So verwenden Sie diese ISO 42001-Checkliste
ISO 42001 (offiziell ISO/IEC 42001:2023) ist der internationale Standard für KI-Managementsysteme (AIMS). Er bietet einen strukturierten Rahmen für Organisationen, die KI-Systeme entwickeln, bereitstellen oder nutzen, um dies verantwortungsvoll und im Einklang mit den regulatorischen Anforderungen zu tun.
Diese Checkliste ist in zwei Teile gegliedert. Der erste Teil behandelt die Anforderungen an das Managementsystem in den Abschnitten 4–10, die definieren, wie Ihre Organisation ihre Ziele plant, unterstützt, betreibt und verbessert. Der zweite Abschnitt behandelt die 38. Kontrollziele gemäß Anhang A, die sich mit spezifischen Risiken und Verantwortlichkeiten im gesamten Lebenszyklus von KI-Systemen befassen.
Arbeiten Sie die einzelnen Punkte der Reihe nach durch. Verwenden Sie die Status Spalte zur Fortschrittsverfolgung – markieren Sie Elemente als „Nicht begonnen“, „In Bearbeitung“ oder „Abgeschlossen“. Falls Sie Lücken feststellen, gleichen Sie diese mit unserer Tabelle ab. Lückenanalyse führen und Implementierungsanleitung für die praktischen nächsten Schritte.
Anforderungen an das Managementsystem (Abschnitte 4–10)
Diese Klauseln orientieren sich an der übergeordneten Struktur von Anhang SL, die auch in ISO 27001, ISO 9001 und anderen Managementsystemnormen Anwendung findet. Wenn Ihre Organisation bereits über eine dieser Zertifizierungen verfügt, werden Sie das Muster wiedererkennen – achten Sie jedoch besonders auf die KI-spezifischen Anforderungen wie die KI-Risikobewertung (6.1.2), die KI-Systemfolgenabschätzung (6.1.4) und die betrieblichen Kontrollen für KI-Systeme (8.2–8.4).
| Klausel | Anforderung | Schlüsselaktionen | Status |
|---|---|---|---|
| 4.1 | Die Organisation und ihren Kontext verstehen | Identifizieren Sie externe und interne Faktoren, die für Ihre KI-Aktivitäten und den Zweck von AIMS relevant sind. | ☐ |
| 4.2 | Verständnis der Bedürfnisse und Erwartungen interessierter Parteien | Liste der Stakeholder (Regulierungsbehörden, Kunden, betroffene Personen) und ihrer Anforderungen an die KI-Governance | ☐ |
| 4.3 | Festlegung des Anwendungsbereichs der AIMS | Grenzen definieren – welche KI-Systeme, Geschäftsbereiche und Standorte gehören zum Geltungsbereich? | ☐ |
| 4.4 | KI-Managementsystem | Das AIMS gemäß dem Standard einrichten, implementieren, pflegen und kontinuierlich verbessern | ☐ |
| 5.1 | Führung und Engagement | Das Topmanagement demonstriert sein Engagement durch die Festlegung einer KI-Richtlinie, die Zuweisung von Ressourcen und die Integration von KI-Systemen in Geschäftsprozesse. | ☐ |
| 5.2 | KI-Politik | Entwurf und Genehmigung eines KI-Politik das beinhaltet Verpflichtungen gegenüber verantwortliche KI Nutzung, Einhaltung gesetzlicher Bestimmungen und kontinuierliche Verbesserung | ☐ |
| 5.3 | Organisatorische Rollen, Verantwortlichkeiten und Befugnisse | Weisen Sie den AIMS-Mitarbeitern Rollen zu (Leitung KI-Governance, Risikoverantwortliche, Systemverantwortliche) und kommunizieren Sie die Verantwortlichkeiten. | ☐ |
| 6.1.1 | Maßnahmen zur Bewältigung von Risiken und Chancen (Allgemein) | Risiken und Chancen ermitteln, die die Ergebnisse von AIMS beeinflussen könnten. | ☐ |
| 6.1.2 | KI-Risikobewertung | Definieren und wenden Sie einen KI-Risikobewertungsprozess an, der Wahrscheinlichkeit, Schweregrad und Auswirkungen auf Einzelpersonen und Gruppen umfasst. | ☐ |
