Exigences ISO 42001 version 2023 | ||||
N° | Clauses | Cycle PDCA | Exigences N° | Nombre |
4 | Contexte | Planifier (Plan) | 1 à 13 | 13 |
5 | Leadership | Planifier, Dérouler, Comparer, Agir (Plan, Do, Check, Act) | 14 à 32 | 19 |
6 | Planification | Planifier (Plan) | 33 à 90 | 58 |
7 | Support | Planifier, Dérouler (Plan, Do) | 91 à 114 | 24 |
8 | Réalisation | Dérouler (Do) | 115 à 131 | 17 |
9 | Performance | Comparer (Check) | 132 à 156 | 25 |
10 | Amélioration | Agir (Act) | 157 à 168 | 12 |
Annexe A.2 | Comparer (Check) | 169 à 171 | 3 | |
Annexe A.3 | Comparer (Check) | 172 à 173 | 2 | |
Annexe A.4 | Comparer (Check) | 174 à 178 | 5 | |
Annexe A.5 | Comparer (Check) | 179 à 182 | 4 | |
Annexe A.6 | Comparer (Check) | 183 à 191 | 9 | |
Annexe A.7 | Comparer (Check) | 192 à 196 | 5 | |
Annexe A.8 | Comparer (Check) | 197 à 200 | 4 | |
Annexe A.9 | Comparer (Check) | 201 à 203 | 3 | |
Annexe A.10 | Comparer (Check) | 204 à 206 | 3 | |
Total | 206 | |||
ISO 42001 - Exigences et commentaires | |||
N° | Paragraphe | Exigence | Cycle PDCA, liens, commentaires |
4 | Contexte | Planifier (Plan) | |
4.1 | Contexte de l'organisation | ||
1 | 4.1 | Déterminer les enjeux externes et internes | Comprendre tout ce qui peut influer sur la finalité (la mission) de l'entreprise (culture d'entreprise, innovation, orientation stratégique, compétition, marché, obligations, temps de travail, conditions de travail) et sa capacité à obtenir les résultats attendus du SMIA. Cf. paragraphe 6.1 et paragraphe 7.5.1 |
2 | 4.1 | Déterminer si des enjeux découlent des changements climatiques | Changements concernant les actions en lien avec le climat, cf. l'ISO 14001 |
3 | 4.1 | Considérer la finalité prévue du système d'IA | Qui sont développés, fournis ou utilisés par l'organisation |
4 | 4.1 | Déterminer ses rôles | Par rapport au système d'IA |
4.2 | Parties prenantes | ||
5 | 4.2 | Déterminer les parties prenantes | Concernés par le SMIA, comme clients, lois, contrats et autres. Cf. paragraphe 7.5.1 |
6 | 4.2 | Déterminer les exigences des parties prenantes | Besoins et attentes relatives aux exigences et obligations. Les parties prenantes peuvent avoir des exigences relatives aux changements climatiques |
7 | 4.2 | Déterminer les exigences concernées par le SMIA | Qui seront traitées par le SMIA |
4.3 | Domaine d'application | ||
8 | 4.3 | Déterminer le domaine d'application du SMIA | Limites (administratives) et applicabilité |
9 | 4.3 | Prendre en considération les enjeux externes et internes | "Identifier les dangers c'est diminuer les risques". Cf. paragraphe 4.1 |
10 | 4.3 | Prendre en compte les exigences des parties prenantes | Lors de modifications des processus, des exigences, des infrastructures. Cf. paragraphe 4.2 |
11 | 4.3 | Rendre disponible le domaine d'application | Sous forme de document, cf. paragraphe 7.5.1 |
12 | 4.3 | Déterminer les activités de l'organisation par rapport aux exigences de l'ISO 42001 | En lien avec le leadership, la planification, le support, la réalisation, la performance, l'évaluation, l'amélioration, les mesures et les objectifs |
4.4 | Système de management de l'intelligence artificielle | ||
13 | 4.4 | Établir, appliquer, tenir à jour, documenter et améliorer en continu le SMIA | Y compris les processus nécessaires. "Si vous ne pouvez pas décrire ce que vous faites en tant que processus, vous ne savez pas ce que vous faites". Edwards Deming. Processus exigés : apprécier le risque (§ 6.1.2) traiter le risque (§ 6.1.3) apprécier l'impact du système d'IA (§ 6.1.4, A.5.2) maîtriser les exigences opérationnelles (§ 8.1) signaler les préoccupations (A.3.3) concevoir et développer de manière responsable (A.6.1.3) développer et améliorer le système d'IA (A.7.2) enregistrer l'origine (A.7.5) utiliser de manière responsable le système d'IA (A.9.2) s'assurer de l'approche responsable des fournisseurs (A.10.3) |
5 | Leadership | Planifier, Dérouler, Comparer, Agir (Plan, Do, Check, Act) | |
5.1 | Leadership et engagement | ||
14 | 5.1 | S'assurer que la politique et les objectifs IA sont mis en place | "Un escalier se balaie en commençant par le haut. Proverbe roumain." S'assurer de la compatibilité avec l'orientation stratégique. La direction fait preuve de leadership. Affirmer l'engagement de la direction en faveur du SMIA |
