ISO 42001 · Hub

ISO 42001 Annex A: Controls AI Governance

ISO 42001 Annex A là gì và tại sao quan trọng

ISO/IEC 42001:2023 là tiêu chuẩn quản lý hệ thống AI (AI Management System, AIMS) đầu tiên được ISO ban hành, cung cấp framework để các tổ chức phát triển, triển khai và giám sát AI một cách có trách nhiệm. Annex A của tiêu chuẩn này liệt kê các controls cụ thể mà tổ chức cần xem xét khi xây dựng AIMS, tương tự cách Annex A trong ISO 27001 liệt kê controls bảo mật thông tin. Đây là bộ hướng dẫn thực hành, không phải quy định bắt buộc áp dụng toàn bộ, nhưng việc lựa chọn và áp dụng controls phù hợp phải được lý giải rõ ràng trong Statement of Applicability (SoA).

Đối với doanh nghiệp Việt Nam đang tích hợp AI vào quy trình vận hành, Annex A cung cấp ngôn ngữ chung để trao đổi với đối tác, khách hàng và cơ quan quản lý về mức độ quản trị AI trong tổ chức.

Các nhóm controls chính trong Annex A

Annex A của ISO 42001 bao gồm 38 controls được phân chia thành các nhóm chức năng liên quan đến vòng đời AI:

A.2, Policies for AI in organizations: Nhóm controls này yêu cầu tổ chức ban hành chính sách sử dụng AI có trách nhiệm (responsible use policy), xác định phạm vi ứng dụng AI được phép, cũng như thiết lập quy trình phê duyệt trước khi triển khai hệ thống AI mới. Chính sách cần phản ánh giá trị tổ chức và phải được cập nhật định kỳ khi môi trường pháp lý thay đổi.

A.3, Internal functions and resources: Tổ chức phải phân bổ nguồn lực nội bộ phù hợp, bao gồm nhân sự, ngân sách và cơ sở hạ tầng, để vận hành AIMS. Controls trong nhóm này cũng đề cập đến năng lực (competence) của nhân sự tham gia phát triển và giám sát AI.

A.4, AI system impact assessment: Đây là nhóm controls trọng tâm, yêu cầu đánh giá tác động của hệ thống AI trước khi triển khai. Assessment phải xem xét rủi ro về quyền cá nhân, rủi ro phân biệt đối xử (bias), độ tin cậy của output và các tác động ngoài ý muốn đối với các bên liên quan.

A.5, AI system lifecycle: Controls trong phần này bao phủ toàn bộ data management, model development, testing, deployment và decommissioning. Đặc biệt nhấn mạnh vào tính minh bạch (transparency) của dữ liệu huấn luyện và khả năng giải thích (explainability) của model.

A.6, Responsible use of AI: Nhóm controls cuối tập trung vào human oversight, cơ chế để con người có thể can thiệp, điều chỉnh hoặc dừng hệ thống AI khi cần thiết. Bao gồm cả các controls về thông báo cho người dùng khi họ đang tương tác với AI, và quy trình xử lý khiếu nại liên quan đến quyết định của AI.

AI objectives, risk management và transparency

Một trong những yêu cầu quan trọng nhất của ISO 42001 là thiết lập AI objectives, mục tiêu rõ ràng, đo lường được cho từng hệ thống AI. Objectives này phải gắn liền với chiến lược tổ chức và phải được truyền đạt đến các cấp liên quan.

Risk management trong ISO 42001 không chỉ giới hạn ở rủi ro kỹ thuật. Standard yêu cầu đánh giá rủi ro theo hai chiều: rủi ro AI gây ra cho tổ chức (ví dụ: rủi ro reputational khi model đưa ra quyết định sai) và rủi ro AI gây ra cho bên ngoài (ví dụ: tác động đến khách hàng hoặc cộng đồng). Cách tiếp cận kép này phân biệt ISO 42001 với các framework quản lý rủi ro thông thường.

Transparency controls yêu cầu tổ chức duy trì hồ sơ (records) đủ chi tiết để một bên thứ ba có thể hiểu được: AI system được phát triển như thế nào, dữ liệu nào được sử dụng, và quyết định nào do AI đưa ra so với con người. Đây là nền tảng cho audit và certification.

Human oversight và vòng đời hệ thống AI

Human oversight là nguyên tắc xuyên suốt ISO 42001. Không có controls nào cho phép AI hoạt động hoàn toàn tự động trong các quyết định ảnh hưởng đáng kể đến con người mà không có cơ chế can thiệp. Tổ chức phải thiết kế "kill switch" logic và quy trình escalation rõ ràng.

Về AI system lifecycle, Annex A yêu cầu quản lý từ giai đoạn data collection đến khi system bị retired. Đặc biệt, controls về decommissioning thường bị bỏ qua nhưng quan trọng: khi một model không còn được sử dụng, tổ chức phải xử lý dữ liệu liên quan đúng cách và thông báo cho các bên bị ảnh hưởng.


Câu hỏi thường gặp

ISO 42001 Annex A có bắt buộc áp dụng toàn bộ không? Không. Tổ chức chọn controls phù hợp với context và rủi ro của mình, sau đó lý giải các exclusions trong Statement of Applicability. Tuy nhiên, mọi exclusion đều phải có cơ sở hợp lý.

Annex A khác gì so với phần thân chính của ISO 42001? Phần thân (clauses 4-10) đặt ra yêu cầu bắt buộc cho AIMS. Annex A cung cấp controls tham chiếu, đây là normative annex, nghĩa là có giá trị pháp lý trong tiêu chuẩn, nhưng việc áp dụng từng control cụ thể tùy thuộc vào đánh giá rủi ro của tổ chức.

Doanh nghiệp vừa và nhỏ có thể áp dụng ISO 42001 không? Có. Tiêu chuẩn được thiết kế để có thể scale theo quy mô tổ chức. Doanh nghiệp nhỏ hơn thường bắt đầu với subset các controls ưu tiên cao trước khi mở rộng phạm vi.


Nếu bạn đang chuẩn bị cho hành trình ISO 42001, pTrackly hỗ trợ map controls trong Annex A vào quy trình hiện có của tổ chức, giúp đội ngũ theo dõi tiến độ compliance và chuẩn bị evidence cho audit một cách có hệ thống.

pTrackly giúp bạn triển khai ISO 42001 nhanh hơn với templates và evidence collection tự động.

Đặt Demo Miễn Phí

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo