Hva er en AI-revisjon?
En AI-revisjon er en systematisk, uavhengig og dokumentert gjennomgang av hvordan en organisasjon styrer, utvikler, distribuerer og bruker AI-systemer. I sammenheng med ISO 42001, det er mekanismen du bruker for å bekrefte at ditt AI-styringssystem (AIMS) er i samsvar med standarden, dine egne dokumenterte krav, og at det implementeres og vedlikeholdes effektivt.
AI-revisjoner skiller seg fra tradisjonelle informasjonssikkerhetsrevisjoner på tre viktige måter. For det første dekker de AI-spesifikke artefakter som ikke finnes i et ISO 27001-program, for eksempel konsekvensvurderinger av AI-systemer, modellkort, opprinnelsesregistreringer for opplæringsdata og valideringsrapporter for livssyklus. For det andre vurderer de etiske og samfunnsmessige hensyn, inkludert rettferdighet, åpenhet og ansvarlighet, ikke bare konfidensialitet, integritet og tilgjengelighet. For det tredje følger de livssyklusen til individuelle AI-systemer fra målsetting til avvikling, i stedet for å revidere statiske kontroller isolert.
En AI-revisjon kan være intern (førstepart), leverandørrettet (andrepart), eller sertifisering eller overvåking (tredjepart, utført av et akkreditert organ). Denne siden fokuserer på internrevisjonen, fordi det er der de fleste team opererer daglig, og der en strukturert sjekkliste gir mest verdi. For en bredere kontekst om revisjonssyklusen, se vår veiledning til ISO 42001-revisjon prosess.
Hvorfor bruke en sjekkliste for AI-revisjon?
Å revidere et AI-styringssystem uten en sjekkliste er hvordan funn blir oversett, bevis blir glemt og ledelsens gjennomganger blir til krangel om omfang. En praktisk sjekkliste gir deg fire ting:
- Konsekvent omfang. Hver revisjon dekker de samme områdene i samme rekkefølge, så sammenligning fra år til år er meningsfull, og tilsynsrevisorer ser et modent program.
- Forsvarlige bevis. For hvert kontrollområde vet du på forhånd hvilke bevis du skal be om, noe som betyr at de reviderte kan forberede seg og du bruker tid på å vurdere i stedet for å jage etter.
- Reproduserbare testprosedyrer. En gjennomgang, en bevisinspeksjon og en stikkprøvetest gir resultater som en annen revisor kan reprodusere. Det er det en ekstern revisor forventer å se.
- Tydelige kriterier for bestått eller ikke bestått. Uten kriterier blir funn til meninger. En sjekkliste gjør hvert punkt om til et ja- eller nei-spørsmål støttet av bevis.
Sjekklisten i denne veiledningen er tilpasset internrevisjonskravene i punkt 9.2 og går gjennom de ni Vedlegg A kontrollerer områder (A.2 til A.10). Den er utformet for å skrives ut, gjennomgås og legges ved revisjonsrapporten som bevis på at revisjonen ble planlagt og utført innenfor et definert omfang.
Hvordan definerer ISO 42001 krav til internrevisjon?
Klausul 9.2 i ISO 42001 krever at organisasjoner gjennomfører interne revisjoner med planlagte intervaller for å gi informasjon om hvorvidt AIMS er i samsvar med både organisasjonens egne krav og kravene i standarden, og om det implementeres og vedlikeholdes effektivt. Den formuleringen er viktig. Revisorer kontrollerer ikke bare at det finnes retningslinjer. De kontrollerer at styringssystemet fungerer i praksis.
Klausulen krever også at du:
- Planlegge, etablere, implementere og vedlikeholde et revisjonsprogram, inkludert hyppighet, metoder, ansvar, planleggingskrav og rapportering
- Definer revisjonskriterier og omfang for hver revisjon
- Velg revisorer og gjennomfør revisjoner for å sikre objektivitet og upartiskhet
- Rapporter resultatene av revisjoner til relevant ledelse
- Ta vare på dokumentert informasjon som bevis på revisjonsprogrammet og dets resultater
Den normative implementeringsveiledningen i Veiledning i vedlegg B utdyper dette ytterligere. Når du kombinerer punkt 9.2 med kontrollområdene i vedlegg A, får du strukturen til sjekklisten nedenfor.
