TIÊU CHUẨN QUỐC GIA
TCVN ISO/IEC 42001:2025
ISO/IEC 42001:2023
CÔNG NGHỆ THÔNG TIN - TRÍ TUỆ NHÂN TẠO HỆ THỐNG QUẢN LÝ
INFORMATION TECHNOLOGY - ARTIFICIAL INTELLIGENCE - MANAGEMENT SYSTEM
Lời nói đầu
TCVN ISO/IEC 42001:2025 hoàn toàn tương đương với ISO/IEC 42001:2023.
TCVN ISO/IEC 42001:2025 do Ban kỹ thuật tiêu chuẩn quốc gia TCVN/JTC 1 “Công nghệ thông tin”
biên soạn, Viện Tiêu chuẩn Chất lượng Việt Nam đề nghị, Ủy ban Tiêu chuẩn Đo lường Chất lượng
Quốc gia thẩm định, Bộ Khoa học và Công nghệ công bố.
Lời giới thiệu
Trí tuệ nhân tạo (AI) ngày càng được áp dụng rộng rãi trong mọi lĩnh vực sử dụng công nghệ thông tin
và dự kiến sẽ trở thành một trong những động lực kinh tế chính. Hệ quả của xu hướng này là một số
ứng dụng nhất định có thể gây ra những thách thức cho xã hội trong những năm tới.
Tiêu chuẩn này nhằm mục đích giúp các tổ chức thực hiện vai trò của mình một cách có trách nhiệm
đối với các hệ thống AI (ví dụ: sử dụng, phát triển, giám sát hoặc cung cấp các sản phẩm hoặc dịch
vụ sử dụng AI). AI có khả năng là gia tăng những xem xét cụ thể như sau:
- Việc sử dụng AI để ra quyết định tự động, đôi khi theo cách không minh bạch và không thể giải thích
được, có thể yêu cầu sự quản lý cụ thể ngoài việc quản lý các hệ thống công nghệ thông tin cổ điển.
- Việc sử dụng phân tích dữ liệu, sự thấu hiểu và học máy, thay vì logic do con người mã hóa để thiết
kế hệ thống, vừa làm tăng cơ hội ứng dụng cho các hệ thống AI vừa thay đổi cách phát triển, biện
minh và triển khai các hệ thống đó.
- Các hệ thống AI thực hiện học tập liên tục sẽ thay đổi hành vi của chúng trong quá trình sử dụng.
Các hệ thống AI cần được xem xét đặc biệt để đảm bảo việc sử dụng liên tục có trách nhiệm với hành
vi thay đổi.
Tiêu chuẩn này cung cấp các yêu cầu để thiết lập, triển khai, duy trì và cải tiến liên tục hệ thống quản
lý AI trong bối cảnh của một tổ chức. Các tổ chức được kỳ vọng tập trung vào việc áp dụng các yêu
cầu vào các tính năng độc đáo của AI. Một số tính năng nhất định của AI, chẳng hạn như khả năng
liên tục học hỏi và cải tiến hoặc thiếu minh bạch hoặc thiếu khả năng giải thích, có thể đảm bảo các
biện pháp bảo vệ khác nhau nếu chúng gây ra thêm mối lo ngại so với cách thực hiện nhiệm vụ theo
truyền thống. Việc áp dụng hệ thống quản lý AI để mở rộng các cấu trúc quản lý hiện có là một quyết
định mang tính chiến lược đối với một tổ chức.
Nhu cầu và mục tiêu, quá trình, quy mô và cấu trúc của tổ chức cũng như kỳ vọng của các bên quan
tâm khác nhau ảnh hưởng đến việc thiết lập và triển khai hệ thống quản lý AI. Một tập các yếu tố khác
ảnh hưởng đến việc thiết lập và triển khai hệ thống quản lý AI là nhiều trường hợp sử dụng AI và nhu
cầu đạt được sự cân bằng phù hợp giữa các cơ chế quản trị và đổi mới. Các tổ chức có thể lựa chọn
áp dụng các yêu cầu này bằng cách sử dụng phương pháp tiếp cận dựa trên rủi ro để đảm bảo rằng
mức độ kiểm soát phù hợp được áp dụng cho các trường hợp sử dụng AI, dịch vụ hoặc sản phẩm cụ
thể trong phạm vi của tổ chức. Tất cả các yếu tố ảnh hưởng này dự kiến sẽ thay đổi và được xem xét
theo thời gian.
