Hoe gebruik je deze ISO 42001-checklist?
ISO 42001 (formeel ISO/IEC 42001:2023) is de internationale standaard voor AI-managementsystemen (AIMS). Het biedt een gestructureerd kader voor organisaties die AI-systemen ontwikkelen, leveren of gebruiken, zodat zij dit op een verantwoorde manier en in overeenstemming met de wettelijke voorschriften kunnen doen.
Deze checklist is opgedeeld in twee delen. Het eerste deel behandelt de eisen aan het managementsysteem In de paragrafen 4-10 wordt beschreven hoe uw organisatie haar AIMS plant, ondersteunt, uitvoert en verbetert. De tweede paragraaf behandelt de 38 Controledoelstellingen van bijlage A, die ingaan op specifieke risico's en verantwoordelijkheden gedurende de gehele levenscyclus van een AI-systeem.
Werk elk onderdeel in de juiste volgorde af. Gebruik de Status Gebruik deze kolom om de voortgang bij te houden: markeer items als 'Niet gestart', 'In uitvoering' of 'Voltooid'. Als u hiaten constateert, kunt u deze vergelijken met onze gegevens. gap-analyse gids en implementatie gids voor praktische vervolgstappen.
Vereisten voor het beheersysteem (clausules 4-10)
Deze clausules volgen de structuur op hoog niveau van Annex SL, die ook wordt gebruikt in ISO 27001, ISO 9001 en andere managementsysteemnormen. Als uw organisatie al over een van deze certificeringen beschikt, zult u het patroon herkennen, maar besteed extra aandacht aan de AI-specifieke eisen, zoals de AI-risicobeoordeling (6.1.2), de impactbeoordeling van AI-systemen (6.1.4) en de operationele beheersmaatregelen voor AI-systemen (8.2-8.4).
| Clausule | eis | Belangrijkste acties | Status |
|---|---|---|---|
| 4.1 | Inzicht in de organisatie en haar context | Identificeer externe en interne kwesties die relevant zijn voor uw AI-activiteiten en het doel van AIMS. | ☐ |
| 4.2 | Inzicht in de behoeften en verwachtingen van geïnteresseerde partijen | Geef een overzicht van de belanghebbenden (toezichthouders, klanten, betrokkenen) en hun eisen ten aanzien van AI-governance. | ☐ |
| 4.3 | Het bepalen van de reikwijdte van de AIMS | Definieer de grenzen: welke AI-systemen, bedrijfsonderdelen en locaties vallen binnen het toepassingsgebied? | ☐ |
| 4.4 | AI-beheersysteem | Het AIMS-systeem opzetten, implementeren, onderhouden en continu verbeteren in overeenstemming met de standaard. | ☐ |
| 5.1 | Leiderschap en betrokkenheid | Het topmanagement toont betrokkenheid door AI-beleid vast te stellen, middelen toe te wijzen en AIMS in bedrijfsprocessen te integreren. | ☐ |
| 5.2 | AI-beleid | Een ontwerp maken en goedkeuren AI-beleid dat omvat verplichtingen jegens verantwoordelijke AI gebruik, wettelijke naleving en continue verbetering | ☐ |
| 5.3 | Organisatorische rollen, verantwoordelijkheden en bevoegdheden | Wijs AIMS-rollen toe (AI-governanceleider, risicoverantwoordelijke, systeemverantwoordelijke) en communiceer de verantwoordelijkheden. | ☐ |
| 6.1.1 | Maatregelen om risico's en kansen aan te pakken (Algemeen) | Identificeer risico's en kansen die van invloed kunnen zijn op de uitkomsten van AIMS. | ☐ |
| 6.1.2 | AI-risicobeoordeling | Definieer en pas een AI-risicobeoordelingsproces toe dat de waarschijnlijkheid, ernst en impact op individuen en groepen omvat. | ☐ |
