ISO 42001 i ISO 27001 - jak połączyć zarządzanie AI z bezpieczeństwem informacji?
Autor: Karolina Orłowicz, Audytor w zespole bezpieczeństwa informacji DEKRA
15 cze 2026Organizacje posiadające certyfikację ISO 27001 mają już wdrożony fundament, na którym norma ISO 42001 może być zbudowany. Podstawą jest zrozumienie, jak oba standardy współdzielą strukturę i gdzie się uzupełniają.
Czym jest Zharmonizowana Struktura ISO i dlaczego ma znaczenie?
ISO/IEC 42001 przyjmuje Zharmonizowaną Strukturę (Harmonized Structure - HS), czyli uniwersalne ramy dla wszystkich standardów systemów zarządzania ISO/IEC. Oznacza to, że ISO 42001 ma analogiczny układ rozdziałów co ISO 27001, ISO 9001 czy ISO 27701.
Zharmonizowana Struktura obejmuje następująceelementy:
- Wspólne rozdziały i układ. Każdy standard oparty na HS dzieli te same obszary: kontekst organizacji, przywództwo, planowanie, wsparcie, działania operacyjne, ocena wyników i doskonalenie. Organizacja, która wdrożyła jeden standard, rozumie architekturę drugiego - bez potrzeby uczenia się nowego systemu od zera.
- Ujednolicona terminologia. Pojęcia takie jak ryzyko, interesariusz, cele czy udokumentowana informacja mają tę samą definicję w każdym standardzie opartym na HS, choć ich zastosowanie może się różnić w zależności od kontekstu danej normy. To ogranicza nieporozumienia między zespołami i upraszcza szkolenia.
- Zintegrowane systemy zarządzania (IMS). HS umożliwia równoczesne wdrażanie wielu standardów, co pozwala ograniczyć duplikację procesów, audytów i dokumentacji. Zamiast dwóch równoległych systemów - jeden zintegrowany system zarządzania pokrywający zakres obu norm.
- Odniesienie do ryzyk i szans. Nie chodzi wyłącznie o ryzyka związane z algorytmami, ale o ocenę całego systemu zarządzania AI.
Organizacja powinna identyfikować i nadzorować ryzyka wpływające na skuteczność systemu, takie jak kwestie etyczne, transparentność, zgodność z regulacjami, stronniczość danych czy jakość nadzoru nad AI. Równolegle powinna rozpoznawać szanse wynikające z wdrożenia AI i stale oceniać, czy system zarządzania wspiera ich bezpieczne i skuteczne wykorzystanie.
Karolina Orłowicz - Zygadło, Audytor w Zespole Certyfikacji Bezpieczeństwa Informacji DEKRA
| Obszar | Co wnosi ISO 27001 | Co wnosi ISO 42001 | Możliwość integracji |
| Metodyka oceny ryzyka | Sprawdzona metodyka identyfikacji, analizy i oceny ryzyk dla bezpieczeństwa informacji | Wymagania dot. kryteriów ryzyka AI: akceptowalność, progi działań, ocena wpływu | Wspólna metodyka, rozszerzony zakres o ryzyka AI: techniczne, etyczne, operacyjne, reputacyjne |
| Mechanizmy bezpieczeństwa | Kontrole techniczne i organizacyjne chroniące poufność, integralność i dostępność | Mechanizmy kontrolne specyficzne dla AI: nadzór nad modelami, wykrywanie biasu, wyjaśnialność | Istniejące kontrole bezpieczeństwa jako punkt wyjścia dla kontroli AI |
| Zarządzanie aktywami | Rejestr aktywów informacyjnych | Aktywa AI: systemy AI, dane treningowe, modele, zasoby obliczeniowe | Rozszerzenie istniejącego rejestru aktywów o komponenty AI |
| Obsługa incydentów | Procedury reagowania na incydenty bezpieczeństwa | Procedury dla zdarzeń AI: awarie modeli, bias incidents, niezgodności operacyjne | Wspólna procedura z rozszerzonym zakresem zdarzeń |
Jak działa integracja ISO 27001 i 42001 w praktyce - co można połączyć, a czego nie?
Zasada, która powinna kierować każdą integracją: należy rozróżnić elementy wspólne, które można ujednolicić, od wymagań specyficznych, które wymagają odrębnego podejścia.
Co można ujednolicić:
- Dokumentacja podstaw systemu zarządzania - polityki, procesy, zakres - może być skonsolidowana w jednej strukturze. Organizacja posiadająca ISO 27001 ma już trzy typy udokumentowanych informacji: dokumentację podstaw (polityki, procesy, zakres), dokumentację operacyjną (procedury, instrukcje robocze) i dokumentację dowodową (zapisy potwierdzające skuteczność). ISO 42001 wymaga dokładnie tego samego. Rozszerzenie obejmuje dodanie elementów specyficznych dla AI: polityki AI, ocen ryzyka AI, zapisów z przeglądów cyklu życia modeli oraz model cards i data sheets wskazanych wprost w Aneksie A.8 normy.