Alt du trenger for ISO 42001
Strukturert innhold, kartlagte risikoer og innebygde arbeidsflyter som hjelper deg med å styre AI ansvarlig og med selvtillit.
Sjekkliste for AI-revisjon: De 9 områdene som skal dekkes
Vedlegg A i ISO 42001 er organisert i ni kontrollområder. Tabellen nedenfor oppsummerer sjekklistepunktene, typisk dokumentasjon og testprosedyrer for hvert område. Bruk den som grunnlag for internrevisjonen. For hver rad er beståttkriteriet at dokumentasjonen er tilgjengelig, aktuell, godkjent og i samsvar med den tiltenkte kontrollen.
| Anneks A-området | Sjekklisteelementer | Typiske bevis | Test prosedyre |
|---|---|---|---|
| A.2 Retningslinjer knyttet til AI | AI-policy finnes og er godkjent; i samsvar med organisasjonens retningslinjer; gjennomgås med definerte intervaller; kommuniseres til ansatte; dekker mål for ansvarlig AI | Godkjent AI-policy, gjennomgangslogg, kommunikasjonsjournaler, bekreftelses- eller attestasjonsregister | Gjennomgang med policyeier, inspiser godkjennings- og gjennomgangshistorikk, eksempler på attestasjoner fra et tverrsnitt av roller |
| A.3 Intern organisering | AI-roller og -ansvar dokumentert og tildelt; rapporteringslinjer for AI-problemer definert; styringsforum møtes og det føres referat | Organisasjonskart, RACI for AI-beslutninger, mandat for Forum for styring av kunstig intelligens, møtereferater, logg for rapportering av bekymringer | Intervju lederen for AI-styring, ta eksempler på møtereferater fra de siste 12 månedene, og spor opp en rapportert bekymring fra ende til annen. |
| A.4 Ressurser for AI-systemer | Ressurser for AI-systemer identifiseres og dokumenteres (data, verktøy, databehandling, menneskelig ekspertise); tilstrekkelighet gjennomgås; dokumentasjon holdes oppdatert | Ressursregister, kompetanseregistre, verktøy- og beregningsinventar, resultater fra vurdering av ressurstilstrekkelighet | Prøve ett AI-system, spor ressursdokumentasjonen, verifiser at det finnes kompetanseregistreringer for nøkkelroller, bekreft gjennomgangsbevis |
| A.5 Vurdering av virkningene av AI-systemer | Konsekvensutredningsprosess definert; anvendt på alle AI-systemer innenfor rammen; dekker individer, grupper og samfunn; dokumentert og gjennomgått | Register over konsekvensutredninger for KI-systemer, fullførte vurderinger, gjennomgangs- og godkjenningslogger, dokumentasjon på tiltak knyttet til vesentlige konsekvenser | Ta stikkprøver fra to AI-systemer, inspiser de fullførte konsekvensutredningene, bekreft at omfanget dekker samfunnsmessige konsekvenser, spor eventuelle tiltak frem til avslutning |
| A.6 Livssyklus for AI-systemer | Mål, design, utvikling, verifisering, validering, utrulling, drift, overvåking og fjerningskontroller på plass; bevis innhentet på hvert trinn | Livssyklusdokumentasjon, designregistreringer, testplaner, valideringsrapporter, godkjenninger av utrulling, overvåkingslogger, avviklingsregistreringer | Velg ett AI-system og gå gjennom hele livssyklusen, inspiser bevis på hvert trinn; bekreft at valideringen var uavhengig av utvikling. |
| A.7 Data for AI-systemer | Datainnsamling, kvalitet, forberedelse og provenienskontroller definert og anvendt; datakilder dokumentert; kvalitet målt; proveniens beholdt | Datakildeoversikt, kvalitetskriterier, dataforberedelsesregistre, dokumentasjon av opprinnelse, registre over rettslig grunnlag der det er relevant | Prøve et treningsdatasett for ett system innenfor omfanget, inspiser opprinnelsen, verifiser at kvalitetskontroller ble utført og dokumentert |
| A.8 Informasjon til interesserte parter | Systemdokumentasjon levert til brukere; eksterne rapporteringsmekanismer definert; planer for hendelseskommunikasjon på plass | Brukerrettet dokumentasjon, utgivelsesnotater, eksterne rapporteringsoppføringer, maler og logger for hendelseskommunikasjon | Inspiser brukerdokumentasjonen for ett distribuert system, ta prøver av eventuell hendelseskommunikasjon, verifiser at eksterne rapporteringsforpliktelser er oppfylt |
