Sådan bruger du denne ISO 42001-tjekliste
ISO 42001 (tidligere ISO/IEC 42001:2023) er den internationale standard for AI-styringssystemer (AIMS). Den giver en struktureret ramme for organisationer, der udvikler, leverer eller bruger AI-systemer, til at gøre det ansvarligt og i overensstemmelse med lovgivningsmæssige forventninger.
Denne tjekliste er opdelt i to dele. Den første dækker krav til ledelsessystem i klausuler 4-10, som definerer, hvordan din organisation planlægger, understøtter, driver og forbedrer sine AIMS. Den anden dækker 38 Kontrolmål i bilag A, som omhandler specifikke risici og ansvarsområder i hele AI-systemets livscyklus.
Arbejd dig igennem hvert punkt i rækkefølge. Brug Status kolonne til at spore fremskridt – marker elementer som Ikke startet, Igangværende eller Færdig. Hvor du identificerer mangler, krydsreferer med vores mangelanalyse guide og implementeringsvejledning for de praktiske næste skridt.
Krav til ledelsessystemer (paragraf 4-10)
Disse klausuler følger den overordnede struktur i Annex SL, som deles af ISO 27001, ISO 9001 og andre ledelsessystemstandarder. Hvis din organisation allerede har en af disse certificeringer, vil du genkende mønsteret – men vær meget opmærksom på de AI-specifikke krav, såsom AI-risikovurdering (6.1.2), AI-systemkonsekvensvurdering (6.1.4) og driftskontroller for AI-systemer (8.2-8.4).
| Klausul | Krav | Nøglehandlinger | Status |
|---|---|---|---|
| 4.1 | Forståelse af organisationen og dens kontekst | Identificer eksterne og interne problemstillinger, der er relevante for dine AI-aktiviteter og AIMS-formål | ☐ |
| 4.2 | Forstå interesserede parters behov og forventninger | Liste over interessenter (regulatorer, kunder, berørte personer) og deres krav til AI-styring | ☐ |
| 4.3 | Fastlæggelse af AIMS' omfang | Definer grænser – hvilke AI-systemer, forretningsenheder og lokationer der er omfattet | ☐ |
| 4.4 | AI-styringssystem | Etablere, implementere, vedligeholde og løbende forbedre AIMS i overensstemmelse med standarden | ☐ |
| 5.1 | Ledelse og engagement | Topledelsen viser engagement ved at fastsætte AI-politik, tildele ressourcer og integrere AIMS i forretningsprocesser | ☐ |
| 5.2 | AI politik | Udarbejde og godkende et AI politik der inkluderer forpligtelser til ansvarlig AI brug, overholdelse af lovgivningen og løbende forbedring | ☐ |
| 5.3 | Organisatoriske roller, ansvar og beføjelser | Tildel AIMS-roller (AI-styringsleder, risikoejer, systemejer) og kommuniker ansvarsområder | ☐ |
| 6.1.1 | Tiltag til at håndtere risici og muligheder (generelt) | Identificer risici og muligheder, der kan påvirke AIMS-resultaterne | ☐ |
| 6.1.2 | AI risikovurdering | Definer og anvend en AI-risikovurderingsproces, der dækker sandsynlighed, alvorlighed og indvirkning på individer og grupper | ☐ |
| 6.1.3 | AI-risikobehandling | Vælg risikobehandlingsmuligheder og knyt dem til kontrolforanstaltninger i bilag A; udarbejde en Anvendelseserklæring | ☐ |
| 6.1.4 | Vurdering af AI-systemers konsekvens | Vurder potentielle påvirkninger af AI-systemer på enkeltpersoner, grupper og samfund før implementering | ☐ |
| 6.2 | AI-mål og planlægning for at nå dem | Sæt målbare AI-mål på relevante funktioner og niveauer; planlæg ressourcer, ansvar og tidslinjer | ☐ |
| 6.3 | Planlægning af ændringer | Sørg for, at AIMS-ændringer planlægges, at konsekvenserne vurderes, og at ressourcerne allokeres | ☐ |
| 7.1 | Ressourcer | Bestem og tilvejebring de nødvendige ressourcer til AIMS | ☐ |
| 7.2 | Kompetence | Sørg for, at personalet har den nødvendige AI-styring og tekniske kompetence; sørg for træning, hvor det er nødvendigt | ☐ |
| 7.3 | Awareness | Sørg for, at alle relevante medarbejdere forstår AI-politikken, deres AIMS-ansvar og konsekvenserne af manglende overholdelse. | ☐ |