| 6.1.3 | AI-risicobehandeling | Selecteer risicobehandelingsopties en koppel deze aan de beheersmaatregelen in Bijlage A; produceer een Verklaring van toepasbaarheid | ☐ |
| 6.1.4 | Impactbeoordeling van AI-systemen | Beoordeel de potentiële impact van AI-systemen op individuen, groepen en de samenleving vóór de implementatie. | ☐ |
| 6.2 | AI-doelstellingen en de planning om deze te bereiken. | Stel meetbare AI-doelstellingen vast voor de relevante functies en niveaus; plan de benodigde middelen, verantwoordelijkheden en tijdlijnen. | ☐ |
| 6.3 | Plannen van veranderingen | Zorg ervoor dat AIMS-wijzigingen worden gepland, dat de gevolgen worden beoordeeld en dat de benodigde middelen worden toegewezen. | ☐ |
| 7.1 | Informatiebronnen | Bepaal en zorg voor de benodigde middelen voor de AIMS. | ☐ |
| 7.2 | Competentie | Zorg ervoor dat het personeel over de nodige AI-governance en technische competentie beschikt; bied waar nodig training aan. | ☐ |
| 7.3 | Bewustzijn | Zorg ervoor dat alle relevante medewerkers het AI-beleid, hun AIMS-verantwoordelijkheden en de gevolgen van niet-naleving begrijpen. | ☐ |
| 7.4 | Communicatie | Bepaal de interne en externe communicatievereisten voor AIMS. | ☐ |
| 7.5 | Gedocumenteerde informatie | Maak, update en beheer alles documentatie-eisen vereist door de standaard | ☐ |
| 8.1 | Operationele planning en controle | Plan, implementeer en beheer de processen die nodig zijn om te voldoen aan de AIMS-vereisten en de AI-doelstellingen te realiseren. | ☐ |
| 8.2 | AI-risicobeoordeling | Voer risicobeoordelingen van AI uit met geplande tussenpozen of wanneer er significante veranderingen optreden; bewaar de gedocumenteerde resultaten. | ☐ |
| 8.3 | AI-risicobehandeling | Voer het AI-risicobehandelingsplan uit en bewaar bewijsmateriaal van de resultaten. | ☐ |
| 8.4 | Impactbeoordeling van AI-systemen | Voer impactanalyses uit voor de betreffende AI-systemen en documenteer de bevindingen. | ☐ |
| 9.1 | Monitoring, meting, analyse en evaluatie | Definieer wat er gemonitord moet worden, de meetmethoden en de frequentie; evalueer de AIMS-prestaties. | ☐ |
| 9.2 | Interne audit | Voer geplande interne audits uit om te bevestigen dat het AIMS aan de norm voldoet en effectief wordt geïmplementeerd. Zie onze ISO 42001-audit gids | ☐ |
| 9.3 | Managementbeoordeling | Het topmanagement beoordeelt de AIMS-prestaties, auditresultaten, risicostatus en verbeterpunten op geplande intervallen. | ☐ |
| 10.1 | Continue verbetering | De geschiktheid, toereikendheid en effectiviteit van de AIMS voortdurend verbeteren. | ☐ |
| 10.2 | Non-conformiteit en corrigerende maatregelen | Reageer op afwijkingen, onderzoek de onderliggende oorzaken, implementeer corrigerende maatregelen en evalueer de effectiviteit ervan. | ☐ |
Als je alle clausules hebt doorgenomen, heb je een duidelijk beeld van waar je je bevindt. AI-beheersysteem staat. De volgende stap is om uw positie te beoordelen aan de hand van de controles in Bijlage A.
Alles wat u nodig heeft voor ISO 42001
Gestructureerde inhoud, in kaart gebrachte risico's en ingebouwde workflows helpen u AI op verantwoorde wijze en met vertrouwen te beheren.
