Slik bruker du denne ISO 42001-sjekklisten
ISO 42001 (tidligere ISO/IEC 42001:2023) er den internasjonale standarden for AI-styringssystemer (AIMS). Den gir et strukturert rammeverk for organisasjoner som utvikler, leverer eller bruker AI-systemer for å gjøre dette på en ansvarlig måte og i tråd med regulatoriske forventninger.
Denne sjekklisten er delt inn i to deler. Den første dekker krav til styringssystem i klausul 4–10, som definerer hvordan organisasjonen din planlegger, støtter, driver og forbedrer sine AIMS. Den andre dekker 38 Kontrollmål i vedlegg A, som omhandler spesifikke risikoer og ansvarsområder gjennom hele AI-systemets livssyklus.
Arbeid deg gjennom hvert element i rekkefølge. Bruk status kolonne for å spore fremdrift – merk elementer som Ikke startet, Pågår eller Fullført. Der du identifiserer mangler, kryssreferer med vår gap analyse guide og implementeringsveiledning for praktiske neste steg.
Krav til styringssystem (punkt 4–10)
Disse klausulene følger den overordnede strukturen i Annex SL, som deles av ISO 27001, ISO 9001 og andre styringssystemstandarder. Hvis organisasjonen din allerede har en av disse sertifiseringene, vil du gjenkjenne mønsteret – men vær nøye med de AI-spesifikke kravene, som AI-risikovurdering (6.1.2), konsekvensvurdering av AI-systemer (6.1.4) og driftskontroller for AI-systemer (8.2–8.4).
| Klausul | Krav | Nøkkelhandlinger | status |
|---|---|---|---|
| 4.1 | Forstå organisasjonen og dens kontekst | Identifiser eksterne og interne problemer som er relevante for dine AI-aktiviteter og AIMS-formål | ☐ |
| 4.2 | Forstå behovene og forventningene til interesserte parter | List opp interessenter (regulatorer, kunder, berørte individer) og deres krav til AI-styring | ☐ |
| 4.3 | Fastsettelse av omfanget av AIMS | Definer grenser – hvilke AI-systemer, forretningsenheter og lokasjoner som er omfattet | ☐ |
| 4.4 | AI-styringssystem | Etablere, implementere, vedlikeholde og kontinuerlig forbedre AIMS i tråd med standarden | ☐ |
| 5.1 | Ledelse og engasjement | Toppledelsen viser engasjement ved å sette AI-policyer, tildele ressurser og integrere AIMS i forretningsprosesser. | ☐ |
| 5.2 | AI-politikk | Utarbeide og godkjenne et AI-politikk som inkluderer forpliktelser til ansvarlig AI bruk, samsvar med lover og kontinuerlig forbedring | ☐ |
| 5.3 | Organisatoriske roller, ansvar og fullmakter | Tildel AIMS-roller (leder for AI-styring, risikoeier, systemeier) og kommuniser ansvar | ☐ |
| 6.1.1 | Tiltak for å håndtere risikoer og muligheter (generelt) | Identifiser risikoer og muligheter som kan påvirke AIMS-resultatene | ☐ |
| 6.1.2 | AI risikovurdering | Definer og anvende en risikovurderingsprosess for AI som dekker sannsynlighet, alvorlighetsgrad og innvirkning på individer og grupper | ☐ |
| 6.1.3 | Håndtering av AI-risiko | Velg risikobehandlingsalternativer og tilordne dem til kontrollene i vedlegg A; utarbeid en Anvendelseserklæring | ☐ |
| 6.1.4 | Konsekvensvurdering av AI-systemer | Vurder potensielle konsekvenser av AI-systemer for enkeltpersoner, grupper og samfunn før utrulling | ☐ |
| 6.2 | AI-mål og planlegging for å oppnå dem | Sett målbare AI-mål på relevante funksjoner og nivåer; planlegg ressurser, ansvar og tidslinjer | ☐ |
| 6.3 | Planlegging av endringer | Sørg for at AIMS-endringer planlegges, med vurdering av konsekvenser og allokering av ressurser | ☐ |
| 7.1 | Ressurser | Bestem og tilveiebring ressursene som trengs for AIMS | ☐ |
| 7.2 | Kompetanse | Sørg for at personellet har nødvendig AI-styring og teknisk kompetanse; gi opplæring der det er nødvendig | ☐ |
| 7.3 | Awareness | Sørg for at alle relevante ansatte forstår AI-policyen, sitt AIMS-ansvar og konsekvensene av avvik | ☐ |