15 | 5.1 | Assurer l'intégration des exigences du SMIA aux processus métier | Faire preuve de leadership |
16 | 5.1 | S'assurer que les ressources nécessaires au SMIA sont disponibles | Ressources pour établir, appliquer, tenir à jour et améliorer le SMIA. Cf. paragraphe 4.4 |
17 | 5.1 | Communiquer sur l'importance de disposer d'un SMIA efficace | Et se conformer aux exigences du SMIA |
18 | 5.1 | S'assurer que le SMIA atteint les résultats attendus | Engagement, réactivité et soutien actif de la direction |
19 | 5.1 | Orienter et soutenir le personnel | Afin qu'il contribue à la performance du SMIA |
20 | 5.1 | Promouvoir l'amélioration continue | "Les employés d'abord, les clients ensuite. Vineet Nayar." Faire preuve de leadership. Cf. article 10 |
21 | 5.1 | Soutenir les personnes concernées à faire preuve de leadership | Quand cela est nécessaire (s'applique à leur domaine de responsabilité) |
5.2 | Politique IA | ||
22 | 5.2 a | Établir la politique IA | En tenant compte de la mission de l'organisation. Tenir la politique à jour. Cf. paragraphe 7.5.1 |
23 | 5.2 b | Fournir un cadre pour l'établissement des objectifs IA | Cf. paragraphe 6.2 et annexe A.2. Un guide de mise en oeuvre des mesures est disponible en annexe B.2 de l'ISO 42001 |
24 | 5.2 c | S'engager à respecter les exigences applicables | Concernant le SMIA |
25 | 5.2 d | S'engager à améliorer en continu le SMIA | Cf. article 10 |
26 | 5.2 | Rendre disponible la politique IA | Sous forme d'un document. Cf. paragraphe 7.5.1 |
27 | 5.2 | Référer la politique IA comme pertinente | Aux autres politiques de l'organisation |
28 | 5.2 | Communiquer la politique IA | A tous les niveaux de l'organisation |
29 | 5.2 | Tenir la politique IA disponible aux parties prenantes | Le cas échéant |
5.3 | Rôles, responsabilités et autorités | ||
30 | 5.3 | S'assurer que les responsabilité et autorités du SMIA sont attribuées | Et communiquées à tous les niveaux de l'entreprise. "La responsabilité ne peut pas être partagée. Robert Heinlein". Cf. paragraphe 7.5.1 |
31 | 5.3 a | S'assurer que le SMIA respecte les exigences de la norme ISO 42001 | Et qui en a la responsabilité et l'autorité à tous les niveaux de l'organisation. Ne pas oublier qu'en fin de compte la direction est entièrement responsable (cf. paragraphe 5.1) |
32 | 5.3 b | Présenter des rapports sur la performance du SMIA à la direction, de manière régulière | En attribuant la responsabilité et l'autorité nominativement, cf. paragraphe 7.5.1 |
6 | Planification | Planifier, Dérouler (Plan, Do) | |
6.1 | Actions face aux risques | ||
6.1.1 | Généralités | ||
33 | 6.1.1 | Déterminer les risques et opportunités | La gestion des risques est basée sur la norme ISO 31000 et la formation F 61. Afin de s'assurer que le SMSI peut atteindre les résultats prévus. Cf. le paragraphe 4.1 pour les enjeux et le paragraphe 4.2 pour les exigences. Un état des lieux est toujours utile avant la planification. "Toute décision comporte un risque. Peter Barge" |
34 | 6.1.1 | S'assurer que le SMIA peut atteindre les résultats escomptés | Afin d'anticiper ou de réduire les effets indésirables |
35 | 6.1.1 | Prévenir ou réduire les effets indésirables | Afin de s'inscrire dans la démarche d'amélioration continue, cf. article 10 |
36 | 6.1.1 | S'améliorer en continu | Cf. paragraphe 6.1.3 |
37 | 6.1.1 | Établir et maintenir des critères de risque IA | Pour tous les processus du SMSI |
38 | 6.1.1 | Faire la distinction entre risques acceptables et non acceptables | Cf. paragraphe 6.1.2 |
39 | 6.1.1 | Réaliser des appréciations des risques IA | |
40 | 6.1.1 | Conduire le traitement des risques IA | En établissant et tenant à jour les critères d'acceptation |
41 | 6.1.1 | Apprécier l'impact des risques IA | En établissant et tenant à jour les critères de réalisation des appréciations |
42 | 6.1.1 | Déterminer les risques et opportunités | En s'assurant que la répétition des appréciations des risques conduit à des résultats cohérents, valides et comparables. Défi physique et intellectuel impossible. Cf. le blog d'Oxebridge "iso-risk-management-can-now-be-infallible" |