| 6.1.3 | KI-Risikobehandlung | Wählen Sie Risikobehandlungsoptionen aus und ordnen Sie diese den Kontrollmaßnahmen in Anhang A zu; erstellen Sie eine Erklärung zur Anwendbarkeit | ☐ |
| 6.1.4 | Bewertung der Auswirkungen von KI-Systemen | Vor dem Einsatz sollten die potenziellen Auswirkungen von KI-Systemen auf Einzelpersonen, Gruppen und Gesellschaften bewertet werden. | ☐ |
| 6.2 | KI-Ziele und Planung zu deren Erreichung | Setzen Sie messbare KI-Ziele auf den relevanten Funktions- und Ebenen; planen Sie Ressourcen, Verantwortlichkeiten und Zeitpläne. | ☐ |
| 6.3 | Planung von Änderungen | Stellen Sie sicher, dass AIMS-Änderungen geplant, ihre Folgen bewertet und die entsprechenden Ressourcen zugewiesen werden. | ☐ |
| 7.1 | Ressourcen | Ermitteln und bereitstellen Sie die für die Ziele benötigten Ressourcen. | ☐ |
| 7.2 | Kompetenz | Stellen Sie sicher, dass die Mitarbeiter über die notwendige KI-Governance- und technische Kompetenz verfügen; bieten Sie bei Bedarf Schulungen an. | ☐ |
| 7.3 | Aufmerksamkeit | Stellen Sie sicher, dass alle relevanten Mitarbeiter die KI-Richtlinie, ihre AIMS-Verantwortlichkeiten und die Folgen von Nichteinhaltung verstehen. | ☐ |
| 7.4 | Kommunikation | Ermittlung der internen und externen Kommunikationsanforderungen für das AIMS | ☐ |
| 7.5 | Dokumentierte Informationen | Erstellen, aktualisieren und steuern Sie alle Dokumentationsanforderungen gemäß den Vorgaben der Norm | ☐ |
| 8.1 | Operative Planung und Kontrolle | Planen, implementieren und steuern Sie die Prozesse, die erforderlich sind, um die AIMS-Anforderungen zu erfüllen und die KI-Ziele zu erreichen. | ☐ |
| 8.2 | KI-Risikobewertung | Führen Sie KI-Risikobewertungen in geplanten Abständen oder bei wesentlichen Änderungen durch; bewahren Sie die dokumentierten Ergebnisse auf. | ☐ |
| 8.3 | KI-Risikobehandlung | Setzen Sie den KI-Risikobehandlungsplan um und sichern Sie die Nachweise über die Ergebnisse. | ☐ |
| 8.4 | Bewertung der Auswirkungen von KI-Systemen | Führen Sie Folgenabschätzungen für die betrachteten KI-Systeme durch und dokumentieren Sie die Ergebnisse. | ☐ |
| 9.1 | Überwachung, Messung, Analyse und Bewertung | Definieren Sie, was überwacht werden soll, welche Messmethoden angewendet werden und wie oft; bewerten Sie die Leistung von AIMS. | ☐ |
| 9.2 | Interne Anhörung | Führen Sie geplante interne Audits durch, um sicherzustellen, dass das AIMS dem Standard entspricht und effektiv implementiert ist. Siehe unsere ISO 42001-Audit Entwicklung | ☐ |
| 9.3 | Managementbewertung | Das Topmanagement überprüft in geplanten Abständen die Leistung von AIMS, die Prüfungsergebnisse, den Risikostatus und die Verbesserungsmöglichkeiten. | ☐ |
| 10.1 | Ständige Verbesserung | Die Eignung, Angemessenheit und Wirksamkeit der AIMS kontinuierlich verbessern | ☐ |
| 10.2 | Nichtkonformität und Korrekturmaßnahmen | Auf Abweichungen reagieren, die Ursachen ermitteln, Korrekturmaßnahmen einleiten und deren Wirksamkeit überprüfen | ☐ |
Sobald Sie jede einzelne Klausel durchgearbeitet haben, sollten Sie ein klares Bild davon haben, wo Ihr KI-Managementsystem Der nächste Schritt besteht darin, Ihre Position anhand der Vorgaben von Anhang A zu bewerten.
Alles, was Sie für ISO 42001 brauchen
Strukturierte Inhalte, abgebildete Risiken und integrierte Workflows helfen Ihnen, KI verantwortungsvoll und sicher zu verwalten.
