Norma ISO 27001 w kontekście AI – jak przygotować firmę do zgodności z bezpieczeństwem informacji?

W kontekście ISO 27001 AI może wydawać się czymś odległym – jakby funkcjonowały w dwóch różnych światach. Wdrożenie ISO 27001 kojarzy się ze stabilnymi ramami bezpieczeństwa informacji: uporządkowanymi procedurami, przewidywalnymi procesami i kontrolą. AI wnosi do organizacji coś zupełnie innego: dane w ogromnej skali, uczenie maszynowe i decyzje podejmowane przez algorytmy, często poza bezpośrednią kontrolą człowieka. 

Na styku tych dwóch rzeczywistości szybko okazuje się, że dotychczasowe podejście do bezpieczeństwa nie nadąża za tym, jak dziś faktycznie przetwarzane są informacje.

Dlatego z tego artykułu dowiesz się:

• Czy norma ISO 27001 obejmuje bezpieczeństwo rozwiązań sztucznej inteligencji?

• Jakie są kluczowe etapy wdrażania ISO 27001 w firmie korzystającej z technologii AI?

• Jak zabezpieczyć dane używane w systemach AI zgodnie z normą ISO 27001?

• Jakie dokumenty należy przygotować do certyfikacji ISO 27001 dla firmy wykorzystującej AI?

• Jakie są konsekwencje niezgodności systemów AI z normą ISO 27001?

Ciekawy_a, jak wygląda zarządzanie ryzykiem w systemach AI w kontekście certyfikacji ISO 27001? 

Zapraszam do lektury!

Sztuczna inteligencja a bezpieczeństwo informacji: certyfikacja technologii inteligentnych

Skoro czytasz ten artykuł, zakładam, że wiesz już, że przy użyciu AI bezpieczeństwo informacji jest absolutnie kluczowe. Być może kojarzysz, czym jest zgodność z ISO 27001? Jeśli nie – zerknij najpierw do mojego poprzedniego artykułu. 🙂 

Teraz pewnie zastanawiasz się, czy norma ISO 27001 obejmuje bezpieczeństwo rozwiązań sztucznej inteligencji?

Odpowiedź brzmi: i tak, i nie. Norma ISO 27001 nie została stworzona explicite dla sztucznej inteligencji. Jest to raczej standard “holistyczny”. 

W kontekście zgodności systemów AI z normami bezpieczeństwa, wymagania ISO 27001 co do zasady są adekwatne, by zapewnić bezpieczne ramy funkcjonowania sztucznej inteligencji. Problem polega na tym, że sama norma ISO 27001 może okazać się niewystarczająca, gdy chodzi o bezpieczeństwo modeli AI używanych w organizacjach. Dlatego coraz częściej zaleca się integrację ISMS m.in. z normą ISO/IEC 42001. To standard, który rozszerza tradycyjne środki bezpieczeństwa, wprowadzając rozwiązania „szyte na miarę” sztucznej inteligencji.

AI – normy bezpieczeństwa, które warto znać!

W kwestii zarządzania ryzykiem danych sztucznej inteligencji, ISO 27001 oraz ISO 42001 to jednak nie jedyne “drogowskazy”. W ekosystemie bezpieczeństwa AI kluczowe są także: 

1. RODO (GDPR) – o tym, jak dokładnie chronić dane osobowe w projektach AI pisałam już na moim blogu, zerknij! 🙂
2. AI Act (Akt w sprawie sztucznej inteligencji) 
3. ISO/IEC 23894:2023

Jakie są główne wymagania normy ISO 27001 w kontekście AI?

Wracając natomiast do samej ISO 27001 – jest to baza, na której zbudujesz bezpieczeństwo informacji w organizacji. To dlatego implementacja ISO 27001 w firmach wykorzystujących AI jest absolutnym “must-have”. Wdrożenie ISMS w firmie korzystającej z AI wymusza jednak działania w kilku kluczowych obszarach:

• Ochrona prywatności i danych 
• Zarządzanie integralnością i bezpieczeństwem modeli AI
• Ład korporacyjny i odpowiedzialność 
• Zapobieganie atakom kontradyktoryjnym i zatruwaniu danych
• Zarządzanie ryzykiem uprzedzeń i stronniczości
• Bezpieczny cykl życia systemów AI
• Zarządzanie ryzykiem zewnętrznym (dostawcami)
• Zarządzanie incydentami

Wdrożenie ISO 27001

Aby zapewnić pełne bezpieczeństwo modeli AI wykorzystywanych w firmie i danych, które przetwarzają, kluczowe jest m.in. odpowiednie wdrożenie normy ISO 27001.