Hệ thống quản lý AI phải được tích hợp với các quá trình và cấu trúc quản lý tổng thể của tổ chức.
Các vấn đề cụ thể liên quan đến AI cần được xem xét trong quá trình thiết kế quá trình, hệ thống
thông tin và kiểm soát. Các ví dụ quan trọng về các quá trình quản lý như vậy là:
- xác định mục tiêu của tổ chức, sự tham gia của các bên quan tâm và chính sách của tổ chức;
- quản lý rủi ro và cơ hội;
- các quá trình quản lý các mối quan tâm liên quan đến tính đáng tin cậy các hệ thống AI như an ninh,
an toàn, công bằng, minh bạch, chất lượng dữ liệu và chất lượng của các hệ thống AI trong suốt vòng
đời của chúng;
- các quá trình quản lý bên cung ứng, đối tác và bên thứ ba cung cấp hoặc phát triển các hệ thống AI
cho tổ chức.
Tiêu chuẩn này cung cấp các hướng dẫn triển khai các biện pháp kiểm soát áp dụng để hỗ trợ các
quá trình như vậy.
Tiêu chuẩn này tránh hướng dẫn cụ thể về các quá trình quản lý. Tổ chức có thể kết hợp các khung
được chấp nhận chung, các Tiêu chuẩn quốc tế khác và kinh nghiệm của riêng mình để triển khai các
quá trình quan trọng như quản lý rủi ro, quản lý vòng đời và quản lý chất lượng dữ liệu phù hợp với
các trường hợp sử dụng AI cụ thể, sản phẩm hoặc dịch vụ trong phạm vi.
Một tổ chức tuân thủ các yêu cầu trong tiêu chuẩn này có thể tạo ra bằng chứng về trách nhiệm và
trách nhiệm giải trình của mình liên quan đến vai trò của mình đối với các hệ thống AI.
Thứ tự các yêu cầu được trình bày trong tiêu chuẩn này không phản ánh tầm quan trọng của chúng
hoặc ngụ ý thứ tự chúng được triển khai. Các mục trong danh sách được liệt kê chỉ nhằm mục đích
tham khảo.
Khả năng tương thích với các tiêu chuẩn hệ thống quản lý khác.
Tiêu chuẩn này áp dụng cấu trúc hài hòa (số điều, tiêu đề điều, văn bản và các thuật ngữ chung và
định nghĩa cốt lõi giống hệt nhau) được phát triển để tăng cường sự thống nhất giữa các tiêu chuẩn
hệ thống quản lý (MSS). Hệ thống quản lý AI cung cấp các yêu cầu cụ thể để quản lý các vấn đề và
rủi ro phát sinh từ việc sử dụng AI trong một tổ chức. Cách tiếp cận chung này tạo điều kiện thuận lợi
cho việc triển khai và nhất quán với các tiêu chuẩn hệ thống quản lý khác, ví dụ: liên quan đến chất
lượng, an toàn, bảo mật và quyền riêng tư.
CÔNG NGHỆ THÔNG TIN - TRÍ TUỆ NHÂN TẠO - HỆ THỐNG QUẢN LÝ
Information technology - Artificial intelligence - Management system
1 Phạm vi áp dụng
Tiêu chuẩn này quy định các yêu cầu và đưa ra hướng dẫn để thiết lập, triển khai, duy trì và cải tiến
liên tục hệ thống quản lý AI (trí tuệ nhân tạo) trong bối cảnh của một tổ chức.
Tiêu chuẩn này được sử dụng bởi tổ chức cung cấp hoặc sử dụng các sản phẩm hoặc dịch vụ có sử
dụng hệ thống AI. Tiêu chuẩn này giúp tổ chức phát triển, cung cấp hoặc sử dụng hệ thống AI một
cách có trách nhiệm nhằm theo đuổi các mục tiêu và đáp ứng các yêu cầu, nghĩa vụ hiện hành liên
quan đến các bên quan tâm và các mong đợi từ các bên quan tâm đó.
Tiêu chuẩn này có thể áp dụng cho mọi tổ chức, bất kể quy mô, loại hình và tính chất, cung cấp hoặc
sử dụng các sản phẩm hoặc dịch vụ sử dụng hệ thống AI.
2 Tài liệu viện dẫn
Các tài liệu viện dẫn dưới đây là cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu ghi
năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu không ghi năm công bố thì áp dụng
phiên bản mới nhất, bao gồm cả các sửa đổi, bổ sung (nếu có).
