00e1ci\u00f3 els\u0151 gyakorlati l\u00e9p\u00e9se annak felt\u00e9rk\u00e9pez\u00e9se, milyen ir\u00e1ny\u00edt\u00e1si elemek m\u0171k\u00f6dnek m\u00e1r a szervezetben. Sok esetben nem \u00faj folyamatot kell l\u00e9trehozni, hanem a megl\u00e9v\u0151t kell AI-specifikus mez\u0151kkel, d\u00f6nt\u00e9si pontokkal vagy kontrollokkal kieg\u00e9sz\u00edteni. Ez cs\u00f6kkenti az adminisztr\u00e1ci\u00f3t, gyors\u00edtja a bevezet\u00e9st, \u00e9s n\u00f6veli annak es\u00e9ly\u00e9t, hogy az AI-ir\u00e1ny\u00edt\u00e1s t\u00e9nylegesen r\u00e9sze legyen a mindennapi m\u0171k\u00f6d\u00e9snek.<\/p>\n\n\n\n A min\u0151s\u00e9gir\u00e1ny\u00edt\u00e1si rendszerb\u0151l k\u00fcl\u00f6n\u00f6sen j\u00f3l \u00fajrahasznos\u00edthat\u00f3 a folyamatgazda-logika. Az AI-rendszerek nem l\u00e9g\u00fcres t\u00e9rben m\u0171k\u00f6dnek: \u00fcgyf\u00e9lszolg\u00e1lati, \u00e9rt\u00e9kes\u00edt\u00e9si, HR-, p\u00e9nz\u00fcgyi, jogi, gy\u00e1rt\u00e1si vagy kock\u00e1zatkezel\u00e9si folyamatokba \u00e9p\u00fclnek be. Ha m\u00e1r l\u00e9tezik folyamatle\u00edr\u00e1s \u00e9s folyamatgazda, akkor az AI-rendszer tulajdonosi felel\u0151ss\u00e9ge folyamatba \u00e1gyazhat\u00f3<\/strong>, nem kell k\u00fcl\u00f6n, nehezen fenntarthat\u00f3 felel\u0151ss\u00e9gi strukt\u00far\u00e1t \u00e9p\u00edteni.<\/p>\n\n\n\n A min\u0151s\u00e9gir\u00e1ny\u00edt\u00e1sb\u00f3l a c\u00e9lkit\u0171z\u00e9s \u00e9s teljes\u00edtm\u00e9nym\u00e9r\u00e9s is hasznos\u00edthat\u00f3. Az AI eset\u00e9ben azonban a teljes\u00edtm\u00e9nyt nem szabad kiz\u00e1r\u00f3lag \u00fczleti hat\u00e9konys\u00e1gk\u00e9nt m\u00e9rni. Egy \u00fcgyf\u00e9lszolg\u00e1lati chatbot p\u00e9ld\u00e1ul cs\u00f6kkentheti a v\u00e1laszid\u0151t, de k\u00f6zben n\u00f6velheti a t\u00e9ves t\u00e1j\u00e9koztat\u00e1s kock\u00e1zat\u00e1t. Ez\u00e9rt a megl\u00e9v\u0151 min\u0151s\u00e9gc\u00e9lokat \u00e9rdemes AI-specifikus mutat\u00f3kkal kieg\u00e9sz\u00edteni: hib\u00e1s kimenetek ar\u00e1nya, emberi beavatkoz\u00e1sok sz\u00e1ma, panaszok t\u00edpusa, \u00fcgyf\u00e9lhat\u00e1s, fel\u00fclvizsg\u00e1lati eredm\u00e9nyek.<\/p>\n\n\n\n Az inform\u00e1ci\u00f3biztons\u00e1gi ir\u00e1ny\u00edt\u00e1sb\u00f3l a kock\u00e1zat\u00e9rt\u00e9kel\u00e9s, hozz\u00e1f\u00e9r\u00e9s-kezel\u00e9s, napl\u00f3z\u00e1s, incidenskezel\u00e9s \u00e9s besz\u00e1ll\u00edt\u00f3i kontrollok haszn\u00e1lhat\u00f3k fel. Az AI-rendszerek eset\u00e9ben azonban \u00faj eszk\u00f6z- \u00e9s adatfajt\u00e1k jelennek meg: tan\u00edt\u00f3adat, valid\u00e1ci\u00f3s adat, tesztadat, modellparam\u00e9ter, prompt, modellkimenet, finomhangol\u00e1si \u00e1llom\u00e1ny, be\u00e1gyazott tud\u00e1sb\u00e1zis \u00e9s MLOps-k\u00f6rnyezet. Ebben az AI \u00faj v\u00e9dend\u0151 vagyonelemeket hoz l\u00e9tre<\/strong>, amelyeket a hagyom\u00e1nyos inform\u00e1ci\u00f3biztons\u00e1gi lelt\u00e1r nem mindig fed le.<\/p>\n\n\n\n Az adatv\u00e9delmi megfelel\u00e9si gyakorlatb\u00f3l az adatkezel\u00e9si c\u00e9l, jogalap, adattakar\u00e9koss\u00e1g, \u00e9rintetti t\u00e1j\u00e9koztat\u00e1s, adatv\u00e9delmi hat\u00e1svizsg\u00e1lat \u00e9s adatfeldolgoz\u00f3i kontrollok haszn\u00e1lhat\u00f3k. A GDPR szem\u00e9lyes adatok eset\u00e9n k\u00fcl\u00f6n\u00f6sen fontos alapelveket r\u00f6gz\u00edt, p\u00e9ld\u00e1ul a c\u00e9lhoz k\u00f6t\u00f6tts\u00e9get, adattakar\u00e9koss\u00e1got, pontoss\u00e1got, korl\u00e1tozott t\u00e1rolhat\u00f3s\u00e1got, integrit\u00e1st, bizalmas jelleget \u00e9s elsz\u00e1moltathat\u00f3s\u00e1got (European Parliament & Council of the European Union, 2016). AI-rendszerekn\u00e9l ezek nem k\u00fcl\u00f6n elvk\u00e9nt, hanem adatforr\u00e1s-, modellhaszn\u00e1lati \u00e9s kimenetfelhaszn\u00e1l\u00e1si szab\u00e1lyk\u00e9nt jelennek meg.<\/p>\n\n\n\n A besz\u00e1ll\u00edt\u00f3kezel\u00e9s szint\u00e9n \u00fajrahasznos\u00edthat\u00f3, de b\u0151v\u00edt\u00e9sre szorul. Egy hagyom\u00e1nyos szoftversz\u00e1ll\u00edt\u00f3 \u00e9rt\u00e9kel\u00e9s\u00e9n\u00e9l a szervezet \u00e1ltal\u00e1ban vizsg\u00e1lja a biztons\u00e1got, adatkezel\u00e9st, rendelkez\u00e9sre \u00e1ll\u00e1st, t\u00e1mogat\u00e1st \u00e9s szerz\u0151d\u00e9ses felt\u00e9teleket. AI-besz\u00e1ll\u00edt\u00f3 eset\u00e9n ehhez hozz\u00e1 kell adni a modell c\u00e9lj\u00e1t, korl\u00e1tait, adatforr\u00e1sait, tan\u00edt\u00e1si vagy finomhangol\u00e1si felt\u00e9teleit, kimenetek felhaszn\u00e1lhat\u00f3s\u00e1g\u00e1t, magyar\u00e1zhat\u00f3s\u00e1g\u00e1t, monitoringj\u00e1t \u00e9s v\u00e1ltoz\u00e1skommunik\u00e1ci\u00f3j\u00e1t. Ilyenkor a besz\u00e1ll\u00edt\u00f3i megfelel\u00e9s AI-kock\u00e1zati k\u00e9rd\u00e9ss\u00e9 v\u00e1lik<\/strong>, mert a szervezet gyakran olyan modellre \u00e9p\u00edt, amelynek m\u0171k\u00f6d\u00e9s\u00e9be csak korl\u00e1tozottan l\u00e1t bele.