一、ISO/IEC 42001:2023 7.3 标准原文
原文:在组织控制下工作的人员应了解:人工智能方针;其对人工智能管理体系有效性的贡献,包括改进人工智能绩效带来的益处;不符合人工智能管理体系要求的影响。
二、条款解读说明
2.1 意识不是培训的重复,而是日常行为的前提
在很多管理体系中,7.2能力和7.3意识经常被混为一谈。但在ISO/IEC 42001中,两者分工非常清楚。7.2解决的是“会不会做”,7.3解决的是“知不知道为什么要这么做,以及不这么做会造成什么后果”。对AI治理而言,这种区分尤其重要,因为大量风险并不是由专业技术错误引起,而是由日常使用中的松懈、误解、默认操作和侥幸心理引起。比如,员工未经批准把敏感信息输入外部AI工具、业务人员将AI建议当作最终决定、客服人员没有向用户说明自己正在使用AI辅助、运维人员发现异常却认为只是短期波动不必上报,这些问题很多都属于意识不到位。
因此,7.3要求组织在更广的范围内建立AI意识。它不仅面向AIMS核心团队,也面向所有在组织控制下工作、可能影响人工智能管理体系有效性的人。谁会影响体系有效性,谁就应理解人工智能方针、自己对体系的贡献以及不符合要求的后果。对今天大量存在“影子AI使用”的组织来说,7.3往往比7.2更难,因为真正需要建立意识的人往往不集中在技术部门,而分散在各个业务岗位和外部合作环节。
2.2 7.3要求理解的三件事
| 要求理解的内容 | 在AI治理中的含义 | 典型表现 | 落地方式 |
|---|---|---|---|
| 人工智能方针 | 知道组织如何看待AI使用边界、责任和改进方向 | 员工知道什么可做、什么需审批、什么禁止 | 宣贯、手册、使用规则 |
| 自身贡献 | 知道自己的岗位行为会怎样影响AIMS有效性 | 理解数据录入、审核、监督、沟通等动作的重要性 | 岗位化说明、场景化案例 |
| 不符合的影响 | 知道偏离要求会带来什么业务、合规和信任后果 | 理解违规输入、误用输出、隐瞒异常的风险 | 案例复盘、事件提醒、制度约束 |
2.3 AI意识建设最大的难点,是把抽象原则翻译成具体场景
“负责任地使用AI”“遵守人工智能方针”这些表述本身并不难理解,难的是如何让不同岗位明白它们在自己工作里具体意味着什么。对市场人员来说,可能意味着不能直接把生成式AI内容未经审核用于外部传播;对客服人员来说,意味着必须向用户说明AI辅助使用的范围;对招聘人员来说,意味着不能把模型评分视为唯一结论;对采购人员来说,意味着引入新供应商前要确认文档和支持能力;对运维人员来说,意味着发现模型漂移或异常输出后必须按流程升级。
所以,7.3能否做好,关键不在于发了多少通知,而在于是否把意识要求嵌入真实工作情境。真正有效的意识建设应该让员工在遇到具体情况时,能够本能地想到该看什么规则、该向谁请示、哪些动作绝不能省略。只有这样,人工智能管理体系才会从制度层面进入行为层面。
三、实施要点
3.1 明确哪些人属于意识建设覆盖范围
- 除了AIMS团队和技术团队,还应覆盖业务、运营、客服、采购、法务、市场、行政及外包支持人员。
- 判断标准不是部门名称,而是其工作是否会影响AI系统开发、使用、监督、沟通或事件处理。
- 范围界定越真实,意识建设越有效。
3.2 把方针翻译成岗位化、场景化要求
- 不要只传播抽象原则,应把方针拆解为各岗位能理解和执行的行为要求。
- 例如,什么信息可以输入外部AI工具、什么情况下必须人工复核、何时需要向客户说明AI参与等。
- 场景化意识提示通常比一份长制度更容易改变行为。
3.3 让员工知道“我对体系有效性的贡献是什么”
- 每类岗位都应理解自己在哪些环节帮助AIMS有效运行,例如正确录入数据、保留日志、按流程审批、及时上报异常、准确对外沟通。
- 如果员工只知道“公司很重视AI治理”,却不知道自己该做什么,意识建设就没有完成。
- 贡献感越清楚,执行偏差越少。