| 7.4 | Kommunikation | Fastlæg interne og eksterne kommunikationskrav for AIMS | ☐ |
| 7.5 | Dokumenteret information | Opret, opdater og styr alt dokumentationskrav krævet af standarden | ☐ |
| 8.1 | Operationel planlægning og kontrol | Planlæg, implementer og kontroller de processer, der er nødvendige for at opfylde AIMS-krav og levere AI-mål | ☐ |
| 8.2 | AI risikovurdering | Udfør AI-risikovurderinger med planlagte intervaller eller når der sker væsentlige ændringer; behold dokumenterede resultater | ☐ |
| 8.3 | AI-risikobehandling | Implementer AI-risikobehandlingsplanen og opbevar dokumentation for resultater | ☐ |
| 8.4 | Vurdering af AI-systemers konsekvens | Udfør konsekvensanalyser for AI-systemer inden for omfanget og dokumenter resultaterne | ☐ |
| 9.1 | Overvågning, måling, analyse og evaluering | Definer hvad der skal overvåges, målemetoder og hvor ofte; evaluer AIMS' ydeevne | ☐ |
| 9.2 | Intern revision | Udfør planlagte interne revisioner for at bekræfte, at AIMS overholder standarden og implementeres effektivt. Se vores ISO 42001 revision vejlede | ☐ |
| 9.3 | Ledelsesgennemgang | Topledelsen gennemgår AIMS' præstation, revisionsresultater, risikostatus og forbedringsmuligheder med planlagte intervaller. | ☐ |
| 10.1 | Kontinuerlig forbedring | Løbende forbedre AIMS' egnethed, tilstrækkelighed og effektivitet | ☐ |
| 10.2 | Uoverensstemmelse og korrigerende handling | Reager på afvigelser, evaluer de grundlæggende årsager, implementer korrigerende handlinger og gennemgå deres effektivitet | ☐ |
Når du har gennemgået hver sætning, burde du have et klart billede af, hvor din AI Management System står. Det næste trin er at vurdere din position i forhold til kontrollerne i bilag A.
Alt hvad du behøver til ISO 42001
Struktureret indhold, kortlagte risici og indbyggede arbejdsgange, der hjælper dig med at styre AI ansvarligt og med selvtillid.
Bilag A Tjekliste for kontrolmål
Bilag A til ISO 42001 indeholder 38 kontroller, der er organiseret på tværs af ni områder. Disse kontroller er ikke alle obligatoriske – din Anvendelseserklæring afgør hvilke der gælder baseret på din AI-risikovurdering. Du skal dog begrunde eventuelle undtagelser. Brug denne tjekliste sammen med vores detaljerede Bilag A kontrollerer vejledning til implementeringsdetaljer.
| Kontrolreference | Kontrolnavn | Nødvendige nøglebeviser | Status |
|---|---|---|---|
| A.2 — Politikker relateret til AI | |||
| A.2.2 | AI politik | Godkendt AI-politikdokument, kommunikationsregistre | ☐ |
| A.2.3 | Tilpasning til andre politikker | Krydsreferencematrix for politikker, der viser overensstemmelse med politikker for informationssikkerhed, databeskyttelse og etik | ☐ |
| A.2.4 | Gennemgang af AI-politik | Planlagte gennemgangsposter, versionshistorik, ledelsesgodkendelse | ☐ |
| A.3 — Intern organisation | |||
| A.3.2 | AI-roller og -ansvar | RACI-matrix eller rollebeskrivelser, der dækker AI-styring, -udvikling og -drift | ☐ |
| A.3.3 | Indberetning af bekymringer | Dokumenteret rapporteringskanal, eskaleringsprocedurer, optegnelser over rejste bekymringer | ☐ |
| A.4 — Ressourcer til AI-systemer | |||
| A.4.2 | Ressourcedokumentation | Oversigt over AI-systemressourcer (data, beregning, værktøjer, personale) | ☐ |
| A.4.3 | Dataressourcer | Dataopgørelser, dataflowdiagrammer, adgangskontroller | ☐ |
| A.4.4 | Værktøjsressourcer | Register over AI-udviklings- og implementeringsværktøjer, versionskontroller | ☐ |
| A.4.5 | System- og computerressourcer | Infrastrukturdokumentation, kapacitetsplaner, adgangskontrol | ☐ |
| A.4.6 | Menneskelige ressourcer | Kompetenceoptegnelser, træningsplaner, kvalifikationsdokumentation | ☐ |
| A.5 — Vurdering af virkningerne af AI-systemer | |||