43 | 6.1.1 | Déterminer les risques et opportunités | En identifiant les risques liés à la perte de confidentialité, d'intégrité et de disponibilité des informations |
44 | 6.1.1 | Déterminer les risques et opportunités | En identifiant les pilotes des risques |
45 | 6.1.1 a | Planifier les actions à mettre en œuvre | En analysant les risques et les conséquences potentielles des risques en 6.1.2 c 1 si ceux-ci se concrétisent |
46 | 6.1.1 b 1 | Planifier comment intégrer et mettre en œuvre les actions | En analysant les risques et évaluant la vraisemblance d'apparition des risques identifiés en 6.1.2 c 1 |
47 | 6.1.1 b 2 | Planifier comment évaluer l'efficacité | En analysant les risques et déterminant les niveaux des risques |
48 | 6.1.1 | Conserver les enregistrements sur les actions prises | En évaluant les risques et comparant les résultats d'analyse des risques avec les critères en 6.1.2 a |
6.1.2 | Appréciation des risques IA | ||
49 | 6.1.2 a | Appliquer le processus d'appréciation des risques IA | En étant informé et aligné sur la politique et les objectifs IA |
50 | 6.1.2 b | Appliquer le processus d'appréciation des risques IA | En s'assurant que la répétition des appréciations des risques conduit à des résultats cohérents, valides et comparables. Défi physique et intellectuel inhumain. Cf. le blog d'Oxebridge "iso-risk-management-can-now-be-infallible" |
51 | 6.1.2 c | Identifier les risques | Qui aident ou empêchent d'atteindre ses objectifs IA |
52 | 6.1.2 d 1 | Analyser les risques IA | Pour apprécier les conséquences potentielles des risques si ceux-ci se concrétisent |
53 | 6.1.2 d 2 | Apprécier la vraisemblance réaliste des risques identifiés | Le cas échéant |
54 | 6.1.2 d 3 | Déterminer le niveau de risque | Suite à l'analyse des risques IA |
55 | 6.1.2 e 1 | Évaluer les risques IA | Pour comparer les résultats de l'analyse de risque avec les critères de risque, cf. § 6.1.1 |
56 | 6.1.2 e 2 | Hiérarchiser les risques | Évalués pour le traitement du risque |
57 | 6.1.2 | Conserver les enregistrements sur le processus d'appréciation des risques IA | Cf. paragraphe 7.5.1 |
6.1.3 | Traitement des risques IA | ||
58 | 6.1.3 a | Définir et appliquer le processus de traitement des risques IA | Afin de choisir les options de traitement des risques en tenant compte des résultats en 6.1.2 |
59 | 6.1.3 b | Déterminer toutes les mesures nécessaires à entreprendre | Pour l'option choisie |
60 | 6.1.3 b | Comparer les mesures avec ceux de l'annexe A | Afin de vérifier qu'aucune mesure nécessaire n'est oubliée |
61 | 6.1.3 c | Considérer la pertinence des mesures de l'annexe A | Pour la mise en œuvre des options de traitement des risques IA |
62 | 6.1.3 d | Identifier si des mesures supplémentaires sont nécessaires au-delà de ceux de l'annexe A | Afin de mettre en œuvre toutes les options de traitement des risques |
63 | 6.1.3 e | Prendre en compte le guide de l'annexe B | Pour la mise en œuvre des mesures déterminées en b) et c) |
64 | 6.1.3 f | Produire une déclaration d'applicabilité | Contenant les mesures nécessaires (voir b), c) et d)) et les justifications d'inclusion et d'exclusion |
65 | 6.1.3 g | Élaborer un plan de traitement des risques | Pour la mise en œuvre des mesures déterminées en b) et c) |
66 | 6.1.3 | Obtenir l'approbation des responsables désignés pour le plan de traitement des risques IA | Et l'acceptation des risques résiduels |
67 | 6.1.3 | Aligner les mesures nécessaires sur les objectifs | Cf. § 6.2 |
68 | 6.1.3 | Rendre les mesures nécessaires disponibles | Sous forme documentée |
69 | 6.1.3 | Communiquer les mesures nécessaires au sein de l'organisation | Pour la mise en œuvre des mesures déterminées en b) et c) |
70 | 6.1.3 | Rendre les mesures nécessaires disponibles aux parties prenantes | Selon les cas |
71 | 6.1.3 | Conserver les enregistrements du traitement des risques IA | Pour la mise en œuvre des mesures déterminées en b) et c) |
6.1.4 | Appréciation d'impact du système d'IA | ||
72 | 6.1.4 | Définir et appliquer un processus pour apprécier les conséquences potentielles sur les individus, groupes d'individus ou la société | Résultant du développement, de la fourniture et de l'utilisation du système d'IA |