| 7.4 | Kommunikasjon | Bestem interne og eksterne kommunikasjonskrav for AIMS | ☐ |
| 7.5 | Dokumentert informasjon | Opprett, oppdater og kontroller alt dokumentasjonskrav kreves av standarden | ☐ |
| 8.1 | Driftsplanlegging og kontroll | Planlegg, implementer og kontroller prosessene som er nødvendige for å oppfylle AIMS-krav og levere AI-mål | ☐ |
| 8.2 | AI risikovurdering | Utfør risikovurderinger for kunstig intelligens med planlagte intervaller eller når det oppstår betydelige endringer; behold dokumenterte resultater | ☐ |
| 8.3 | Håndtering av AI-risiko | Implementer risikobehandlingsplanen for AI og behold bevis på resultater | ☐ |
| 8.4 | Konsekvensvurdering av AI-systemer | Gjennomfør konsekvensutredninger for AI-systemer innenfor omfanget og dokumenter funnene | ☐ |
| 9.1 | Overvåking, måling, analyse og evaluering | Definer hva som skal overvåkes, målemetoder og hvor ofte; evaluer AIMS-ytelsen | ☐ |
| 9.2 | Internrevisjon | Gjennomfør planlagte interne revisjoner for å bekrefte at AIMS er i samsvar med standarden og implementeres effektivt. Se vår ISO 42001-revisjon veilede | ☐ |
| 9.3 | Gjennomgang av ledelsen | Toppledelsen gjennomgår AIMS-ytelse, revisjonsresultater, risikostatus og forbedringsmuligheter med planlagte intervaller. | ☐ |
| 10.1 | Kontinuerlig forbedring | Kontinuerlig forbedre AIMS' egnethet, tilstrekkelighet og effektivitet | ☐ |
| 10.2 | Avvik og korrigerende tiltak | Reager på avvik, evaluer underliggende årsaker, iverksett korrigerende tiltak og vurder effektiviteten deres | ☐ |
Når du har jobbet deg gjennom hver klausul, bør du ha et klart bilde av hvor din AI Management System Neste trinn er å vurdere din posisjon i forhold til kontrollene i vedlegg A.
Alt du trenger for ISO 42001
Strukturert innhold, kartlagte risikoer og innebygde arbeidsflyter som hjelper deg med å styre AI ansvarlig og med selvtillit.
Vedlegg A Sjekkliste for kontrollmål
Vedlegg A i ISO 42001 inneholder 38 kontroller organisert over ni områder. Disse kontrollene er ikke alle obligatoriske – din Anvendelseserklæring avgjør hvilke som gjelder basert på din risikovurdering for kunstig intelligens. Du må imidlertid begrunne eventuelle unntak. Bruk denne sjekklisten sammen med vår detaljerte Vedlegg A kontrollerer veiledning for implementeringsdetaljer.
| Kontrollreferanse | Kontrollnavn | Nøkkelbevis som kreves | status |
|---|---|---|---|
| A.2 — Retningslinjer knyttet til AI | |||
| A.2.2 | AI-politikk | Godkjent AI-policydokument, kommunikasjonsrapporter | ☐ |
| A.2.3 | Samsvar med annen politikk | Kryssreferansematrise for retningslinjer som viser samsvar med retningslinjer for informasjonssikkerhet, personvern og etikk | ☐ |
| A.2.4 | Gjennomgang av AI-policy | Planlagte gjennomgangsoppføringer, versjonshistorikk, godkjenning av ledelse | ☐ |
| A.3 — Intern organisering | |||
| A.3.2 | AI-roller og -ansvar | RACI-matrise eller rollebeskrivelser som dekker styring, utvikling og drift av AI | ☐ |
| A.3.3 | Rapportering av bekymringer | Dokumentert rapporteringskanal, eskaleringsprosedyrer, registreringer av bekymringer som er tatt opp | ☐ |
| A.4 — Ressurser for AI-systemer | |||
| A.4.2 | Ressursdokumentasjon | Inventar over AI-systemressurser (data, databehandling, verktøy, personell) | ☐ |
| A.4.3 | Dataressurser | Datainventar, dataflytdiagrammer, tilgangskontroller | ☐ |
| A.4.4 | Verktøyressurser | Register over verktøy for AI-utvikling og -distribusjon, versjonskontroller | ☐ |
| A.4.5 | System- og dataressurser | Infrastrukturdokumentasjon, kapasitetsplaner, tilgangskontroller | ☐ |
| A.4.6 | Menneskelige ressurser | Kompetansejournaler, opplæringsplaner, kvalifikasjonsbevis | ☐ |
| A.5 — Vurdering av virkningene av AI-systemer | |||