<\/p>\n\n\n\n A dokumentumkezel\u00e9si rendszer is er\u0151s integr\u00e1ci\u00f3s pont. A szervezetnek val\u00f3sz\u00edn\u0171leg m\u00e1r van szab\u00e1lyozott dokumentumj\u00f3v\u00e1hagy\u00e1si, verzi\u00f3kezel\u00e9si \u00e9s meg\u0151rz\u00e9si rendje. Az AIMS dokumentumai \u2014 p\u00e9ld\u00e1ul AI-politika, haszn\u00e1lati eset nyilv\u00e1ntart\u00e1s, kock\u00e1zat\u00e9rt\u00e9kel\u00e9s, hat\u00e1selemz\u00e9s, kontrollle\u00edr\u00e1s, teszteredm\u00e9ny, incidensjelent\u00e9s \u2014 ebbe beilleszthet\u0151k. Az AI-specifikus k\u00e9rd\u00e9s az, hogy a dokumentumok tartalmazz\u00e1k-e a sz\u00fcks\u00e9ges modell-, adat- \u00e9s d\u00f6nt\u00e9si kontextust.<\/p>\n\n\n\n A bels\u0151 auditprogram szint\u00e9n alkalmas \u00fajrahasznos\u00edt\u00e1sra. Nem kell k\u00fcl\u00f6n AI-auditfolyamatot \u00e9p\u00edteni, ha a megl\u00e9v\u0151 auditprogram k\u00e9pes AI-specifikus auditkrit\u00e9riumokat, kompetenci\u00e1kat \u00e9s bizony\u00edt\u00e9kokat kezelni. Egy audit azonban csak akkor lesz \u00e9rdemi, ha nem csup\u00e1n azt ellen\u0151rzi, hogy van-e AI-politika, hanem azt is, hogy az AI-haszn\u00e1lati esetekn\u00e9l m\u0171k\u00f6dik-e kock\u00e1zati besorol\u00e1s, j\u00f3v\u00e1hagy\u00e1s, adatkezel\u00e9si kontroll, teljes\u00edtm\u00e9nym\u00e9r\u00e9s, emberi fel\u00fclvizsg\u00e1lat \u00e9s v\u00e1ltoz\u00e1skezel\u00e9s.<\/p>\n\n\n\n Az incidenskezel\u00e9sn\u00e9l is nagy a hasznos\u00edt\u00e1si lehet\u0151s\u00e9g. A szervezetnek lehet m\u00e1r inform\u00e1ci\u00f3biztons\u00e1gi vagy adatv\u00e9delmi incidensfolyamata, de AI eset\u00e9n nem minden hiba min\u0151s\u00fcl klasszikus adatv\u00e9delmi vagy biztons\u00e1gi incidensnek. Lehet p\u00e9ld\u00e1ul t\u00e9ves modellkimenet, nem k\u00edv\u00e1nt elfogults\u00e1g, helytelen \u00fcgyf\u00e9lv\u00e1lasz, hib\u00e1s automatikus besorol\u00e1s, modellroml\u00e1s vagy kontrollmegker\u00fcl\u00e9s. Ez\u00e9rt az AI-incidens nem mindig kibert\u00e1mad\u00e1s vagy adatv\u00e9delmi esem\u00e9ny<\/strong>, hanem lehet m\u0171k\u00f6d\u00e9si, etikai vagy d\u00f6nt\u00e9si kock\u00e1zati jelz\u00e9s is.<\/p>\n\n\n\n A megl\u00e9v\u0151 rendszerekb\u0151l teh\u00e1t sok minden \u00e1tvehet\u0151, de nem v\u00e1ltozatlanul. Az integr\u00e1ci\u00f3 l\u00e9nyege az, hogy a szervezet ne kett\u0151zze meg a folyamatait, hanem b\u0151v\u00edtse a megl\u00e9v\u0151ket ott, ahol az AI saj\u00e1toss\u00e1ga ezt indokolja. Ez gyakorlati szinten \u00e1ltal\u00e1ban \u00faj mez\u0151ket, \u00faj ellen\u0151rz\u00e9si k\u00e9rd\u00e9seket, \u00faj j\u00f3v\u00e1hagy\u00f3 szerepeket, \u00faj kock\u00e1zati kateg\u00f3ri\u00e1kat \u00e9s \u00faj bizony\u00edt\u00e9kt\u00edpusokat jelent.<\/p>\n\n\n\n Az integr\u00e1ci\u00f3 egyik legnagyobb kock\u00e1zata, hogy a szervezet t\u00fal gyorsan kijelenti: minden AI-kontroll lefedhet\u0151 a megl\u00e9v\u0151 ir\u00e1ny\u00edt\u00e1si rendszerrel. Ez ritk\u00e1n igaz teljes m\u00e9rt\u00e9kben. Az AI-rendszerek saj\u00e1toss\u00e1ga, hogy a m\u0171k\u00f6d\u00e9s\u00fck nemcsak k\u00f3db\u00f3l, hanem adatokb\u00f3l, modellparam\u00e9terekb\u0151l, tan\u00edt\u00e1si folyamatb\u00f3l, felhaszn\u00e1l\u00e1si kontextusb\u00f3l, emberi d\u00f6nt\u00e9si szerepb\u0151l \u00e9s id\u0151ben v\u00e1ltoz\u00f3 teljes\u00edtm\u00e9nyb\u0151l \u00e1ll \u00f6ssze.<\/p>\n\n\n\n K\u00fcl\u00f6n AI-specifikus kontrollra van sz\u00fcks\u00e9g ott, ahol a hagyom\u00e1nyos kontroll nem k\u00e9rdez r\u00e1 az AI d\u00f6nt\u00e9si logik\u00e1j\u00e1ra vagy hat\u00e1s\u00e1ra. Egy \u00e1ltal\u00e1nos v\u00e1ltoz\u00e1skezel\u00e9si folyamat p\u00e9ld\u00e1ul j\u00f3l szab\u00e1lyozhatja, mikor ker\u00fclhet \u00faj szoftververzi\u00f3 \u00e9les k\u00f6rnyezetbe. AI eset\u00e9n azonban a modell \u00fajratan\u00edt\u00e1sa, adatfriss\u00edt\u00e9se, promptm\u00f3dos\u00edt\u00e1sa vagy k\u00fcls\u0151 modellverzi\u00f3-v\u00e1lt\u00e1sa akkor is jelent\u0151s hat\u00e1ssal j\u00e1rhat, ha a hagyom\u00e1nyos alkalmaz\u00e1sk\u00f3d alig v\u00e1ltozik. Ebben a modellv\u00e1ltoz\u00e1s nem mindig l\u00e1tszik szoftverv\u00e1ltoz\u00e1snak<\/strong>, m\u00e9gis befoly\u00e1solhatja a d\u00f6nt\u00e9sek min\u0151s\u00e9g\u00e9t \u00e9s kock\u00e1zat\u00e1t.