73 | 6.1.4 | Déterminer les conséquences potentielles sur les individus, groupes d'individus ou la société | Résultant du déploiement, de l'utilisation prévue et de la mauvaise utilisation prévisible du système d'IA |
74 | 6.1.4 | Prendre en compte les spécificités techniques et le contexte sociétal | Où le système d'IA est déployé et les juridictions applicables |
75 | 6.1.4 | Documenter le résultat de l'appréciation d'impact du système d'IA | Le cas échéant ce résultat peut être mis à disposition des parties prenantes |
76 | 6.1.4 | Considérer les résultats de l'appréciation d'impact du système d'IA dans l'appréciation des risques | Cf. 6.1.2 L'annexe A.5 fournit des mesures pour l'appréciation d'impact du système d'IA |
6.2 | Objectifs IA | ||
77 | 6.2 | Établir les objectifs IA | Pour toutes les fonctions et niveaux concernés |
78 | 6.2 a | Déterminer des objectifs IA | Cohérents avec la politique IA, cf. § 5.2 |
79 | 6.2 b | Déterminer des objectifs IA | Mesurables, si possible |
80 | 6.2 c | Déterminer des objectifs IA | En tenant compte des exigences applicables à l'IA, des résultats de l'appréciation et du traitement des risques |
81 | 6.2 d | Surveiller les objectifs IA | Cf. § 9.1 |
82 | 6.2 e | Communiquer les objectifs IA | Cf. § 7.4 |
83 | 6.2 f | Mettre à jour les objectifs IA | Comme approprié |
84 | 6.2 g | Rendre les objectifs IA disponibles | Sous forme de documents, cf. § 7.5 |
85 | 6.2 | Déterminer ce qui sera fait | Lors de la planification des objectifs IA |
86 | 6.2 | Déterminer les ressources nécessaires | Lors de la planification des objectifs IA |
87 | 6.2 | Déterminer le responsable | Lors de la planification des objectifs IA |
88 | 6.2 | Déterminer les échéances | Lors de la planification des objectifs IA |
89 | 6.2 | Déterminer comment les résultats seront évalués | Lors de la planification des objectifs IA |
6.3 | Planification des changements | ||
90 | 6.3 | Planifier les modifications du SMIA | Avant de les appliquer |
7 | Support | Dérouler (Do) | |
7.1 | Ressources | ||
91 | 7.1 | Déterminer et fournir les ressources nécessaires | Afin d'établir, appliquer, tenir à jour et améliorer en continu le SMIA |
7.2 | Compétence | ||
92 | 7.2 | Déterminer les compétences nécessaires des personnes concernées | Les personnes concernées peuvent influer sur les performances IA |
93 | 7.2 | S'assurer que ces personnes sont compétentes | Sur la base d'une formation initiale et professionnelle et de l'expérience |
94 | 7.2 | Mener des actions, le cas échéant, pour acquérir et tenir à jour les compétences nécessaires | Et évaluer l'efficacité de ces actions. Les actions incluent la formation, mais aussi l'encadrement, la réaffectation et le recrutement de personnes compétentes |
95 | 7.2 | Rendre disponibles les enregistrements des compétences | Cf. paragraphe 7.5.1 |
7.3 | Sensibilisation | ||
96 | 7.3 | Sensibiliser le personnel à la politique IA | Cf. paragraphe 5.2 |
97 | 7.3 | Sensibiliser le personnel à l'importance de leur contribution à l'efficacité du SMIA | Et des effets bénéfiques de la performance améliorée du SMIA |
98 | 7.3 | Sensibiliser le personnel aux répercussions du non-respect des exigences du SMIA | Ne pas oublier les conséquences potentielles sur toutes les activités professionnelles |
7.4 | Communication | ||
99 | 7.4 | Déterminer les besoins de communication interne et externe | Y compris sur quels sujets, cf. paragraphe 7.5.1 |
100 | 7.4 | Déterminer les besoins de communication interne et externe | Y compris quand communiquer |
101 | 7.4 | Déterminer les besoins de communication interne et externe | Y compris avec qui communiquer |
102 | 7.4 | Déterminer les besoins de communication interne et externe | Y compris comment communiquer |
7.5 | Documentation | ||
7.5.1 | Généralités | ||
103 | 7.5.1 a | Inclure dans le SMIA les documents exigés par l'ISO 42001 | Documents (informations documentées) disponibles, à conserver, à identifier, à maîtriser : domaine d'application (§ 4.3) actions risque (§ 6.1.1) déclaration d'applicabilité (§ 6.1.3) résultats de l'appréciation d'impact du système d'IA (§ 6.1.4) objectifs IA (§ 6.2) ressources (A.4.2) ressources en données (A.4.3) ressources en outils (A.4.4) compétences du personnel (§ 7.2) documents d'origine externe (§ 7.5.3) maîtrise opérationnelle (§ 8.1) résultats des appréciations du risque (§ 8.2) résultats des traitements du risque (§ 8.3) résultats des appréciations d'impact du système d'IA (§ 8.4) résultats d'inspection (§ 9.1) programme d'audit et résultats d'audit (§ 9.2.2) résultats de la revue de direction (§ 9.3.3) non-conformités, nature, actions et résultats (§ 10.2.2) Politique : politique IA (§ 5.2, A.2.2) |