| A.5.2 | Prosess for konsekvensvurdering av AI-systemer | Dokumentert metodikk for konsekvensutredning, vurderingsmaler | ☐ |
| A.5.3 | Dokumentasjon av vurderinger | Fullførte konsekvensutredningsrapporter for hvert AI-system som er omfattet | ☐ |
| A.5.4 | Påvirkning på enkeltpersoner | Analyse av effekter på individuelle rettigheter, sikkerhet og velvære; avbøtende tiltak | ☐ |
| A.5.5 | Samfunnsmessige konsekvenser | Vurdering av bredere samfunnseffekter, inkludert skjevhet, rettferdighet og miljøpåvirkning | ☐ |
| A.6 — Livssyklus for AI-systemer | |||
| A.6.1.2 | Mål for ansvarlig utvikling | Dokumenterte mål som dekker rettferdighet, åpenhet, ansvarlighet og sikkerhet | ☐ |
| A.6.1.3 | Prosesser for ansvarlig design | Dokumentasjon av designprosessen som integrerer ansvarlige AI-prinsipper i hvert trinn | ☐ |
| A.6.2.2 | Kravspesifikasjon | Funksjonelle og ikke-funksjonelle krav, inkludert etiske og juridiske begrensninger | ☐ |
| A.6.2.3 | Dokumentasjon av design | Systemarkitekturdokumenter, designbeslutninger, avveiningsrapporter | ☐ |
| A.6.2.4 | Verifisering og validering | Testplaner, testresultater, akseptkriterier, skjevhet og ytelsestestlogger | ☐ |
| A.6.2.5 | Utplassering | Distribusjonsprosedyrer, sjekklister for lansering, planer for tilbakerulling | ☐ |
| A.6.2.6 | Drift og overvåking | Overvåkingsdashbord, ytelsesmålinger, logger for driftdeteksjon | ☐ |
| A.6.2.7 | Teknisk dokumentasjon | Modellkort, systembeskrivelser, algoritmedokumentasjon | ☐ |
| A.6.2.8 | Hendelseslogger | Loggingsprosedyrer, retningslinjer for loggoppbevaring, bevis for revisjonsspor | ☐ |
| A.7 — Data for AI-systemer | |||
| A.7.2 | Data for utvikling | Kriterier for datautvalg, representativitetsanalyse, skjevhetsvurderinger | ☐ |
| A.7.3 | Oppkjøp av data | Datakilderegistreringer, dokumentasjon av samtykke/lisens, juridisk grunnlag | ☐ |
| A.7.4 | Datakvalitet | Datakvalitetsmålinger, valideringsprosedyrer, feilhåndteringsposter | ☐ |
| A.7.5 | Dataopprinnelse | Dokumentasjon av dataavstamning, sporbarhetskjede | ☐ |
| A.7.6 | Dataforberedelse | Forbehandlingsrørledninger, transformasjonslogger, merkingsprosedyrer | ☐ |
| A.8 — Informasjon til interesserte parter | |||
| A.8.2 | Systemdokumentasjon for brukere | Brukerhåndbøker, funksjonsbeskrivelser, kjente begrensninger | ☐ |
| A.8.3 | Ekstern rapportering | Publiserte åpenhetsrapporter, regulatoriske innspill | ☐ |
| A.8.4 | Kommunikasjon av hendelser | Prosedyrer for hendelsesvarsling, kommunikasjonsmaler, varslingslogger | ☐ |
| A.8.5 | Informasjon for interesserte | Rapporter om interessentkommunikasjon, retningslinjer for offentliggjøring | ☐ |
| A.9 — Bruk av AI-systemer | |||
| A.9.2 | Prosesser for ansvarlig bruk | Prosedyrer for akseptabel bruk, menneskelige tilsynsmekanismer, eskaleringsveier | ☐ |
| A.9.3 | Mål for ansvarlig bruk | Målbare mål for ansvarlig bruk av kunstig intelligens, overvåkingskriterier | ☐ |
| A.9.4 | Tiltenkt bruk | Dokumenterte brukserklæringer, grensebetingelser, forbudt bruk | ☐ |
| A.10 — Tredjeparts- og kundeforhold | |||
| A.10.2 | Tildeling av ansvar | Ansvarsfordelingsdokumenter, kontraktsbestemmelser for AI-forpliktelser | ☐ |
| A.10.3 | Leverandører | Leverandørvurderingsrapporter, due diligence-rapporter, kontraktsmessige AI-krav | ☐ |
| A.10.4 | kunder | Kundekommunikasjonslogger, bruksveiledning, tilbakemeldingsmekanismer | ☐ |
Når du har vurdert alle kontrollene, samler du begrunnelsene dine i en AnvendelseserklæringDette dokumentet er en obligatorisk revisjonsleveranse og knytter hver kontroll til dine beslutninger om risikohåndtering.
Kom enkelt i gang med en personlig produktdemo
En av våre onboarding-spesialister vil veilede deg gjennom plattformen vår for å hjelpe deg med å komme i gang med selvtillit.
