ISO 42001:2023 Yapay Zeka Yönetim Sistemini Anlamak

BT-Yön Teknoloji & Baş Danışman Hakan Kantaş, Fintechtime Haziran sayısı için yazdı “ISO 42001:2023 Yapay Zeka Yönetim Sistemini Anlamak…”

Bu ay sizlere, Yapay Zeka’yı belirli bir standarda oturtmayı, bu teknolojiyi kullanacak olan kurumları yönlendirmeyi hedefleyen bu standart hakkında kısaca bilgi vermek istiyorum. Türkiye’de bu standardın eğitimin veren ve bu standardı çok iyi bilen birkaç kişiden biri olarak tüm yönleriyle ISO 42001’i ele alıp, uygulamasından ziyade getirdikleri ve kazançları gibi konulara değinmek temel hedefim. Umarım faydalı bulacağınız bir yazı olur.

ISO 42001:2023 Yapay Zeka Yönetim Sistemini Anlamak…

Her yerde, her ortamda, herkesin durmaksızın konuştuğu konu; Yapay Zeka benim de bu ayki yazı konumu oluşturuyor. Yaklaşık son 5 yıldır aktif olarak konuşulan ancak 2023 yılının başlarında ChatGPT ile bir patlama yaşayan Yapay Zeka konusu artık hayatımızın bir parçası haline geldi. Bazıları bu kadar fazla gündemde olmasından sıkılmış olsa bile, Yapay Zekayı gün geçtikçe daha çok hayatımızın daha çok içinde göreceğimiz muhakkak. Kısa zaman öncesinde ancak tercihlerle karşımıza çıkan bu teknoloji artık telefonlarımızda gündelik işlemlerimizin bir parçası.

Özellikle teknoloji, finans, akademi, tıp, görsel sanatlar gibi kendini kanıtlamış olduğu alanlarda bu kadar konuşulmasını doğal karşlamak gerek. Ancak konuyla hiçbir bağlantısı olmayan herkesin diline düşmüş olması ve zaman zaman yanlış şekillerde kullanılması, bu konuda genel bir farkındalık yaratmak gerektiği fikrini gündeme taşıdı.

Bu ne demek oluyor, yani Yapay Zeka nedir ya da ne değildir bunu bilelim ki düşünme, konuşma, araştırma ve diğer aksiyonlarımızı ona göre alalım. İşte bu konuda elimizde çok da güzel bir standart var artık, ISO 42001 Yapay Zeka Yönetim Sistemi Standardı.

Yapay Zeka Yönetim Sistemi Nedir?

Yapay zeka (YZ) teknolojisi, tüm dünyayı kökten değiştirecek şekilde, artırılmış verimlilik, yenilikçi ürünler ve hizmetler ve optimize edilmiş karar verme modelleri gibi birçok fayda sağlıyor. Bu muhteşem gelişme, YZ sistemlerinin etik, güvenli ve sorumlu bir şekilde tasarlanmasını, geliştirilmesini ve kullanılmasını sağlayacak sağlam bir çerçeveye olan ihtiyacı da beraberinde getiriyor elbette. Bu ihtiyacı karşılamak için Uluslararası Standardizasyon Kuruluşu (ISO) ve Uluslararası Elektroteknik Komisyonu (IEC), ISO 42001:2023 Yapay Zeka Yönetim Sistemi – Gereksinimler standardını yayınladı.

ISO/IEC 42001, örgütlerin Yapay Zeka Yönetim Sistemleri’ni (YZZS) kurmaları, uygulamaları, sürdürmeleri ve sürekli olarak iyileştirmeleri için rehberlik sağlamak üzere geliştirilmiş bir standarttır. Mevcut çerçevelerin aksine, bu standart, Yapay Zeka’ya özel olarak uyarlanmış onaylanabilir bir yönetim sistemi sunan türünün ilk örneğidir. ISO/IEC 42001’in temel amacı, çeşitli sektörlerde Yapay Zeka kullanımıyla ilişkilendirilen karmaşıklıkları ve belirsizlikleri ele almaktır. Bu standart ile, Yapay Zeka sistemlerinin sorumlu, şeffaf, güvenli ve hesap verebilir bir şekilde geliştirilmesi, dağıtılması ve yönetilmesi hedeflenmektedir. Standart, Yapay Zeka yönetim sistemlerinin bir kuruluşun mevcut yapıları ve süreçlerine entegre edilmesinin önemini vurgular.