| A.5.2 | Konsekvensanalyse af AI-systemer | Dokumenteret metode til konsekvensanalyse, vurderingsskabeloner | ☐ |
| A.5.3 | Dokumentation af vurderinger | Udfyldte konsekvensanalyser for hvert AI-system, der er omfattet af programmet | ☐ |
| A.5.4 | Indvirkning på enkeltpersoner | Analyse af virkninger på individuelle rettigheder, sikkerhed og velvære; afbødende foranstaltninger | ☐ |
| A.5.5 | Samfundsmæssige påvirkninger | Vurdering af bredere samfundsmæssige effekter, herunder bias, retfærdighed og miljøpåvirkning | ☐ |
| A.6 — AI-systemlivscyklus | |||
| A.6.1.2 | Mål for ansvarlig udvikling | Dokumenterede målsætninger, der dækker retfærdighed, gennemsigtighed, ansvarlighed og sikkerhed | ☐ |
| A.6.1.3 | Processer for ansvarligt design | Dokumentation af designprocessen, der integrerer ansvarlige AI-principper i hver fase | ☐ |
| A.6.2.2 | Kravspecifikation | Funktionelle og ikke-funktionelle krav, herunder etiske og juridiske begrænsninger | ☐ |
| A.6.2.3 | Dokumentation af design | Systemarkitekturdokumenter, designbeslutninger, afvejningsoptegnelser | ☐ |
| A.6.2.4 | Verifikation og validering | Testplaner, testresultater, acceptkriterier, bias og præstationstestregistre | ☐ |
| A.6.2.5 | Deployment | Implementeringsprocedurer, tjeklister for idriftsættelse, tilbagerulningsplaner | ☐ |
| A.6.2.6 | Drift og overvågning | Overvågningsdashboards, præstationsmålinger, logfiler for driftdetektion | ☐ |
| A.6.2.7 | Teknisk dokumentation | Modelkort, systembeskrivelser, algoritmedokumentation | ☐ |
| A.6.2.8 | Hændelseslogfiler | Logføringsprocedurer, politikker for logopbevaring, dokumentation for revisionsspor | ☐ |
| A.7 — Data til AI-systemer | |||
| A.7.2 | Data til udvikling | Kriterier for dataudvælgelse, repræsentativitetsanalyse, biasvurderinger | ☐ |
| A.7.3 | Erhvervelse af data | Datakilderegistreringer, dokumentation for samtykke/licens, retsgrundlag | ☐ |
| A.7.4 | Kvalitet af data | Datakvalitetsmålinger, valideringsprocedurer, fejlhåndteringsregistreringer | ☐ |
| A.7.5 | Data herkomst | Dokumentation af dataafstamning, sporbarhedskædeoptegnelser | ☐ |
| A.7.6 | Forberedelse af data | Forbehandlingsrørledninger, transformationslogfiler, mærkningsprocedurer | ☐ |
| A.8 — Information til interesserede parter | |||
| A.8.2 | Systemdokumentation til brugere | Brugervejledninger, funktionserklæringer, kendte begrænsninger | ☐ |
| A.8.3 | Ekstern rapportering | Offentliggjorte gennemsigtighedsrapporter, lovgivningsmæssige indlæg | ☐ |
| A.8.4 | Kommunikation af hændelser | Procedurer for hændelsesanmeldelse, kommunikationsskabeloner, meddelelsesregistre | ☐ |
| A.8.5 | Information til interesserede parter | Optegnelser over interessentkommunikation, politikker for offentliggørelse | ☐ |
| A.9 — Brug af AI-systemer | |||
| A.9.2 | Processer for ansvarlig brug | Procedurer for acceptabel brug, menneskelige tilsynsmekanismer, eskaleringsveje | ☐ |
| A.9.3 | Mål for ansvarlig brug | Målbare mål for ansvarlig brug af kunstig intelligens, overvågningskriterier | ☐ |
| A.9.4 | Anvendelsesformål | Dokumenterede anvendelseserklæringer, randbetingelser, forbudte anvendelser | ☐ |
| A.10 — Tredjeparts- og kundeforhold | |||
| A.10.2 | Fordeling af ansvar | Dokumenter vedrørende ansvarsfordeling, kontraktbestemmelser for AI-forpligtelser | ☐ |
| A.10.3 | Leverandører | Leverandørvurderingsrapporter, due diligence-rapporter, kontraktlige AI-krav | ☐ |
| A.10.4 | Kunder | Kundekommunikationsregistre, brugsvejledning, feedbackmekanismer | ☐ |
Når du har vurderet alle kontroller, skal du samle dine begrundelser i en AnvendelseserklæringDette dokument er en obligatorisk revisionsleverance og knytter hver kontrol til dine beslutninger om risikohåndtering.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvorfor vælge ISMS.online til ISO 42001-overensstemmelse?
