Tiêu chuẩn quốc gia TCVN ISO/IEC 42001:2025 (ISO/IEC 42001:2023) về Công nghệ thông tin - Trí tuệ nhân tạo - Hệ thống quản lý
TIÊU CHUẨN QUỐC GIA
TCVN ISO/IEC 42001:2025
ISO/IEC 42001:2023
CÔNG NGHỆ THÔNG TIN - TRÍ TUỆ NHÂN TẠO HỆ THỐNG QUẢN LÝ
INFORMATION TECHNOLOGY - ARTIFICIAL INTELLIGENCE - MANAGEMENT SYSTEM
Lời nói đầu
TCVN ISO/IEC 42001:2025 hoàn toàn tương đương với ISO/IEC 42001:2023.
TCVN ISO/IEC 42001:2025 do Ban kỹ thuật tiêu chuẩn quốc gia TCVN/JTC 1 “Công nghệ thông tin” biên soạn, Viện Tiêu chuẩn Chất lượng Việt Nam đề nghị, Ủy ban Tiêu chuẩn Đo lường Chất lượng Quốc gia thẩm định, Bộ Khoa học và Công nghệ công bố.
Lời giới thiệu
Trí tuệ nhân tạo (AI) ngày càng được áp dụng rộng rãi trong mọi lĩnh vực sử dụng công nghệ thông tin và dự kiến sẽ trở thành một trong những động lực kinh tế chính. Hệ quả của xu hướng này là một số ứng dụng nhất định có thể gây ra những thách thức cho xã hội trong những năm tới.
Tiêu chuẩn này nhằm mục đích giúp các tổ chức thực hiện vai trò của mình một cách có trách nhiệm đối với các hệ thống AI (ví dụ: sử dụng, phát triển, giám sát hoặc cung cấp các sản phẩm hoặc dịch vụ sử dụng AI). AI có khả năng là gia tăng những xem xét cụ thể như sau:
- Việc sử dụng AI để ra quyết định tự động, đôi khi theo cách không minh bạch và không thể giải thích được, có thể yêu cầu sự quản lý cụ thể ngoài việc quản lý các hệ thống công nghệ thông tin cổ điển.
- Việc sử dụng phân tích dữ liệu, sự thấu hiểu và học máy, thay vì logic do con người mã hóa để thiết kế hệ thống, vừa làm tăng cơ hội ứng dụng cho các hệ thống AI vừa thay đổi cách phát triển, biện minh và triển khai các hệ thống đó.
- Các hệ thống AI thực hiện học tập liên tục sẽ thay đổi hành vi của chúng trong quá trình sử dụng. Các hệ thống AI cần được xem xét đặc biệt để đảm bảo việc sử dụng liên tục có trách nhiệm với hành vi thay đổi.
Tiêu chuẩn này cung cấp các yêu cầu để thiết lập, triển khai, duy trì và cải tiến liên tục hệ thống quản lý AI trong bối cảnh của một tổ chức. Các tổ chức được kỳ vọng tập trung vào việc áp dụng các yêu cầu vào các tính năng độc đáo của AI. Một số tính năng nhất định của AI, chẳng hạn như khả năng liên tục học hỏi và cải tiến hoặc thiếu minh bạch hoặc thiếu khả năng giải thích, có thể đảm bảo các biện pháp bảo vệ khác nhau nếu chúng gây ra thêm mối lo ngại so với cách thực hiện nhiệm vụ theo truyền thống. Việc áp dụng hệ thống quản lý AI để mở rộng các cấu trúc quản lý hiện có là một quyết định mang tính chiến lược đối với một tổ chức.
Nhu cầu và mục tiêu, quá trình, quy mô và cấu trúc của tổ chức cũng như kỳ vọng của các bên quan tâm khác nhau ảnh hưởng đến việc thiết lập và triển khai hệ thống quản lý AI. Một tập các yếu tố khác ảnh hưởng đến việc thiết lập và triển khai hệ thống quản lý AI là nhiều trường hợp sử dụng AI và nhu cầu đạt được sự cân bằng phù hợp giữa các cơ chế quản trị và đổi mới. Các tổ chức có thể lựa chọn áp dụng các yêu cầu này bằng cách
| Số hiệu | TCVNISO/IEC42001:2025 |
|---|---|
| Loại văn bản | Tiêu chuẩn Việt Nam |
| Lĩnh vực | Môi trường – Công nghệ |
| Ngày ban hành | 01/01/2025 |
| Ngày hiệu lực | 11/07/2026 |
| Nơi ban hành | *** |
| Người ký | *** |
| Tình trạng | Chưa xác định |
Tóm tắt mang tính tham khảo.