TCVN 13902:2023 (ISO/IEC 22989:2022), Công nghệ thông tin - Trí tuệ nhân tạo - Khái niệm và thuật
ngữ về trí tuệ nhân tạo.
3 Thuật ngữ và định nghĩa
Tiêu chuẩn này áp dụng các thuật ngữ và định nghĩa trong TCVN 13902:2023 (ISO/IEC 22989:2022)
và các thuật ngữ và định nghĩa sau.
3.1
Tổ chức
Người hoặc nhóm người với chức năng riêng, có trách nhiệm, quyền hạn và các mối quan hệ để đạt
được mục tiêu (3.6).
CHÚ THÍCH 1: Khái niệm tổ chức bao gồm nhưng không giới hạn ở thương nhân độc quyền, công ty,
tổng công ty, hãng, doanh nghiệp, cơ quan có thẩm quyền, công ty hợp danh, tổ chức từ thiện hoặc tổ
chức hoặc một phần hoặc sự kết hợp, dù có hợp nhất hay không, công hay tư.
CHÚ THÍCH 2: Nếu tổ chức là một phần của thực thể lớn hơn thì thuật ngữ “tổ chức” chỉ đề cập đến
bộ phận của thực thể lớn hơn nằm trong phạm vi của hệ thống quản lý AI (3.4).
3.2
Bên quan tâm
Cá nhân hoặc tổ chức (3.1) có thể ảnh hưởng, chịu ảnh hưởng hoặc nhận thấy chịu ảnh hưởng bởi
một quyết định hoặc hoạt động.
CHÚ THÍCH 1: Tổng quan về các bên quan tâm trong AI được cung cấp trong 5.19, ISO/IEC
22989:2022.
3.3
Lãnh đạo cao nhất
Người hoặc nhóm người định hướng và kiểm soát tổ chức (3.1) ở cấp cao nhất.
CHÚ THÍCH 1: Lãnh đạo cao nhất có quyền ủy quyền và cung cấp tài nguyên trong tổ chức.
CHÚ THÍCH 2: Nếu phạm vi của hệ thống quản lý (3.4) chỉ bao gồm một phần của tổ chức thì lãnh
đạo cao nhất chỉ đề cập đến những người định hướng và kiểm soát bộ phận đó của tổ chức.
3.4
Hệ thống quản lý
Tập các yếu tố có liên quan hoặc tương tác lẫn nhau của một tổ chức (3.1) để thiết lập các chính sách
(3.5) và mục tiêu (3.6), cũng như các quá trình (3.8) để đạt được các mục tiêu đó
CHÚ THÍCH 1: Một hệ thống quản lý có thể giải quyết một lĩnh vực hoặc nhiều lĩnh vực.
CHÚ THÍCH 2: Các yếu tố của hệ thống quản lý bao gồm cơ cấu, vai trò và trách nhiệm, hoạch định
và vận hành của tổ chức.
3.5
Chính sách
Ý định và định hướng của một tổ chức (3.1) được lãnh đạo cao nhất của tổ chức công bố một cách
chính thức (3.3).
3.6
Mục tiêu
Kết quả cần đạt được.
CHÚ THÍCH 1: Mục tiêu có thể mang tính chiến lược, chiến thuật hoặc tác nghiệp.
CHÚ THÍCH 2: Mục tiêu có thể liên quan đến các lĩnh vực khác nhau (như mục tiêu về tài chính, sức
khỏe và an toàn và môi trường). Ví dụ, các mục tiêu có thể có phạm vi toàn tổ chức hoặc cụ thể cho
một dự án, sản phẩm hoặc quá trình (3.8).
CHÚ THÍCH 3: Mục tiêu có thể được thể hiện theo những cách khác, ví dụ như kết quả dự kiến, như
mục đích, tiêu chí hoạt động, mục tiêu AI hoặc bằng cách sử dụng các từ khác có ý nghĩa tương tự (ví
dụ: mục đích, mục tiêu, hoặc mục tiêu).
CHÚ THÍCH 4: Trong bối cảnh hệ thống quản lý AI (3.4), các mục tiêu AI được tổ chức đặt ra (3.1),
nhất quán với chính sách AI (3.5), để đạt được kết quả cụ thể.
3.7
Rủi ro
Tác động của sự không chắc chắn.
CHÚ THÍCH 1: Tác động là sự sai lệch so với dự kiến - tích cực hoặc tiêu cực.