At arbejde med en tjekliste på papir er en start – men at håndtere den løbende ISO 42001 overholdelse på tværs af teams, AI-systemer og revisionscyklusser kræver en platform, der er bygget til jobbet. ISMS.online knytter sig direkte til hvert element på denne tjekliste:
- Præbyggede ISO 42001-kontrolsæt — Alle bilag A-kontroller er forudindlæst med vejledning, så dit team ved præcis, hvilke beviser de skal indsamle, og hvor de skal opbevare dem.
- AI-risikoregister — Udfør og dokumenter AI-risikovurderinger (punkt 6.1.2) og AI-systemkonsekvensvurderinger (punkt 6.1.4) i et struktureret, reviderbart register.
- Politik- og dokumenthåndtering — Udarbejd udkast, versionsskriv, godkend og distribuer din AI politik og alt støttende dokumentation fra et enkelt arbejdsområde.
- Builder til erklæring om anvendelighed — Generer din SoA automatisk ud fra dine beslutninger om risikobehandling, med fuld begrundelsessporing for inkluderede og ekskluderede kontroller.
- Revisionsledelse — Planlæg interne revisioner (punkt 9.2), tildel resultater, spor korrigerende handlinger (punkt 10.2) og eksportér dokumentationspakker til eksterne revisorer. Se vores ISO 42001 revision guide til mere.
- Indsamling og sammenkobling af bevismateriale — Vedhæft dokumentation direkte til kontroller og klausuler. Når din revisor beder om dokumentation, er den allerede organiseret og klar.
- Understøttelse af integreret styringssystem — Hvis du allerede kører ISO 27001 eller ISO 27701, ISMS.online giver dig mulighed for at administrere alle standarder fra én platform med delte kontroller og reduceret dobbeltarbejde.
Klar til at gå fra tjekliste til handling? Book en demo at se hvordan ISMS.online accelererer din vej til ISO 42001 certificering.
Ofte Stillede Spørgsmål
Hvor mange krav er der i ISO 42001?
ISO 42001 indeholder krav til ledelsessystemer på tværs af syv klausuler (klausul 4 til klausul 10) plus 38 kontrolmål i bilag A grupperet i ni kontrolområder. Klausulerne definerer, hvordan du etablerer, driver og forbedrer dit AI-ledelsessystem, mens kontrollerne i bilag A omhandler specifikke AI-styring ansvarsområder såsom datakvalitet, konsekvensanalyse og tredjepartsadministration.
Skal jeg implementere alle 38 kontroller i bilag A?
Ikke nødvendigvis. De kontroller, du implementerer, afhænger af din AI-risikovurdering og omfanget af dine AI-systemer. Du skal dokumentere dine beslutninger i en Anvendelseserklæring, hvor du begrunder både de kontroller, du har valgt, og dem, du har udelukket. Revisorer vil gennemgå disse begrundelser, så hver udelukkelse skal have en klar, risikobaseret begrundelse.
Hvad er forskellen mellem klausulkravene og kontrollerne i bilag A?
Klausulkravene (4-10) er obligatoriske for alle organisationer, der søger certificering. De definerer rammerne for ledelsessystemet: kontekst, lederskab, planlægning, support, drift, præstationsevaluering og forbedring. Kontrolpunkterne i bilag A er et referencesæt af mål, som du anvender selektivt baseret på din risikohåndteringsplan. Tænk på klausulerne som motoren i dine AIMS og bilag A som de specifikke kontroller, du tilføjer for at håndtere identificerede risici.
Hvor lang tid tager det at udfylde denne tjekliste og opnå certificering?
Tidsfristerne varierer afhængigt af organisationens størrelse og modenhed. En organisation med et eksisterende ISO 27001-ledelsessystem kan typisk opnå ISO 42001-certificering på 3-6 måneder ved at udvide sine eksisterende processer. Organisationer, der starter fra bunden, bør planlægge 6-12 måneder. Ved at bruge en platform som ISMS.online med præbyggede skabeloner og guidede arbejdsgange kan denne tidsramme reduceres betydeligt. Vores implementeringsvejledning giver en detaljeret oversigt.
Kan jeg bruge denne tjekliste til en intern revision?
Ja. Denne tjekliste stemmer direkte overens med de krav, som en ekstern revisor vil vurdere. Brug den som et udgangspunkt for din intern revisionsprogram (Klausul 9.2) for at identificere afvigelser inden din certificeringsrevision. For hvert punkt, der er markeret som ufuldstændigt, skal du fremsætte en konstatering og tildele en korrigerende handling med en deadline. Vores ISO 42001 revision Vejledningen dækker hele den interne revisionsproces.