ISO 42001: 2023 – Yapay Zeka Yönetim Sisteminin Önemi

Bugün YZ, hemen her yerde her seviyede konuşulan, incelenen, araştırılan ve hatta farklı seviyelerde kullanılan bir teknoloji haline geldi. Ancak bu standardı iş amaçlı olarak kullanmak hala çok sayıda belirsizlik içeriyor. Zira YZ’nın ürettiği çıktılar, verdiği kararlar ve aldığı aksiyonların doğruluğu ve tutarlılığı konusunda hala çok ciddi belirsizlikler ve tereddütler var. İşte bu belirsizlikler sebebiyle kurumlardaki yöneticiler de ne yapacağına karar veremiyor ve bu teknolojiyi kullanıp kullanmamakta kararsız kalıyor. Zira dayanak olarak ellerinde hiçbir standart, Kural ve kanun bu güne kadar mevcut değildi. İşte ISO 42001:2023 bu büyük boşluğu ciddi şekilde doldurma ve bu teknolojiye bir standart getirmek amacıyla ciddi ilgi görmekte.

ISO/IEC 42001, işletmelerde yapay zeka yönetim sistemlerinin kurulması, uygulanması, sürdürülmesi ve sürekli olarak iyileştirilmesi için gereksinimleri tanımlayan küresel bir standarttır. Bu standart hazırlanırken, globalde çalışan tüm uzmanlardan görüşler alınıyor ve onlarla harmanlandıktan sonra standart son haline getiriliyor. Bu bağlamda ülkemizde bu konuda çalışan TSE’nin Yapay Zeka alt komitesi de çalışmalarda bulunmuş ve görüş iletmiştir. (Resim-1)

Yapay zeka çağında etik konuları ele almak son derece önemlidir, çünkü bilgisayarlar tarafından yapılan işlemler, alınan aksiyonlar insanların hayatlarını etkiler. Yapay zeka sistemleri bu alanda daha da kritik bir rol oynayarak bazı alanlarda artık karar alıcı bir hale gelmiştir. İşte bu yüzden alınan kararlar etik ve ahlaki standartlara uygun olmalıdır, ISO/IEC 42001 bu anlamda bir rehber olarak hizmet eder. Toplumsal etkileri azaltmak adına işletmeleri, etik yapay zeka sorumluluklarını keşfetmeye teşvik eder.

Görsel-1: ISO 42001:2023 YZYS’indeki konular, fırsatlar ve zorluklar tahmin ettiğimizden daha fazla. YZ şu an her yerde konuşuluyor ve bazı kurumlarda kısmen de uygulanıyor. Ancak hiçbir kurala bağlı kalmadan yürütülen bu uygulamaların riskleri tahmin ettiğinizden çok daha fazla. İşte ISO 42001:2023 bu sorunu çözmek üzere yayınlandı ve buna uyum sağlayanlar bağımsız uygulamalardan çok daha güvenli olacaklar.

ISO/IEC 42001:2023’ün Amaç ve Kapsamı

Çerçevenin ana amacı, organizasyonların yapay zeka sistemlerinin sorumlu gelişimi, uygulanması veya kullanımını yönlendirmektir. Böylece hedeflerine ulaşmalarına, uygun yönetmelik kurallarını yerine getirmelerine, ilgili paydaşlara karşı yükümlülüklerini gözlemlemelerine ve faaliyetleri doğru beklentilere uygun hale getirmelerine yardımcı olmaktır. Kısacası, ISO/IEC 42001, sorumlu bir yapay zeka oluşturmayı, sağlamayı ve kullanmayı hedefleyen bir standarttır.

