ISO 42001 vs ISO 27001: Ako správne skombinovať AIMS a ISMS

ISO 42001 (AIMS, systém manažérstva AI) a ISO 27001 (ISMS, informačná bezpečnosť) zdieľajú štruktúru Annex SL a dajú sa prevádzkovať integrovane. ISO 27001 chráni informácie, ISO 42001 riadi riziká AI. Kto už má ISMS, rozšíri jeho rozsah pôsobnosti o AI a doplní špecifické controls AI z Annex A vrátane posúdenia vplyvu AI. Obe normy stavajú na rovnakej kostre desiatich klauzúl a dajú sa viesť v jednom programe.

• Spoločný základ: Obe normy nasledujú High-Level-Structure podľa Annex SL. Klauzuly 4, 5, 6, 7, 9 a 10 (kontext, vedenie, plánovanie, podpora, hodnotenie, zlepšovanie) sú štrukturálne identické a spoločne auditovateľné.
• Odlišné zameranie: ISO 27001:2022 pokrýva informačnú bezpečnosť pomocou 93 controls z Annex A; ISO 42001 pokrýva governance AI pomocou 9 domén a 38 controls vrátane biasu, fairness, vysvetliteľnosti a životného cyklu.
• To navyše v 42001: Iba ISO 42001 vyžaduje posúdenie vplyvu AI (klauzula 6.1.4) na dôsledky pre jednotlivcov, skupiny a spoločnosť - ISO 27001 pre to nemá žiadny náprotivok.

Prečo obe normy tak dobre ladia

ISO/IEC 42001:2023 bola v decembri 2023 zverejnená ako celosvetovo prvá certifikovateľná norma systému manažérstva pre umelú inteligenciu. ISO/IEC 27001:2022 je etablovaná norma pre systémy manažérstva informačnej bezpečnosti. Obe patria do rodiny moderných noriem systémov manažérstva ISO a nasledujú tak rovnakú High-Level-Structure podľa Annex SL, na ktorej stoja aj ISO 9001 (kvalita), ISO 14001 (životné prostredie), ISO 45001 (bezpečnosť práce) a ISO 22301 (business continuity).

Táto spoločná štruktúra je rozhodujúcou pákou. Kostra desiatich klauzúl je zámerne kompatibilná s kombinovanými a integrovanými auditmi systémov manažérstva. Konkrétne to znamená: kto prevádzkuje ISO 27001, má strojovňu systému manažérstva už postavenú - záväzok vedenia, prístup založený na riziku, dokumentovanú informáciu, interný audit, preskúmanie manažmentom a kontinuálne zlepšovanie. ISO 42001 na to nadväzuje a dopĺňa obsahy špecifické pre AI. Klauzula 8 (prevádzka) tvorí pritom výnimku: je to časť klauzúl, v ktorej operatívne pristávajú špecifické controls AI z Annex A, a obsahovo sa preto líši najsilnejšie.

Aj rytmus auditov je zhodný: certifikát ISO 42001 je platný tri roky, s ročnými dozornými auditmi a re-certifikačným auditom na konci cyklu - presne rovnaký takt ako pri ISO 27001. To výrazne uľahčuje spoločné plánovanie auditu.

Čo sa prekrýva - a čo nie

Prekrytie spočíva v spoločnej kostre klauzúl (klauzuly 4 až 7, 9 a 10), rozdiely takmer úplne v časti Annex A, v klauzule 8 (prevádzka) a v posúdení vplyvu AI.

Štrukturálne identické a kombinovateľné (podľa výskumu):

• Klauzula 4 kontext, klauzula 5 vedenie, klauzula 6 plánovanie, klauzula 7 podpora, klauzula 9 hodnotenie výkonnosti, klauzula 10 zlepšovanie
• Dokumentovaná informácia, interný audit, preskúmanie manažmentom - zvyčajne integrované
• Prístup založený na riziku - zdieľaný, so špecifickými doplnkami pre AI

Podstatné rozdiely:

• ISO 27001 Annex A zahŕňa 93 controls (edícia 2022) a je zameraná na informačnú bezpečnosť; ISO 42001 Annex A zahŕňa 38 controls v 9 doménach a je zameraná na governance AI - s doplnkami k biasu, fairness, vysvetliteľnosti, životnému cyklu a posúdeniu vplyvu.
• ISO 42001 explicitne vyžaduje posúdenie vplyvu AI (klauzula 6.1.4) - ISO 27001 pre to nepozná žiadny ekvivalent.

Porovnanie aspektov: ISO 27001 vs ISO 42001

Tabuľka ukazuje vzor: spoločný rámec, odlišné obsahy. Bezpečnostné aspekty AI - napríklad robustnosť a kybernetická bezpečnosť, v EU AI Act adresované pod článkom 15 - sú podľa výskumu z veľkej časti pokryté cez ISO 27001, zatiaľ čo ISO 42001 prispieva špecifickými témami AI ako governance, fairness a posúdenie vplyvu. Obe normy sa navzájom dopĺňajú, bez toho, aby sa nahrádzali.