Bijlage A Controledoelstellingen Checklist
Bijlage A van ISO 42001 bevat 38 beheersmaatregelen, georganiseerd in negen gebieden. Niet al deze beheersmaatregelen zijn verplicht. Verklaring van toepasbaarheid Bepaalt welke van toepassing zijn op basis van uw AI-risicobeoordeling. U moet echter wel eventuele uitzonderingen motiveren. Gebruik deze checklist in combinatie met onze gedetailleerde handleiding. Bijlage A-controles handleiding voor implementatiedetails.
| Controle Ref | Controle naam | Vereist belangrijk bewijsmateriaal | Status |
|---|---|---|---|
| A.2 — Beleid met betrekking tot AI | |||
| A.2.2 | AI-beleid | Goedgekeurd AI-beleidsdocument, communicatieverslagen | ☐ |
| A.2.3 | Afstemming met ander beleid | Een matrix met kruisverwijzingen naar beleid dat de afstemming met beleid inzake informatiebeveiliging, gegevensbescherming en ethiek weergeeft. | ☐ |
| A.2.4 | Evaluatie van het AI-beleid | Geplande beoordelingsverslagen, versiegeschiedenis, goedkeuring door het management | ☐ |
| A.3 — Interne organisatie | |||
| A.3.2 | Rollen en verantwoordelijkheden op het gebied van AI | RACI-matrix of rolbeschrijvingen met betrekking tot AI-governance, -ontwikkeling en -operations | ☐ |
| A.3.3 | Melding van zorgen | Gedocumenteerd meldingskanaal, escalatieprocedures, registratie van gemelde problemen | ☐ |
| A.4 — Bronnen voor AI-systemen | |||
| A.4.2 | Bronnendocumentatie | Inventarisatie van AI-systeembronnen (data, rekenkracht, tools, personeel) | ☐ |
| A.4.3 | Gegevensbronnen | Gegevensinventarissen, gegevensstroomdiagrammen, toegangscontroles | ☐ |
| A.4.4 | Hulpmiddelen | Register van tools voor AI-ontwikkeling en -implementatie, versiebeheer | ☐ |
| A.4.5 | Systeem- en computerbronnen | Infrastructuurdocumentatie, capaciteitsplannen, toegangscontroles | ☐ |
| A.4.6 | Vacatures | Competentieoverzichten, opleidingsplannen, bewijs van kwalificaties | ☐ |
| A.5 — Het beoordelen van de impact van AI-systemen | |||
| A.5.2 | Impactbeoordelingsproces van AI-systemen | Gedocumenteerde methodologie voor impactbeoordeling, beoordelingssjablonen | ☐ |
| A.5.3 | Documentatie van beoordelingen | Voltooide impactbeoordelingsrapporten voor elk relevant AI-systeem. | ☐ |
| A.5.4 | Impact op individuen | Analyse van de gevolgen voor individuele rechten, veiligheid en welzijn; maatregelen ter beperking van de gevolgen | ☐ |
| A.5.5 | Maatschappelijke gevolgen | Beoordeling van bredere maatschappelijke effecten, waaronder vooringenomenheid, eerlijkheid en milieu-impact | ☐ |
| A.6 — Levenscyclus van een AI-systeem | |||
| A.6.1.2 | Doelstellingen voor verantwoorde ontwikkeling | Gedocumenteerde doelstellingen met betrekking tot eerlijkheid, transparantie, verantwoording en veiligheid. | ☐ |
| A.6.1.3 | Processen voor verantwoord ontwerpen | Ontwerpprocesdocumentatie waarin verantwoorde AI-principes in elke fase zijn verankerd. | ☐ |
| A.6.2.2 | Specificatie van de vereisten | Functionele en niet-functionele eisen, inclusief ethische en wettelijke beperkingen. | ☐ |
| A.6.2.3 | Documentatie van het ontwerp | Systeemarchitectuurdocumenten, ontwerpbeslissingen, afwegingsverslagen | ☐ |
| A.6.2.4 | Verificatie en validatie | Testplannen, testresultaten, acceptatiecriteria, bias en prestatietestverslagen | ☐ |
| A.6.2.5 | Deployment | Implementatieprocedures, ingebruiknamechecklists, terugdraaiplannen | ☐ |
| A.6.2.6 | Bediening en monitoring | Monitoringdashboards, prestatiemetingen, logboeken voor afwijkingsdetectie | ☐ |
| A.6.2.7 | Technische documentatie | Modelkaarten, systeemomschrijvingen, algoritmedocumentatie | ☐ |
