一、ISO/IEC 42001:2023 5.2 标准原文

ISO/IEC 42001:2023 5.2 人工智能方针
原文：最高管理层应制定人工智能方针：
a）适应组织的宗旨；
b）为建立人工智能目标（见 6.2）提供了一个框架；
c）包括满足适用要求的承诺；
d）包括对人工智能管理体系持续改进的承诺。人工智能方针应：
——可获取并保持成文信息；
——与其他组织方针相联系；
——在组织内部进行沟通；
——适用时，可为相关方所获取。
表 A.1 中的 A.2 提供了建立 AI 方针的控制目标和控制措施。B.2 提供了这些控制措施的实施指南。
注：ISO/IEC 38507 中提供了组织在制定 AI 方针时的注意事项。

提示：完整原文请参阅 ISO/IEC 42001:2023 正式文本

引用：好的AI方针不是写给墙上看的，而是写给决策、项目、采购和日常使用看的。它的价值在于让组织在面对复杂AI选择时有一致判断依据。

二、条款解读说明

2.1 为什么AI方针不能只停留在原则口号

很多组织谈到AI方针时，容易写成一段看起来很先进的愿景表述，例如“坚持科技向善、推动创新发展、保障安全可靠、促进持续改进”。这些表述本身没有问题，但如果方针只停留在抽象理念层面，它对AIMS的实际帮助会很有限。因为项目团队、采购团队、法务团队和业务负责人真正需要的，不是漂亮词汇，而是能指导判断的原则边界：哪些AI用途值得鼓励，哪些场景必须谨慎，哪些底线不能突破，哪些责任必须落实。

因此，5.2要求的人工智能方针，应兼具方向性和可操作性。它既要体现组织对AI的总体定位，也要为目标设定、场景判断、治理投入、风险处置和持续改进提供框架。如果方针无法影响这些实际动作，那么它就只是品牌宣传语，而不是管理体系方针。

2.2 AI方针在AIMS中的关键构成

构成要素	在ISO/IEC 42001中的含义	常见偏差	建议体现
方向一致性	与组织宗旨、战略和AI应用方向相匹配	方针与实际业务方向脱节	写明AI在组织中的定位
治理承诺	体现对合规、责任、控制和持续改进的承诺	只谈创新，不谈责任和边界	写明基本治理原则
框架作用	为目标设定和控制提供判断依据	方针无法落到目标和流程	与AIMS目标和控制逻辑挂钩
沟通和理解	相关人员知道并理解方针含义	只发文，不解释	培训和管理沟通
适宜性维护	随着业务和风险变化及时更新	方针长期不变，与现实脱节	评审机制和修订记录

2.3 AI方针的真正价值，在于形成一致判断标准

AI治理中的冲突常常不是黑白分明的，而是发生在灰度选择里。例如，某项能力能显著提效，但解释性不足；某个模型供应商性能更强，但透明度较低；某类用途客户非常想要，但对个人和群体影响较大；某些员工自发使用AI工具看似合理，却会带来数据边界问题。面对这些灰度问题，组织如果没有明确方针，很容易出现不同团队各自判断、标准不一、冲突升级的情况。

这时，AI方针的作用就体现出来了。它不是替代每一次具体评估，而是给这些评估提供上位标准。比如，组织是否优先保证人类可监督，是否坚持高影响场景必须有明确责任链，是否要求关键AI输出可追溯，是否对外部模型依赖保持审慎态度，是否把透明和合规视为基本经营条件。这些判断一旦被方针固定下来，组织在面对复杂选择时就更容易保持一致。

注意：AI方针不应写得像学术伦理宣言，也不应写成细碎操作手册。它应处于两者之间，既足够高层，可以提供方向；又足够明确，可以支持管理判断和目标分解。

三、实施要点

3.1 让AI方针与组织真实AI战略保持一致

如果组织的AI战略重点是内部效率提升，方针就应强调使用边界、数据保护和输出复核；如果组织重点是对外提供AI能力，方针则应更强调可信交付、责任界面和客户透明度。
方针不能脱离业务现实独立写作，否则后续很难被团队认同。
真正有效的方针，往往能从组织实际AI活动中直接读出影子。

3.2 在方针中体现底线和边界，而不只是积极愿景

除了表达促进创新、提升价值外，方针还应体现组织对合规、责任、适当控制、人类监督、持续改进和负责任使用的承诺。
如果方针只讲“积极做AI”，却不讲“在什么边界内做”，它很难为治理提供框架。
AI方针最重要的部分，常常不是愿景，而是底线。

3.3 让方针能向目标、流程和控制层层展开

一个好的方针应能自然分解为后续目标，例如模型监测目标、培训目标、第三方管理目标、透明度要求或影响评估覆盖目标。
如果方针与后续目标之间没有衔接，说明方针写得过于悬空。
建议在方针设计时就考虑其将如何转化为管理动作。