104 | 7.5.1 b | Inclure les documents jugés nécessaires à l'efficacité du SMIA | Ces documents sont spécifiques par rapport à la taille de l'organisation, au domaine d'activité, à la complexité des processus et leurs interactions et à la compétence du personnel |
7.5.2 | Création et mise à jour | ||
105 | 7.5.2 | Identifier et décrire les documents de façon appropriée | Lors de leur création et mise à jour. Comme titre, auteur, date, codification |
106 | 7.5.2 | S'assurer que le format et le support des documents sont appropriés | Exemples de formats : langue, version du logiciel et des graphiques. Exemples de supports : papier, électronique |
107 | 7.5.2 | Passer en revue et valider les documents de façon appropriée | Afin de déterminer leur pertinence et adéquation |
7.5.3 | Maîtrise des informations documentées | ||
108 | 7.5.3 a | Maîtriser les documents pour qu'ils soient disponibles et conviennent à l'utilisation | Quand nécessaire et à l'endroit voulu. Selon les exigences du SMIA et de la norme ISO 42001 |
109 | 7.5.3 b | Maîtriser les documents pour qu'ils soient convenablement protégés | Comme perte de confidentialité, utilisation inappropriée ou perte d'intégrité |
110 | 7.5.3 | Appliquer des activités de distribution, d'accès, de récupération et d'utilisation | Afin de maîtriser les documents |
111 | 7.5.3 | Appliquer des activités de stockage et de protection | Y compris la préservation de lisibilité |
112 | 7.5.3 | Appliquer des activités de maîtrise des modifications | Comme la maîtrise des versions |
113 | 7.5.3 | Appliquer des activités de conservation et d'élimination | En déterminant pour chaque document la durée de conservation et la manière d'élimination |
114 | 7.5.3 | Identifier et maîtriser les documents d'origine externe | Liste des documents d'origine externe jugés nécessaires à la planification et au fonctionnement du SMIA |
8 | Réalisation | Dérouler (Do) | |
8.1 | Planification et maîtrise opérationnelles | ||
115 | 8.1 | Planifier, appliquer, maîtriser et tenir à jour des processus nécessaires afin de respecter les exigences du SMIA | En établissant des critères pour ces processus et en réalisant des actions déterminées dans le paragraphe 6.1 |
116 | 8.1 | Planifier, appliquer, maîtriser et tenir à jour des processus nécessaires afin de respecter les exigences du SMIA | En mettant en œuvre la maîtrise de ces processus |
117 | 8.1 | Appliquer les mesures liées au système de management d'IA | Selon 6.1.3, comme le développement du système d'IA, les mesures d'utilisation liées au cycle de vie |
118 | 8.1 | Surveiller l'efficacité des mesures | Afin de s'assurer que les processus sont réalisés comme prévu. Cf. paragraphe 7.5.1 |
119 | 8.1 | Prendre en considération des actions correctives | Si les résultats attendus ne sont pas atteints, cf. les annexes A et B |
120 | 8.1 | Rendre disponibles des documents suffisants | Afin de s'assurer que les processus sont réalisés comme prévu. Cf. paragraphe 7.5.1 |
121 | 8.1 | Maîtriser les modifications prévues et analyser ceux qui sont imprévues | En menant des actions pour limiter tout impact négatif. Cf. paragraphe 7.5.1 |
122 | 8.1 | S'assurer que les processus externalisés sont maîtrisés et pertinents | Y compris les produits et services externalisés |
8.2 | Appréciation des risques IA | ||
123 | 8.2 | Apprécier les risques IA régulièrement | Ou lorsque des modifications importantes sont proposées ou se produisent, cf. 6.1.2 |
124 | 8.2 | Conserver les résultats de toutes les appréciations des risques | Résultats de l'appréciation, cf. paragraphe 7.5.1 |
8.3 | Traitement des risques IA | ||
125 | 8.3 | Appliquer le plan de traitement des risques | Conformément au paragraphe 6.1.3 et vérifier l'efficacité du plan |
