Merhabalar, yapay zekanın hızla hayatımıza dahil olduğu bu zamanlarda konuya dair yayımlanan uluslararası ilk standart ISO 42001:2023 Yapay Zeka Yönetim Sistemi oldu. YZYS AI sistemlerinin güvenli, etik ve şeffaf bir şekilde yönetilmesini hedefler. Genel olarak Yapay Zeka ve Bilgi Güvenliği arasındaki ilişkiye göz atacak olursak, yapay zeka sistemleri büyük miktardaki verileri işlerken pek tabii bilgi güvenliği risklerini de beraberinde getirmektedir. Veri sızıntılarına karşı savunmasız kalabilen yapay zeka sistemlerinin gizlilik, erişim kontrolü ve olay yönetimi gibi süreçlerini ISO 27001 BGYS kapsamlı bir şekilde karşılayan çerçeveler sunmaktadır. ISO 27001 BGYS gibi köklü bir yönetim sisteminin üzerine Yapay Zeka Yönetim Sistemini kurmak çok daha kolay olacaktır. Kurumdaki ISO 27001 süreçleri ile ISO 42001 Yapay Zeka Yönetim Sistemi’ni nasıl entegre edebiliriz, karşılaştırmalı olarak çalışmaları nasıl ilerletebiliriz gelin birlikte ele alalım;
BGYS ve YZYS İlişkisi
ISO 27001:2022 Maddesi |
ISO 42001:2023 Maddesi |
İlişki ve Açıklama |
| 4.1 Kuruluşun Bağlamını Anlama | 4.1 Yapay Zeka Yönetim Sisteminin Bağlamı | AI sistemlerinin bilgi güvenliği riskleri açısından nasıl yönetileceğini belirlemek için bağlam analizi gereklidir. Buna göre, AI sistemlerinin kullanıldığı sektör, veri türleri ve tehdit ortamı dikkate alınmalıdır. |
| 4.2 İlgili Tarafların İhtiyaç ve Beklentilerinin Anlaşılması | 4.2 İlgili Tarafların İhtiyaç ve Beklentilerinin Anlaşılması | Hem BGYS hem de YZYS için paydaşların güvenlik, etik ve yasal beklentileri göz önünde bulundurulmalıdır. Örneğin, bir AI sisteminin yanlılık riskine karşı nasıl denetleneceği belirlenmelidir. |
| 5.1 Liderlik ve Taahhüt | 5.1 Liderlik ve Taahhüt | Üst yönetim, hem bilgi güvenliği hem de AI yönetişimi için taahhüt vermelidir. Ek olarak, AI projelerinin etik ilkelerle uyumlu olmasını sağlamak için yönetim düzeyinde karar mekanizmaları oluşturulmalıdır. |
| 6.1 Risk Yönetimi | 6.1 Yapay Zeka Risk Yönetimi | ISO 27001’de genel siber güvenlik risk yönetimi yer alırken, ISO 42001 özellikle Yapay Zeka Yönetim Sistemine özgü risklerin değerlendirilmesini gerektirir. Ayrıca, AI modellerinin yanlılıkları, model zehirlenmesi ve veri manipülasyonu gibi riskler bu kapsama girer. |
| 7.2 Yetkinlik | 7.2 AI Sistemleri için Yetkinlik | AI geliştiren ve yöneten ekiplerin hem bilgi güvenliği hem de etik konularında yetkin olması gerekir. Aynı zamanda AI sistemlerinin güvenli ve etik kullanımı için çalışanlara eğitimler verilmelidir. |
| 8.1 İşletim ile İlgili Planlama ve Kontrol | 8.1 AI Operasyonel Kontrol ve Planlama | AI sistemlerinin güvenli çalışmasını sağlamak için işletme süreçleri ve kontroller belirlenmelidir. AI sistemlerinin izlenmesi, özellikle kara kutu modellerde görünürlük ve açıklanabilirlik sağlamak açısından önemlidir. |
| 8.2 Bilgi Güvenliği Risk Değerlendirmesi | 6.2 AI Risk Değerlendirmesi & AI Sistemi Etki Değerlendirmesi | Bilgi güvenliği riskleri ile AI’nin karar verme süreçlerindeki güvenlik ve etik riskleri paralel şekilde ele alınmalıdır. Çünkü, AI sistemlerinin hassas kararlar alırken veri bütünlüğünü ve doğruluğunu koruduğundan emin olunmalıdır. |
| 8.3 Bilgi Güvenliği Risk İşleme | 6.3 AI Risk İşleme | Özellikle riskleri belirleme ve azaltma yöntemleri her iki standart için kritik bir süreçtir. BGYS’ye ek olarak AI sistemlerinde zehirleme ve adversarial siber saldırılara karşı model dayanıklılığı sağlanmalıdır. |
| 9.1 İzleme, Ölçme, Analiz | 9.1 İzleme, Ölçme, Analiz | AI modellerinin ve bilgi güvenliği önlemlerinin etkinliğini ölçmek için izleme mekanizmaları gereklidir. Temel olarak, AI’nin kararlarının şeffaflığı ve denetlenebilirliği sağlanmalıdır. |
| 10.1 Sürekli İyileştirme | 10.1 AI Yönetim Sisteminde Sürekli İyileştirme | Hem bilgi güvenliği hem de AI yönetişimi süreçlerinin sürekli iyileştirilmesi gerekir. Buna göre, AI modelleri düzenli olarak test edilmeli ve çıktıların adilliği ve güvenilirliği analiz edilmelidir. |
