Så här använder du denna ISO 42001-checklista
ISO 42001 (tidigare ISO/IEC 42001:2023) är den internationella standarden för AI-ledningssystem (AIMS). Den tillhandahåller ett strukturerat ramverk för organisationer som utvecklar, tillhandahåller eller använder AI-system för att göra det på ett ansvarsfullt sätt och i linje med regulatoriska förväntningar.
Denna checklista är uppdelad i två delar. Den första täcker krav på ledningssystem i klausulerna 4–10, som definierar hur din organisation planerar, stöder, driver och förbättrar sina AIMS. Den andra täcker 38 Kontrollmål i bilaga A, som tar upp specifika risker och ansvarsområden under hela AI-systemets livscykel.
Gå igenom varje punkt i ordning. Använd Status kolumn för att spåra framsteg – markera objekt som Inte påbörjade, Pågår eller Slutförda. Där du identifierar brister, referera med vår förklaring av skillnaden guide och implementeringsguide för praktiska nästa steg.
Krav på ledningssystem (avsnitt 4–10)
Dessa klausuler följer den övergripande strukturen i bilaga SL som delas av ISO 27001, ISO 9001 och andra ledningssystemstandarder. Om din organisation redan har en av dessa certifieringar kommer du att känna igen mönstret – men var noga med att följa de AI-specifika kraven, såsom riskbedömning för AI (6.1.2), konsekvensbedömning av AI-system (6.1.4) och operativa kontroller för AI-system (8.2–8.4).
| Klausul | Krav | Nyckelåtgärder | Status |
|---|---|---|---|
| 4.1 | Förstå organisationen och dess sammanhang | Identifiera externa och interna problem som är relevanta för era AI-aktiviteter och AIMS-syfte | ☐ |
| 4.2 | Förstå intressenternas behov och förväntningar | Lista intressenter (tillsynsmyndigheter, kunder, berörda individer) och deras krav på AI-styrning | ☐ |
| 4.3 | Fastställande av AIMS omfattning | Definiera gränser – vilka AI-system, affärsenheter och platser som omfattas | ☐ |
| 4.4 | AI-ledningssystem | Upprätta, implementera, underhålla och kontinuerligt förbättra AIMS i linje med standarden | ☐ |
| 5.1 | Ledarskap och engagemang | Toppledningen visar engagemang genom att fastställa AI-policy, tilldela resurser och integrera AIMS i affärsprocesser. | ☐ |
| 5.2 | AI-policy | Utarbeta och godkänna ett AI-policy som inkluderar åtaganden till ansvarig AI användning, efterlevnad av lagar och kontinuerlig förbättring | ☐ |
| 5.3 | Organisatoriska roller, ansvar och befogenheter | Tilldela AIMS-roller (AI-styrningsledare, riskägare, systemägare) och kommunicera ansvarsområden | ☐ |
| 6.1.1 | Åtgärder för att hantera risker och möjligheter (allmänt) | Identifiera risker och möjligheter som kan påverka AIMS-resultaten | ☐ |
| 6.1.2 | AI riskbedömning | Definiera och tillämpa en AI-riskbedömningsprocess som omfattar sannolikhet, allvarlighetsgrad och påverkan på individer och grupper | ☐ |
| 6.1.3 | Hantering av AI-risker | Välj riskhanteringsalternativ och mappa dem till kontrollerna i bilaga A; ta fram en Förklaring om tillämplighet | ☐ |
| 6.1.4 | Konsekvensbedömning av AI-systemet | Bedöm potentiella effekter av AI-system på individer, grupper och samhällen före implementering | ☐ |
| 6.2 | AI-mål och planering för att uppnå dem | Sätt mätbara AI-mål på relevanta funktioner och nivåer; planera resurser, ansvar och tidslinjer | ☐ |
| 6.3 | Planering av förändringar | Säkerställ att AIMS-förändringar planeras, med konsekvenser utvärderade och resurser allokerade | ☐ |
| 7.1 | Resurser | Fastställ och tillhandahålla de resurser som behövs för AIMS | ☐ |
| 7.2 | Kompetens | Säkerställ att personalen har nödvändig AI-styrning och teknisk kompetens; tillhandahålla utbildning vid behov | ☐ |
| 7.3 | Awareness | Se till att all relevant personal förstår AI-policyn, sina AIMS-ansvar och konsekvenserna av bristande efterlevnad. | ☐ |