<\/p>\n\n\n\n AI-specifikus kontroll kell az adatmin\u0151s\u00e9g \u00e9s adatalkalmass\u00e1g ter\u00fclet\u00e9n is. A hagyom\u00e1nyos adatmin\u0151s\u00e9gi szab\u00e1lyok gyakran a pontoss\u00e1gra, teljess\u00e9gre \u00e9s konzisztenci\u00e1ra \u00f6sszpontos\u00edtanak. AI-rendszerekn\u00e9l emellett vizsg\u00e1lni kell, hogy az adat reprezentat\u00edv-e, megfelel-e a c\u00e9lzott haszn\u00e1lati k\u00f6rnyezetnek, tartalmaz-e torz\u00edt\u00e1st, id\u0151ben \u00e9rv\u00e9nyes-e, \u00e9s nem vezet-e ar\u00e1nytalan \u00e9rintetti hat\u00e1shoz. Az ISO\/IEC 23894 az AI-kock\u00e1zatkezel\u00e9st az AI-rendszerek teljes \u00e9letciklus\u00e1hoz kapcsolja, ami indokolja az adatok \u00e9s felhaszn\u00e1l\u00e1si felt\u00e9telek k\u00fcl\u00f6n \u00e9rtelmez\u00e9s\u00e9t (International Organization for Standardization, 2023b).<\/p>\n\n\n\n A magyar\u00e1zhat\u00f3s\u00e1g \u00e9s \u00e1tl\u00e1that\u00f3s\u00e1g szint\u00e9n olyan ter\u00fclet, amely nem fedhet\u0151 le teljesen \u00e1ltal\u00e1nos dokument\u00e1ci\u00f3s kontrollal. Egy bels\u0151 rendszerle\u00edr\u00e1s nem felt\u00e9tlen\u00fcl el\u00e9g az \u00fcgyf\u00e9lnek, a vezet\u0151nek vagy az auditornak. M\u00e1s magyar\u00e1zat kell egy felhaszn\u00e1l\u00f3nak, m\u00e1s egy \u00fczleti d\u00f6nt\u00e9shoz\u00f3nak, \u00e9s m\u00e1s egy megfelel\u0151s\u00e9gi vizsg\u00e1latnak. Ilyenkor a magyar\u00e1zat c\u00e9lk\u00f6z\u00f6ns\u00e9ge meghat\u00e1rozza a kontroll tartalm\u00e1t<\/strong>, ez\u00e9rt nem elegend\u0151 puszt\u00e1n technikai dokument\u00e1ci\u00f3t fenntartani.<\/p>\n\n\n\n Az emberi fel\u00fcgyelet k\u00fcl\u00f6n\u00f6sen fontos AI-specifikus kontroll. A szervezetnek nemcsak azt kell meghat\u00e1roznia, hogy \u201eember ellen\u0151rzi\u201d a rendszert, hanem azt is, hogy ki, mikor, milyen inform\u00e1ci\u00f3 alapj\u00e1n, milyen d\u00f6nt\u00e9si jogk\u00f6rrel \u00e9s milyen dokument\u00e1l\u00e1si k\u00f6telezetts\u00e9ggel avatkozhat be. Ha az emberi fel\u00fcgyelet csak form\u00e1lis, akkor val\u00f3j\u00e1ban nem cs\u00f6kkenti a kock\u00e1zatot. Ez\u00e9rt az emberi kontroll csak akkor kontroll, ha d\u00f6nt\u00e9si ereje van<\/strong>, \u00e9s ha az ellen\u0151rz\u0151 szem\u00e9ly \u00e9rti a rendszer c\u00e9lj\u00e1t, korl\u00e1tait \u00e9s hibalehet\u0151s\u00e9geit.<\/p>\n\n\n\n Az AI-specifikus kontrollok k\u00f6z\u00e9 tartozik a haszn\u00e1lati esetek kock\u00e1zati besorol\u00e1sa is. A szervezetnek k\u00fcl\u00f6nbs\u00e9get kell tennie alacsony hat\u00e1s\u00fa bels\u0151 seg\u00e9deszk\u00f6z, \u00fcgyf\u00e9lkommunik\u00e1ci\u00f3t t\u00e1mogat\u00f3 rendszer, munkav\u00e1llal\u00f3i d\u00f6nt\u00e9seket befoly\u00e1sol\u00f3 megold\u00e1s \u00e9s magas kock\u00e1zat\u00fa, jogokra vagy hozz\u00e1f\u00e9r\u00e9sre hat\u00f3 rendszer k\u00f6z\u00f6tt. Az EU AI Act kock\u00e1zatalap\u00fa megk\u00f6zel\u00edt\u00e9se is arra \u00e9p\u00fcl, hogy az AI-rendszereket nem azonos s\u00fallyal kell kezelni, hanem a hat\u00e1suk \u00e9s felhaszn\u00e1l\u00e1si ter\u00fclet\u00fck alapj\u00e1n elt\u00e9r\u0151 k\u00f6vetelm\u00e9nyeket kell alkalmazni (European Parliament & Council of the European Union, 2024).<\/p>\n\n\n\n AI-specifikus kontroll sz\u00fcks\u00e9ges a modellmonitoringban is. Egy hagyom\u00e1nyos alkalmaz\u00e1sn\u00e1l a rendelkez\u00e9sre \u00e1ll\u00e1s, v\u00e1laszid\u0151 \u00e9s hibak\u00f3d sokat el\u00e1rulhat a m\u0171k\u00f6d\u00e9sr\u0151l. Egy AI-rendszer azonban technikailag m\u0171k\u00f6dhet, mik\u00f6zben a kimenetei fokozatosan romlanak, a k\u00f6rnyezet megv\u00e1ltozik, a felhaszn\u00e1l\u00f3i viselked\u00e9s elt\u00e9r a kor\u00e1bbi mint\u00e1kt\u00f3l, vagy a modell elvesz\u00edti pontoss\u00e1g\u00e1t. Ez\u00e9rt a m\u0171k\u00f6d\u0151 rendszer nem felt\u00e9tlen\u00fcl megb\u00edzhat\u00f3 rendszer<\/strong>, ha nincs rendszeres teljes\u00edtm\u00e9ny-, drift- \u00e9s hat\u00e1smonitoring.<\/p>\n\n\n\n A tiltott, korl\u00e1tozott \u00e9s j\u00f3v\u00e1hagyott AI-haszn\u00e1latok megk\u00fcl\u00f6nb\u00f6ztet\u00e9se szint\u00e9n speci\u00e1lis szab\u00e1lyoz\u00e1st ig\u00e9nyel. Egy \u00e1ltal\u00e1nos IT-haszn\u00e1lati szab\u00e1lyzat gyakran nem mondja meg, hogy a munkat\u00e1rs bevihet-e \u00fcgyf\u00e9ladatot generat\u00edv AI-eszk\u00f6zbe, haszn\u00e1lhat-e AI-kimenetet szerz\u0151d\u00e9ses v\u00e1lasz el\u0151k\u00e9sz\u00edt\u00e9s\u00e9re, vagy alkalmazhat-e k\u00fcls\u0151 modellt munkav\u00e1llal\u00f3i \u00e9rt\u00e9kel\u00e9s t\u00e1mogat\u00e1s\u00e1ra. Ilyen helyzetekben a konkr\u00e9t AI-haszn\u00e1lati hat\u00e1r cs\u00f6kkenti a bizonytalans\u00e1got<\/strong>, \u00e9s megakad\u00e1lyozza, hogy a munkat\u00e1rsak saj\u00e1t \u00e9rtelmez\u00e9s\u00fck alapj\u00e1n hozzanak kock\u00e1zatos d\u00f6nt\u00e9seket.<\/p>\n\n\n\n A k\u00fcls\u0151 AI-szolg\u00e1ltat\u00e1sok kezel\u00e9se k\u00fcl\u00f6n figyelmet \u00e9rdemel. Sok szervezet nem maga fejleszt AI-rendszert, hanem k\u00e9sz eszk\u00f6zt haszn\u00e1l, API-t integr\u00e1l, felh\u0151szolg\u00e1ltat\u00f3i modellt vesz ig\u00e9nybe, vagy besz\u00e1ll\u00edt\u00f3i megold\u00e1st \u00e9p\u00edt be. Ez nem sz\u00fcnteti meg a felel\u0151ss\u00e9get. A szervezetnek \u00e9rtenie kell, milyen c\u00e9lra haszn\u00e1lja a rendszert, milyen adatot ad \u00e1t, milyen kimenetet vesz \u00e1t, milyen kontrollokat biztos\u00edt a szolg\u00e1ltat\u00f3, \u00e9s milyen v\u00e1ltoz\u00e1sokr\u00f3l kap \u00e9rtes\u00edt\u00e9st.<\/p>\n\n\n\n Az AI-specifikus kontrollok kijel\u00f6l\u00e9s\u00e9n\u00e9l \u00e9rdemes d\u00f6nt\u00e9si k\u00e9rd\u00e9ssort alkalmazni. P\u00e9ld\u00e1ul:<\/p>\n\n\n\n Befoly\u00e1sol-e a rendszer \u00fcgyf\u00e9lre, munkav\u00e1llal\u00f3ra vagy partnerre hat\u00f3 d\u00f6nt\u00e9st?<\/p>\n\n\n\n Haszn\u00e1l-e szem\u00e9lyes, \u00e9rz\u00e9keny vagy \u00fczleti szempontb\u00f3l kritikus adatot?<\/p>\n\n\n\n K\u00e9pes-e a rendszer \u00f6n\u00e1ll\u00f3an cselekv\u00e9st ind\u00edtani?<\/p>\n\n\n\n V\u00e1ltozhat-e a modell m\u0171k\u00f6d\u00e9se \u00fajratan\u00edt\u00e1s, finomhangol\u00e1s vagy besz\u00e1ll\u00edt\u00f3i friss\u00edt\u00e9s miatt?<\/p>\n\n\n\n Sz\u00fcks\u00e9ges-e az \u00e9rintettek sz\u00e1m\u00e1ra magyar\u00e1zat, vitat\u00e1s vagy emberi fel\u00fclvizsg\u00e1lat?<\/p>\n\n\n\n Van-e dokument\u00e1lt felel\u0151s, kontroll \u00e9s monitoring a haszn\u00e1lati esetre?<\/p>\n\n\n\n A k\u00e9rd\u00e9sek c\u00e9lja nem az, hogy minden AI-haszn\u00e1latot t\u00falterheljenek kontrollokkal. \u00c9ppen ellenkez\u0151leg: seg\u00edtenek ar\u00e1nyos\u00edtani. Az alacsony hat\u00e1s\u00fa, bels\u0151 t\u00e1mogat\u00f3 AI-haszn\u00e1latn\u00e1l elegend\u0151 lehet egyszer\u0171 nyilv\u00e1ntart\u00e1s \u00e9s felhaszn\u00e1l\u00f3i szab\u00e1ly. Magas hat\u00e1s\u00fa d\u00f6nt\u00e9si helyzetben viszont r\u00e9szletesebb kock\u00e1zat\u00e9rt\u00e9kel\u00e9s, hat\u00e1selemz\u00e9s, tesztel\u00e9s, dokument\u00e1lt j\u00f3v\u00e1hagy\u00e1s, monitoring \u00e9s audit\u00e1lhat\u00f3 bizony\u00edt\u00e9k sz\u00fcks\u00e9ges.<\/p>\n\n\n\n Az AIMS gyakorlati m\u0171k\u00f6d\u00e9se ott v\u00e1lik l\u00e1that\u00f3v\u00e1, ahol bizony\u00edt\u00e9kok keletkeznek. A vezet\u00e9s, az auditor, a compliance felel\u0151s vagy az \u00fczleti tulajdonos nem puszt\u00e1n azt akarja l\u00e1tni, hogy l\u00e9tezik AI-politika. Azt kell igazolni, hogy a haszn\u00e1lati eseteket azonos\u00edtott\u00e1k, a kock\u00e1zatokat \u00e9rt\u00e9kelt\u00e9k, a kontrollokat kijel\u00f6lt\u00e9k, a d\u00f6nt\u00e9seket dokument\u00e1lt\u00e1k, \u00e9s a m\u0171k\u00f6d\u00e9st fel\u00fclvizsg\u00e1lj\u00e1k.<\/p>\n\n\n\n A dokumentumkezel\u00e9s integr\u00e1ci\u00f3ja ez\u00e9rt k\u00f6zponti k\u00e9rd\u00e9s. A szervezetnek nem kell k\u00fcl\u00f6n AI-dokumentumt\u00e1rat l\u00e9trehoznia, ha m\u00e1r van szab\u00e1lyozott dokumentumkezel\u00e9si rendszere. Viszont biztos\u00edtani kell, hogy az AI-dokumentumok k\u00f6nnyen megtal\u00e1lhat\u00f3k, verzi\u00f3zottak, j\u00f3v\u00e1hagyottak \u00e9s kapcsolhat\u00f3k legyenek a megfelel\u0151 haszn\u00e1lati esethez. Ebben a dokumentum \u00e9rt\u00e9ke a kapcsolhat\u00f3s\u00e1gban van<\/strong>, mert egy AI-rendszer audit\u00e1lhat\u00f3s\u00e1ga a c\u00e9l, adat, kock\u00e1zat, kontroll, teszt, v\u00e1ltoz\u00e1s \u00e9s d\u00f6nt\u00e9s \u00f6sszekapcsol\u00e1s\u00e1b\u00f3l \u00e1ll \u00f6ssze.<\/p>\n\n\n\n Az AIMS-ben tipikusan sz\u00fcks\u00e9ges dokumentumok \u00e9s bizony\u00edt\u00e9kok t\u00f6bb megl\u00e9v\u0151 rendszerben is megjelenhetnek. A haszn\u00e1lati eset nyilv\u00e1ntart\u00e1sa kapcsol\u00f3dhat az alkalmaz\u00e1slelt\u00e1rhoz. Az adatforr\u00e1s-le\u00edr\u00e1s kapcsol\u00f3dhat adatvagyon-nyilv\u00e1ntart\u00e1shoz vagy adatv\u00e9delmi nyilv\u00e1ntart\u00e1shoz. A kock\u00e1zat\u00e9rt\u00e9kel\u00e9s kapcsol\u00f3dhat v\u00e1llalati kock\u00e1zatkezel\u00e9shez. A teszteredm\u00e9ny \u00e9s valid\u00e1l\u00e1s kapcsol\u00f3dhat min\u0151s\u00e9gir\u00e1ny\u00edt\u00e1shoz. Az incidens kapcsol\u00f3dhat inform\u00e1ci\u00f3biztons\u00e1gi, adatv\u00e9delmi vagy m\u0171k\u00f6d\u00e9si incidensfolyamathoz.