פרק 2: דרישות הליבה של תקן ISO/IEC 42001

פרק זה הוא לב התקן — הוא מפרט את הדרישות המחייבות להקמת מערכת ניהול לבינה מלאכותית (AIMS). חלק גדול מעבודתם של מנהלי AI Governance, בעלי תפקידים ברגולציה, ארגונים מעולמות הפינטק, הבריאות, הביטחון והתעשייה, וכן ארגונים המבקשים לעבור הסמכה, מתמקד בהבנת דרישות פרק זה וביישומן.

התקן בנוי בהתאם למבנה High-Level Structure המשותף לתקני ניהול מודרניים (ISO 27001, 9001, 22301 ועוד(, ולכן פרק זה ירגיש מוכר למי שעוסק בתקנים אחרים — אך תוכנו מותאם לחלוטין לצרכים ולסיכונים הספציפיים של מערכות AI.

הדרישות המרכזיות מתחלקות לשבעה תחומים (Clauses 4–10):

1. הקשר ארגוני

2. מנהיגות

3. תכנון

4. תמיכה

5. תפעול

6. הערכת ביצועים

7. שיפור מתמיד

להלן פירוט מלא של כל חלק, כולל דוגמאות יישומיות, פירוש הדרישות והשלכותיהן.

2.1 Clause 4: Context of the Organization (הקשר הארגוני)

הבנת ההקשר הארגוני היא נקודת הפתיחה של כל מערכת ניהול תקנית.

המטרה: להבין אילו מערכות AI קיימות, מה השפעתן על הארגון ועל בעלי עניין, מהם הסיכונים ו-מהו ההיקף שבו תופעל מערכת הניהול AIMS.

4.1 Understanding the Organization and its Context

הארגון נדרש לזהות ולהבין:

• אילו מערכות AI בשימוש כיום?

• לאילו מטרות?

• מי מושפע מהן?

• אילו גורמים חיצוניים משפיעים על אופי הסיכון? (חקיקה, תחרות, רגולציה, טכנולוגיה)

• אילו גורמים פנימיים משפיעים על היכולת לנהל AI? (כישורים, משאבים, תשתיות)

דוגמה:

חברת בריאות המפעילה AI לאבחון רפואי תעמוד תחת רגולציה כבדה יותר מאשר חברה המשתמשת ב-AI לניתוח מגמות שיווק.

4.2 Understanding the Needs and Expectations of Stakeholders

הארגון חייב לזהות את בעלי העניין הקשורים למערכות ה-AI:

• לקוחות

• משתמשים

• הנהלת הארגון

• רגולטורים

• ספקים

• קבוצות ציבוריות מושפעות

ואת ציפיותיהם בנושאי שקיפות, פרטיות, הוגנות, בטיחות ואמינות.

4.3 Determining the Scope of the AIMS

הארגון מגדיר מהו היקף המערכת:

• אילו מערכות AI נכללות ומדוע

• אילו תהליכים תומכים נכללים

• אילו יחידות עסקיות כפופות ל-AIMS

הגדרה ברורה של ההיקף היא קריטית לצמצום סיכונים ולביסוס אחריות.

4.4 AIMS and Its Processes

הארגון נדרש לתעד:

• את תהליכי ה-AIMS

• את האינטראקציות בין תהליכים

• את נהלי הניהול, האכיפה, ההתראות והטיפול בסיכונים

זהו “ה-DNA” של מערכת הניהול.

2.2 Clause 5: Leadership (מנהיגות)

תקן 42001 מדגיש שהנהלה בכירה היא הגורם המרכזי ביכולת ליישם AI אחראי.

קורסים ומסמכים טכניים אינם מספיקים — נדרשת מחויבות ניהולית ברורה.

5.1 Leadership and Commitment

ההנהלה נדרשת:

• להבהיר שכלל החלטות ה-AI כפופות ל-AIMS

• להבטיח משאבים

• לפקח על היעדים

• לוודא עמידה ברגולציה

• לייצר תרבות של AI אחראי

ללא מחויבות הנהלה — הארגון לא יעמוד בתקן.

5.2 AI Policy

הארגון חייב לנסח ולפרסם מדיניות AI שכוללת:

• עקרונות לאתיקה

• עקרונות לשקיפות

• מדיניות לניהול סיכוני מודלים

• מחויבות לעמידה בדרישות משפטיות

• אחריותיות בניהול מערכות AI

מדיניות זו חייבת להיות מתועדת, מתוקשרת ונבדקת מחדש.

5.3 Organizational Roles, Responsibilities and Authorities

הארגון חייב להגדיר:

• מי אחראי על ניהול ה-AIMS

• מי מנהל סיכוני AI

• מי מאשר פריסה לאוויר

• מי אחראי על ניטור מודלים

• מי מדווח למי על מה

הגדרות מחייבות, שקופות ורשמיות.

2.3 Clause 6: Planning (תכנון)

זהו אחד הסעיפים החשובים ביותר בתקן. הוא מתייחס לתכנון ארוך טווח, לניהול סיכונים ולהצבת יעדים.