Standardın bu hedeflerini gerçekleştirebilmesi için aşağıdaki aksiyonları hayata geçirmesi gereklidir:

Hedeflere ulaşmak: Bunu başarabilmek için YZ sistemlerinin, kuruluşun genel stratejisi ve hedefleriyle uyumlu olmasını ve istenen sonuçları üretmesini sağlamak gerekir.
Uyumluluğu sağlamak: İlgili tüm yasalara, düzenlemelere ve etik ilkelere uyumu sağlamak çok kritik bir fonksiyondur.
Paydaşlara karşı yükümlülükleri yerine getirmek: Sadece bir fonksiyonu, bir hizmeti yerine getirmek değil, bunu gerçekleştirirken aynı zamanda müşteriler, çalışanlar, yatırımcılar ve toplum gibi paydaşlara karşı yükümlülükleri yerine getirmek gereklidir.
Faaliyetlerini doğru beklentilere uygun hale getirmek: YZ sistemlerinin kullanımının şeffaf ve açık olmasını ve tüm paydaşların endişelerinin dikkate alındığını göstermek şarttır.

Standardın Çerçevesi ve Yaşam Döngüsü

ISO 42001:2023 standardı, YZ sistemlerinin tüm yaşam döngüsünü kapsayan bir çerçeve sunar. Aslında ISO standartları bu bağlamda genel bir çerçeveyi bu ve benzeri tüm standartlarda uygulamaktadır. Bu standart için de şartlar geçerliliğini aynen korumaktadır.

Planlama: YZ sistemlerinin ihtiyaçlarının ve hedeflerinin belirlenmesi, risklerin ve fırsatların değerlendirilmesi, YZ ilkelerinin ve politikalarının tanımlanması.
Tasarım: YZ sistemlerinin mimarisi, işlevselliği ve performans gereksinimleri, veri gereksinimleri, güvenlik gereksinimleri ve etik değerlendirmeler bu adımda yürütülmektedir.
Geliştirme: YZ sistemlerinin kodlanması, test edilmesi ve belgelenmesi, veri yönetimi, model eğitimi ve model doğrulama geliştirme adımı altında gerçekleştirilir.
Uygulama: YZ sistemlerinin üretime alınması, dağıtılması ve entegrasyonu, kullanıcı eğitimi, destek ve bakım, izleme ve raporlama Uygulama başlığı altında yürütülür.
İşletim: YZ sistemlerinin sürekli olarak izlenmesi ve yönetilmesi, performans optimizasyonu, hata ayıklama ve sorun giderme, güncellemeler ve yamalar İşletim ile kontrol altında tutulurlar.
İyileştirme: YZ sistemlerinin performansının ve etkinliğinin değerlendirilmesi, sürekli iyileştirme döngüsü oluşturmak ve uygulamak, geri bildirim toplama ve analiz etme, risk yönetimi ve uyumluluk işte bu en kritik adım altında takip edilir. İyileştirme, mükemmel olmayan bu yapıdaki olası hataları tespit edip iyileştirmek, geliştirmek ve olası en hatasız, en sorunsuz, en verimli hale getirilmesi konusundaki tüm çalışmaları kapsar.

ISO/IEC 42001:2023, organizasyon içinde yapay zeka sistemlerinin yönetilmesine odaklanan kapsamlı bir standarttır. Yapay Zeka Yönetim Sistemleri (YZYS) için küresel bir ölçüt belirleyerek, kuruluşlara etik, güvenli ve şeffaf YZ teknolojilerinin tasarımı, geliştirilmesi ve uygulanmasında yapılandırılmış bir çerçeve sunar. Bu standart, YZ sistemlerinin kurumsal süreçlere entegrasyonu için kritiktir, etik prensiplerle ve düzenleyici gereksinimlerle uyumlu olduklarından emin olunmasını sağlar.

Yeni Standartın Faydaları

Yapay Zeka konusunda bu güne kadar bir standart getirilmemesi, tabiri caizse, her kafadan bir ses çıkmasına, herkesin kendi kanun, Kural ve standartlarını koymaya kalkışması risklerini getirmiştir. ISO/IEC iş birliği ile ortaya çıkarılan bu standart, bu teknolojinin kullanıldığı sayısız alanda fayda sağlamakta ve belirsizlikleri ortadan kaldırmayı hedeflemektedir.

