Synergien zwischen ISO 27001 und ISO 42001: Informationssicherheit und AI Management ganzheitlich gedacht
Die kürzlich veröffentlichte ISO 42001 markiert einen bedeutenden Meilenstein für den methodischen Einsatz von Künstlicher Intelligenz (KI) in Unternehmen. Diese Norm beschreibt ein systematisches Vorgehen zur Einführung und dem Betrieb von KI-Systemen in Organisationen. Sie folgt, wie nahezu alle Managementsysteme der ISO, der sog. Harmonised Structure (HS), welche das Zusammenspiel der verschiedenen Managementsysteme fördert. Demzufolge liegt es nahe, einmal einen Blick auf mögliche Synergien zwischen der ISO 42001 und der ISO 27001, die ein Informationssicherheits-Managementsystem (ISMS) beschreibt, zu werfen. Das Zusammenspiel dieser beiden Normen bietet Unternehmen eine hervorragende Gelegenheit, ihre Prozesse rund um Informationssicherheit und KI zu stärken und zu harmonisieren. Nicht zuletzt vor dem Hintergrund der regulatorischen Situation lohnt sich das, denn immer mehr Staaten und Rechtsräume erlassen Vorgaben, die den geordneten und sicheren Einsatz von künstlicher Intelligenz regeln.
Die ISO 27001 ist eine etablierte Norm, die Anforderungen für das Einrichten, Implementieren, Aufrechterhalten und kontinuierliche Verbessern eines dokumentierten Informationssicherheits-Managementsystems festlegt. Sie zielt darauf ab, die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen zu schützen.
Die neue ISO 42001 fokussiert sich auf die Anforderungen an ein Managementsystem für Künstliche Intelligenz. Sie bietet einen Rahmen für die ethische Entwicklung, den Einsatz und das Monitoring von KI-Systemen, um sicherzustellen, dass diese verantwortungsvoll und im Einklang mit gesellschaftlichen Werten und rechtlichen Vorgaben genutzt werden. Die Norm adressiert dabei sowohl reine Anwenderunternehmen, die KI-Systeme nutzen, als auch solche Organisationen, die Systeme künstlicher Intelligenz entwerfen.
1. Risikomanagement: Beide Standards betonen die Wichtigkeit von Risikomanagement. Die ISO 27001 verlangt die Identifizierung, Bewertung und Behandlung von Sicherheitsrisiken bezogen auf Informationen. ISO 42001 folgt demselben Grundgedanken und fokussiert auf KI-spezifische Risiken, wie algorithmische Verzerrungen oder Entscheidungsfehler. Eine integrierte Betrachtung dieser Risiken führt zu einem umfassenderen Risikomanagementsystem.
2. Datenschutz: Die ISO 27001 in der Version 2022 erwähnt explizit auch die Schutzbedarfe personenbezogener Daten. Die ISO 42001 definiert spezifische Anforderungen für den Umgang mit Daten in KI-Systemen, insbesondere wenn diese Daten für das Training von Algorithmen verwendet werden. Gerade dann, wenn es sich bei den (Trainings)Daten um personenbezogene Daten handelt, erzeugen beide Standards eine ganzheitliche Sicht auf die Thematik.
3. Compliance: Beide Normen fördern Compliance mit relevanten Gesetzen und Vorschriften. Die ISO 42001 nimmt speziell Bezug auf die ethischen und rechtlichen Herausforderungen, die mit der Implementierung und dem Betrieb von KI-Systemen verbunden sind. Unternehmen, die bereits ISO 27001 zertifiziert sind, könnten ihre bestehenden Compliance-Strukturen nutzen, um die Anforderungen der ISO 42001 effizient zu integrieren.
4. Kontinuierliche Verbesserung: Ein zentrales Prinzip beider Standards ist die kontinuierliche Verbesserung des Managementsystems und seiner Abläufe. Durch die Verknüpfung der Verbesserungsprozesse beider Systeme können Unternehmen Innovationszyklen beschleunigen und gleichzeitig sicherstellen, dass sowohl Informationssicherheit als auch ethische Überlegungen rund um den Einsatz von KI-Systemen fortlaufend adressiert werden.
Die Kombination aus ISO 27001 und ISO 42001 bietet Unternehmen eine solide Grundlage für das Management von Informationssicherheits- und KI-bezogenen Herausforderungen. Ein integriertes Managementsystem, das beide Standards verbindet, unterstützt nicht nur eine stärkere Compliance und Risikominderung, sondern fördert auch eine verantwortungsbewusste Nutzung von KI-Technologien – auf eine sichere Art und Weise. Unternehmen, die beide Standards integriert implementieren, positionieren sich als Vorreiter in der verantwortungsvollen KI-Technologieentwicklung und -nutzung.
Ich meine: dies wird letztendlich zu einem nachhaltigen Wettbewerbsvorteil führen!
Tags
Beitrag teilen
Thomas Neeff 
Thomas Neeff 