<\/p>\n\n\n\n Az auditintegr\u00e1ci\u00f3 k\u00fcl\u00f6n\u00f6sen fontos, mert a bels\u0151 audit az AIMS \u00e9retts\u00e9g\u00e9nek egyik legjobb visszajelz\u0151 mechanizmusa. Az audit nem azt jelenti, hogy az auditor \u00fajratan\u00edtja a modellt vagy matematikailag ellen\u0151rzi minden kimenet\u00e9t. A feladata ink\u00e1bb az, hogy megvizsg\u00e1lja: l\u00e9tezik-e megfelel\u0151 ir\u00e1ny\u00edt\u00e1si keret, a szervezet k\u00f6veti-e saj\u00e1t szab\u00e1lyait, \u00e9s a felel\u0151s m\u0171k\u00f6d\u00e9s bizony\u00edt\u00e9kai rendelkez\u00e9sre \u00e1llnak-e. Ilyenkor az audit nem modellfejleszt\u00e9s, hanem ir\u00e1ny\u00edt\u00e1si ellen\u0151rz\u00e9s<\/strong>, amely a folyamatok, felel\u0151ss\u00e9gek \u00e9s bizony\u00edt\u00e9kok megfelel\u0151s\u00e9g\u00e9t vizsg\u00e1lja.<\/p>\n\n\n\n Az auditprogramba \u00e9rdemes AI-specifikus auditkrit\u00e9riumokat be\u00e9p\u00edteni. Egy \u00fcgyf\u00e9lszolg\u00e1lati chatbot auditja p\u00e9ld\u00e1ul nem \u00e1llhat meg az inform\u00e1ci\u00f3biztons\u00e1gi hozz\u00e1f\u00e9r\u00e9sekn\u00e9l. Vizsg\u00e1lni kell a c\u00e9lle\u00edr\u00e1st, adatkezel\u00e9st, tud\u00e1sb\u00e1zis-friss\u00edt\u00e9st, kimenetellen\u0151rz\u00e9st, t\u00e9ves v\u00e1laszok kezel\u00e9s\u00e9t, \u00fcgyf\u00e9lt\u00e1j\u00e9koztat\u00e1st, emberi \u00e1tad\u00e1s felt\u00e9teleit \u00e9s panaszkezel\u00e9st is. Egy predikt\u00edv \u00e9rt\u00e9kes\u00edt\u00e9si modelln\u00e9l m\u00e1s krit\u00e9riumok lesznek fontosak: adatforr\u00e1s, modellc\u00e9l, szegment\u00e1l\u00e1si hat\u00e1s, elfogults\u00e1gi kock\u00e1zat, teljes\u00edtm\u00e9nym\u00e9r\u00e9s, \u00fczleti d\u00f6nt\u00e9si szerep \u00e9s v\u00e1ltoz\u00e1snapl\u00f3.<\/p>\n\n\n\n Az incidenskezel\u00e9s integr\u00e1ci\u00f3j\u00e1n\u00e1l a legfontosabb feladat az AI-esem\u00e9nyek oszt\u00e1lyoz\u00e1sa. Egy AI-val kapcsolatos hiba lehet adatv\u00e9delmi incidens, inform\u00e1ci\u00f3biztons\u00e1gi incidens, min\u0151s\u00e9gi elt\u00e9r\u00e9s, \u00fcgyf\u00e9lpanasz, modellhiba, etikai kock\u00e1zati jelz\u00e9s vagy besz\u00e1ll\u00edt\u00f3i probl\u00e9ma. Ha a szervezet nem tudja besorolni ezeket, akkor a jelz\u00e9sek elvesznek a megl\u00e9v\u0151 folyamatok k\u00f6z\u00f6tt. Ez\u00e9rt az AI-incidensoszt\u00e1lyoz\u00e1s hidat k\u00e9pez a megl\u00e9v\u0151 folyamatok k\u00f6z\u00f6tt<\/strong>, \u00e9s seg\u00edt eld\u00f6nteni, melyik ter\u00fcletnek kell reag\u00e1lnia.<\/p>\n\n\n\n A vezet\u0151s\u00e9gi \u00e1tvizsg\u00e1l\u00e1s szint\u00e9n integr\u00e1lhat\u00f3. Ha a szervezet m\u00e1r tart min\u0151s\u00e9gir\u00e1ny\u00edt\u00e1si vagy inform\u00e1ci\u00f3biztons\u00e1gi vezet\u0151i fel\u00fclvizsg\u00e1latot, az AI ir\u00e1ny\u00edt\u00e1si rendszer eredm\u00e9nyei be\u00e9p\u00edthet\u0151k ugyanabba a ciklusba. Itt \u00e9rdemes \u00e1ttekinteni az AI-haszn\u00e1lati esetek sz\u00e1m\u00e1t, kock\u00e1zati besorol\u00e1s\u00e1t, jelent\u0151s v\u00e1ltoz\u00e1sait, incidenseit, auditmeg\u00e1llap\u00edt\u00e1sait, kontrolleredm\u00e9nyeit, felhaszn\u00e1l\u00f3i visszajelz\u00e9seit \u00e9s fejleszt\u00e9si ig\u00e9nyeit.<\/p>\n\n\n\n A vezet\u0151s\u00e9gi \u00e1tvizsg\u00e1l\u00e1sn\u00e1l k\u00fcl\u00f6n\u00f6sen fontos, hogy az AI ne csak megfelel\u0151s\u00e9gi t\u00e9mak\u00e9nt jelenjen meg. A vezet\u00e9snek l\u00e1tnia kell, hol hoz \u00fczleti \u00e9rt\u00e9ket, hol n\u00f6veli a kock\u00e1zatot, hol ig\u00e9nyel er\u0151forr\u00e1st, \u00e9s hol kell d\u00f6nteni a korl\u00e1toz\u00e1sr\u00f3l vagy tov\u00e1bbi bevezet\u00e9sr\u0151l. Ebben a vezet\u0151i fel\u00fclvizsg\u00e1lat az AI-ir\u00e1ny\u00edt\u00e1s d\u00f6nt\u00e9si f\u00f3ruma<\/strong>, nem csup\u00e1n form\u00e1lis besz\u00e1mol\u00f3.<\/p>\n\n\n\n A v\u00e1ltoz\u00e1skezel\u00e9s integr\u00e1ci\u00f3ja szint\u00e9n kritikus. AI-rendszerekn\u00e9l v\u00e1ltoz\u00e1s lehet \u00faj adatforr\u00e1s bevon\u00e1sa, modellfriss\u00edt\u00e9s, promptm\u00f3dos\u00edt\u00e1s, tud\u00e1sb\u00e1zis-v\u00e1ltoz\u00e1s, besz\u00e1ll\u00edt\u00f3i modellverzi\u00f3-v\u00e1lt\u00e1s, \u00faj felhaszn\u00e1l\u00e1si c\u00e9l, \u00faj \u00e9rintetti k\u00f6r vagy automatiz\u00e1l\u00e1si szint n\u00f6vel\u00e9se. Ezek k\u00f6z\u00fcl nem mindegyik jelenik meg hagyom\u00e1nyos IT-v\u00e1ltoz\u00e1sk\u00e9nt. Ez\u00e9rt a v\u00e1ltoz\u00e1skezel\u00e9si folyamatot ki kell eg\u00e9sz\u00edteni AI-specifikus triggerpontokkal.