Tiêu chuẩn quốc gia TCVN ISO/IEC 42001:2025 (được xây dựng trên cơ sở chấp nhận hoàn toàn tiêu chuẩn quốc tế ISO/IEC 42001:2023) về Công nghệ thông tin - Trí tuệ nhân tạo - Hệ thống quản lý là bộ tiêu chuẩn cốt lõi thiết lập các yêu cầu và hướng dẫn chi tiết nhằm xây dựng, triển khai, duy trì và cải tiến liên tục hệ thống quản lý trí tuệ nhân tạo (AI) trong các tổ chức. Phạm vi và đối tượng áp dụng Tiêu chuẩn này được thiết kế để áp dụng cho mọi tổ chức, không phân biệt quy mô, loại hình hoạt động hay lĩnh vực chuyên môn, có tham gia vào bất kỳ giai đoạn nào của vòng đời hệ thống AI, bao gồm việc phát triển, cung cấp, tích hợp hoặc sử dụng các sản phẩm và dịch vụ trí tuệ nhân tạo. Khái quát về hệ thống quản lý và kiểm soát rủi ro AI Hệ thống quản lý rủi ro AI có thể được tích hợp một cách linh hoạt vào các hệ thống quản lý hiện hành khác của tổ chức để tối ưu hóa nguồn lực và quy trình vận hành. Tổ chức có quyền chủ động lựa chọn các mục tiêu kiểm soát và biện pháp kiểm soát được liệt kê trong Phụ lục A sao cho phù hợp nhất với nhu cầu thực tế. Danh mục các biện pháp kiểm soát tại Phụ lục A không mang tính giới hạn; tổ chức hoàn toàn có thể tự thiết kế hoặc bổ sung các biện pháp kiểm soát khác từ các nguồn tài liệu uy tín bên ngoài. Các mục tiêu kiểm soát và biện pháp kiểm soát cụ thể đối với tài nguyên AI được quy định chi tiết tại Mục A.4 (Bảng A.1), đi kèm với hướng dẫn triển khai cụ thể tại Điều B.4 của tiêu chuẩn. Định hướng quản lý và trách nhiệm giải trình Cung cấp định hướng quản lý rõ ràng và sự hỗ trợ toàn diện cho hệ thống AI, đảm bảo hệ thống vận hành thống nhất và đáp ứng đầy đủ các yêu cầu nghiệp vụ của tổ chức. Thiết lập cơ chế trách nhiệm giải trình cụ thể trong nội bộ tổ chức nhằm duy trì cách tiếp cận có trách nhiệm xuyên suốt quá trình triển khai, vận hành và quản lý các hệ thống AI. Quản lý tài nguyên và đánh giá tác động hệ thống AI Đảm bảo tổ chức thực hiện kiểm kê và quản lý đầy đủ các tài nguyên của hệ thống AI (bao gồm các cấu phần kỹ thuật và tài sản liên quan) để nhận diện, hiểu rõ và giải quyết triệt để các rủi ro cũng như tác động phát sinh. Thực hiện đánh giá tác động của hệ thống AI đối với các bên quan tâm liên quan trong suốt toàn bộ vòng đời hoạt động của hệ thống. Thiết kế, phát triển và quản lý dữ liệu AI có trách nhiệm Xác định và lập thành văn bản các mục tiêu cụ thể, đồng thời thực hiện nghiêm ngặt các quy trình thiết kế và phát triển hệ thống AI một cách có trách nhiệm. Xác định rõ ràng các tiêu chí kỹ thuật và yêu cầu bắt buộc cho từng giai đoạn cụ thể trong vòng đời của hệ thống AI. Nâng cao nhận thức và hiểu biết sâu sắc về vai trò, tầm ảnh hưởng của dữ liệu đầu vào và đầu ra trong hệ thống AI