| A.6.2.8 | Gebeurtenislogboeken | Logboekprocedures, beleid voor het bewaren van logboeken, bewijsmateriaal voor auditsporen | ☐ |
| A.7 — Gegevens voor AI-systemen | |||
| A.7.2 | Gegevens voor ontwikkeling | Selectiecriteria voor gegevens, representativiteitsanalyse, beoordeling van vertekeningen | ☐ |
| A.7.3 | Acquisitie van gegevens | Gegevensbronnen, toestemmings-/licentiedocumentatie, juridische grondslag | ☐ |
| A.7.4 | Kwaliteit van gegevens | Metrieken voor datakwaliteit, validatieprocedures, registratie van fouten | ☐ |
| A.7.5 | Herkomst van gegevens | Documentatie over de herkomst van gegevens, registratie van de bewijsketen | ☐ |
| A.7.6 | Data voorbereiding | Voorverwerkingspipelines, transformatielogboeken, labelprocedures | ☐ |
| A.8 — Informatie voor geïnteresseerden | |||
| A.8.2 | Systeemdocumentatie voor gebruikers | Gebruikershandleidingen, functiebeschrijvingen, bekende beperkingen | ☐ |
| A.8.3 | Externe rapportage | Gepubliceerde transparantierapporten, wettelijke indieningen | ☐ |
| A.8.4 | Melding van incidenten | Procedures voor incidentmeldingen, communicatiesjablonen, meldingsregistraties | ☐ |
| A.8.5 | Informatie voor geïnteresseerden | Communicatie met belanghebbenden, openbaarmakingsbeleid | ☐ |
| A.9 — Gebruik van AI-systemen | |||
| A.9.2 | Procedures voor verantwoord gebruik | Aanvaardbare gebruiksprocedures, mechanismen voor menselijk toezicht, escalatiepaden | ☐ |
| A.9.3 | Doelstellingen voor verantwoord gebruik | Meetbare doelstellingen voor verantwoord AI-gebruik, monitoringcriteria | ☐ |
| A.9.4 | Beoogd gebruik | Gedocumenteerde gebruiksverklaringen, randvoorwaarden en verboden gebruikswijzen | ☐ |
| A.10 — Relaties met derden en klanten | |||
| A.10.2 | Verantwoordelijkheden toewijzen | Documenten betreffende de toewijzing van verantwoordelijkheden, contractuele bepalingen voor AI-verplichtingen | ☐ |
| A.10.3 | Leveranciers | Leveranciersbeoordelingsrapporten, due diligence-rapporten, contractuele AI-vereisten | ☐ |
| A.10.4 | Klanten | Klantcommunicatiegegevens, gebruiksaanwijzingen, feedbackmechanismen | ☐ |
Nadat u alle controles hebt beoordeeld, kunt u uw onderbouwingen samenvoegen in een document. Verklaring van toepasbaarheidDit document is een verplicht auditresultaat en koppelt elke beheersmaatregel aan uw beslissingen over risicobeheer.
Ga eenvoudig aan de slag met een persoonlijke productdemo
Een van onze onboarding-specialisten legt u graag uit hoe ons platform werkt, zodat u vol vertrouwen aan de slag kunt.
Waarom kiezen voor ISMS.online voor ISO 42001-naleving?
Het doorlopen van een checklist op papier is een begin, maar het beheren van een doorlopend proces is een ander verhaal. ISO 42001-conformiteit Om effectief samen te werken met verschillende teams, AI-systemen en auditcycli, is een platform nodig dat specifiek voor deze taak is ontwikkeld. ISMS.online Dit komt rechtstreeks overeen met elk item op deze checklist:
- Voorgeassembleerde ISO 42001-besturingssets — Elke controle in Bijlage A is vooraf voorzien van richtlijnen, zodat uw team precies weet welk bewijsmateriaal verzameld moet worden en waar het bewaard moet worden.
- AI-risicoregister — Voer risicobeoordelingen van AI (clausule 6.1.2) en impactbeoordelingen van AI-systemen (clausule 6.1.4) uit en documenteer deze in een gestructureerd, controleerbaar register.
- Beleids- en documentbeheer — Stel uw concept op, bewerk het, keur het goed en verspreid het. AI-beleid en alle ondersteunende documentatie vanuit één enkele werkruimte.