<\/p>\n\n\n\n A dokumentumkezel\u00e9s, audit, incidens- \u00e9s v\u00e1ltoz\u00e1skezel\u00e9s integr\u00e1ci\u00f3ja egy\u00fctt adja az AIMS bizony\u00edt\u00e9ki gerinc\u00e9t. Ha ezek k\u00fcl\u00f6n-k\u00fcl\u00f6n m\u0171k\u00f6dnek, de nincs kapcsolat k\u00f6zt\u00fck, akkor a szervezet nehezen tudja bizony\u00edtani, hogy egy AI-rendszert felel\u0151sen ir\u00e1ny\u00edt. Ha viszont a haszn\u00e1lati eset, kock\u00e1zat, kontroll, auditmeg\u00e1llap\u00edt\u00e1s, incidens \u00e9s vezet\u0151i d\u00f6nt\u00e9s \u00f6sszekapcsol\u00f3dik, akkor az AIMS nem pap\u00edrrendszer, hanem m\u0171k\u00f6d\u0151 ir\u00e1ny\u00edt\u00e1si strukt\u00fara.<\/p>\n\n\n\n Az AIMS integr\u00e1ci\u00f3j\u00e1t \u00e9rdemes l\u00e9p\u00e9sr\u0151l l\u00e9p\u00e9sre megtervezni. A c\u00e9l nem az, hogy minden megl\u00e9v\u0151 rendszert egyszerre \u00e1talak\u00edtsunk, hanem hogy az AI szempontj\u00e1b\u00f3l kritikus pontokon j\u00f6jj\u00f6n l\u00e9tre vil\u00e1gos kapcsolat. A szervezetnek el\u0151sz\u00f6r azt kell meg\u00e9rtenie, hol haszn\u00e1l AI-t, milyen folyamatokban jelenik meg, milyen kock\u00e1zatokat hordoz, \u00e9s mely megl\u00e9v\u0151 ir\u00e1ny\u00edt\u00e1si elemek k\u00e9pesek ezeket kezelni.<\/p>\n\n\n\n Az els\u0151 l\u00e9p\u00e9s az AI-haszn\u00e1lati esetek \u00e9s megl\u00e9v\u0151 folyamatok \u00f6sszekapcsol\u00e1sa. Egy haszn\u00e1lati esetet nem el\u00e9g technol\u00f3giai n\u00e9vvel r\u00f6gz\u00edteni. Meg kell adni, milyen \u00fczleti folyamatban m\u0171k\u00f6dik, ki a folyamatgazda, milyen adatokat haszn\u00e1l, milyen d\u00f6nt\u00e9st t\u00e1mogat, kikre hat, milyen besz\u00e1ll\u00edt\u00f3i f\u00fcgg\u00e9se van, \u00e9s milyen kontrollok m\u0171k\u00f6dnek k\u00f6r\u00fcl\u00f6tte. Ebben az AI-haszn\u00e1lati eset a folyamat r\u00e9sze<\/strong>, nem k\u00fcl\u00f6n\u00e1ll\u00f3 technol\u00f3giai objektum.<\/p>\n\n\n\n A m\u00e1sodik l\u00e9p\u00e9s a megl\u00e9v\u0151 kontrollok t\u00e9rk\u00e9pez\u00e9se. A szervezet megvizsg\u00e1lhatja, hogy az adott AI-haszn\u00e1lati esethez milyen kontrollok l\u00e9teznek m\u00e1r min\u0151s\u00e9gir\u00e1ny\u00edt\u00e1sban, inform\u00e1ci\u00f3biztons\u00e1gban, adatv\u00e9delemben, compliance-ben, beszerz\u00e9sben, jogi fel\u00fclvizsg\u00e1latban vagy bels\u0151 auditban. A c\u00e9l az, hogy kider\u00fclj\u00f6n, mi haszn\u00e1lhat\u00f3 v\u00e1ltozatlanul, mit kell kieg\u00e9sz\u00edteni, \u00e9s hol van val\u00f3di kontrollhi\u00e1ny.<\/p>\n\n\n\n A harmadik l\u00e9p\u00e9s az AI-specifikus hi\u00e1nyok azonos\u00edt\u00e1sa. Ezek gyakran nem \u00e1ltal\u00e1nos folyamatok, hanem konkr\u00e9t k\u00e9rd\u00e9sek form\u00e1j\u00e1ban jelennek meg:<\/p>\n\n\n\n Van-e nyilv\u00e1ntart\u00e1s az AI-haszn\u00e1lati esetekr\u0151l?<\/p>\n\n\n\n R\u00f6gz\u00edtett-e az AI-rendszer c\u00e9lja \u00e9s megengedett haszn\u00e1lata?<\/p>\n\n\n\n Ismert-e az adatforr\u00e1s \u00e9s az adatmin\u0151s\u00e9gi korl\u00e1t?<\/p>\n\n\n\n Van-e emberi fel\u00fcgyeleti rend, ha a rendszer d\u00f6nt\u00e9st befoly\u00e1sol?<\/p>\n\n\n\n Dokument\u00e1lt\u00e1k-e a modell vagy szolg\u00e1ltat\u00e1s korl\u00e1tait?<\/p>\n\n\n\n Van-e monitoring a teljes\u00edtm\u00e9nyroml\u00e1sra vagy hib\u00e1s kimenetekre?<\/p>\n\n\n\n T\u00f6rt\u00e9nik-e \u00fajra\u00e9rt\u00e9kel\u00e9s jelent\u0151s v\u00e1ltoz\u00e1s eset\u00e9n?<\/p>\n\n\n\n A negyedik l\u00e9p\u00e9s az integr\u00e1ci\u00f3s d\u00f6nt\u00e9s. Itt kell meghat\u00e1rozni, hogy egy AIMS-elem hov\u00e1 ker\u00fclj\u00f6n. A kock\u00e1zati besorol\u00e1s mehet a v\u00e1llalati kock\u00e1zatkezel\u00e9sbe, de AI-specifikus mez\u0151kkel. Az adatkezel\u00e9si vizsg\u00e1lat kapcsol\u00f3dhat adatv\u00e9delmi hat\u00e1svizsg\u00e1lathoz, de ki kell t\u00e9rnie tan\u00edt\u00f3adatokra \u00e9s modellkimenetekre. A besz\u00e1ll\u00edt\u00f3i \u00e9rt\u00e9kel\u00e9s maradhat a beszerz\u00e9sn\u00e9l, de AI-specifikus k\u00e9rd\u00e9sekkel. Ilyenkor az integr\u00e1ci\u00f3 d\u00f6nt\u00e9s, nem automatikus \u00e1tv\u00e9tel<\/strong>, mert minden elemn\u00e9l meg kell indokolni, hol kezelhet\u0151 a legjobban.<\/p>\n\n\n\n Az \u00f6t\u00f6dik l\u00e9p\u00e9s a bizony\u00edt\u00e9kok meghat\u00e1roz\u00e1sa. Minden kontrollhoz meg kell mondani, mi bizony\u00edtja a m\u0171k\u00f6d\u00e9s\u00e9t. P\u00e9ld\u00e1ul egy emberi fel\u00fcgyeleti kontrolln\u00e1l bizony\u00edt\u00e9k lehet a j\u00f3v\u00e1hagy\u00e1si napl\u00f3, a fel\u00fclvizsg\u00e1lati jegyz\u0151k\u00f6nyv, a d\u00f6nt\u00e9si mintaellen\u0151rz\u00e9s vagy az elt\u00e9r\u00e9skezel\u00e9si rekord. Egy adatmin\u0151s\u00e9gi kontrolln\u00e1l bizony\u00edt\u00e9k lehet az adatforr\u00e1s-le\u00edr\u00e1s, min\u0151s\u00e9gi ellen\u0151rz\u00e9s, reprezentativit\u00e1si vizsg\u00e1lat vagy adatfriss\u00edt\u00e9si napl\u00f3.