Anhang A Checkliste der Kontrollziele
Anhang A der ISO 42001 enthält 38 Kontrollen, die in neun Bereiche unterteilt sind. Nicht alle diese Kontrollen sind obligatorisch – Ihre Erklärung zur Anwendbarkeit Die zutreffenden Fälle werden anhand Ihrer KI-Risikobewertung ermittelt. Ausnahmen müssen jedoch begründet werden. Nutzen Sie diese Checkliste zusammen mit unserer detaillierten Checkliste. Anhang A-Kontrollen Leitfaden mit detaillierten Implementierungsinformationen.
| Kontrollreferenz | Kontrollname | Erforderliche wichtige Nachweise | Status |
|---|---|---|---|
| A.2 – Richtlinien im Zusammenhang mit KI | |||
| A.2.2 | KI-Politik | Genehmigtes KI-Richtliniendokument, Kommunikationsaufzeichnungen | ☐ |
| A.2.3 | Abstimmung mit anderen Richtlinien | Richtlinien-Querverweismatrix zur Darstellung der Übereinstimmung mit Informationssicherheits-, Datenschutz- und Ethikrichtlinien | ☐ |
| A.2.4 | Überprüfung der KI-Politik | Protokolle geplanter Überprüfungen, Versionsverlauf, Genehmigung durch das Management | ☐ |
| A.3 – Interne Organisation | |||
| A.3.2 | KI-Rollen und Verantwortlichkeiten | RACI-Matrix oder Rollenbeschreibungen für KI-Governance, -Entwicklung und -Betrieb | ☐ |
| A.3.3 | Meldung von Bedenken | Dokumentierter Meldeweg, Eskalationsverfahren, Aufzeichnungen über geäußerte Bedenken | ☐ |
| A.4 – Ressourcen für KI-Systeme | |||
| A.4.2 | Ressourcendokumentation | Inventar der Ressourcen des KI-Systems (Daten, Rechenleistung, Werkzeuge, Personal) | ☐ |
| A.4.3 | Datenressourcen | Dateninventare, Datenflussdiagramme, Zugriffskontrollen | ☐ |
| A.4.4 | Werkzeugressourcen | Verzeichnis von KI-Entwicklungs- und Bereitstellungstools, Versionskontrollen | ☐ |
| A.4.5 | System- und Rechenressourcen | Infrastrukturdokumentation, Kapazitätspläne, Zugriffskontrollen | ☐ |
| A.4.6 | Personal | Kompetenznachweise, Ausbildungspläne, Qualifikationsnachweise | ☐ |
| A.5 – Bewertung der Auswirkungen von KI-Systemen | |||
| A.5.2 | Prozess der Folgenabschätzung für KI-Systeme | Dokumentierte Methodik der Folgenabschätzung, Bewertungsvorlagen | ☐ |
| A.5.3 | Dokumentation der Bewertungen | Vollständige Folgenabschätzungsberichte für jedes erfasste KI-System | ☐ |
| A.5.4 | Auswirkungen auf Einzelpersonen | Analyse der Auswirkungen auf individuelle Rechte, Sicherheit und Wohlbefinden; Minderungsmaßnahmen | ☐ |
| A.5.5 | Gesellschaftliche Auswirkungen | Bewertung der umfassenderen gesellschaftlichen Auswirkungen, einschließlich Voreingenommenheit, Fairness und Umweltauswirkungen | ☐ |
| A.6 – Lebenszyklus eines KI-Systems | |||
| A.6.1.2 | Ziele für eine verantwortungsvolle Entwicklung | Dokumentierte Ziele in Bezug auf Fairness, Transparenz, Verantwortlichkeit und Sicherheit | ☐ |
| A.6.1.3 | Prozesse für verantwortungsvolles Design | Dokumentation des Designprozesses unter Berücksichtigung verantwortungsvoller KI-Prinzipien in jeder Phase | ☐ |
| A.6.2.2 | Anforderungsspezifikation | Funktionale und nicht-funktionale Anforderungen einschließlich ethischer und rechtlicher Beschränkungen | ☐ |
| A.6.2.3 | Dokumentation des Designs | Systemarchitekturdokumente, Designentscheidungen, Abwägungsprotokolle | ☐ |
| A.6.2.4 | Verifizierung und Validierung | Testpläne, Testergebnisse, Akzeptanzkriterien, systematische Fehler und Leistungsprüfprotokolle | ☐ |
| A.6.2.5 | Einsatz | Bereitstellungsverfahren, Checklisten für die Inbetriebnahme, Rollback-Pläne | ☐ |
| A.6.2.6 | Betrieb und Überwachung | Überwachungs-Dashboards, Leistungskennzahlen, Protokolle zur Drifterkennung | ☐ |
| A.6.2.7 | Technische Dokumentation | Modellkarten, Systembeschreibungen, Algorithmendokumentation | ☐ |