- Verklaring van toepasbaarheid — Genereer automatisch uw SoA (Statement of Action) op basis van uw beslissingen over risicobeheer, met volledige onderbouwing voor zowel opgenomen als uitgesloten beheersmaatregelen.
- Auditbeheer — Plan interne audits (clausule 9.2), wijs bevindingen toe, volg corrigerende maatregelen (clausule 10.2) en exporteer bewijsmateriaal voor externe auditors. Zie onze ISO 42001-audit gids voor meer.
- Het verzamelen en koppelen van bewijsmateriaal. — Koppel bewijsmateriaal direct aan controles en clausules. Wanneer uw auditor om bewijs vraagt, is dit al georganiseerd en gereed.
- Ondersteuning van het geïntegreerde beheersysteem — Als u al ISO 27001 of ISO 27701 gebruikt, ISMS.online Hiermee kunt u alle standaarden vanaf één platform beheren met gedeelde bedieningselementen en minder dubbel werk.
Klaar om van checklist naar actie over te gaan? Demo boeken om te zien hoe ISMS.online versnelt je weg naar ISO 42001-certificering.
Veelgestelde vragen
Hoeveel eisen stelt ISO 42001?
ISO 42001 bevat eisen voor managementsystemen verdeeld over zeven clausules (clausule 4 tot en met clausule 10) plus 38 controledoelstellingen in bijlage A, gegroepeerd in negen controlegebieden. De clausules definiëren hoe u uw AI-managementsysteem opzet, beheert en verbetert, terwijl de controles in bijlage A specifieke aspecten behandelen. AI-beheer Verantwoordelijkheden zoals datakwaliteit, impactanalyse en beheer van derden.
Moet ik alle 38 bijlage A-controles implementeren?
Niet per se. De maatregelen die u implementeert, zijn afhankelijk van uw risicobeoordeling van AI en de omvang van uw AI-systemen. U moet uw beslissingen documenteren in een Verklaring van toepasbaarheidGeef een onderbouwing voor zowel de door u gekozen als de uitgesloten beheersmaatregelen. Auditors zullen deze onderbouwingen beoordelen, dus elke uitsluiting moet een duidelijke, op risico's gebaseerde argumentatie hebben.
Wat is het verschil tussen de clausulevereisten en de bepalingen van bijlage A?
De clausulevereisten (4-10) zijn verplicht voor elke organisatie die certificering aanvraagt. Ze definiëren het raamwerk van het managementsysteem: context, leiderschap, planning, ondersteuning, uitvoering, prestatiebeoordeling en verbetering. De beheersmaatregelen in Bijlage A vormen een referentieset van doelstellingen die u selectief toepast op basis van uw risicobeheerplan. Beschouw de clausules als de motor van uw AIMS en Bijlage A als de specifieke beheersmaatregelen die u toevoegt om geïdentificeerde risico's aan te pakken.
Hoe lang duurt het om deze checklist te voltooien en het certificaat te behalen?
De tijdslijnen variëren afhankelijk van de grootte en volwassenheid van de organisatie. Een organisatie met een bestaand ISO 27001-managementsysteem kan doorgaans binnen 3-6 maanden ISO 42001-certificering behalen door de bestaande processen uit te breiden. Organisaties die helemaal opnieuw beginnen, moeten rekening houden met 6-12 maanden. Het gebruik van een platform zoals ISMS.online Met behulp van vooraf ontworpen sjablonen en begeleide workflows kan deze tijdlijn aanzienlijk worden verkort. implementatie gids Biedt een gedetailleerde analyse.
Kan ik deze checklist gebruiken voor een interne audit?
Ja. Deze checklist sluit direct aan op de eisen waaraan een externe auditor moet voldoen. Gebruik hem als uitgangspunt voor uw intern auditprogramma (Clausule 9.2) om afwijkingen te identificeren vóór uw certificeringsaudit. Voor elk item dat als onvolledig is gemarkeerd, dient u een bevinding vast te stellen en een corrigerende actie met een deadline toe te wijzen. Onze ISO 42001-audit Deze handleiding beschrijft het volledige interne auditproces.