<\/p>\n\n\n\n A hatodik l\u00e9p\u00e9s a m\u0171k\u00f6dtet\u00e9s \u00e9s fel\u00fclvizsg\u00e1lat. Az AIMS nem statikus \u00e1llapot. Az AI-rendszerek, adatok, besz\u00e1ll\u00edt\u00f3k, felhaszn\u00e1l\u00e1si c\u00e9lok \u00e9s szab\u00e1lyoz\u00e1si elv\u00e1r\u00e1sok v\u00e1ltozhatnak. Ez\u00e9rt az integr\u00e1lt AIMS folyamatos karbantart\u00e1st ig\u00e9nyel<\/strong>, k\u00fcl\u00f6nben a kezdetben j\u00f3l fel\u00e9p\u00edtett kontrollok elavulnak, \u00e9s a szervezet hamis biztons\u00e1g\u00e9rzetbe ker\u00fcl.<\/p>\n\n\n\n Egy megl\u00e9v\u0151 inform\u00e1ci\u00f3biztons\u00e1gi folyamat AI-specifikus kieg\u00e9sz\u00edt\u00e9se j\u00f3l mutatja az integr\u00e1ci\u00f3 gyakorlati logik\u00e1j\u00e1t. Tegy\u00fck fel, hogy a szervezetnek van alkalmaz\u00e1sbevezet\u00e9si biztons\u00e1gi ellen\u0151rz\u00e9se. Ezt AI-rendszer eset\u00e9n ki lehet eg\u00e9sz\u00edteni a k\u00f6vetkez\u0151 k\u00e9rd\u00e9sekkel:<\/p>\n\n\n\n Haszn\u00e1l-e a rendszer tan\u00edt\u00f3-, valid\u00e1ci\u00f3s vagy m\u0171k\u00f6d\u00e9si adatot, \u00e9s ezek honnan sz\u00e1rmaznak?<\/p>\n\n\n\n Tartalmaz-e szem\u00e9lyes, \u00e9rz\u00e9keny vagy \u00fczleti szempontb\u00f3l kritikus adatot?<\/p>\n\n\n\n Milyen kimenetet \u00e1ll\u00edt el\u0151, \u00e9s ki haszn\u00e1lja fel azt d\u00f6nt\u00e9sben?<\/p>\n\n\n\n Van-e emberi ellen\u0151rz\u00e9s a kimenet felhaszn\u00e1l\u00e1sa el\u0151tt?<\/p>\n\n\n\n Napl\u00f3zhat\u00f3-e a rendszer m\u0171k\u00f6d\u00e9se, kimenete \u00e9s v\u00e1ltoz\u00e1sa?<\/p>\n\n\n\n Milyen besz\u00e1ll\u00edt\u00f3i dokument\u00e1ci\u00f3 t\u00e1masztja al\u00e1 a modell korl\u00e1tait?<\/p>\n\n\n\n Mi t\u00f6rt\u00e9nik hib\u00e1s, elfogult vagy nem v\u00e1rt kimenet eset\u00e9n?<\/p>\n\n\n\n A min\u0151s\u00e9gir\u00e1ny\u00edt\u00e1si folyamat hasonl\u00f3an b\u0151v\u00edthet\u0151. Ha a szervezet m\u00e1r kezel min\u0151s\u00e9gi elt\u00e9r\u00e9seket, akkor AI eset\u00e9n meg kell hat\u00e1rozni, mi min\u0151s\u00fcl AI-min\u0151s\u00e9gi elt\u00e9r\u00e9snek. Ilyen lehet a t\u00e9ves kimenet, nem megfelel\u0151 aj\u00e1nl\u00e1s, ism\u00e9tl\u0151d\u0151 panasz, teljes\u00edtm\u00e9nyroml\u00e1s, hib\u00e1s \u00fcgyf\u00e9lbesorol\u00e1s vagy dokument\u00e1latlan modellv\u00e1ltoz\u00e1s. Ebben az AI-min\u0151s\u00e9g nem puszt\u00e1n pontoss\u00e1g<\/strong>, hanem a c\u00e9lhoz, kock\u00e1zathoz \u00e9s felhaszn\u00e1l\u00e1si k\u00f6rnyezethez illeszked\u0151 megb\u00edzhat\u00f3s\u00e1g.<\/p>\n\n\n\n Az adatv\u00e9delmi folyamat kieg\u00e9sz\u00edt\u00e9se szint\u00e9n fontos. Ha egy szervezet m\u00e1r v\u00e9gez adatv\u00e9delmi hat\u00e1svizsg\u00e1latot, akkor AI-haszn\u00e1lat eset\u00e9n vizsg\u00e1lni kell az automatiz\u00e1lt d\u00f6nt\u00e9si szerepet, az \u00e9rintetti t\u00e1j\u00e9koztat\u00e1st, az adatminimaliz\u00e1l\u00e1st, a modellkimenetek meg\u0151rz\u00e9s\u00e9t, a profilalkot\u00e1si kock\u00e1zatot \u00e9s az emberi beavatkoz\u00e1s lehet\u0151s\u00e9g\u00e9t. Az ISO\/IEC 27701 adatv\u00e9delmi ir\u00e1ny\u00edt\u00e1si kiterjeszt\u00e9se a szem\u00e9lyes adatok kezel\u00e9s\u00e9nek ir\u00e1ny\u00edt\u00e1si keret\u00e9t t\u00e1mogatja, amely AI-k\u00f6rnyezetben hasznos kapcsol\u00f3d\u00e1si pont lehet (International Organization for Standardization, 2019).<\/p>\n\n\n\n Az integr\u00e1ci\u00f3s d\u00f6nt\u00e9sek dokument\u00e1l\u00e1sa az\u00e9rt fontos, mert k\u00e9s\u0151bb auditban \u00e9s vezet\u0151i fel\u00fclvizsg\u00e1latban is magyar\u00e1zni kell, mi\u00e9rt \u00edgy \u00e9p\u00fclt fel az AIMS. Ha egy AI-kock\u00e1zatot a megl\u00e9v\u0151 ISMS kezel, akkor meg kell mutatni, hogy az ISMS-kontroll val\u00f3ban lefedi az AI-saj\u00e1toss\u00e1got. Ha k\u00fcl\u00f6n AI-kontroll j\u00f6n l\u00e9tre, azt is indokolni kell. Ilyenkor az alkalmazhat\u00f3s\u00e1gi d\u00f6nt\u00e9s az integr\u00e1ci\u00f3 bizony\u00edt\u00e9ka<\/strong>, mert l\u00e1that\u00f3v\u00e1 teszi, mit vett \u00e1t a szervezet \u00e9s mit kezelt k\u00fcl\u00f6n.<\/p>\n\n\n\n A bevezet\u00e9s sor\u00e1n \u00e9rdemes elker\u00fclni k\u00e9t sz\u00e9ls\u0151s\u00e9get. Az egyik a t\u00falzott k\u00fcl\u00f6n\u00e1ll\u00e1s: minden AI-k\u00e9rd\u00e9sre \u00faj folyamat, \u00faj bizotts\u00e1g, \u00faj dokumentum, \u00faj nyilv\u00e1ntart\u00e1s. Ez lass\u00fav\u00e1 \u00e9s nehezen fenntarthat\u00f3v\u00e1 teszi az AIMS-t. A m\u00e1sik a t\u00falzott beolvaszt\u00e1s: minden AI-k\u00e9rd\u00e9st megl\u00e9v\u0151 kontrollk\u00e9nt kezelnek, mik\u00f6zben nem vizsg\u00e1lj\u00e1k, hogy az adott kontroll alkalmas-e az AI saj\u00e1tos kock\u00e1zataira. A j\u00f3 megold\u00e1s a tudatos illeszt\u00e9s.