| A.9 Bruk av AI-systemer | Prosesser for ansvarlig bruk definert; tiltenkt bruk dokumentert; mål for bruk gjennomgått; bruk utenfor omfanget forhindret eller oppdaget | Brukstilfelleregister, uttalelser om tiltenkt bruk, retningslinjer for akseptabel bruk, overvåkingsregistre, gjennomgangsresultater | Prøv to brukstilfeller, sammenlign faktisk bruk med tiltenkt bruk, inspiser overvåking og gjennomgå bevis |
| A.10 Tredjeparts- og kundeforhold | Leverandører av AI-systemer og -komponenter vurdert; ansvar mellom partene fordelt; kundens forpliktelser dokumentert | Leverandørregister med AI-spesifikk due diligence, kontrakter, ansvarsfordelingsmatrise, dokumentasjon av kundevendte forpliktelser | Ta stikkprøver fra to leverandører av kunstig intelligens, inspiser due diligence-rapporter og kontrakter, og verifiser at ansvaret er tydelig fordelt skriftlig. |
A.2 Retningslinjer knyttet til AI
Start på toppen av huset. Bekreft at det finnes en AI-policy, at den er godkjent på riktig nivå, at den gjennomgås i en definert syklus, og at den kommuniseres og anerkjennes av ansatte i relevante roller. Policyen bør sette retning for ansvarlig AI og bør være i samsvar med andre organisatoriske retningslinjer, spesielt informasjonssikkerhet og databeskyttelse. Funn her gjelder ofte forsinkede gjennomganger, ufullstendige bekreftelsesrapporter eller at retningslinjene ikke gjelder et sentralt område, som for eksempel tredjeparts AI verktøy.
A.3 Intern organisering
Revisjon av styringsstrukturen. Hvem eier AI-beslutninger? Hvor rapporteres AI-bekymringer, og hvordan blir de vurdert? Finnes det et styringsforum med et klart mandat og et quorum? Eksempel på møtereferater for substans, ikke bare oppmøte. Et vanlig funn er en godt utfylt RACI som ikke gjenspeiles i faktisk beslutningstaking, noe som er enkelt å oppdage ved å spore en reell beslutning fra ende til annen.
A.4 Ressurser for AI-systemer
Bekreft at ressursene som trengs for å utvikle, drifte og styre AI-systemer er identifisert, dokumentert og tilstrekkelige. Ressursene inkluderer data, verktøy, datainfrastruktur og menneskelig ekspertise. Kompetanseelementet er ofte svakest. Se etter rollespesifikke kompetansekriterier og bevis på at personer i disse rollene oppfyller dem, i stedet for generiske opplæringsjournaler.
A.5 Vurdering av virkningene av AI-systemer
Konsekvensanalyser av AI-systemer er et av de definerende trekkene ved ISO 42001 og en regelmessig kilde til funn. Vurderingen bør dekke virkninger på enkeltpersoner, grupper og samfunnet, og bør fullføres før implementering og gjennomgås ved endringer. Se vår dypere veiledning om AI konsekvensvurderinger for praktiske eksempler. Ta et utvalg av to AI-systemer innenfor rammen og spor hele konsekvensutredningen frem til godkjenning og avslutning av tiltak.
A.6 Livssyklus for AI-systemer
Dette er det største kontrollområdet og belønner en gjennomgang av livssyklusen. Velg ett AI-system i produksjonen og følg det fra målsetting gjennom design, utvikling, verifisering, validering, utrulling, drift, overvåking og utfasing. Den kritiske testen er om valideringen var uavhengig av utvikling og om overvåkingen har oppdaget avvik, hendelser eller bruk utenfor omfanget. AI-systemets livssyklus Veiledningen inneholder den fullstendige kontrolllisten.
A.7 Data for AI-systemer
Det er data som KI-systemer lykkes eller mislykkes med. Revisjon av anskaffelse, kvalitet, forberedelse og provenienskontroller. Ta stikkprøver av et treningsdatasett og bekreft at kilder, lisenser, kvalitetskontroller og juridisk grunnlag (der personopplysninger er involvert) er dokumentert. Forvent å finne problemer rundt proveniens for eldre systemer og rundt uformell snarere enn registrert måling av datakvalitet.