ISO 42001:2023’e uyum, kuruluşlara aşağıdakiler de dahil olmak üzere birçok fayda sağlamayı hedeflemektedir (Resim-2):

Artırılmış güven ve güvenilirlik: YZ sistemlerinin etik, güvenli ve şeffaf bir şekilde tasarlandığını ve işletildiğini göstererek paydaşlar, müşteriler ve yatırımcılar arasında güven oluşturur.
Rekabet avantajı: YZ’yi sorumlu bir şekilde benimseyen kuruluşlar, pazarda daha yenilikçi ve çevik hale gelerek rekabet avantajı elde edebilirler.
Geliştirilmiş risk yönetimi: ISO 42001, YZ sistemlerinin sorumlu bir şekilde yönetildiğini gösteren uluslararası tanınmış bir standarttır. Kuruluşlar, YZ sistemlerinin potansiyel risklerini ve etkilerini proaktif olarak belirleyerek ve yöneterek, finansal kayıplarını, itibar tehditlerini ve yasal yaptırımları önleyebilirler.
Tüketici güveninin artması: Verilerin etik ve sorumlu bir şekilde ele alındığını göstererek, kuruluşlar tüketiciler arasında güven ve sadakat oluşturabilirler
Küresel pazarlara erişim: YZ’yi sorumlu bir şekilde benimsediğini gösteren kuruluşlar, diğerlerine kıyasla daha fazla güven tesis ederek, uluslararası pazarlarda yeni fırsatlara erişebilirler.
Üçüncü taraf onayı: Bağımsız bir kuruluş tarafından ISO 42001 sertifikası almak, bu standart kapsamında tesis edilmiş ve işletilmekte olan YZ sistemlerine olan güveni ve güvenilirliği artırabilir.
Sözleşme yükümlülükleri: YZ ile ilgili sözleşmeler ve anlaşmalar genellikle etik ve sorumlu YZ uygulamalarına ilişkin hükümler içerir. ISO 42001’e uyum, bu yükümlülüklere uyulmasını sağlayacaktır.
Öncelikli işareti: Bugün henüz çok yeni olmakla birlikte çok kısa bir süre bazı durumlarda, ISO 42001 sertifikalı kuruluşlar, ihalelerde veya diğer iş fırsatlarında öncelik alması beklenir.
Kurumsal ve Sistemsel yönetimde iyileşme: YZ yönetim sistemi oluşturmak ve uygulamak, kuruluşun genel yönetim ve kontrolünde daha güvenilir kararlar alınmasını ve yapısal iyileşmeleri sağlayacaktır.
En iyi uygulamalarla uyumluluk: ISO 42001, YZ yönetimi için en iyi uygulamaları temsil eder. Bu standarda uymak, kuruluşların sektördeki en iyi uygulamalarla uyumlu olmasını kanıtlayacak böylece rakiplerinden öne çıkmasını sağlayacaktır.

Görsel-2: ISO 42001:2023 sertifikasının avantajlarını bu resimde net olarak görebilirsiniz. Günümüzde çok popüler olan Yapay Zeka alanındaki uygulamaları bu standart kapsamında yapmak, bugün tereddütle yaklaştığınız bir çok konuda size güvence sağlayacaktır.

Yapay Zeka Yönetişimi ve İnovasyonun Geliştirilmesi

Bu standart, çeşitli ülkelerden ve uluslararası kuruluşlardan gelen katkılarla geliştirilmiştir. Bu küresel katılım, standartın farklı yasal, kültürel ve teknolojik yapılar içindeki geçerliliğini ve uygulanabilirliğini destekler ve böylece dünya çapında YZ yönetişimine birleşik bir yaklaşımı kolaylaştırır. Bu çalışmaya biz de, ülkemizden TSE Yapay Zeka alt komitesi ile dahil olarak görüşlerimizi ilettik. Standartın çalışma komitesi, çeşitli ülkelerden teknoloji, etik, hukuk ve iş gibi çeşitli alanlardan uzmanları içeriyordu, böylece standartın formülasyonunda kapsamlı ve disiplinler arası bir yaklaşım sağlandı.