CHÚ THÍCH 2: Sự không chắc chắn là tình trạng, thậm chí một phần, thiếu thông tin liên quan đến sự
hiểu biết hoặc kiến thức về một sự kiện, hệ quả hoặc khả năng xảy ra.
CHÚ THÍCH 3: Rủi ro thường được đặc trưng bởi sự tham chiếu đến các sự kiện tiềm ẩn (như được
định nghĩa trong TCVN 9788) và các hệ quả (như được định nghĩa trong TCVN 9788), hoặc sự kết
hợp của những điều này.
CHÚ THÍCH 4: Rủi ro thường được thể hiện dưới dạng sự kết hợp giữa hệ quả của một sự kiện (bao
gồm cả những thay đổi trong hoàn cảnh) và khả năng xảy ra liên quan (như định nghĩa trong TCVN
9788).
3.8
Quá trình
Tập các hoạt động có liên quan hoặc tương tác lẫn nhau nhằm sử dụng hoặc biến đổi đầu vào để
mang lại kết quả.
CHÚ THÍCH 1: Việc kết quả của một quá trình được gọi là đầu ra, sản phẩm hay dịch vụ phụ thuộc
vào bối cảnh của tham chiếu.
3.9
Năng lực
Khả năng áp dụng kiến thức và kỹ năng để đạt được kết quả dự kiến.
3.10
Thông tin dạng văn bản
Thông tin cần được kiểm soát và duy trì bởi một tổ chức (3.1) và phương tiện chứa đựng thông tin đó.
CHÚ THÍCH 1: Thông tin dạng văn bản có thể ở bất kỳ định dạng và phương tiện và nguồn nào.
CHÚ THÍCH 2: Thông tin dạng văn bản có thể đề cập đến:
- hệ thống quản lý (3.4), bao gồm các quá trình (3.8) liên quan;
- thông tin được tạo ra để tổ chức vận hành (tư liệu[1][1]);
- bằng chứng về các kết quả đạt được (hồ sơ).
3.11
Kết quả thực hiện
Kết quả có thể đo được.
CHÚ THÍCH 1: Kết quả thực hiện có thể liên quan đến cả các phát hiện định lượng hoặc định tính.
CHÚ THÍCH 2: Kết quả thực hiện có thể liên quan đến việc quản lý các hoạt động, quá trình (3.8), sản
phẩm, dịch vụ, hệ thống hoặc tổ chức (3.1).
CHÚ THÍCH 3: Trong bối cảnh của tiêu chuẩn này, kết quả thực hiện đề cập đến cả kết quả đạt được
bằng cách sử dụng hệ thống AI và kết quả liên quan đến hệ thống quản lý (3.4) AI. Việc giải thích
chính xác thuật ngữ này là rõ ràng từ bối cảnh sử dụng.
3.12
Cải tiến liên tục
Hoạt động định kỳ để nâng cao kết quả thực hiện (3.11).
3.13
Hiệu lực
Mức độ thực hiện các hoạt động đã hoạch định và đạt được các kết quả đã hoạch định.
3.14
Yêu cầu
Nhu cầu hoặc mong đợi được tuyên bố, ngầm hiểu hoặc bắt buộc.
CHÚ THÍCH 1: “Ngầm hiểu” có nghĩa là đó là thông lệ hoặc thông lệ chung của tổ chức (3.1) và các
bên quan tâm (3.2) rằng nhu cầu hoặc mong đợi đang được xem xét là ngụ ý.
CHÚ THÍCH 2: Yêu cầu quy định là yêu cầu được công bố, ví dụ trong thông tin dạng văn bản (3.10).
3.15
Sự phù hợp
Sự đáp ứng một yêu cầu (3.14).
3.16
Sự không phù hợp
Sự không đáp ứng một yêu cầu (3.14).
3.17
Hành động khắc phục
Hành động nhằm loại bỏ (các) nguyên nhân của sự không phù hợp (3.16) và ngăn ngừa tái diễn.
3.18
Đánh giá
Quá trình có hệ thống và độc lập (3.8) để thu thập bằng chứng và xác định giá trị một cách khách
quan nhằm xác định mức độ đáp ứng các tiêu chí đánh giá.
CHÚ THÍCH 1: Đánh giá có thể là đánh giá nội bộ (bên thứ nhất) hoặc đánh giá bên ngoài (bên thứ
hai hoặc bên thứ ba) và có thể là đánh giá kết hợp (kết hợp hai hoặc nhiều nguyên tắc).
