人工智慧管理系統(AIMS)國際標準 ISO 42001 相關的 AI 治理和 Data 治理議題可說是相輔相成,想要深化 AI 和 Data 在 ISO 42001 的關聯性,便須突顯 ISO 42001 在 AI 治理與 Data 治理的整體生命週期環節中扮演的樞紐角色。
文/梁日誠
要讓 AI 在組織內可持續且可被信任地(Responsibly)運作,僅有模型或演算法管控仍屬不足,需要一個涵蓋 AI 管理系統(對應 ISO 42001 國際標準)的 AI 治理(對應 ISO 38507 國際標準)框架來涵蓋政策、角色職責、風險、稽核與持續改善。
AI 治理與 Data 治理 相輔相成不可偏廢
而這正是 ISO 42001 的定位:協助組織建立、實施、維護及持續改進的 AI 管理系統(AIMS),把 AI Systems 的相關利害團體所關注的特定議題(如:可解釋度不足、持續學習導致行為改變、資料品質等)整合進既有治理流程。ISO 42001 亦須將 AI 管理需求融入日常業務流程。
[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 IG,與全球CIO同步獲取精華見解 ]
同時,涉及資料(Data)的 AI Systems(如:Machine Learning)離不開資料品質,品質不佳的情況,如:資料偏差、代表性不足、即時性缺口等,都會直接影響模型的公平、可靠與穩定。資料品質的部分可參考 ISO 5259 系列標準補強實務面的作法,ISO 5259 系列標準說明如下:
▪ISO 5259-1:名詞、概念與資料生命週期(DLC) 模型。
▪ISO 5259-2:資料品質特徵與量測(如:Accuracy、Completeness、Representativeness、Timeliness 等)。
▪ISO 5259-3:資料品質管理的要求與指引(從資料動機、規格、規劃、取得、前處理、增強、供應到退役)。
▪ISO 5259-4:資料品質流程框架(DQPF),把各流程細化到可操作的步驟(如:標註、品質評鑑與改善)。
▪ISO 5259-5:資料品質治理框架,為 AI/資料品質決策、角色職責與風險管理提供高階指引。
▪ISO 5259-6:資料品質視覺化框架,旨在透過圖形化方法協助利害關係人評鑑資料品質測量結果。(PS:此項仍在制定中)
整體而言,ISO 42001 提供 「應或須做什麼」 的管理框架(如:控制措施與對應的實作指引),而 ISO 5259 系列則提供 「怎麼做」 的具體方法(如:量測、流程與治理),兩者缺一不可。
AI 治理與資料治理標準間的對應關係
ISO 38507 提供了 Governance of AI 的 AI 治理框架,也可充分整合 Data 治理於其中,配合 AI 管理與 Data管理(如:管理層面、運作層面、DLC)的進一步整合,提供了 AI + Data 治理的國際標準應用參考,如<圖A>。
AI 管理中用於風險處理的 ISO 42001 國際標準的資料相關的控制措施(於Annex A)及實作指引(於 Annex B)與 ISO 5259 系列標準間,具備相互對應的關係,可參考<表A>。
AI 與 Data 生命週期的整合
AI 系統生命週期與資料生命週期(DLC)是治理與管理的實踐架構,各自的階段說明如下:
- AI 系統生命週期(對應 ISO 22989)
包含了 Inception、Design & Development、Verification & Validation、Deployment、Operation & Monitoring、Reevaluation、Retirement 等階段,這些階段在 ISO 42001 透過 A.6 – AI System Life Cycle 下的控制措施被要求並參考 B.6 對應的實作指引。 - 資料生命週期(DLC,對應 ISO 5259-1)
包含了 Data Requirements、Data Planning、Data Acquisition、Data Preparation、Data Provisioning、Data Decommissioning ; ISO 5259-3 資料品質管理生命週期(DQMLC)則納入 Data Motivation and Conceptualization(A)、Data Specification(B)、Data Planning(C)、Data Acquisition(D)、Data Preprocessing(E)、Data Augmentation(F)、Data Provisioning(G)、Data Decommissioning(H) 等階段。
以資料探勘與資料科學等領域的業界實務常用的 CRISP-DM 方法論為例,其業務流程步驟可與 AI 系統生命週期與 DLC/DQMLC 相對應,案例說明如 <圖B>,展現了業界實務可充分採用或轉換 AI 與資料相關國際標準的可能性。
實踐 AI+Data 的治理與管理
為確保 AI 與資料治理能順利落地,可參考以下的具體的行動清單:
▪與 AI 利害相關團體互動(Engagement)時,納入 Data 考量。
▪ 定義 AI 政策與目標,並將資料品質原則納入其中。
▪ 建立角色與權責,明確資料所有者、品質負責人與使用者之間的關係。
▪實施資料規格與量測,定義關鍵資料品質門檻,並使用 ISO 5259-2 進行量測。
▪設計可稽核的資料生命週期,將 ISO 42001 的資料相關控制措施(如:A.7.2~A.7.6)整合進 DLC/DQMLC 中。
▪識別、分析、評估及處理 AI Bias 時,納入資料議題。
▪ 建立監控機制,持續追蹤資料與模型漂移,並觸發再訓練或再評估。
▪ 建立分層的治理與彙報機制,確保董事會、管理階層與營運層的責任歸屬與透明度。
基本上,ISO 42001 協同 ISO 38507 提供 AI 治理與管理系統的整體架構,至於 ISO 5259 系列則是提供資料品質的生命週期與相關的量測與流程方法,可將三者串接起來,透過引用 ISO 22989 的 AI 系統生命週期,將業界實務與專案納入 AI 與資料品質生命週期的遞迴循環中,並務實地把可信任、負責任的 AI 具體地進行實踐。
[ 延伸閱讀:人工智慧時代的 FATE 原則 ]
而 ISO 5259-3 中的資料品質管理要求,也可與 ISO 42001 合併進行第三方稽核或符合性評鑑,有效建立相關利害團體對組織 AIMS 的信心。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