xuyên suốt quá trình ứng dụng, phát triển, cung cấp hoặc sử dụng hệ thống. Sử dụng có trách nhiệm và minh bạch thông tin Đảm bảo các bên quan tâm có liên quan được cung cấp đầy đủ thông tin cần thiết để nhận diện, hiểu rõ và đánh giá khách quan các rủi ro cũng như tác động (bao gồm cả tác động tích cực và tiêu cực) của hệ thống AI. Cam kết và bảo đảm tổ chức sử dụng hệ thống AI một cách có trách nhiệm, phù hợp với các chính sách, quy định nội bộ và các chuẩn mực đạo đức đã đề ra. Quản lý bên thứ ba và phân bổ rủi ro Xác định rõ ràng phạm vi trách nhiệm và duy trì cơ chế trách nhiệm giải trình chặt chẽ khi có sự tham gia của các bên thứ ba vào bất kỳ giai đoạn nào trong vòng đời của hệ thống AI. Đảm bảo các rủi ro phát sinh được phân bổ một cách hợp lý, minh bạch và có sự đồng thuận giữa tổ chức và các bên thứ ba liên quan. Hiệu lực thi hành Tiêu chuẩn quốc gia TCVN ISO/IEC 42001:2025 hiện chưa xác định rõ ngày ban hành, ngày áp dụng cụ thể cũng như tình trạng hiệu lực tại thời điểm trích xuất dữ liệu. Tổ chức áp dụng cần theo dõi các văn bản công bố chính thức từ cơ quan quản lý nhà nước có thẩm quyền để cập nhật thông tin hiệu lực mới nhất.
- Tiêu chuẩn quốc gia TCVN 9788:2013 (ISO GUIDE 73 : 2009) về Quản lý rủi ro – Từ vựng
- Tiêu chuẩn quốc gia TCVN 10249-2:2013 (ISO 8000-2:2012) về Chất lượng dữ liệu - Phần 2: Từ vựng
- Tiêu chuẩn quốc gia TCVN ISO/IEC 17065:2013 (IEC/ISO 17065: 2012) về Đánh giá sự phù hợp – Yêu cầu đối với tổ chức chứng nhận sản phẩm, quá trình và dịch vụ
- Tiêu chuẩn quốc gia TCVN 11238:2015 (ISO/IEC 27000:2014) về Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống an toàn thông tin - Mô hình tham chiếu cơ bản
- Tiêu chuẩn quốc gia TCVN ISO 9001:2015 (ISO 9001:2015) về Hệ thống quản lý chất lượng - Các yêu cầu
- Tiêu chuẩn quốc gia TCVN ISO 13485:2017 (ISO 13485:2016) về Trang thiết bị y tế - Hệ thống quản lý chất lượng - Yêu cầu đối với các mục đích chế định
- Tiêu chuẩn quốc gia TCVN ISO 31000:2018 (ISO 31000:2018) về Quản lý rủi ro - Hướng dẫn
- Tiêu chuẩn quốc gia TCVN ISO 19011:2018 (ISO 19011:2018) về Hướng dẫn đánh giá hệ thống quản lý
- Tiêu chuẩn quốc gia TCVN ISO 22000:2018 (ISO 22000:2018) về Hệ thống quản lý an toàn thực phẩm - Yêu cầu đối với các tổ chức trong chuỗi thực phẩm
- Tiêu chuẩn quốc gia TCVN ISO/IEC 27001:2019 (ISO/IEC 27001:2013) về Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Các yêu cầu
- Tiêu chuẩn quốc gia TCVN 8695-1:2023 (ISO/IEC 20000-1:2018) về Công nghệ thông tin - Quản lý dịch vụ - Phần 1: Yêu cầu hệ thống quản lý dịch vụ
- Tiêu chuẩn quốc gia TCVN 13902:2023 (ISO/IEC 22989:2022) về Công nghệ thông tin - Trí tuệ nhân tạo - Các khái niệm và thuật ngữ trí tuệ nhân tạo