Managementsysteme mit einer einheitlichen Struktur
Ein KI-Managementsystem, was ist das? Mit der neuen Norm ISO 42001 wird seit Dezember 2023 eine Blaupause für den Aufbau eines KI-Managementsystems geliefert.
Wer sich mit der ISO 27001 gut auskennt, der wird auch die ISO 42001 sehr schnell durchdrungen haben. Grundsätzlich unterscheiden sich die beiden Managentsysteme in ihrer Struktur nicht voneinander. Die wesentlichen Managementprozesse sind identisch und unterscheiden sich nur in ihrer inhaltlichen Ausprägung.
Im Falle der ISO 27001 geht es um das Management der IT-Sicherheit und bei der ISO 42001 um das Management des KI-Einsatzes im Unternehmen. Die wesentlichen Abläufe sind in beiden Managementsystemen analog:
• Ermittlung des Kontextes des Managementsystems und seines Scopes
• Festlegung der Governance-Kriterien, Leitlinien und Zuständigkeiten
• Risikomanagement und Ableitung von Maßnahmen, Zielen und Prozessen
• Umsetzung
• Evaluation der Managementprozesse
• Kontinuierliche Verbesserung des Managementsystems
Die abgebildete Struktur ist für beide Normen gültig. Es sollte daher leicht fallen, einen KI-Managementprozess bei Vorhandensein eines ISMS nach ISO27001 als logische Erweiterung zu integrieren. Das ganze soll allerdings nicht darüber hinwegtäuschen, dass die spezifischen Controls für ein KI-Management bereits eine Herausforderung für viele Unternehmen darstellen dürften – völlig unabhängig davon, ob bereits andere Managementsysteme bestehen.
In weiteren Beiträgen werde ich tiefer in die ISO 42001 einsteigen, aber auch Vergleiche zu anderen Governance-Ansätzen liefern.
Wozu eine eigene Norm für KI?
Warum sind solche zertifizierbaren Standards wichtig? Meiner Meinung nach, müssen die Anbieter von KI-basierten Leistungen eine Grundlage für das Vertrauen der Nutzer in ihre Produkte schaffen. Dafür sollten sie Basisanforderungen an ein gutes Management von KI-Systemen erfüllen und nachweisen können. Entsprechende Zertifizierungen können hier einen Weg eröffnen.
Ja, ich weiß, über den Aussagegehalt einer ISO 27001 kann man prächtig streiten. Manche halten sie auch nur für ein Papierwerk ohne Aussage über die tatsächliche IT-Sicherheit eines Unternehmens. Stimmt in einigen Fällen sicherlich. Gleiches kann man sicher auch für die ISO 42001 vorhersagen.
Aber bevor an jeder Ecke obskure nicht nachvollziehbare Bescheinigungen für viel Geld verliehen werden, ist mir ein internationaler Standard wie eine ISO 42001 allemal lieber.