| 7.4 | Kommunikation | Fastställ interna och externa kommunikationskrav för AIMS | ☐ |
| 7.5 | Dokumenterad information | Skapa, uppdatera och kontrollera alla dokumentationskrav krävs av standarden | ☐ |
| 8.1 | Verksamhetsplanering och kontroll | Planera, implementera och kontrollera de processer som behövs för att uppfylla AIMS-krav och leverera AI-mål | ☐ |
| 8.2 | AI riskbedömning | Utför AI-riskbedömningar med planerade intervall eller när betydande förändringar inträffar; spara dokumenterade resultat | ☐ |
| 8.3 | Hantering av AI-risker | Implementera AI-riskhanteringsplanen och behåll bevis på resultat | ☐ |
| 8.4 | Konsekvensbedömning av AI-systemet | Genomför konsekvensbedömningar för AI-system inom ramen och dokumentera resultaten | ☐ |
| 9.1 | Övervakning, mätning, analys och utvärdering | Definiera vad som ska övervakas, mätmetoder och hur ofta; utvärdera AIMS prestanda | ☐ |
| 9.2 | Internrevision | Genomför planerade internrevisioner för att bekräfta att AIMS överensstämmer med standarden och implementeras effektivt. Se vår ISO 42001 revision styra | ☐ |
| 9.3 | Ledningsöversyn | Högsta ledningen granskar AIMS prestanda, revisionsresultat, riskstatus och förbättringsmöjligheter med planerade intervaller. | ☐ |
| 10.1 | Fortsatt förbättring | Kontinuerligt förbättra AIMS lämplighet, tillräcklighet och effektivitet | ☐ |
| 10.2 | Avvikelse och korrigerande åtgärder | Reagera på avvikelser, utvärdera bakomliggande orsaker, implementera korrigerande åtgärder och granska deras effektivitet | ☐ |
När du har gått igenom varje klausul bör du ha en tydlig bild av var din AI Management System Nästa steg är att bedöma din position mot kontrollerna i bilaga A.
Allt du behöver för ISO 42001
Strukturerat innehåll, kartlagda risker och inbyggda arbetsflöden som hjälper dig att styra AI ansvarsfullt och med självförtroende.
Bilaga A Checklista för kontrollmål
Bilaga A till ISO 42001 innehåller 38 kontroller organiserade över nio områden. Dessa kontroller är inte alla obligatoriska – din Förklaring om tillämplighet avgör vilka som gäller baserat på din AI-riskbedömning. Du måste dock motivera eventuella undantag. Använd den här checklistan tillsammans med vår detaljerade Bilaga A kontroller guide för implementeringsdetaljer.
| Kontrollreferens | Kontrollnamn | Viktiga bevis som krävs | Status |
|---|---|---|---|
| A.2 — Policyer relaterade till AI | |||
| A.2.2 | AI-policy | Godkänt AI-policydokument, kommunikationsregister | ☐ |
| A.2.3 | Anpassning till annan politik | Korsreferensmatris för policyer som visar överensstämmelse med policyer för informationssäkerhet, dataskydd och etik | ☐ |
| A.2.4 | Översyn av AI-policyn | Schemalagda granskningsposter, versionshistorik, hanteringsgodkännande | ☐ |
| A.3 — Intern organisation | |||
| A.3.2 | AI-roller och ansvarsområden | RACI-matris eller rollbeskrivningar som täcker AI-styrning, utveckling och drift | ☐ |
| A.3.3 | Rapportering av problem | Dokumenterad rapporteringskanal, eskaleringsrutiner, register över uppkomna problem | ☐ |
| A.4 — Resurser för AI-system | |||
| A.4.2 | Resursdokumentation | Inventering av AI-systemresurser (data, beräkningar, verktyg, personal) | ☐ |
| A.4.3 | Dataresurser | Datainventeringar, dataflödesdiagram, åtkomstkontroller | ☐ |
| A.4.4 | Verktygsresurser | Register över AI-utvecklings- och distributionsverktyg, versionskontroller | ☐ |
| A.4.5 | System- och datorresurser | Infrastrukturdokumentation, kapacitetsplaner, åtkomstkontroller | ☐ |
| A.4.6 | Mänskliga resurser | Kompetensregister, utbildningsplaner, behörighetsbevis | ☐ |
| A.5 — Bedömning av effekterna av AI-system | |||
| A.5.2 | Process för konsekvensbedömning av AI-system | Dokumenterad metod för konsekvensbedömning, bedömningsmallar | ☐ |