CHÚ THÍCH 2: Đánh giá nội bộ được thực hiện bởi chính tổ chức (3.1) hoặc bởi một bên bên ngoài
thay mặt tổ chức.
CHÚ THÍCH 3: “Bằng chứng đánh giá” và “tiêu chí đánh giá” được xác định trong TCVN ISO 19011.
3.19
[1][1] Trong một số tiêu chuẩn về hệ thống quản lý, ví dụ TCVN ISO 9001 được dịch là 'tư liệu'. Trong
TCVN 8695-1:2023, được dịch là 'tư liệu'.
Đo lường
Quá trình (3.8) để xác định một giá trị.
3.20
Theo dõi
Xác định tình trạng của hệ thống, quá trình (3.8) hoặc hoạt động.
CHÚ THÍCH 1: Để xác định tình trạng, có thể cần phải kiểm tra, giám sát hoặc quan sát chặt chẽ.
3.21
Biện pháp kiểm soát
<rủi ro> Biện pháp duy trì và/hoặc điều chỉnh rủi ro (3.7).
CHÚ THÍCH 1: Biện pháp kiểm soát bao gồm nhưng không giới hạn ở bất kỳ quá trình, chính sách,
thiết bị, thực hành hoặc các điều kiện và/hoặc hành động khác nhằm duy trì và/hoặc điều chỉnh rủi ro.
CHÚ THÍCH 2: Các biện pháp kiểm soát không phải lúc nào cũng phát huy tác dụng sửa đổi dự kiến
hoặc giả định.
[NGUỒN: 3.8, TCVN ISO 31000:2018, đã sửa đổi - Đã thêm <rủi ro> làm miền ứng dụng]
3.22
Cơ quan chủ quản
Người hoặc nhóm người chịu trách nhiệm về hiệu lực hoạt động và sự phù hợp của tổ chức.
CHÚ THÍCH 1: Không phải tất cả các tổ chức, đặc biệt là các tổ chức nhỏ, có cơ quan chủ quản tách
biệt với lãnh đạo cao nhất.
CHÚ THÍCH 2: Cơ quan chủ quản bao gồm nhưng không giới hạn ở ban giám đốc, các ban của hội
đồng quản trị, ban giám sát, ủy viên quản trị hoặc người giám sát.
[NGUỒN: 2.9, ISO/IEC 38500:2015, đã sửa đổi - Đã thêm CHÚ THÍCH.]
3.23
An toàn thông tin
Bảo toàn tính bí mật, tính toàn vẹn và tính khả dụng[2][2] của thông tin.
CHÚ THÍCH 1: Các đặc tính khác cũng có thể liên quan như tính xác thực, trách nhiệm giải trình,
chống chối bỏ và độ tin cậy.
[NGUỒN: 3.28, ISO/IEC 27000:2018][3][3]
3.24
Đánh giá tác động của hệ thống AI
Quá trình chính thức, được lập thành văn bản trong đó các tác động lên cá nhân (và nhóm cá nhân)
và xã hội được xác định, xác định giá trị và giải quyết bởi một tổ chức phát triển, cung cấp hoặc sử
dụng sản phẩm hoặc dịch vụ có sử dụng trí tuệ nhân tạo.
3.25
Chất lượng dữ liệu (data quality)
Đặc tính của dữ liệu mà dữ liệu đáp ứng các yêu cầu dữ liệu của tổ chức trong bối cảnh cụ thể.
[NGUỒN: 3.4, ISO/IEC 5259-1]
3.26
Tuyên bố khả năng áp dụng
Tư liệu về tất cả các biện pháp kiểm soát (3.21) cần thiết và lý do bao gồm hoặc loại trừ các biện
pháp kiểm soát đó.
CHÚ THÍCH 1: Tổ chức có thể không yêu cầu tất cả các biện pháp kiểm soát được liệt kê trong Phụ
lục A hoặc thậm chí có thể vượt quá danh sách trong Phụ lục A với các biện pháp kiểm soát bổ sung
do chính tổ chức thiết lập.
CHÚ THÍCH 2: Tất cả các rủi ro được xác định phải được tổ chức lập thành văn bản theo các yêu cầu
của tiêu chuẩn này. Tất cả các rủi ro được xác định và các biện pháp (kiểm soát) quản lý rủi ro được
[2][2] Trong một số tiêu chuẩn quốc gia được gọi là tính sẵn sàng
[3][3] Hiện nay đã công bố TCVN 11238:2015 (ISO/IEC 27000:2014)