ISO/IEC 42001(조직)

1. 인증 기준

인공지능 제품·서비스를 개발하는 조직의 책임있는 AI 개발·운영 역량을 검사하기 위해 인공지능 경영시스템을 검사합니다. 검사 대상 경영시스템은 책임있는 AI 개발·운영과 관련하여 기획(plan), 실행(do), 점검(check), 조치(act) 프로세스가 올바르게 작동하기 위해 필요한 요소를 포함해야 합니다.

2. 평가 개요

구분	내용
인증 대상	조직
평가 방법	심사(문서‧절차 검사)
주요 확인사항	• AI 경영시스템의 기획 요소를 평가합니다. • AI 경영시스템의 실행 요소를 평가합니다. • AI 경영시스템의 점검 요소를 평가합니다. • AI 경영시스템의 조치 요소를 평가합니다.

3. 평가 세부 설명

표준 절	절 제목	설명
4	Context of the organization	• 조직의 능력에 영향을 주는 내·외부 이슈를 결정하는지 평가 • 이해관계자 및 관계된 요구사항을 결정하는지 평가 • AI 경영시스템 경계 및 적용 가능성을 결정하는지 평가 • AI 경영시스템을 수립, 실행, 유지, 지속적 개선, 문서화하는지 평가
5	Leadership	• 리더십 의지표명을 실증하는지 평가 • AI 정책을 수립하는지 평가 • 최고 경영자가 책임 및 권한부여와 의사소통을 보장하는지 평가
6	Planning	• 위험과 기회를 다루는 조치를 평가 • AI 목표와 이를 달성하기 위한 기획을 평가 • AI 경영시스템에 대한 변경 시, 계획된 방식으로 변경하는지 평가
7	Support	• AI 경영시스템의 수립, 실행, 유지, 지속적 개선에 필요한 자원을 결정하고 제공하는지 평가 • AI 경영시스템 운영에 필요한 역량을 관리하는지 평가 • 조직의 인력이 AI 경영시스템 관련 정책, 자신의 역할, 부적합 발생 영향에 대해 인식하는지 평가 • 조직이 내·외부 의사소통을 결정하는지 평가 • 문서화 적절성 및 관리를 평가
8	Operation	• 6절에서 결정한 조치를 실행하기 위한 프로세스를 계획, 실행, 관리하는지 평가 • 정기 및 수시 평가 변경·제안 시 AI 위험평가 및 AI 영향평가를 수행하는지 평가 • AI 위험대응 계획을 실행하고 효과성을 검증하는지 평가
9	Performance evaluation	• 모니터링, 측정, 분석, 평가의 대상, 방법, 시기를 결정하는지 평가 • 계획된 주기로 내부 심사를 수행하는지 평가 • 최고경영자는 AI 경영시스템을 주기적으로 검토하는지 평가
10	Improvement	• 조직이 AI 경영시스템을 개선하는지 평가 • 부적합 발생시 조직의 조치를 평가

4. 평가 증빙

표준 절	절 제목	증빙자료(예시)
4	Context of the organization
4.1	Understanding the organization and its context	• 조직의 외부 및 내부 환경 분석 보고서 • 전략적 환경 분석 문서 (예: SWOT, PESTEL 분석) 등 * SWOT(Strength, Weakness, Opportunity, Threat) * PESTEL(Political, Economic, Social, Technological, Environmental, Legal)
4.2	Understanding the needs and expectations of interested parties	• 이해관계자 요구사항 조사 기록 • 이해관계자 분석 보고서 등
4.3	Determining the scope of the AI management system	• AI 관리 시스템의 범위 정의 문서 • 범위 설정에 따른 근거 자료 등
4.4	AI management system	• AI 관리 시스템 구조 및 설계 문서 • 관련 프로세스 흐름도 등
5	Leadership
5.1	Leadership and commitment	• 최고 경영진의 서명된 방침 선언문 • 경영진의 리더십 참여 증거 등 (예: 회의록, 발표 자료)
5.2	AI policy	• AI 정책 문서 • 정책 이행 절차 및 목표 등
5.3	Roles, responsibilities and authorities	• 역할 및 책임 명세서 • 권한 위임 문서, 직무기술서 등
6	Planning
6.1	Actions to address risks and opportunities	• 리스크 및 기회 분석 보고서 • 리스크 대응 계획 등
6.2	AI objectives and planning to achieve them	• AI 목표 설정 및 계획 문서 • 성과 지표(KPI) 및 모니터링 계획 등
6.3	Planning of changes	• 변경 관리 절차 및 기록 • 변경 요청 및 승인서 등
7	Support
7.1	Resources	• 자원 배치 계획 및 기록 • 인프라 및 기술 지원 문서 등
7.2	Competence	• 교육 및 훈련 프로그램 • 역량 평가 기록 등
7.3	Awareness	• 직원 대상 AI 관리 시스템 관련 내부 커뮤니케이션 자료 • 구성원 의식 제고 활동 기록 등
7.4	Communication	• 내·외부 커뮤니케이션 계획 • 커뮤니케이션 실행 기록 등
7.5	Documented information	• 문서화된 정보 목록 • 문서 관리 절차 등
8	Operation
8.1	Operational planning and control	• 운영 계획 및 통제 절차서 • 운영 점검 및 검토 보고서 등
8.2	AI risk assessment	• AI 리스크 평가 문서 • 평가 결과 보고서 등
8.3	AI risk treatment	• 리스크 처리 계획 • 처리 조치 실행 기록 등
8.4	AI system impact assessment	• AI 시스템 영향 평가 보고서 및 대응 계획 • 환경 및 사회적 영향 분석 문서 등
9	Performance evaluation
9.1	Monitoring, measurement, analysis and evaluation	• 성과 모니터링 및 평가 기록 • 성과 및 효과성 분석 보고서 등
9.2	Internal audit	• 내부 심사 계획 및 결과 • 심사 체크리스트 및 기록 등
9.3	Management review	• 경영 검토 회의록 • 개선 계획 및 결정 사항 기록 등
10	Improvement
10.1	Continual improvement	• 지속적 개선 계획 • 개선 활동 기록 등
10.2	Nonconformity and corrective action	• 부적합 보고서 • 시정 및 예방 조치 기록 등

5. 관련 문서

• 과기정통부, 「인공지능(AI) 윤리기준」

  • https://www.msit.go.kr/bbs/view.do?sCode=user&mPid=112&mId=113&bbsSeqNo=94&nttSeqNo=3179742

• ISO/IEC 42001:2023 - Information technology — Artificial intelligence — Management system

• WEF, 「생성 AI 거버넌스: 공동의 글로벌 미래 형성」

  • https://www3.weforum.org/docs/WEF_Generative_AI_Governance_2024.pdf

6. 사례

[1] 추가 예정