- Procesy audytu i przeglądu zarządzania mogą być połączone. Program audytów wewnętrznych ISMS zostaje rozszerzony o zakres AIMS - jeden harmonogram, jeden zespół audytorów (o ile posiadają kompetencje w obu obszarach), jeden raport. Przegląd zarządzania obejmuje jednocześnie wyniki ISMS i AIMS, co daje kierownictwu spójny obraz.
- Zarządzanie kompetencjami i świadomość mogą być budowane łącznie. Organizacja identyfikuje wymagane kompetencje dla ról, które wchodzą w interakcję zarówno z systemami bezpieczeństwa, jak i systemami AI - buduje jeden program szkoleń z rozszerzonym zakresem, zamiast dwóch równoległych.
Co wymaga odrębnego podejścia:
Kryteria ryzyka AI nie mogą być po prostu skopiowane z ISMS. ISO 42001 wymaga odrębnych kryteriów, które pozwalają rozróżniać ryzyka akceptowalne od nieakceptowalnych w kontekście AI - uwzględniając wymiary etyczne, wpływ na grupy demograficzne, ryzyka związane z uprzedzeniami w danych treningowych czy ryzyko niekontrolowanych decyzji automatycznych. To obszar, gdzie ujednolicona terminologia może prowadzić do nieporozumień: "ryzyko" w ISMS i "ryzyko AI" to kategorie o różnym zasięgu i naturze.
Korzyści z integracji ISO 42001 z ISO 27001
Integracja ISO 42001 z ISO 27001 przynosi trzy konkretne korzyści operacyjne, wynikające bezpośrednio z mechanizmu Zharmonizowanej Struktury:
- Eliminacja duplikacji procesów i dokumentacji. Zamiast utrzymywać dwa równoległe systemy zarządzania, organizacja rozbudowuje jeden - co bezpośrednio przekłada się na mniejszy nakład pracy administracyjnej i niższe ryzyko niespójności między dokumentami.
- Połączone audyty wewnętrzne i zewnętrzne. Jeden program audytów zamiast dwóch oznacza mniej dni audytowych, mniejsze obciążenie dla zespołów i niższy łączny koszt certyfikacji. DEKRA przeprowadza zintegrowane audyty certyfikacyjne obejmujące oba systemy w ramach jednego procesu.
- Spójny obraz dla kierownictwa. Przegląd zarządzania łączący wyniki ISMS i AIMS pozwala najwyższemu kierownictwu podejmować decyzje strategiczne i alokować zasoby w oparciu o pełny obraz ryzyk - zarówno tych związanych z bezpieczeństwem informacji, jak i tych specyficznych dla AI.
Powiązania z ISO 27701 i ISO 9001
Integracja z ISO 27001 to naturalna pierwsza ścieżka, ale Zharmonizowana Struktura otwiera drzwi do szerszego ekosystemu.
Norma ISO 27701 to rozszerzenie ISO 27001 o zarządzanie informacjami o prywatności. Dla organizacji, których systemy AI przetwarzają dane osobowe, punkty styku z ISO 42001 są konkretne: środki ochrony danych, ocena skutków dla prywatności i zarządzanie cyklem życia danych.
Norma ISO 9001 wnosi do ekosystemu zasady orientacji na klienta, podejście procesowe i ciągłe doskonalenie - wszystkie bezpośrednio przekładalne na zarządzanie AI. Punkty styku wskazane w materiałach szkoleniowych to: struktura systemu zarządzania, myślenie oparte na ryzyku, podejście procesowe i zarządzanie dokumentacją. Organizacja posiadająca ISO 9001 ma już kulturę systemowego doskonalenia, która stanowi dobry grunt pod wdrożenie AIMS.
Jak DEKRA przeprowadza zintegrowaną certyfikację ISO 42001 i ISO 27001
DEKRA posiada doświadczenie w certyfikacji złożonych systemów zarządzania i przeprowadza zintegrowane audyty dla organizacji wdrażających więcej niż jeden standard jednocześnie. Proces zintegrowanej certyfikacji ISO 42001 oraz ISO 27001 obejmuje:
- Wstępną ocenę istniejącego systemu ISO 27001 - identyfikację naturalnych punktów styku i luk specyficznych dla AI.
- Mapowanie wymagań - określenie, które elementy ISMS można rozszerzyć, a które wymagają zbudowania od podstaw.
- Zintegrowany Stage 1 - przegląd dokumentacji obu systemów łącznie.
- Zintegrowany Stage 2 - audyt na miejscu obejmujący wdrożenie ISMS i AIMS w praktyce.
- Wydanie certyfikatów i zintegrowane audyty nadzoru w kolejnych latach.
Chcesz uporządkować zarządzanie AI i przygotować organizację na wymagania regulacyjne? Poznaj proces certyfikacji ISO 42001 w DEKRA!