| A.6.2.8 | Ereignisprotokolle | Protokollierungsverfahren, Richtlinien zur Protokollaufbewahrung, Prüfprotokollnachweise | ☐ |
| A.7 – Daten für KI-Systeme | |||
| A.7.2 | Daten für die Entwicklung | Kriterien für die Datenauswahl, Repräsentativitätsanalyse, Beurteilung von Verzerrungen | ☐ |
| A.7.3 | Erfassung von Daten | Datenquellenverzeichnis, Einwilligungs-/Lizenzdokumentation, Rechtsgrundlage | ☐ |
| A.7.4 | Qualität der Daten | Datenqualitätsmetriken, Validierungsverfahren, Fehlerbehandlungsprotokolle | ☐ |
| A.7.5 | Datenherkunft | Datenherkunftsdokumentation, Nachweiskettenaufzeichnungen | ☐ |
| A.7.6 | Datenaufbereitung | Vorverarbeitungspipelines, Transformationsprotokolle, Kennzeichnungsverfahren | ☐ |
| A.8 — Informationen für Interessierte | |||
| A.8.2 | Systemdokumentation für Benutzer | Benutzerhandbücher, Leistungsbeschreibungen, bekannte Einschränkungen | ☐ |
| A.8.3 | Externe Berichterstattung | Veröffentlichte Transparenzberichte, regulatorische Einreichungen | ☐ |
| A.8.4 | Meldung von Vorfällen | Verfahren zur Meldung von Vorfällen, Kommunikationsvorlagen, Meldungsprotokolle | ☐ |
| A.8.5 | Informationen für Interessierte | Kommunikationsprotokolle mit Interessengruppen, Offenlegungsrichtlinien | ☐ |
| A.9 — Einsatz von KI-Systemen | |||
| A.9.2 | Prozesse für eine verantwortungsvolle Nutzung | Verfahren zur zulässigen Nutzung, Mechanismen zur menschlichen Aufsicht, Eskalationswege | ☐ |
| A.9.3 | Ziele für eine verantwortungsvolle Nutzung | Messbare Ziele für den verantwortungsvollen Einsatz von KI, Überwachungskriterien | ☐ |
| A.9.4 | Verwendungszweck | Dokumentierte Nutzungszweckangaben, Randbedingungen, verbotene Nutzungen | ☐ |
| A.10 — Beziehungen zu Dritten und Kunden | |||
| A.10.2 | Aufgabenverteilung | Dokumente zur Verantwortungszuweisung, Vertragsklauseln für KI-Verpflichtungen | ☐ |
| A.10.3 | Lieferanten | Lieferantenbewertungsunterlagen, Due-Diligence-Berichte, vertragliche KI-Anforderungen | ☐ |
| A.10.4 | Kunden | Kundenkommunikationsaufzeichnungen, Nutzungshinweise, Feedbackmechanismen | ☐ |
Sobald Sie alle Kontrollmaßnahmen bewertet haben, fassen Sie Ihre Begründungen in einer Tabelle zusammen. Erklärung zur AnwendbarkeitDieses Dokument ist ein obligatorischer Bestandteil der Wirtschaftsprüfung und ordnet jede Kontrollmaßnahme Ihren Risikobehandlungsentscheidungen zu.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Warum sollten Sie sich für ISMS.online zur Einhaltung der ISO 42001-Vorschriften entscheiden?
Das Abarbeiten einer Checkliste auf Papier ist ein Anfang – aber die laufende Verwaltung ist noch nicht so wichtig. ISO 42001-Konformität Die Zusammenarbeit über Teams, KI-Systeme und Auditzyklen hinweg erfordert eine Plattform, die für diese Aufgabe entwickelt wurde. ISMS.online Entspricht direkt jedem Punkt auf dieser Checkliste:
- Vorkonfigurierte ISO 42001-Steuerungssätze — Jede Kontrollstelle gemäß Anhang A ist mit einer Anleitung vorinstalliert, damit Ihr Team genau weiß, welche Beweise zu sammeln und wo sie zu lagern sind.
- KI-Risikoregister — Risikobewertungen für KI (Abschnitt 6.1.2) und Folgenabschätzungen für KI-Systeme (Abschnitt 6.1.4) durchführen und in einem strukturierten, revisionssicheren Register dokumentieren.
- Richtlinien- und Dokumentenmanagement — Entwerfen, versionieren, genehmigen und verteilen Sie Ihren KI-Politik und alle unterstützenden Dokumentation aus einem einzigen Arbeitsbereich.
- Ersteller der Anwendbarkeitserklärung — Generieren Sie Ihre SoA automatisch aus Ihren Risikobehandlungsentscheidungen, mit vollständiger Begründungsverfolgung für einbezogene und ausgeschlossene Kontrollen.