126 | 8.3 | Réaliser un processus de traitement du risque | Pour tout nouveau risque identifié conformément au paragraphe 6.1.3 |
127 | 8.3 | Passer en revue et revalider les options de traitement du risque | Pour des options de traitement du risque non efficaces conformément au paragraphe 6.1.3 |
128 | 8.3 | Mettre à jour le plan des traitements des risques | Pour des options de traitement du risque non efficaces conformément au paragraphe 6.1.3 |
129 | 8.3 | Conserver les résultats de traitement des risques | Plan de traitement des risques, cf. paragraphe 7.5.1 |
8.4 | Appréciation d'impact du système d'IA | ||
130 | 8.4 | Réaliser des appréciations d'impact du système d'IA | Selon 6.1.4 à intervalles réguliers ou suite à d'importantes modifications |
131 | 8.4 | Conserver les résultats des appréciations des risques | Plan de traitement des risques, cf. paragraphe 7.5.1 |
9 | Performance | Comparer (Check) | |
9.1 | Inspection | ||
132 | 9.1 | Déterminer ce qu'il est nécessaire d'inspecter (surveiller et mesurer) | Y compris les processus et les mesures pour atteindre ses objectifs |
133 | 9.1 | Déterminer les méthodes d'inspection | Y compris l'analyse et l'évaluation afin d'assurer la validité des résultats. Tout résultat valable est comparable et reproductible |
134 | 9.1 | Déterminer le moment d'inspection | Y compris les points où la surveillance et la mesure sont réalisées |
135 | 9.1 | Déterminer le moment d'analyse des résultats de l'inspection | Y compris le moment d'évaluation de ces résultats |
136 | 9.1 | Rendre les résultats de l'inspection disponibles | Comme enregistrements. Cf. paragraphe 7.5.1 |
137 | 9.1 | Évaluer la performance du SMIA | Y compris l'efficacité du SMIA |
9.2 | Audit interne | ||
9.2.1 | Généralités | ||
138 | 9.2.1 a 1 | Réaliser des audits internes à des intervalles planifiés afin de vérifier si le SMIA respecte les exigences de l'organisation | Y compris à la politique et les objectifs, cf. paragraphes 5.2 et 6.2 |
139 | 9.2.1 a 2 | Réaliser des audits internes à des intervalles planifiés afin de vérifier si le SMIA respecte les exigences de la norme ISO 42001 | Exigences dans les articles 4 à 10 et l'annexe A de la norme |
140 | 9.2.1 b | Réaliser des audits internes à des intervalles planifiés afin de vérifier si le SMIA est appliqué et maintenu efficacement | Cf. la revue de direction, paragraphe 9.3 |
9.2.2 | Programme d'audit | ||
141 | 9.2.2 | Planifier, établir, appliquer et tenir à jour le programme d'audit | Incluant la fréquence, les méthodes, les responsabilités, les exigences de planification et de rapport. Suivre les recommandations de l'ISO 19011 |
142 | 9.2.2 | Tenir compte dans le programme d'audit de l'importance des processus | Et des résultats des audits précédents |
143 | 9.2.2 a | Définir les objectifs et critères d'audit | Et le périmètre de chaque audit. Suivre les recommandations de l'ISO 19011 |
144 | 9.2.2 b | Sélectionner les auditeurs | Afin de conduire des audits objectifs et impartiaux. Suivre les recommandations de l'ISO 19011 |
145 | 9.2.2 c | Rendre compte des résultats des audits | A la direction concernée |
146 | 9.2.2 | Rendre disponibles sous forme d'enregistrements l'application du programme d'audit | Et les résultats d'audit, cf. paragraphe 7.5.1 |
9.3 | Revue de direction | ||
9.3.1 | Généralités | ||
147 | 9.3.1 | Passer en revue le SMSI à des intervalles planifiés | Afin de s'assurer que le SMSI est toujours approprié, adéquat et efficace. "Aucun système n'est parfait" |
9.3.2 | Eléments d'entrée | ||
148 | 9.3.2 a | Inclure l'avancement des actions décidées au cours de la revue de direction précédente | Utiliser le dernier rapport de la revue de direction |
149 | 9.3.2 b | Inclure les modifications des enjeux du SMIA | Cf. paragraphe 4.1 |
150 | 9.3.2 c | Inclure les modifications des exigences (besoins et attentes) des parties prenantes | Cf. paragraphe 4.2 |
151 | 9.3.2 d 1 | Inclure les tendances des retours d'information | Y compris les non-conformités et les actions correctives, cf. paragraphe 10.2 |
152 | 9.3.2 d 2 | Inclure les tendances des résultats des inspections | Autrement dit les résultats de la surveillance et du mesurage, cf. paragraphe 9.1 |
153 | 9.3.2 d 3 | Inclure les tendances des résultats des audits | Cf. paragraphe 9.2 |