Integrovaný systém manažérstva v praxi

Štandardný vzor opísaný vo výskume pre organizácie so zrelou ISO 27001 znie: interný audit, preskúmanie manažmentom, školenia a povedomie, riadenie dokumentov, ako aj manažment dodávateľov sa zlúčia. Rozsah pôsobnosti ISMS sa rozšíri na AI a doplnia sa špecifické controls AI z Annex A. Kombinované externé audity ponúkajú všetky veľké certifikačné orgány.

Organizačne sa to prejavuje aj v rolách: ISO 42001 nepredpisuje žiadny jednotlivý titul ako "AI Officer", no v praxi sa nasadzuje AI Officer respektíve AIMS manažér - v stredne veľkých organizáciách DACH často v personálnej únii s CISO alebo s poverencom pre ochranu osobných údajov. Tak vzniká priebežná línia zodpovednosti medzi ISMS a AIMS. Na úrovni koncernu sa AI Officer často kombinuje s CISO alebo CDO, s explicitnou zodpovednosťou voči board AI komisii.

Diskrétna, no dôležitá poznámka: tento článok nie je právnym poradenstvom. Konkrétne výklady noriem, lehôt a článkov - najmä v súčinnosti s GDPR a EU AI Act - patria do rúk kvalifikovaných poradcov a príslušného certifikačného orgánu.

Konkrétny príklad: koncern s existujúcim ISMS

Výskum načrtáva profil koncernu DACH (od 2 000 zamestnancov) s už etablovanou ISO 27001:2022, často doplnenou o ISO 27701 (PIMS). Tu je integrácia takmer nevyhnutne ekonomická:

• Zdieľané plánovanie auditu: Kombinované audity Stage 1 a Stage 2 s ISO 27001 tam, kde to certifikačný orgán podporuje; spoločný cyklus interného auditu.
• Zdieľaná dokumentačná úroveň: Z koncernu kaskádované smernice, doplnené o špecifické postupy AI podľa odboru.
• Integrovaný register rizík: Register rizík AI sa zavesí ako podregister alebo tag do enterprise risk managementu.
• Úspora: Kombinované audity podľa výskumu typicky ušetria približne 25 až 30 percent audítorských dní vo fáze Stage 2 oproti paralelným samostatným auditom.

K rozpočtu výskum (stav 2026, DACH) zaraďuje: koncern so zrelým ISMS sa pre program ISO 42001 pohybuje okolo EUR 200 000 až 500 000 (poradenstvo plus audit plus interné úsilie), trvanie 12 až 18 mesiacov. Stredne veľký deployer bez predchádzajúceho systému je na úrovni EUR 50 000 až 150 000 a 9 až 12 mesiacov. Časová výhoda existujúceho systému manažérstva je merateľná: 6 až 12 mesiacov do Stage 1 s existujúcou ISO 27001 alebo ISO 9001, oproti 9 až 18 mesiacom od nuly.

Výpočtovo to pre koncern znamená: ak na paralelné ISO 42001 Stage 2 pripadá približne 10 audítorských dní, dá sa kombináciou s auditom ISMS zhruba ušetriť 2,5 až 3 dni - pri každom cykle vrátane ročných dozorných auditov.

Kedy má oboje zmysel - a kedy nie

Kombinácia má zmysel, keď systémy AI pracujú s osobnými alebo bezpečnostne kritickými dátami a ISMS už existuje alebo je tak či tak plánovaný. Vtedy AIMS a ISMS zdieľajú základ, cyklus auditu a personál. Má zmysel rovnako pre poskytovateľov AI (provider), ktorí často už držia ISO 27001 a SOC 2 Type II a usilujú o ISO 42001 ako trhovú diferenciáciu - tu sa zbiehajú kombinované audity, zdieľané dôkazy a spoločné trust center.

Zdržanlivosť je na mieste, keď je jedinou motiváciou "úplnosť": čistý deployer by nemal preventívne označiť všetky controls životného cyklu (Annex A.6) ako aplikovateľné, ak ich nedokáže preukázať. To je podľa výskumu jedno z najčastejších audítorských zistení. Rozhoduje rozsah pôsobnosti - nie túžba po čo najväčšom počte certifikátov.

Pre agentúry a B2B rozhodovateľov

Pre marketingové agentúry a B2B poskytovateľov služieb, ktorí pre klientov prevádzkujú procesy podporované AI, sa kombinácia AIMS plus ISMS stáva čoraz viac signálom dôvery v due diligence dodávateľov. Kto už drží ISO 27001, má najdrahší kus už postavený a môže ISO 42001 nasadiť s prehľadným dodatočným úsilím. Blck Alpaca podporuje organizácie DACH pri tom, aby rozsah pôsobnosti ISMS čisto rozšírili o AI, špecifické controls AI z Annex A spravili preukázateľnými a integrovaný audit naplánovali tak, aby sa potenciály úspor skutočne realizovali. Ozvite sa nám, ak chcete viesť AIMS a ISMS ako jeden program namiesto dvoch staveniska.