| A.5.3 | Dokumentation av bedömningar | Ifyllda konsekvensbedömningsrapporter för varje AI-system som ingår | ☐ |
| A.5.4 | Inverkan på individer | Analys av effekter på individuella rättigheter, säkerhet och välbefinnande; mildrande åtgärder | ☐ |
| A.5.5 | Samhällspåverkan | Bedömning av bredare samhälleliga effekter inklusive partiskhet, rättvisa och miljöpåverkan | ☐ |
| A.6 — AI-systemets livscykel | |||
| A.6.1.2 | Mål för ansvarsfull utveckling | Dokumenterade mål som omfattar rättvisa, transparens, ansvarsskyldighet och säkerhet | ☐ |
| A.6.1.3 | Processer för ansvarsfull design | Dokumentation av designprocessen som integrerar principer för ansvarsfulla AI-frågor i varje steg | ☐ |
| A.6.2.2 | Kravspecifikation | Funktionella och icke-funktionella krav inklusive etiska och juridiska begränsningar | ☐ |
| A.6.2.3 | Dokumentation av design | Systemarkitekturdokument, designbeslut, avvägningsregister | ☐ |
| A.6.2.4 | Verifiering och validering | Testplaner, testresultat, acceptanskriterier, bias och prestandatestningsregister | ☐ |
| A.6.2.5 | konfiguration | Implementeringsprocedurer, checklistor för driftsättning, återställningsplaner | ☐ |
| A.6.2.6 | Drift och övervakning | Övervakningsinstrumentpaneler, prestandamätvärden, loggar för driftdetektering | ☐ |
| A.6.2.7 | Teknisk dokumentation | Modellkort, systembeskrivningar, algoritmdokumentation | ☐ |
| A.6.2.8 | Händelseloggar | Loggningsprocedurer, policyer för logglagring, bevis för revisionslogg | ☐ |
| A.7 — Data för AI-system | |||
| A.7.2 | Data för utveckling | Kriterier för dataurval, representativitetsanalys, bedömning av partiskhet | ☐ |
| A.7.3 | Förvärv av data | Datakälla, dokumentation av samtycke/licenser, rättslig grund | ☐ |
| A.7.4 | Kvaliteten på data | Datakvalitetsmått, valideringsprocedurer, felhanteringsregister | ☐ |
| A.7.5 | Data härkomst | Dokumentation av datahärstamning, spårbarhetskedjans register | ☐ |
| A.7.6 | Dataförberedelse | Förbehandlingsrörledningar, transformationsloggar, märkningsprocedurer | ☐ |
| A.8 — Information till berörda parter | |||
| A.8.2 | Systemdokumentation för användare | Användarhandböcker, funktionsbeskrivningar, kända begränsningar | ☐ |
| A.8.3 | Extern rapportering | Publicerade transparensrapporter, tillsynsrapporter | ☐ |
| A.8.4 | Kommunikation av incidenter | Procedurer för incidentanmälan, kommunikationsmallar, anmälningsregister | ☐ |
| A.8.5 | Information för intresserade | Intressentkommunikationsregister, policyer för offentliggörande | ☐ |
| A.9 — Användning av AI-system | |||
| A.9.2 | Processer för ansvarsfull användning | Rutiner för godtagbar användning, mänskliga tillsynsmekanismer, eskaleringsvägar | ☐ |
| A.9.3 | Mål för ansvarsfull användning | Mätbara mål för ansvarsfull AI-användning, övervakningskriterier | ☐ |
| A.9.4 | Avsedd användning | Dokumenterade avsedda användningsförklaringar, randvillkor, förbjudna användningar | ☐ |
| A.10 — Tredjeparts- och kundrelationer | |||
| A.10.2 | Fördelning av ansvar | Ansvarsfördelningsdokument, avtalsvillkor för AI-skyldigheter | ☐ |
| A.10.3 | Leverantörer | Leverantörsbedömningsregister, due diligence-rapporter, avtalsenliga AI-krav | ☐ |
| A.10.4 | Kunder | Kundkommunikationsregister, användningsvägledning, feedbackmekanismer | ☐ |
När du har utvärderat varje kontroll, sammanställ dina motiveringar i en Förklaring om tillämplighetDetta dokument är en obligatorisk revisionsleverans och kopplar varje kontroll till era beslut om riskhantering.
Kom igång enkelt med en personlig produktdemo
En av våra introduktionsspecialister kommer att guida dig genom vår plattform för att hjälpa dig komma igång med självförtroende.
