人工智能 风险管理能力评估 征求意见稿.docx

1

GB/TXXXXX—XXXX

人工智能风险管理能力评估

1范围

本文件提出了组织的人工智能风险管理能力评级与划分规则，规定了组织对于人工智能风险管理的能力框架和评估方法。

本文件适用于对组织级利益相关方所提供的人工智能风险管理能力的评估。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T24353-2022风险管理指南GB/T23694-2013风险管理术语

GB/T41867-2022信息技术人工智能术语

ISO/IEC22989:2022信息技术人工智能概念和术语（Informationtechnology—Artificialintelligence—Artificialintelligenceconceptsandterminology）

ISO/IEC23894:2023信息技术人工智能风险管理指南（Informationtechnology—Artificialintelligence—Guidanceonriskmanagement）

ISO/IEC31000:2018风险管理指南（Riskmanagement-Guidelines）

ISO/IEC42001:2023信息技术人工智能管理体系（Informationtechnology—Artificialintelligence—Managementsystem）

3术语和定义

GB/T41867-2022与ISO/IEC22989:2022、ISO/IEC31000:2018界定的以及下列术语和定义适用于本文件。

3.1

人工智能artificialintelligence

人工智能系统的机制和应用的研究与开发。

[来源：GB/T41867-2022，3.1.2]3.2

人工智能系统artificialintelligencesystem

针对人类定义的给定目标，产生诸如内容、预测、推荐或决策等输出的一类工程系统。

注1：该工程系统使用人工智能相关的多种技术和方法，开发表征数据、知识、过程等的模型，用于执行任务。注2：人工智能系统具备不同的自动化级别。

2

GB/TXXXXX—XXXX

[来源：GB/T41867-2022，3.1.8]3.3

风险risk

不确定性对目标的影响。

[来源：GB/T23694-2023，2.1]3.4

风险管理riskmanagement

在风险方面指导和控制组织的协调活动。[来源：GB/T23694-2023，3.1]

3.5

风险源riskresource

单独或组合有可能产生风险的元素。[来源：GB/T23694-2023，4.5.1.2]

3.6

能力主域capabilitydomain

风险管理过程框架中相关过程的集合。3.7

能力子域capabilitysub-domain能力主域中相关风险管理活动的集合。

3.8

能力子项capabilitysub-item

能力子域中构成能力模型的若干特性指标单项。3.9

能力子项权重factorofcapabilitysub-item对应能力子项在所述能力子域评估中的权重因子。

4人工智能风险管理能力评级

4.1人工智能风险管理能力等级

人工智能风险管理能力等级分为初始级、规范级、全面级、量化级、卓越级共5级，见图1。

3

GB/TXXXXX—XXXX

图1人工智能风险管理能力等级

每个能力等级表明人工智能风险管理能力所达到的水平。较高的能力等级涵盖了低于其能力等级的全部要求。

4.2人工智能风险管理能力等级划分规则

人工智能风险管理能力等级划分可采用评分量化的方式进行，风险管理能力等级的评分可参考如下公式。其中，各能力主域和能力子域的评分可分别适用相关公式进行评估：

能力等级得分的计算公式如公式（1）所示：

Capa_level=Σk(capa_domaink×factork)………（1）

式中：

Capa_level——能力等级得分；

capa_domaink——第k个能力主域的得分；factork——第k个能力主域的权重。能力主域得分的计算公式如公式（2）所示：

Capa_