3.4 把方针讲清楚，而不只是发布出去

对AI治理而言，方针理解偏差会直接影响项目判断。因此，组织应通过培训、管理层发声、案例说明和FAQ让不同角色理解方针对其意味着什么。
业务团队、技术团队、采购团队和法务团队对同一方针的关注点并不相同，沟通也应有针对性。
方针“可理解”比“被看到”更重要。

3.5 定期检视方针是否仍适用于当前AI阶段

当组织从内部试点走向对外产品化、从自研走向采购、从单一场景走向多业务全面使用时，原有方针很可能已不够。
管理评审时应检查方针是否仍准确反映组织AI方向和责任边界。
AI方针不是越稳定越好，而是越适宜越好。

成功：成熟的AI方针通常能同时做到三点：管理层愿意据此做判断、执行团队能据此理解边界、审核和外部沟通时能据此解释组织的AI治理立场。

四、常用工具与实施方法

工具/方法	适用目的	实施建议	输出成果
方针设计工作坊	统一管理层和关键部门对AI治理方向的理解	围绕价值、边界、责任和改进展开讨论	方针草案、讨论纪要
方针-目标映射表	验证方针是否能支撑AIMS目标设定	将方针承诺映射到后续目标和控制项	映射矩阵
角色化沟通材料	帮助不同团队理解方针含义	针对业务、技术、采购和法务分别解释	宣贯材料、培训记录
管理评审修订机制	定期判断方针是否仍适宜	结合新场景、新监管和新事件复核	评审纪要、修订记录
对外沟通摘要	对客户、合作方和审计方解释组织立场	在不泄露内部细节前提下提炼核心原则	对外说明稿

五、典型案例

案例一：AI方针只写创新愿景，项目现场缺乏边界判断

背景：组织发布AI方针时主要强调效率提升和业务创新。
问题：项目团队据此理解为“优先推进落地”，对高敏场景和第三方模型依赖缺少清晰边界。
5.2动作：补充方针中的责任、透明、合规和人类监督承诺。
结果：方针开始真正影响项目判断，而不只是鼓舞士气。
启示：缺少治理底线的AI方针，往往会被执行层解读成单纯鼓励使用AI。

案例二：方针写得过于抽象，业务和技术团队理解各异

背景：方针文本高度概括，措辞审慎但缺乏针对性。
问题：业务团队认为方针强调市场机会，技术团队认为方针只是原则倡议，法务团队则觉得其不具操作意义。
5.2动作：组织通过案例化宣贯和方针-目标映射，重新解释方针含义。
结果：不同团队对方针的理解趋于一致。
启示：方针如果不能被理解，就无法被执行。

案例三：企业AI使用阶段变化后，旧方针明显滞后

背景：组织最初仅在内部办公场景试用AI，后续逐步将AI嵌入对外产品。
问题：原方针只强调内部使用规范，无法覆盖客户透明度和产品责任要求。
5.2动作：在管理评审中修订方针，纳入对外服务责任和供应商治理原则。
结果：方针重新与组织AI阶段相匹配。
启示：AI方针要随着AI使用成熟度演进，而不能停在试点时期。

六、成文信息管理要求

5.2通常需要形成正式方针文件，并能证明该方针被批准、沟通、理解并在体系中发挥作用。对于AIMS而言，审核员往往不仅会看方针文本，还会看方针是否真正进入目标、培训和管理决策。

建议文件或记录	关键内容	责任角色	审核价值
人工智能方针文件	组织定位、治理承诺、适用范围和批准信息	最高管理者/AIMS负责人	证明方针已被正式建立
方针宣贯记录	培训、发布、答疑和角色化沟通材料	HR/沟通部门/AIMS团队	证明方针已被沟通和理解
方针-目标关联记录	方针如何转化为目标和管理动作	AIMS团队/业务负责人	证明方针不是空泛声明
方针评审和修订记录	适宜性判断、变化背景和修订说明	管理层/AIMS团队	证明方针保持适宜有效

七、常见误区及踩坑提醒

误区	典型表现	正确做法
AI方针就是一段品牌宣言	词汇积极，但无法指导管理判断	同时写清方向、底线和治理承诺
方针写得越抽象越高级	不同团队各自解读，执行标准不一	保持高层表达同时确保可理解可展开
方针发布一次就结束	随着业务阶段变化而逐渐失效	在管理评审中定期检视适宜性
方针只需要管理层知道	执行团队不理解方针与自己工作有什么关系	对不同角色进行有针对性的宣贯

警告：避免把第5.2条做成一段好听但无管理含义的文字。AI方针如果不能指导组织在复杂场景中做一致判断，它就无法为AIMS提供真正的方向框架。

小结：第5.2条要求组织形成一份真正有管理价值的人工智能方针。只有方针既符合组织AI战略，又清楚表达责任边界、治理承诺和持续改进方向，AIMS后续的目标与控制才会有统一上位依据。

ISO/IEC 42001:2023 认证标准解读 5.2 人工智能方针