Jakie są kluczowe etapy wdrażania ISO 27001 w firmie korzystającej z technologii AI? Cyberbezpieczeństwo modeli AI

Wdrożenie normy ISO 27001 to proces ustrukturyzowany, który prowadzi Cię krok po kroku do certyfikacji. Etapy implementacji co do zasady są podobne – niezależnie od tego, czy prowadzisz tradycyjny e-commerce, czy masz zaawansowane modele AI.

Aby poprawnie wdrożyć ISMS dla systemów sztucznej inteligencji, polega na tym, by do każdego z tych etapów podejść przez pryzmat AI. Innymi słowy, AI musi być uwzględniona na każdym kroku proceduralnej ścieżki.

Wdrożenie standardu bezpieczeństwa AI – 2026

Etap	Kluczowe Działanie (z perspektywy AI)
1. Wsparcie “z góry”	Pozyskanie zaangażowania kadry zarządzającej. Bez ich zgody i budżetu projekt ISMS, który ma objąć skomplikowane systemy AI, nie ruszy.
2. Inicjacja projektu	Określenie celów i przypisanie ról. W tym miejscu definiujesz, kto w zespole jest za co odpowiedzialny.
3. Definiowanie zakresu	W tym kroku precyzyjnie identyfikujesz, które systemy AI, które dane treningowe i które procesy (np. pozyskiwania danych) wchodzą w zakres certyfikacji.
4. Polityka bezpieczeństwa dla technologii AI	Konieczne będzie opracowanie polityki, która m.in. zintegruje ochronę aktywów AI z całością systemu ISMS. Ma powstać dokument, który wskaże m.in. jak chronić modele AI, dane i narzędzia oraz jak to wszystko pasuje do reszty systemu bezpieczeństwa w firmie.
5. Szkolenia i świadomość	Personel musi być przeszkolony z cyberzagrożeń specyficznych dla AI (np. ryzyko zatrucia danych) i procedur ochrony modeli. Ludzie muszą wiedzieć, czego nie robić i na co uważać.
6. Metodologia zarządzania ryzykiem	Wybór metodyki. Musi być ona odpowiednia i zdolna do uwzględnienia ryzyka typowego dla technologii AI.
7. Inwentaryzacja aktywów	Utworzenie szczegółowej listy wszystkich aktywów AI: modeli, platform obliczeniowych, danych treningowych i procesów Machine Learning.
8. Ocena ryzyka (risk assessment)	Kluczowy moment – przeprowadzenie dokładnej oceny zagrożeń. Tutaj identyfikujesz ryzyka związane z użyciem AI i sprawdzasz, co może pójść nie tak:  czy ktoś może zmanipulować dane, czy model może działać stronniczo, czy ktoś nieuprawniony może zmienić jego działanie. Każde takie ryzyko trzeba nazwać i opisać.
9. Postępowanie z ryzykiem (risk treatment)	Wdrażasz konkretne zabezpieczenia: kontrolę dostępu, weryfikację danych, monitoring modeli, procedury reagowania. To etap, na którym ryzyka są realnie adresowane poprzez wdrożenie odpowiednich kontroli bezpieczeństwa. Te specyficzne wymagania, o których mówiliśmy w poprzednim akapicie (np. zabezpieczenia przed uprzedzeniami), są właśnie przykładami takich kontroli wdrażanych na tym etapie.
10. Ocena wydajności	Ciągłe monitorowanie i analiza funkcjonowania ISMS – np. procedur zarządzania incydentami związanymi z działaniem AI.
11. Ciągłe doskonalenie	Wykorzystywanie wyników audytów i przeglądów do stałego ulepszania systemu, tak aby nadążał za zmianami w technologiach AI i nowymi zagrożeniami.
12. Audyt zgodności bezpieczeństwa informacji	Kulminacja procesu – przygotowanie do audytu zewnętrznego, który zweryfikuje, czy Twoje ISMS, łącznie z bezpieczeństwem AI, “działa” zgodnie z normą.