154 | 9.3.2 e | Inclure les opportunités d'amélioration | Cf. paragraphe 10.1 |
9.3.3 | Eléments de sortie | ||
155 | 9.3.3 | Inclure dans les résultats de la revue de direction les décisions d'amélioration continue | Et les éventuels changements du SMIA |
156 | 9.3.3 | Rendre disponibles les résultats de la revue de direction | Comme preuves. Cf. paragraphe 7.5.1 |
10 | Amélioration | Agir (Act) | |
10.1 | Amélioration continue | ||
157 | 10.1 | Améliorer en continu la pertinence, l'adéquation et l'efficacité du SMIA | En améliorant la performance globale du SMIA |
10.2 | Non-conformité et action corrective | ||
158 | 10.2 a 1 | Réagir à la non-conformité | Afin de la maîtriser et de la corriger |
159 | 10.2 a 2 | Réagir à la non-conformité | Afin de faire face aux conséquences de la non-conformité |
160 | 10.2 b 1 | Passer en revue la non-conformité | En évaluant si une action est nécessaire pour éliminer la cause |
161 | 10.2 b 2 | Trouver la cause des non-conformités | Si possible jusqu'à la cause première |
162 | 10.2 b 3 | Déterminer si des non-conformités similaires se sont produites | Ou pourraient se produire |
163 | 10.2 c | Appliquer toutes les actions nécessaires | Y compris des actions correctives |
164 | 10.2 d | Passer en revue l'efficacité de toute action menée | Y compris toute action corrective |
165 | 10.2 e | Modifier le SMIA | Si cela est nécessaire |
166 | 10.2 | Mener des actions correctives appropriées aux conséquences réelles ou potentielles | Par rapport aux non-conformités apparues |
167 | 10.2 | Rendre disponibles les enregistrements sur la nature des non-conformités | Cf. paragraphe 7.5.1 |
168 | 10.2 | Rendre disponibles les enregistrements sur les résultats des actions correctives | Cf. paragraphe 7.5.1 |
Annexe A | Comparer (Check) | ||
A.2 | Politiques liées à l'IA | ||
169 | A.2.2 | Documenter une politique pour le développement ou l'utilisation du système d'IA | Cf. § 5.2 |
170 | A.2.3 | Déterminer dans quels cas d'autres politiques peuvent être affectées ou s'appliquer aux objectifs | De l'organisation en matière de système d'IA |
171 | A.2.4 | Passer en revue la politique IA à intervalles réguliers | Afin de garantir sa pertinence, son adéquation et son efficacité continues |
A.3 | Organisation interne | ||
172 | A.3.2 | Attribuer les rôles et responsabilités pour l'IA | Selon les besoins de l'organisation |
173 | A.3.3 | Définir et appliquer un processus de signalement des préoccupations | Du rôle de l'organisation sur le système d'IA tout au long de son cycle de vie |
A.4 | Ressources pour le système d'IA | ||
174 | A.4.2 | Identifier et documenter les ressources pertinentes | Pour les activités à chaque étape du cycle de vie du système d'IA |
175 | A.4.3 | Documenter les informations relatives aux ressources de données | Utilisées pour le système d'IA |
176 | A.4.4 | Documenter les informations relatives aux ressources en outils | Utilisées pour le système d'IA |
177 | A.4.5 | Documenter les informations sur le système et les ressources informatiques | Utilisées pour le système d'IA |
178 | A.4.6 | Documenter les informations relatives aux ressources humaines et leurs compétences | Utilisées pour le développement, le déploiement, l'exploitation, la gestion du changement, la maintenance, le transfert et l'intégration et le déclassement, la vérification et l'intégration du système d'IA |
A.5 | Appréciation d'impact du système d'IA | ||
179 | A.5.2 | Établir un processus pour apprécier les conséquences potentielles pour les individus, groupes d'individus ou sociétés | Qui peuvent résulter du système d'IA tout au long de son cycle de vie |
180 | A.5.3 | Documenter les résultats des appréciations d'impact du système d'IA | Et conserver les résultats pour une période définie |
181 | A.5.4 | Apprécier et documenter les impacts potentiels du système d'IA | Sur les individus, groupes d'individus tout au long de son cycle de vie |
182 | A.5.5 | Apprécier et documenter le potentiel des impacts sociétaux de leur système d’IA | Tout au long de leur cycle de vie |
A.6 | Cycle de vie du système d'IA | ||
A.6.1 | Lignes directrices pour le développement d'un système d'IA | ||