- Revisionsmanagement — Interne Audits planen (Abschnitt 9.2), Feststellungen zuweisen, Korrekturmaßnahmen verfolgen (Abschnitt 10.2) und Nachweispakete für externe Prüfer exportieren. Siehe unsere ISO 42001-Audit Anleitung für mehr.
- Sammlung und Verknüpfung von Beweismitteln — Fügen Sie die Nachweise direkt den Kontrollen und Klauseln hinzu. Wenn Ihr Prüfer nach einem Nachweis fragt, ist dieser bereits organisiert und bereit.
- Unterstützung für integrierte Managementsysteme — Falls Sie bereits ISO 27001 oder ISO 27701 verwenden, ISMS.online ermöglicht die Verwaltung aller Standards über eine einzige Plattform mit gemeinsamen Steuerelementen und reduzierter Datenredundanz.
Bereit, von der Checkliste zur Umsetzung zu gelangen? Kontakt um zu sehen wie ISMS.online beschleunigt Ihren Weg zu ISO Zertifizierung 42001.
FAQs
Wie viele Anforderungen enthält ISO 42001?
ISO 42001 enthält Anforderungen an Managementsysteme in sieben Abschnitten (Abschnitt 4 bis 10) sowie 38 Kontrollziele in Anhang A, die in neun Kontrollbereiche unterteilt sind. Die Abschnitte definieren, wie Sie Ihr KI-Managementsystem einrichten, betreiben und verbessern, während die Kontrollen in Anhang A spezifische Aspekte abdecken. KI-Governance Verantwortlichkeiten wie Datenqualität, Folgenabschätzung und Drittanbietermanagement.
Muss ich alle 38 Kontrollen des Anhangs A implementieren?
Nicht unbedingt. Die von Ihnen implementierten Kontrollmaßnahmen hängen von Ihrer KI-Risikobewertung und dem Umfang Ihrer KI-Systeme ab. Sie müssen Ihre Entscheidungen in einem Dokument festhalten. Erklärung zur AnwendbarkeitSie müssen sowohl die von Ihnen ausgewählten als auch die ausgeschlossenen Kontrollen begründen. Die Wirtschaftsprüfer werden diese Begründungen überprüfen; daher muss jeder Ausschluss eine klare, risikobasierte Begründung enthalten.
Worin besteht der Unterschied zwischen den Klauselanforderungen und den Kontrollen gemäß Anhang A?
Die Anforderungen der Klauseln (4–10) sind für jede Organisation, die eine Zertifizierung anstrebt, verbindlich. Sie definieren den Rahmen des Managementsystems: Kontext, Führung, Planung, Unterstützung, Betrieb, Leistungsbewertung und Verbesserung. Die Kontrollen in Anhang A stellen eine Referenzmenge von Zielen dar, die Sie je nach Ihrem Risikobehandlungsplan selektiv anwenden. Betrachten Sie die Klauseln als den Motor Ihres Zielmanagementsystems und Anhang A als die spezifischen Kontrollen, die Sie zur Bewältigung identifizierter Risiken hinzufügen.
Wie lange dauert es, diese Checkliste abzuarbeiten und die Zertifizierung zu erhalten?
Die Zeiträume variieren je nach Unternehmensgröße und -reife. Eine Organisation mit einem bestehenden ISO 27001-Managementsystem kann die ISO 42001-Zertifizierung in der Regel innerhalb von 3–6 Monaten durch die Erweiterung ihrer bestehenden Prozesse erreichen. Organisationen, die ganz von vorn beginnen, sollten 6–12 Monate einplanen. Die Nutzung einer Plattform wie ISMS.online Mit vorgefertigten Vorlagen und geführten Arbeitsabläufen lässt sich dieser Zeitrahmen deutlich verkürzen. Implementierungsanleitung bietet eine detaillierte Aufschlüsselung.
Kann ich diese Checkliste für eine interne Prüfung verwenden?
Ja. Diese Checkliste entspricht genau den Anforderungen, die ein externer Prüfer bewerten wird. Nutzen Sie sie als Grundlage für Ihre Prüfung. internes Auditprogramm (Abschnitt 9.2) um Abweichungen vor Ihrem Zertifizierungsaudit zu identifizieren. Für jeden als unvollständig gekennzeichneten Punkt erstellen Sie einen Feststellungsbefund und weisen Sie eine Korrekturmaßnahme mit einer Frist zu. ISO 42001-Audit Der Leitfaden deckt den gesamten internen Prüfungsprozess ab.