A.8 Informasjon for interesserte parter
Bekreft at brukere, kunder, regulatorer og andre interesserte parter mottar den informasjonen de trenger. Dette inkluderer systemdokumentasjon ved utrulling, hendelseskommunikasjon og eventuelle eksterne rapporteringsforpliktelser. Ta en prøve av en nylig hendelse eller vesentlig endring og inspiser kommunikasjonen som fulgte.
A.9 Bruk av AI-systemer
Den tiltenkte bruken av hvert AI-system bør dokumenteres, og den faktiske bruken bør overvåkes mot den. Både organisasjoner som kun utvikler AI, og organisasjoner som kun bruker tredjeparts AI, trenger dette kontrollområdet. Ta et utvalg av to brukstilfeller, sammenlign faktisk med tiltenkt bruk, og inspiser overvåkingen som oppdager avvik.
A.10 Tredjeparts- og kundeforhold
Revider hvordan AI-leverandører vurderes, hvordan ansvar fordeles mellom deg og dem, og hvordan kundens forpliktelser dokumenteres. For leverandører av fundamentsmodeller og spesifikt AI API-leverandører, verifiser at due diligence fanget opp modellens opprinnelse, evalueringsdata og forpliktelser til hendelsesvarsling. Funnene her er ofte knyttet til kontrakter som er eldre enn AI-programmet og ikke har blitt oppdatert for å gjenspeile tildelt ansvar.
Hvilke bevis bør du samle inn under en AI-revisjon?
Bevis er det som gjør en mening til et funn. For hvert punkt på sjekklisten, samle inn minst ett av følgende og legg det ved revisjonspapirene:
- Dokumentert bevis. Retningslinjer, prosedyrer, registre, vurderingsprotokoller, møtereferater, godkjenningsprotokoller og opplæringsprotokoller.
- Systemgenererte bevis. Tilgangslogger, overvåkingsutganger, dashbord for modellytelse, varsler om driftdeteksjon og hendelsesforespørsler.
- Intervjunotater. Gjennomganger med kontrolleiere, medlemmer av styringsforumet, dataforskere og produktsjefer, med dato, deltakere og hovedpunkter registrert.
- Observasjonsbevis. Skjermbilder, skjermopptak eller kommenterte utdrag som viser kontrollen i drift, for eksempel en godkjenningsarbeidsflyt som avviser en ikke-godkjent endring.
- Resultater av prøvetest. Der du har testet et utvalg (for eksempel ti av femten konsekvensanalyser av AI-systemer), registrer utvalgsstørrelsen, utvalgsmetode og bestått- eller ikke-bestått-resultatet per element.
Knytt hvert bevis tilbake til kontrollen det støtter og til revisjonsfunnet (eller mangelen på funn) det driver frem. Denne sporbarheten er akkurat det en ekstern revisor vil ønske å se i dokumentene dine, og er en av de vanligste tingene man gjør feil på papirbaserte revisjoner. For et fullstendig bilde av hva standarden krever skriftlig, se vår veiledning til dokumentasjon som kreves i henhold til ISO 42001.
Start din gratis prøveperiode
Vil du utforske?
Registrer deg for din gratis prøveversjon i dag og få hands on med alle samsvarsfunksjonene som ISMS.online har å tilby
Hvordan dokumenterer du funn og korrigerende tiltak?
Et funn er en dokumentert faktaerklæring, støttet av bevis, evaluert mot et kriterium. Gode funn har fire deler: betingelse (hva som ble observert), kriterium (hva som var nødvendig, for eksempel klausulen eller kontrollen), årsak (hvorfor det skjedde) og konsekvens (hva det betyr for AIMS). Funn klassifiseres deretter, vanligvis som:
- Stort avvik. En fullstendig oversikt over en obligatorisk kontroll, eller flere relaterte mindre avvik som peker på et systemisk problem. Disse vil blokkere sertifisering hvis de oppdages av en ekstern revisor.
- Mindre avvik. En enkeltstående feil i en ellers fungerende kontroll. Må tas tak i, men blokkerer sjelden sertifisering i seg selv.
- Observasjon eller mulighet for forbedring. Ikke et brudd på krav, men noe som er verdt å ta tak i før det blir et funn.