6.1 Actions to Address Risks and Opportunities

הארגון נדרש לבצע:

• זיהוי סיכוני AI

• הערכת סבירות והשפעה

• ניתוח הטיות אפשריות

• ניתוח נזק אפשרי למשתמשים

• ניתוח סיכונים משפטיים ואתיים

• קביעת אמצעים למניעת נזקים

התקן מפנה גם לתקן ISO/IEC 23894 לניהול סיכוני AI.

6.2 AIMS Objectives and Planning to Achieve Them

הארגון חייב לנסח יעדים מדידים:

• אמינות המודל

• זמני תגובה בשגיאות

• עמידה במדדי הוגנות

• הפחתת false positives/negatives

• זמני בדיקות תקופתיות

ולבנות תוכנית להשגתם.

6.3 Planning of Changes

כל שינוי במערכת AI מחייב:

• בחינת השפעה

• תיעוד

• אישור

• בדיקות מחדש

• ניהול גרסאות

התקן מתייחס במיוחד לשינויים במודלים לומדים (Models that drift).

2.4 Clause 7: Support (תמיכה ויכולות)

ללא משאבים, ידע, תיעוד וניהול מידע — ה-AIMS לא יכול לתפקד.

7.1 Resources

הארגון נדרש להוכיח:

• תקצוב מתאים

• גישה לטכנולוגיות נדרשות

• כלים לניטור מודלים

• סביבת פיתוח מאובטחת

7.2 Competence

הארגון חייב להבטיח שהעובדים:

• מבינים AI

• יודעים להעריך סיכונים

• מכירים רגולציה

• חתומים על מסמכי אחריות

הדרכה ותחזוקת ידע — חובה.

7.3 Awareness

העובדים נדרשים להבין:

• את הסיכונים של AI

• את מדיניות הארגון

• איך דיווח על אירועים מתבצע

מבחינת ISO — עובדים שלא מבינים את הסיכונים = כישלון.

7.4 Communication

נדרשות תהליכי תקשורת ברורים:

• דיווח על כשלים

• דיווח על שינויים

• תאום בינלאומי (אם רלוונטי)

• תקשורת מול רגולטורים

7.5 Documented Information

הארגון חייב לתעד:

• מבנה AIMS

• נהלים

• בקרות

• תיעוד מחזור חיי הנתונים

• תיעוד ניסויים והערכות איכות

• תיעוד החלטות יינשיר מ-AI

2.5 Clause 8: Operation (תפעול ניהול מערכות AI)

הסעיף המשמעותי ביותר מבחינה טכנית.

8.1 Operational Planning and Control

יש להגדיר:

• תהליכי תפעול למערכות AI

• תוכניות בדיקה

• בקרה על שינויי מודלים

• תהליכים לשמירה על איכות נתונים

8.2 AI Lifecycle Management

התקן מתייחס לכל השלבים:

1. איסוף נתונים

2. עיבוד ועיצוב נתונים

3. פיתוח מודל

4. אימות והסבריות

5. בדיקות הטיה

6. בדיקות בטיחות

7. פריסה (Deployment)

8. ניטור רציף

9. תיקונים ושדרוגים

10. הסרה משירות

לכל שלב נדרשים תיעוד, בקרה וניהול סיכונים.

8.3 Third-party AI and Supply Chain

התקן דורש:

• ביקורת על ספקים

• חוזים הכוללים דרישות ל-AI

• בדיקת אמינות כלים חיצוניים

• בדיקת איכות מודלים שנרכשו

8.4 Incident and Drift Management

הארגון חייב לתעד:

• זיהוי מקרי כשל

• דיווח והסלמה

• ניטור Model Drift

• טיפול בפגיעה אפשרית במשתמשים

2.6 Clause 9: Performance Evaluation (הערכת ביצועים)

סעיף זה בוחן את יעילות מערכת הניהול:

9.1 Monitoring, Measurement, Analysis and Evaluation

נדרשת מדידה של:

• איכות המודל

• השפעת הטיות

• ביצועים טכניים

• תאימות רגולטורית

• ביצועים תפעוליים

9.2 Internal Audit

הארגון חייב לבצע:

• ביקורת פנימית תקופתית

• בחינת תהליכים

• מעקב אחר תיעוד

• בדיקת יכולות העובדים

• צמצום פערים

9.3 Management Review

הנהלה בוחנת:

• תוצאות מודלים

• מדדי הוגנות

• אירועים ואי-התאמות

• התקדמות לעבר יעדים

• החלטות אסטרטגיות להמשך

2.7 Clause 10: Improvement (שיפור מתמיד)

10.1 Nonconformities and Corrective Actions

הארגון חייב:

• לזהות אי-התאמות

• לבצע RCA (Root Cause Analysis)

• ליישם פעולות מתקנות

• למנוע הישנות

10.2 Continual Improvement

מתייחס לשיפור ארוך טווח:

• שיפור איכות מודלים

• הפחתת סיכונים

• עמידה ברגולציה

• התאמה לשינויים טכנולוגיים

• שיפור יכולת התיעוד

סיכום פרק 2

פרק 2 מציג את דרישות הליבה של תקן ISO/IEC 42001 — החל מהקשר הארגוני ועד לשיפור מתמיד

 

זהו הפרק החשוב ביותר למי שמבקש ליישם או לבקר את התקן, והוא מהווה בסיס לכל השלבים הבאים.