3.4 用真实案例解释不符合的影响
- 相比制度摘录,实际事件和行业案例更能让员工理解不符合要求的后果。
- 建议围绕误导输出、错误决策、数据泄露、客户投诉、监管风险和品牌影响设计案例。
- 不符合的影响必须被讲具体,员工才会真正建立边界意识。
3.5 建立持续提醒,而不是“一次宣贯管一年”
- AI工具和场景变化快,单次宣贯很快过时,组织应建立周期性提醒、版本更新通知和事件后复盘宣导机制。
- 重大制度更新、重大事件或新工具引入时,应及时刷新意识内容。
- 意识建设是持续动作,不是认证准备动作。
四、常用工具与实施方法
| 工具/方法 | 适用目的 | 实施建议 | 输出成果 |
|---|---|---|---|
| 岗位化AI使用指引 | 把方针翻译成岗位行为要求 | 按业务、运营、客服、采购等角色分别编写 | 岗位指引 |
| 微课与情景案例 | 提升理解和记忆度 | 围绕真实系统和常见误用场景设计 | 意识培训材料 |
| 系统内提醒与弹窗 | 在实际使用时进行即时提示 | 放在AI工具入口、审批节点和敏感操作前 | 提醒记录 |
| 事件复盘宣导 | 让员工理解不符合的真实影响 | 对典型事件形成匿名案例复盘 | 宣导纪要 |
| 问答手册 | 解决员工对边界和例外情况的疑问 | 持续更新高频问题 | FAQ文档 |
五、典型案例
案例一:制度齐全,但员工仍把客户信息输入外部AI工具
- 背景:企业已经出台AI使用制度,但员工习惯用公开大模型处理工作文本。
- 问题:员工知道公司在做AI治理,却不知道哪些信息绝不能输入外部工具。
- 改进:组织针对外部AI工具使用场景重做意识宣导,并在工具入口增加即时提醒。
- 结果:敏感信息误输事件明显减少。
案例二:人工复核岗位不知道自己为何重要
- 背景:某评分系统设置了人工复核,但复核人员经常机械通过。
- 问题:他们不知道自己的判断是控制系统风险的重要环节。
- 改进:组织通过案例培训说明错误放行的后果,并重新说明人工复核的责任定位。
- 结果:复核质量提升,升级上报比例更合理。
案例三:客服团队未向用户说明AI参与
- 背景:客服团队使用AI辅助回复,但没有统一告知用户。
- 问题:投诉发生后,组织发现一线人员并不知道该如何说明AI的参与范围。
- 改进:将对外说明要求纳入意识建设重点,并提供统一话术和场景演练。
- 结果:外部沟通更一致,相关方误解减少。
六、成文信息管理要求
7.3没有直接要求保留大量复杂记录,但从审核和实际管理角度看,组织最好能够证明:哪些人员被纳入意识范围,传达了什么内容,如何与岗位相关,何时更新,以及效果如何观察。
| 建议文件或记录 | 关键内容 | 用途 |
|---|---|---|
| 意识宣导计划 | 对象范围、主题、频次、责任部门 | 证明7.3有系统安排 |
| 岗位化意识材料 | 方针解读、行为要求、常见误用场景 | 证明意识内容贴近实际岗位 |
| 宣导与培训记录 | 参加对象、时间、方式、版本 | 证明已完成传达 |
| 案例复盘和提醒记录 | 典型事件、后果、改进提醒 | 证明员工理解不符合影响 |
| FAQ或问答更新记录 | 高频问题、边界解释、更新日期 | 证明意识内容持续维护 |
七、常见误区及踩坑提醒
| 误区 | 问题表现 | 正确做法 |
|---|---|---|
| 把意识建设等同于一次培训 | 员工听过一次,但很快忘记 | 建立持续提醒和版本更新机制 |
| 只面向技术团队宣导 | 业务和外部支持人员成为盲区 | 覆盖所有会影响AIMS有效性的人员 |
| 只讲原则,不讲场景 | 员工知道口号,不知道如何执行 | 把方针翻译成岗位化行为要求 |
| 不说明违规后果 | 员工低估偏离要求的风险 | 用真实案例解释业务、合规和信任影响 |
| 忽略影子AI使用 | 大量风险发生在制度外使用场景 | 将外部AI工具和非正式使用纳入意识内容 |