Ethvert avvik bør utløse et korrigerende tiltak som følger punkt 10. Det betyr å korrigere avviket, bestemme årsaken, avgjøre om lignende problemer finnes andre steder, implementere tiltaket, verifisere effektiviteten og oppbevare dokumentert informasjon. Registreringer av korrigerende tiltak bør lenke tilbake til revisjonsfunnet og videresende til eventuelle oppdateringer av risikoer, kontroller, retningslinjer eller Anvendelseserklæring.
En nyttig funnmal har kolonner for: funn-ID, revisjonsreferanse, kontroll eller klausul i vedlegg A, tilstand, kriterium, årsak, konsekvens, klassifisering, eier, forfallsdato, korrigerende tiltak, verifisering av effektivitet og avslutningsdato. Legg dette inn i arbeidspapirene dine, eller enda bedre, i en plattform som sporer for deg.
Hvordan ISMS.online forenkler AI-revisjoner
ISMS.online gir deg revisjonssjekklisten, bevisbiblioteket, funnsporingen og arbeidsflyten for korrigerende tiltak på ett sted, forhåndskartlagt i henhold til ISO 42001.
- Forhåndsbygd revisjonsprogram. Interne revisjonsplaner i samsvar med punkt 9.2 med innebygde revisjonsplaner, omfangsdefinisjon og revisortildeling.
- Sjekklistemaler per område i vedlegg A. Hvert punkt på sjekklisten er allerede tilordnet den relevante kontrollen, slik at revisorer bruker tid på å vurdere i stedet for å skrive maler.
- Tilknyttet bevis på kontrollnivå. Bevis innhentet mot kontrollene i vedlegg A er synlig direkte fra revisjonssjekklisten, noe som fjerner skattejakten.
- Funn og korrigerende tiltak i én arbeidsflyt. Avvik som oppdages under revisjonen oppretter automatisk korrigerende tiltak med eiere, forfallsdatoer, verifiseringstrinn og avslutningssporing i henhold til klausul 10.
- Inndata for ledelsesgjennomgang genereres automatisk. Revisjonsresultater, avvik og tiltak flyter direkte inn i ledelsens gjennomgangspakke i henhold til punkt 9.3.
- Gjenbruk av flere standarder. Bevis samlet inn for ISO 27001 interne revisjoner kan gjenbrukes mot de relevante ISO 42001-kontrollene, fordi alt ligger på samme plattform.
Resultatet er at en revisjon som ville tatt to uker med regnearksykling og e-postjakt, kjører som en administrert arbeidsflyt i ett enkelt verktøy, med bevissporet klart for den eksterne revisoren.
Hvorfor velge ISMS.online for AI-revisjonshåndtering?
ISMS.online er bygget fra grunnen av for ISO 42001, inkludert hele den interne revisjonssyklusen. Her er hva du får når du kjører AI-revisjoner på plattformen:
- En bruksklar sjekkliste for AI-revisjon. Forhåndskartlagt til punkt 9.2 og alle kontrollområder i vedlegg A, slik at den første revisjonen ikke starter med en blank mal.
- Integrert bevisbibliotek. Retningslinjer, risikoer, konsekvensanalyser og kontrollbevis er knyttet til kontrollene de støtter, slik at revisorer åpner et element og ser beviset.
- Funn og tiltak på ett sted. Avvik som avdekkes under revisjonen, fører til korrigerende tiltak med eiere, forfallsdatoer og verifisering av effektivitetskontroller, i samsvar med punkt 10.
- Ledelsens gjennomgang er klar. Revisjonsresultater, avvik og korrigerende tiltak mates direkte inn i ledelsens gjennomgangspakke i henhold til klausul 9.3, og fjerner dermed behovet for datainnsamling ved årets slutt.
- Delt med ISO 27001. Et enkeltstående revisjonsprogram som dekker ISO 42001 og ISO 27001, med bruk av ett sett med bevis, ett risikoregister og én bygger for anvendbarhetserklæringer.
- Metode for garanterte resultater. En dokumentert implementerings- og revisjonstilnærming som har hjulpet hundrevis av organisasjoner med å oppnå sertifisering første gang, med live menneskelig støtte gjennom hele prosessen.
Enten du gjennomfører din første interne revisjon, forbereder deg til en trinn 2-sertifiseringsrevisjon eller administrerer årlig overvåking, ISMS.online holder programmet strukturert og bevisene forsvarlige. For en bredere beredskapssjekk, kjør en gap analyse først, eller jobb deg gjennom hele vår Sjekkliste for samsvar med ISO 42001.