<\/p>\n\n\n\n Az AIMS integr\u00e1l\u00e1sa v\u00e9g\u00fcl szervezeti tanul\u00e1si folyamat is. Az els\u0151 haszn\u00e1lati esetekn\u00e9l t\u00f6bb bizonytalans\u00e1g lesz, k\u00e9s\u0151bb azonban kialakulnak a mint\u00e1k: milyen t\u00edpus\u00fa AI-rendszerekhez milyen kontrollcsomag kell, mely folyamatok m\u0171k\u00f6dnek j\u00f3l, hol keletkeznek ism\u00e9tl\u0151d\u0151 hi\u00e1nyoss\u00e1gok, \u00e9s milyen bizony\u00edt\u00e9kok seg\u00edtik legink\u00e1bb az audit\u00e1lhat\u00f3s\u00e1got. Ez\u00e9rt az integr\u00e1ci\u00f3 \u00e9retts\u00e9gi \u00fat, nem egyszeri szervez\u00e9si feladat<\/strong>.<\/p>\n\n\n\n A legfontosabb tanuls\u00e1g az, hogy az AIMS akkor v\u00e1lik val\u00f3di ir\u00e1ny\u00edt\u00e1si rendszerr\u00e9, ha nem k\u00fcl\u00f6n\u00e1ll\u00f3 megfelel\u0151s\u00e9gi r\u00e9tegk\u00e9nt m\u0171k\u00f6dik. A megl\u00e9v\u0151 min\u0151s\u00e9gir\u00e1ny\u00edt\u00e1si, inform\u00e1ci\u00f3biztons\u00e1gi, adatv\u00e9delmi \u00e9s compliance folyamatok er\u0151s alapot adhatnak, de csak akkor, ha az AI-specifikus kock\u00e1zatok nem vesznek el benn\u00fck. A j\u00f3 integr\u00e1ci\u00f3 egyszerre cs\u00f6kkenti a p\u00e1rhuzamos adminisztr\u00e1ci\u00f3t \u00e9s n\u00f6veli a felel\u0151s m\u0171k\u00f6d\u00e9s bizony\u00edthat\u00f3s\u00e1g\u00e1t.<\/p>\n\n\n\n European Parliament & Council of the European Union. (2016). Regulation (EU) 2016\/679 of the European Parliament and of the Council of 27 April 2016: General Data Protection Regulation<\/em>. Official Journal of the European Union. https:\/\/eur-lex.europa.eu\/eli\/reg\/2016\/679\/oj<\/p>\n\n\n\n European Parliament & Council of the European Union. (2024). Regulation (EU) 2024\/1689 laying down harmonised rules on artificial intelligence<\/em>. Official Journal of the European Union. https:\/\/eur-lex.europa.eu\/eli\/reg\/2024\/1689\/oj<\/p>\n\n\n\n International Organization for Standardization. (2015). ISO 9001:2015: Quality management systems \u2014 Requirements<\/em>. ISO. https:\/\/www.iso.org\/standard\/62085.html<\/p>\n\n\n\n International Organization for Standardization. (2019). ISO\/IEC 27701:2019: Security techniques \u2014 Extension to ISO\/IEC 27001 and ISO\/IEC 27002 for privacy information management<\/em>. ISO. https:\/\/www.iso.org\/standard\/71670.html<\/p>\n\n\n\n International Organization for Standardization. (2022). ISO\/IEC 27001:2022: Information security, cybersecurity and privacy protection \u2014 Information security management systems \u2014 Requirements<\/em>. ISO. https:\/\/www.iso.org\/standard\/27001<\/p>\n\n\n\n International Organization for Standardization. (2023a). ISO\/IEC 42001:2023: Information technology \u2014 Artificial intelligence \u2014 Management system<\/em>. ISO. https:\/\/www.iso.org\/standard\/42001<\/p>\n\n\n\n International Organization for Standardization. (2023b). ISO\/IEC 23894:2023: Information technology \u2014 Artificial intelligence \u2014 Guidance on risk management<\/em>. ISO. https:\/\/www.iso.org\/standard\/77304.html<\/p>\n\n\n\n National Institute of Standards and Technology. (2023). Artificial intelligence risk management framework (AI RMF 1.0)<\/em>. U.S. Department of Commerce. https:\/\/doi.org\/10.6028\/NIST.AI.100-1<\/p>\n","protected":false},"excerpt":{"rendered":" Az AIMS integr\u00e1l\u00e1sa a megl\u00e9v\u0151 ir\u00e1ny\u00edt\u00e1si rendszerekbe lehet\u0151v\u00e9 teszi az AI-specifikus kock\u00e1zatok hat\u00e9kony kezel\u00e9s\u00e9t an\u00e9lk\u00fcl, hogy felesleges adminisztr\u00e1ci\u00f3t eredm\u00e9nyezne.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_sas_skip_auto_schedule":false,"_sas_force_auto_schedule":false,"footnotes":""},"categories":[761],"tags":[86,767,850,765,851,777,419,771,158,793,852],"series":[],"class_list":["post-727","post","type-post","status-publish","format-standard","hentry","category-iranyitasi-rendszer-aims","tag-adatvedelem","tag-ai-kockazat","tag-aims-integralasa","tag-audit","tag-beszallitokezeles","tag-compliance","tag-informaciobiztonsag","tag-iranyitasi-rendszer","tag-kockazatkezeles","tag-minosegiranyitas","tag-vezetoi-felulvizsgalat"],"yoast_head":"\nMit lehet \u00fajrahasznos\u00edtani megl\u00e9v\u0151 rendszerekb\u0151l?<\/h2>\n\n\n\n
Hol kell k\u00fcl\u00f6n AI-specifikus kontroll?<\/h2>\n\n\n\n
Dokumentumkezel\u00e9s, audit \u00e9s incidensfolyamat integr\u00e1ci\u00f3ja<\/h2>\n\n\n\n
Gyakorlati illeszt\u00e9si modell \u00e9s d\u00f6nt\u00e9si szempontok<\/h2>\n\n\n\n
Felhaszn\u00e1lt szakirodalom<\/h2>\n\n\n\n