183 | A.6.1.2 | Identifier et documenter les objectifs pour orienter le développement responsable du système d’IA | Et de prendre ces objectifs en compte et intégrer des mesures pour les atteindre dans le cycle de vie du développement |
184 | A.6.1.3 | Définir et documenter les processus spécifiques | Pour la conception et le développement responsables du système d'IA |
A.6.2 | Cycle de vie du système d'IA | ||
185 | A.6.2.2 | Spécifier et documenter les exigences pour les nouveaux systèmes d’IA | Ou améliorer le matériel des systèmes existants |
186 | A.6.2.3 | Documenter la conception et le développement du système d'IA | En se basant sur les objectifs de l'organisation, les exigences documentaires et les critères de spécification |
187 | A.6.2.4 | Définir et documenter les mesures de vérification et de validation pour le système d'IA | Et spécifier les critères pour leur utilisation |
188 | A.6.2.5 | Documenter un plan de déploiement | Et veiller à ce que des exigences appropriées soient satisfaites avant le déploiement du système d'IA |
189 | A.6.2.6 | Définir et documenter les éléments nécessaires pour le fonctionnement continu du système d’IA | Au minimum, cela devrait inclure la surveillance du système et de la performance, les réparations, les mises à jour et le support |
190 | A.6.2.7 | Déterminer quelle documentation technique du système d’IA est nécessaire pour chaque catégorie concernée des parties prenantes | Telles que les utilisateurs, les partenaires, les autorités de surveillance, et fournir la documentation technique dans la forme appropriée |
191 | A.6.2.8 | Déterminer à quelles phases du cycle de vie du système d’IA la tenue des registres des journaux d'événements devrait être activée | Mais au minimum lorsque le système d’IA est en cours d'utilisation |
A.7 | Données pour les systèmes d'IA | ||
192 | A.7.2 | Définir, documenter et appliquer des processus de gestion des données | Liés au développement du système d’IA |
193 | A.7.3 | Déterminer et documenter des détails sur l'acquisition et la sélection des données | Utilisées dans le système d’IA |
194 | A.7.4 | Définir et documenter les exigences pour la qualité des données | Et s'assurer que les données utilisées pour développer et exploiter le système d’IA répondent à ces exigences |
195 | A.7.5 | Définir et documenter un processus pour l'enregistrement de l’origine des données utilisées dans son système d’IA | Tout au long des cycles de vie des données et du système d’IA |
196 | A.7.6 | Définir et documenter ses critères de sélection de préparation des données | Et les méthodes à utiliser pour la préparation des données |
A.8 | Informations pour les parties prenantes du système d'IA | ||
197 | A.8.2 | Déterminer et fournir les informations nécessaires | Aux utilisateurs du système d'IA |
198 | A.8.3 | Fournir aux parties prenantes la possibilité de signaler les impacts négatifs | Du système d'IA |
199 | A.8.4 | Déterminer et documenter un plan de communication des incidents | Pour les utilisateurs du système d'IA |
200 | A.8.5 | Déterminer et documenter ses obligations en matière de communication d'informations sur le système d'IA | Aux parties prenantes |
A.9 | Utilisation du système d'IA | ||
201 | A.9.2 | Définir et documenter les processus | Pour l'utilisation responsable du système d'IA |
202 | A.9.3 | Déterminer et documenter les objectifs | Pour guider l'utilisation responsable du système d'IA |
203 | A.9.4 | S'assurer que le système d'IA est utilisé conformément aux utilisations prévues du système d'IA | Et à la documentation qui l'accompagne |
A.10 | Relations avec les tiers et clients | ||
204 | A.10.2 | S’assurer que les responsabilités au cours du cycle de vie de son système d’IA sont réparties | Entre l’organisation, ses partenaires, ses fournisseurs, ses clients et des tiers |
205 | A.10.3 | Établir un processus pour garantir que l’utilisation des services, produits ou matériaux fournis par les fournisseurs est conforme à l’approche de l’organisation | En matière de développement et d’utilisation responsables du système d’IA |
206 | A.10.4 | S’assurer que son approche responsable du développement et de l’utilisation du système d’IA prend en compte les attentes | Et les besoins de ses clients |