Standart, kuruluşlara yapay zeka sistemlerinin tasarım, uygulama ve işletilmesi aşamaları da dahil her alanda rehberlik ederken güvenilirlik ve güvenliği artıran en iyi uygulamaları benimsemelerini sağlar. Böylelikle, paydaşlar arasında güveni artırır ve yapay zeka teknolojilerinin sorumlu kullanımını güvence altına alır. YZ teknolojilerinin etik, güvenli ve şeffaf bir şekilde geliştirilip uygulanmasını hedefleyen ISO 42001, veri koruması, önyargı azaltma ve yapay zeka sorumluluğu gibi temel konulara odaklanarak, en yüksek etik standartların tesis edilecek yapılarda korunmasına katkı sağlamaktadır. Tüm bu unsurların konsolide bir sonucu ve çıktısı olarak ISO 42001, yapay zeka yönetişimini şekillendirerek inovasyonu teşvik etmektedir.

ISO 42001’in Temel Bileşenleri ve Teknik Özellikleri

Yapay zeka teknolojisi, işletme operasyonlarından toplumsal normlara kadar her şeye etki eden çeşitli sektörlere giderek daha fazla entegre edilmektedir. Bu entegrasyon özellikle güvenlik, gizlilik, adil vee tik davranış ile şeffaflık gibi zorluklar ve riskler ortaya koymaktadır.

ISO/IEC 42001:2023 bu sorunları organizasyonların yapay zeka sistemlerini sorumlu bir şekilde yönetmeleri için bir çerçeve sunarak ele almaktadır. Bu standart, sadece mevcut yönetim sistemlerinin etkinliğini artırmakla kalmaz, aynı zamanda çeşitli düzenleyici gereksinimlere uyum sağlamada da yardımcı olur.

Standartın ana bileşenleri birkaç maddeden oluşur ve her madde, YZ yönetimiyle ilgili farklı yönleri kapsar, bunlar:

Organizasyonun bağlamı: Yapay Zeka’nın kurum için önemi, bu teknolojiden beklenti ve istekler gibi konular bağlamı oluşturur.
Liderlik: YZ Risk Yönetimi ve YZ Yönetişim yapısının sağlıklı ve etkin işletilebilmesi için gerekli olan yönetim katılımı ve aktif desteği Liderlik bağlamı içindedir.
Planlama: YZ Risklerinin tespiti, YZ etki analizi gibi konular, kurum içindeki organizasyonlar, kişiler, gruplar, paydaşlar ve diğer taraflar üzerindeki etkilerin ortaya çıkarılması bu adımda tesis edilir.
Destek: Bu adımda, YZYS’nin planlanması, tasarımı, kurulumu, işletilmesi ve iyileştirilmesi gibi adımların gerçekleştirilebilmesi için ihtiyaç duyulan bütçe, teknoloji, insan, bilgi gibi her türlü kaynağın tanımlanmasına rehberlik edilir.
İşletme: PUKÖ (Planla, Uygula, Kontrol Et, Önlem Al) Modelinin Uygula kısmı bu adımda yürütülmektedir. YZ Risk ve etki analizlerinde tespit edilmiş olan yapıların YZYS kapsamında işletilmesi işte bu adımda yürütülür.
Performans değerlendirmesi: Onca kaynak ve efor ile kurduğumuz YZYS’nin hedeflerimiz doğrultusunda işletildiğine nasıl emin olabiliriz? İşte bu adım yönetim ve paydaşların beklentileri de dahil olmak üzere tüm beklentileri dahili iç denetim kapsamında ölçmektedir.
İyileştirme: Sürekli İyileştirme, ISO 27001 ve ISO 22301 gibi standartlarda olduğu gibi burada da en kritik fonksiyonlardan biridir. YZYS’nin etkili çalışıp çalışmadığı, boşluk analizleri ve kontrollerin güçlendirilmesi gibi en kritik ve verimi arttıracak adımları bu adımda hayata geçirilmektedir.