Varför välja ISMS.online för ISO 42001-efterlevnad?
Att arbeta igenom en checklista på papper är en början – men att hantera den löpande Överensstämmelse med ISO 42001 över team, AI-system och revisionscykler kräver en plattform byggd för jobbet. ISMS.online mappar direkt till varje punkt på den här checklistan:
- Färdigbyggda ISO 42001-kontrollsatser — Varje kontroll i bilaga A är förinstallerad med vägledning, så att ditt team vet exakt vilka bevis som ska samlas in och var de ska förvaras.
- AI-riskregister — Genomföra och dokumentera riskbedömningar för AI (klausul 6.1.2) och konsekvensbedömningar av AI-system (klausul 6.1.4) i ett strukturerat, granskningsbart register.
- Policy- och dokumenthantering — Utkasta, versionera, godkänna och distribuera ditt AI-policy och allt stödjande dokumentation från en enda arbetsyta.
- Tillämplighetsförklaringens builder — Generera din SoA automatiskt från dina riskhanteringsbeslut, med fullständig motiveringsspårning för inkluderade och exkluderade kontroller.
- Revisionsledning — Planera internrevisioner (klausul 9.2), tilldela resultat, spåra korrigerande åtgärder (klausul 10.2) och exportera bevispaket för externa revisorer. Se vår ISO 42001 revision guide för mer.
- Bevisinsamling och länkning — Bifoga bevis direkt till kontroller och klausuler. När din revisor ber om bevis är det redan organiserat och klart.
- Stöd för integrerat ledningssystem — Om du redan använder ISO 27001 eller ISO 27701, ISMS.online låter dig hantera alla standarder från en plattform med delade kontroller och minskad dubbelarbete.
Redo att gå från checklista till handling? Boka demo att se hur ISMS.online accelererar din väg till ISO 42001-certifiering.
Vanliga frågor
Hur många krav finns i ISO 42001?
ISO 42001 innehåller krav på ledningssystem fördelade på sju klausuler (klausul 4 till klausul 10) plus 38 kontrollmål i bilaga A grupperade i nio kontrollområden. Klausulerna definierar hur du etablerar, driver och förbättrar ditt AI-ledningssystem, medan kontrollerna i bilaga A behandlar specifika AI-styrning ansvarsområden såsom datakvalitet, konsekvensbedömning och tredjepartshantering.
Behöver jag implementera alla 38 kontroller i bilaga A?
Inte nödvändigtvis. De kontroller du implementerar beror på din AI-riskbedömning och omfattningen av dina AI-system. Du måste dokumentera dina beslut i en Förklaring om tillämplighet, och motivera både de kontroller du har valt och de du har exkluderat. Revisorer kommer att granska dessa motiveringar, så varje exkludering behöver en tydlig, riskbaserad motivering.
Vad är skillnaden mellan klausulkraven och kontrollerna i bilaga A?
Klausulkraven (4–10) är obligatoriska för alla organisationer som söker certifiering. De definierar ledningssystemets ramverk: sammanhang, ledarskap, planering, support, drift, prestationsutvärdering och förbättring. Kontrollerna i bilaga A är en referensuppsättning mål som du tillämpar selektivt baserat på din riskhanteringsplan. Tänk på klausulerna som motorn i ditt AIMS och bilaga A som de specifika kontroller du bygger på för att hantera identifierade risker.
Hur lång tid tar det att slutföra denna checklista och uppnå certifiering?
Tidslinjerna varierar beroende på organisationens storlek och mognad. En organisation med ett befintligt ISO 27001-ledningssystem kan vanligtvis uppnå ISO 42001-certifiering på 3–6 månader genom att utöka sina befintliga processer. Organisationer som börjar från grunden bör planera för 6–12 månader. Att använda en plattform som ISMS.online med färdiga mallar och guidade arbetsflöden kan denna tidslinje avsevärt minskas. Vår implementeringsguide ger en detaljerad uppdelning.
Kan jag använda den här checklistan för en internrevision?
Ja. Denna checklista överensstämmer direkt med de krav som en extern revisor kommer att bedöma. Använd den som en utgångspunkt för din internrevisionsprogram (Klausul 9.2) för att identifiera avvikelser före din certifieringsrevision. För varje punkt som markerats som ofullständig, rapportera ett fynd och tilldela en korrigerande åtgärd med en tidsfrist. Vår ISO 42001 revision Guiden täcker hela internrevisionsprocessen.