BONUS!

Jeśli lubisz konkrety (a wiem, że w IT konkrety są w cenie), to w kontekście AI, szczególne zastosowanie mają następujące kontrole z Załącznika A normy ISO 27001:

• A.5.9 – Inwentaryzacja aktywów (musisz wiedzieć, jakie masz modele i zbiory danych).
• A.5.12 – Klasyfikacja informacji.
• A.5.15 – Kontrola dostępu.
• A.5.19 – Bezpieczeństwo w relacjach z dostawcami.
• A.8.25 – Bezpieczny cykl rozwoju oprogramowania.
• A.5.31 – Wymagania prawne i umowne (tu kłania się RODO i AI Act).

Zarządzanie ryzykiem danych sztucznej inteligencji – na co musisz zwrócić uwagę?

W podejściu ISO 27001 analiza ryzyka dla systemów AI nie jest czymś odrębnym, lecz częścią spójnego procesu zarządzania bezpieczeństwem informacji.

Jak przeprowadzić analizę ryzyka dla systemów AI zgodnie z ISO 27001?

Punktem wyjścia jest ustalenie, jakie systemy AI działają w firmie, na jakich danych pracują i w jakich procesach są wykorzystywane. Następnie musisz rozpoznać zagrożenia specyficzne dla AI. Chodzi m.in. o stronniczość danych, zatruwanie danych, ataki kontradyktoryjne, kradzież modeli czy ryzyka wynikające z korzystania z dostawców zewnętrznych. Dopiero wtedy da się sensownie ocenić ryzyko i dobrać odpowiednie zabezpieczenia.

Analiza ryzyka dla technologii AI musi uwzględniać złożoność i nieprzejrzystość działania systemów AI oraz kontekst organizacyjny. W przypadku przetwarzania danych osobowych – także obowiązek przeprowadzenia DPIA (oceny skutków dla ochrony danych).

Jak zintegrować zarządzanie ryzykiem AI z istniejącym systemem ISMS?

Zarządzanie tymi ryzykami powinno być w pełni zintegrowane z istniejącym ISMS, opartym na ochronie poufności, integralności i dostępności informacji, przy jednoczesnym uzupełnieniu go o standardy dedykowane AI (np. ISO/IEC 42001 i ISO/IEC 23894).

Jak zabezpieczyć dane używane w systemach AI zgodnie z normą ISO 27001?

Zabezpieczenie danych w systemach AI następuje na etapie postępowania z ryzykiem i obejmuje zabezpieczenia techniczne, organizacyjne i prawne. Chodzi m.in. o szyfrowanie danych, kontrolę dostępu, walidację danych wejściowych, monitorowanie modeli, zarządzanie zmianami, ocenę dostawców oraz zapewnienie zgodności z RODO i AI Act.

Zabezpieczenia techniczne AI

Ochrona systemów uczenia maszynowego w praktyce sprowadza się do zapewnienia, że modele AI działają na wiarygodnych danych i nie są podatne na nieautoryzowane ingerencje. Kluczowe znaczenie ma tu ochrona danych w algorytmach uczenia maszynowego, ponieważ to jakość i bezpieczeństwo danych wprost wpływają na sposób działania modelu i podejmowane przez niego decyzje. W tym celu stosuje się m.in. procedury bezpieczeństwa algorytmów uczących, takie jak kontrola dostępu, zarządzanie zmianami czy weryfikacja danych wejściowych. Uzupełnieniem są strategie cyberbezpieczeństwa modeli predykcyjnych, pozwalające monitorować działanie systemów AI, wykrywać anomalie i ograniczać ryzyko manipulacji, zanim przełożą się one na błędne lub niepożądane wyniki.

Q&A | Audyt i certyfikacja ISO 27001 w pytaniach i odpowiedziach

O ISO 27001 – także w kontekście AI – tematów do omówienia jest znacznie więcej, niż da się zmieścić w jednym artykule. Powyżej zebrałam najważniejsze kwestie praktyczne. Na koniec zostawiam Ci krótkie Q&A z pytaniami, które najczęściej słyszę od moich klientów przy audycie i certyfikacji.