Ayrıca, standartı destekleyen dört ek vardır. Bunlar, güvenilirlik, AI kontrollerinin uygulanması, veri yönetimi, sorumlu AI kullanımı ve standartın farklı sektörlerde uygulanmasına ilişkin düşünceler gibi konularda daha fazla rehberlik sağlar.

Ek A: YZ sistem geliştirme için yönetim kılavuzuna odaklanır. ISO 27001’in Ek A’sına benzer şekilde, standardın 39 kontrolünün her birinin ve hedeflerinin kapsamlı bir açıklaması burada yer alır.
Ek B: ISO 27002’nin ISO 27001 Ek-A ile olan ilişkisine benzer şekilde, Ek A kontrollerinin ve ilgili veri yönetimi süreçlerinin uygulanmasına yönelik bir rehberdir.
Ek C: YZ risk kaynakları, YZ için potansiyel kurumsal hedefler ve YZ risk yönetimi arka planına ilişkin kurumsal uygulama hedeflerinin ana hatlarını çizen ve potansiyel riskleri belirleyen bir rehberdir.
Ek D: Belirli alanlara ve endüstri sektörlerine göre uyarlanmış standartlar oluşturur.

Yapay Zeka Yönetimini Rehber Alan Teknik Özellikler

ISO 42001’de belirtilen yönergeler ve gereksinimlere uyarak, kuruluşlar YZ yönetimindeki karmaşıklıkları yönetebilir, böylece YZ sistemlerinin yalnızca etkili değil, aynı zamanda etik, güvenli ve küresel standartlarla uyumlu olduğundan emin olabilirler.

ISO/IEC 42001:2023’e uyumluluk, kuruluşların YZ sistemlerinin etik, güvenli ve şeffaf bir şekilde yönetildiğinden emin olmak isteyenler için stratejik bir adımdır. Uyumluluk için gerekli adımları, daha net anlayabilmek için bu standardın tam kapsamlı eğitim ve sertifikasyonunun alınması gereklidir.

Görsel-3: ISO 42001:2023, Yapay Zeka konusunda, ISO 27001-Bilgi Güvenliği ya da ISO 22301-İş Sürekliliği standartlarında olduğu gibi uyumluluk sertifikası alınabilen ilk standarttır.

Uygunluk Göstergesi Olarak Sertifika

Kuruluşlar, bir belgelendirme kuruluşu tarafından yapılan bir denetim yoluyla ISO 42001’e uyumluluklarını gösterebilirler (Resim-3). Sertifika, kuruluşun YZ sistemlerini etik, güvenli ve şeffaf bir şekilde yönettiğini gösteren bağımsız bir doğrulamadır. Ülkemizde henüz bu sertifikayı alan bir kurum olmamakla birlikte Yapay Zeka’yı uygulama konusunda iddialı bu kadar çok kurumun yürüttükleri çalışmaları bir standarda bağlayıp müşterinelerine güven vermek adına büyük bir hızla sertifikalandırma sürecine girmeleri beklenmektedir.

SONUÇ

Makalemin girişinde de yazdığım gibi günümüzde hemen herkes Yapay Zekayı konuşuyor. İmkanlar dahilinde ve risk iştahı ölçüsünde bu yeni sistemi kurumlarında uygulamaya çalışanların sayısı da göz ardı edilecek gibi değil. Ancak bu uygulamalar paralelinde etik, kanunlar, uyumluluk ve kontroller gibi çok sayıda kritik riski de beraberinde getiriyor. İşte ISO 42001:2023 – Yapay Zeka Yönetim Sistemi size bu dertlerden büyük ölçüde kurtaracak bir standart sunuyor. Kurumunuzda gerçekleştireceğiniz YZ teknoloji uygulamasını bu standart bağlamında gerçekleştirdiğinizde yukarıda saydığım konuların çoğunda size güvence altına alacaktır.

Bu makaledeki amacımız, metodolojinin nasıl uygulandığını anlatmaktan ziyade genel farkındalığını arttırmak, amaç ve faydalarından bahsetmekti. Eğer bu konuda daha fazla bilgi almak isterseniz bana ulaşabilirsiniz