Hvorfor velge ISMS.online for ISO 42001-samsvar?
Å jobbe seg gjennom en sjekkliste på papir er en start – men å håndtere løpende Overholdelse av ISO 42001 på tvers av team, AI-systemer og revisjonssykluser krever en plattform som er bygget for jobben. ISMS.online kartlegger direkte til hvert element på denne sjekklisten:
- Forhåndsbygde ISO 42001-kontrollsett — Hver kontroll i tillegg A er forhåndslastet med veiledning, slik at teamet ditt vet nøyaktig hvilke bevis de skal samle inn og hvor de skal oppbevare dem.
- AI-risikoregister — Gjennomføre og dokumentere risikovurderinger for AI (punkt 6.1.2) og konsekvensvurderinger av AI-systemer (punkt 6.1.4) i et strukturert, reviderbart register.
- Policy- og dokumenthåndtering — Utkast, versjon, godkjenn og distribuer AI-politikk og alle støttende dokumentasjon fra et enkelt arbeidsområde.
- Bygger av erklæring om anvendelighet — Generer din SoA automatisk fra dine risikobehandlingsbeslutninger, med fullstendig begrunnelsessporing for inkluderte og ekskluderte kontroller.
- Revisjonsledelse — Planlegge interne revisjoner (punkt 9.2), tildele funn, spore korrigerende tiltak (punkt 10.2) og eksportere dokumentpakker for eksterne revisorer. Se vår ISO 42001-revisjon guide for mer.
- Bevisinnsamling og -kobling — Legg ved bevis direkte til kontroller og klausuler. Når revisoren ber om bevis, er det allerede organisert og klart.
- Støtte for integrert styringssystem — Hvis du allerede kjører ISO 27001 eller ISO 27701, ISMS.online lar deg administrere alle standarder fra én plattform med delte kontroller og redusert duplisering.
Klar til å gå fra sjekkliste til handling? Kontakt å se hvordan ISMS.online akselererer veien din til ISO 42001-sertifisering.
Spørsmål og svar
Hvor mange krav er det i ISO 42001?
ISO 42001 inneholder krav til styringssystemer på tvers av syv klausuler (klausul 4 til klausul 10) pluss 38 kontrollmål i tillegg A gruppert i ni kontrollområder. Klausulene definerer hvordan du etablerer, driver og forbedrer ditt AI-styringssystem, mens kontrollene i tillegg A omhandler spesifikke AI-styring ansvarsområder som datakvalitet, konsekvensanalyse og tredjepartsadministrasjon.
Må jeg implementere alle 38 kontrollene i vedlegg A?
Ikke nødvendigvis. Kontrollene du implementerer avhenger av din AI-risikovurdering og omfanget av dine AI-systemer. Du må dokumentere beslutningene dine i en Anvendelseserklæring, og begrunn både kontrollene du har valgt og de du har ekskludert. Revisorer vil gjennomgå disse begrunnelsene, så hvert ekskludering trenger en klar, risikobasert begrunnelse.
Hva er forskjellen mellom klausulkravene og kontrollene i vedlegg A?
Klausulkravene (4–10) er obligatoriske for alle organisasjoner som søker sertifisering. De definerer rammeverket for styringssystemet: kontekst, lederskap, planlegging, støtte, drift, ytelsesevaluering og forbedring. Kontrollene i tillegg A er et referansesett med mål som du bruker selektivt basert på risikohåndteringsplanen din. Tenk på klausulene som motoren i AIMS-en din, og tillegg A som de spesifikke kontrollene du legger til for å håndtere identifiserte risikoer.
Hvor lang tid tar det å fullføre denne sjekklisten og oppnå sertifisering?
Tidslinjene varierer etter organisasjonens størrelse og modenhet. En organisasjon med et eksisterende ISO 27001-styringssystem kan vanligvis oppnå ISO 42001-sertifisering på 3–6 måneder ved å utvide sine eksisterende prosesser. Organisasjoner som starter fra bunnen av bør planlegge for 6–12 måneder. Ved å bruke en plattform som ISMS.online med forhåndsbygde maler og veiledede arbeidsflyter kan denne tidslinjen reduseres betydelig. Våre implementeringsveiledning gir en detaljert oversikt.
Kan jeg bruke denne sjekklisten til en internrevisjon?
Ja. Denne sjekklisten er direkte i tråd med kravene en ekstern revisor vil vurdere. Bruk den som et grunnlag for din internrevisjonsprogram (Klausul 9.2) for å identifisere avvik før sertifiseringsrevisjonen. For hvert punkt som er merket som ufullstendig, må du fremsette et funn og tildele et korrigerende tiltak med en frist. Våre ISO 42001-revisjon Veiledningen dekker hele internrevisjonsprosessen.