Klar til å se plattformen i aksjon? Kontakt å se hvordan ISMS.online kan drive AI-revisjonsprogrammet ditt.
Spørsmål og svar
Hva er en sjekkliste for AI-revisjon?
En sjekkliste for AI-revisjon er en strukturert liste over punkter som en internrevisor går gjennom for å vurdere om en organisasjons AI-styringssystem er i samsvar med ISO 42001 og implementeres effektivt. En god sjekkliste dekker revisjonskravene i klausul 9.2 og alle ni kontrollområdene i vedlegg A (A.2 til A.10), med bevisforventninger og testprosedyrer definert for hvert punkt, slik at funnene er konsistente og forsvarlige.
Hvor ofte bør jeg kjøre en internrevisjon av AI?
ISO 42001 klausul 9.2 krever interne revisjoner med planlagte intervaller, uten å foreskrive en spesifikk frekvens. I praksis gjennomfører de fleste organisasjoner en fullstendig AIMS-revisjon årlig, med ytterligere fokuserte revisjoner av AI-systemer eller kontrollområder med høyere risiko minst hver sjette måned. Revisjonsfrekvensen bør være risikobasert, så et generativt AI-system med høy effekt i produksjonen fortjener hyppigere gjennomgang enn et internt produktivitetsverktøy.
Hvem kan utføre en ISO 42001 internrevisjon?
Interne revisorer må være objektive og upartiske, noe som betyr at de ikke kan revidere arbeid de er ansvarlige for. Mange organisasjoner bruker en kombinasjon av opplært internt personale utenfor AI-funksjonen, et sentralt revisjonsteam eller en uavhengig tredjepart som fungerer som førstepartsrevisor på deres vegne. Det som er viktig er at revisoren er kompetent til å vurdere AI-spesifikke kontroller og er fri for interessekonflikter i forhold til områdene som revideres.
Hva er forskjellen mellom en AI-revisjon og en konsekvensutredning for AI?
En konsekvensanalyse av et AI-system (vedlegg A.5) evaluerer de potensielle konsekvensene et AI-system har for enkeltpersoner, grupper og samfunnet før utrulling og for endring. En AI-revisjon (punkt 9.2) evaluerer om styringssystemet som styrer AI, inkludert selve konsekvensanalyseprosessen, samsvarer med kravene og fungerer i praksis. En revisjon vil vanligvis bruke eksempler på konsekvensanalyser som bevis, men den dekker også retningslinjer, livssykluskontroller, datastyring, leverandører og alle andre områder av AIMS.
Må internrevisjonen dekke alle AI-systemer hver gang?
Nei. Revisjonsprogrammet bør sikre at alle deler av AIMS og alle AI-systemer innenfor rammen revideres over en definert syklus (vanligvis ett til tre år), men individuelle revisjoner kan begrenses til et delsett. For de fleste organisasjoner tar den årlige revisjonen stikkprøver av AI-systemer basert på risiko og vesentlighet, slik at systemene med størst innvirkning revideres oftest, og systemene med lavere risiko dekkes på rotasjon. Selve revisjonsprogrammet er det dokumenterte beviset på denne planen.
Hvordan kobles funn fra AI-revisjoner til korrigerende tiltak.
Ethvert avvik som oppdages under en revisjon, bør utløse et korrigerende tiltak i henhold til klausul 10. Det betyr å korrigere problemet, bestemme den underliggende årsaken, vurdere om det samme problemet finnes andre steder, implementere tiltaket, verifisere effektiviteten og oppbevare dokumentert informasjon. ISMS.onlineFunn som avdekkes under revisjonen, oppretter automatisk korrigerende tiltak med eiere og forfallsdatoer, og verifisering av effektivitet spores helt frem til avslutning, slik at ingenting avviker.
Kan samme revisjon dekke ISO 42001 og ISO 27001?
Ja. Begge standardene følger den overordnede strukturen i Annex SL og deler klausuler om lederskap, planlegging, støtte, drift, evaluering og forbedring. Annex D i ISO 42001 gir eksplisitt tilordning til ISO 27001. Et kombinert revisjonsprogram er mer effektivt, unngår duplisert bevisinnsamling og støttes av flerstandardplattformer som ISMS.online som bruker et enkelt risikoregister, bevisbibliotek og revisjonsarbeidsflyt på tvers av begge standardene.