1. Jak przeprowadzić audyt wewnętrzny systemów AI pod kątem zgodności z ISO 27001?

Audyt wewnętrzny systemów AI w kontekście ISO 27001 to przede wszystkim moment, w którym sprawdzasz, czy sposób, w jaki korzystasz ze sztucznej inteligencji, jest bezpieczny i zgodny z RODO. Przyglądasz się temu, jak przetwarzane są dane, jak działają algorytmy i czy nie ma ryzyka, że model zacznie podejmować stronnicze lub niepożądane decyzje. To także okazja, żeby upewnić się, że dane i modele są dobrze zabezpieczone, a organizacja potrafi szybko wykryć i zareagować na próby ingerencji w systemy AI. Na koniec weryfikujesz, czy masz jasne procedury reagowania na incydenty i czy wiadomo, kto w firmie odpowiada za bezpieczeństwo AI.

2. Jakie dokumenty należy przygotować do certyfikacji ISO 27001 dla firmy wykorzystującej AI?

Przygotowując się do certyfikacji ISO 27001, musisz pamiętać, że standardowa dokumentacja ISMS w przypadku AI wymaga rozszerzenia o elementy związane ze specyfiką sztucznej inteligencji. Chodzi m.in. o politykę bezpieczeństwa informacji, jasno określony zakres ISMS, uporządkowane zarządzanie ryzykiem oraz dokumenty potwierdzające zgodność z RODO i AI Act. Jeśli przetwarzasz dane osobowe, także o obowiązkową DPIA. Do tego dochodzą procedury dotyczące bezpiecznego rozwoju i utrzymania systemów AI, kontroli dostępu, zarządzania zmianami, współpracy z dostawcami oraz reagowania na incydenty.

3. Jak często należy aktualizować polityki bezpieczeństwa dla systemów AI?

ISO 27001 opiera się na zasadzie ciągłego doskonalenia ISMS. Z tego powodu polityki bezpieczeństwa dla systemów AI nie są czymś, co tworzy się raz i odkłada na półkę. W praktyce oznacza to regularne przeglądy i aktualizacje. Kiedy? Po audytach, incydentach, zmianach w systemach AI czy pojawieniu się nowych zagrożeń lub regulacji. Ma to szczególne znaczenie przy AI, która z samej natury jest dynamiczna.

4. Jakie są największe wyzwania w dostosowaniu systemów AI do wymogów ISO 27001?

Największym wyzwaniem jest uwzględnienie w ramach ISO 27001 ryzyk specyficznych dla sztucznej inteligencji. Oznacza to m.in.

• zadbanie o wyjaśnialność działania algorytmów,
• spełnienie wymogów RODO w zakresie transparentności i minimalizacji danych,
• identyfikowanie oraz ograniczanie stronniczości modeli,
• kontrolę ryzyka związanego z korzystaniem z zewnętrznych narzędzi AI, a także
• ochronę systemów przed manipulacją danymi i atakami kontradyktoryjnymi.

5. Jakie są konsekwencje niezgodności systemów AI z normą ISO 27001?

Brak zgodności systemów AI z normą ISO 27001 ma konsekwencje, które wykraczają daleko poza samą dokumentację. Oznacza realne ryzyko naruszeń RODO, wysokich kar finansowych, incydentów cyberbezpieczeństwa czy naruszeń umów o poufności. Do tego dochodzą skutki wizerunkowe i biznesowe. Brak certyfikacji ISO 27001 może ograniczać dostęp do kontraktów i osłabiać Twoją pozycję konkurencyjną organizacji.

— — —

Jesteś na etapie, na którym wdrożenie normy ISO 27001 przestaje być „tematem do rozważenia”? Wiesz, że także w kontekście stosowanych rozwiązań AI, powinien to być Twój kolejny projekt w firmie? Mogę Ci w tym pomóc!

Pracuję z przedsiębiorcami, którzy chcą przełożyć wymagania norm ISO na praktyczne działania. Od audytu zgodności bezpieczeństwa informacji, przez audyt bezpieczeństwa AI i zarządzanie ryzykiem w systemach AI, po przygotowanie kompletnej dokumentacji bezpieczeństwa AI pod certyfikację ISO 27001.

PS Jestem certyfikowaną audytorką i wdrożeniowcem normy ISO/IEC 42001:2023 dotyczącej bezpieczeństwa sztucznej inteligencji – możesz więc ze spokojem powierzyć mi tę cząstkę swojego biznesu. Zaopiekuję się nim jak swoim! 🙂