ISO9001：2015（資料性）：風險管理與AI系統生命周期表C.1展示了根據ISO/IEC22989:2022定義的風險管理過程與AI系統生命周期之間的映射關系示例。表C.1：風險管理與AI系統生命周期風險管理風險管理框架（第5章）風險管理過程（第6章）AI系統生命周期范圍、環境與準則風險評估風險應對監視與評審記錄與報告組織層面的風險管理活動治理機構設定AI風險管理方向。最高管理者作出承諾。建立高級別的風險管理偏好和一般準則。接收并處理來自AI系統風險管理過程的反饋報告。因此，通過擴展和完善組織的風險管理工具來改進組織的風險管理框架風險準則目錄潛在風險源目錄、風險源評估與測量技術目錄已知或已實施的AI系統監視與控制技術目錄已知或已實施的緩解措施目錄為追蹤、記錄、報告和與內部和外部相關方共享AI系統信息而建立的方法和定義的格式目錄。啟動治理機構在組織和相關方的原則和價值觀的環境中評審AI系統目標。基于（通常是多層的）分析，確定AI系統是否可行并解決了組織尋求解決的問題。通過定制組織的風險管理框架，建立AI系統風險管理過程和體系的風險準則。識別（可能以多層方式）并詳細描述特定于AI系統的風險源。制定詳細的風險應對計劃?？赡芏x概念驗證方法。實施、測試和評估必要的“概念驗證”方法。分析和其結果以及建議被記錄并傳達給最高管理者。設計與開發治理機構根據收到的反饋報告不斷重新評估目標、效能和系統的可行性?？赡苡捎诜答亪蟾娑薷腁I系統風險準則。持續進行風險評估（可能在多個層面上）。實施風險應對計劃。風險應對和（剩余）風險評估繼續進行，直到滿足既定的風險準則。在測試、驗證和確認過程中，評估和調整系統組件以及整個系統的風險應對計劃。記錄結果并將其反饋到相關的風險管理過程活動中。如有必要，將結論傳達給管理層和治理機構。驗證與確認部署治理機構根據收到的反饋報告不斷重新評估目標和系統的可行性。針對必要的“配置”更改，調整AI系統風險準則和風險管理過程。持續進行風險評估（可能在多個層面上）。由于“配置”更改，可能更新并實施風險應對計劃。風險應對和（剩余）風險評估繼續進行，直到滿足既定的風險準則。重新評估AI系統的風險應對計劃，以便進行必要的調整。運營、監視治理機構根據收到的反饋報告不斷重新評估目標和系統的可行性?？赡苡捎诜答亪蟾娑薷腁I系統風險準則?？赡茚槍︼L險準則的變化調整系統的風險評估計劃?？赡茚槍︼L險評估結果中的風險變化調整系統的風險應對計劃。評估和調整系統組件的風險應對計劃。持續驗證再評價治理機構重新評審AI系統目標及其與組織和相關方原則和價值觀的關系?；诜治?，確定AI系統是否可行。針對AI系統的特定目的和范圍、運營監視結果和新監管要求的任何潛在變化，對AI系統風險管理過程和系統的風險準則進行再評估。評審現有特定于AI系統的風險源列表的相關性和任何可能的差距?？赡芨嘛L險應對計劃。風險應對和（剩余）風險評估繼續進行，直到滿足既定的風險準則。重新評估AI系統的風險應對計劃，以便進行必要的調整。退役或替換觸發具有新目標、新風險及其緩解措施的新風險管理過程。治理機構基于分析重新評審AI系統目標，確定AI系統退役或替換是否可行。建立AI系統風險管理退役流程和系統的退役風險準則。識別和詳細描述特定于AI系統退役的風險源。制定詳細的風險應對計劃。實施、測試和評估必要的“概念驗證”方法。參考文獻[1]ISO/IEC38507:2022，信息技術—信息技術治理—組織使用人工智能的治理影響[2]ISO26000:2010，社會責任指南[3]ISO/IECTR24028:2020，信息技術—人工智能—人工智能可信性概述[4]ISO/IECTR24027:2021，信息技術—人工智能（AI）—AI系統中的偏見和AI輔助決策[5]ISO/IEC29134:2017，信息技術—安全技術—隱私影響評估指南[6]ISO/IECTR24029-1:2021，人工智能（AI）—神經網絡魯棒性評估—第1部分：概述[7]ISO/IECTR54692，人工智能—功能安全和AI系統[8]ISO/IEC27005:2022，信息安全、網絡安全和隱私保護—信息安全