Sichern Sie sich Ihre kostenlose 90-Tage-Testversion zur Risikoerkennung für generative KI:90 Tage Risikoerkennung für generative KI:Jetzt starten

Kostenlose Vorlage · ISO 42001

ISO-42001-Gap-Analyse-Vorlage
Sind Sie bereit für die Zertifizierung des KI-Managementsystems?

ISO 42001 ist die weltweit erste internationale Norm für KI-Managementsysteme. Ob Sie eine Zertifizierung anstreben oder einfach den Reifegrad Ihrer KI-Governance bewerten möchten, diese Vorlage führt Sie durch jedes Kapitel und hilft Ihnen, Lücken zu erkennen, die Behebung zu priorisieren und eine prüfungsbereite Nachweisbasis aufzubauen.

Vorlage herunterladen (.docx)Was ist ISO 42001?

So verwenden Sie diese Vorlage

1

Arbeiten Sie jedes Kapitel mit Ihrem KI-Governance-Team durch

2

Vergeben Sie einen Reifegrad: Nicht begonnen / Teilweise / Weitgehend / Vollständig erfüllt

3

Dokumentieren Sie Nachweise und ermitteln Sie Lücken mit Ursachenanalyse

4

Erstellen Sie eine Behebungs-Roadmap mit Verantwortlichen und Terminen

Gap-Analyse Kapitel für Kapitel

Bewerten Sie jedes Kapitel mit Ihrem KI-Governance-Team und erfassen Sie die unterstützenden Nachweise im Verlauf.

Kapitel 4

Kontext der Organisation

Verständnis Ihres KI-Kontexts, Ihrer interessierten Parteien und des Geltungsbereichs Ihres KI-Managementsystems.

4.1, Verstehen der Organisation und ihres Kontexts

Dokumentieren Sie interne und externe Faktoren, die die KI-Nutzung beeinflussen: Geschäftsziele, regulatorisches Umfeld, Wettbewerbsumfeld und KI-Risikobereitschaft.

Nicht begonnenTeilweise erfülltWeitgehend erfülltVollständig erfüllt

4.2, Verstehen der Bedürfnisse der interessierten Parteien

Identifizieren Sie alle Parteien mit einem Interesse an Ihren KI-Systemen: Kunden, Aufsichtsbehörden, Mitarbeitende, Lieferanten und Gesellschaft. Dokumentieren Sie deren Anforderungen und Erwartungen.

Nicht begonnenTeilweise erfülltWeitgehend erfülltVollständig erfüllt

4.3, Festlegung des Geltungsbereichs des KI-MS

Legen Sie die Grenzen Ihres KI-Managementsystems fest. Welche KI-Systeme, Prozesse und Organisationseinheiten fallen in den Geltungsbereich? Dokumentieren Sie Ausschlüsse mit Begründung.

Nicht begonnenTeilweise erfülltWeitgehend erfülltVollständig erfüllt

4.4, KI-Managementsystem

Richten Sie ein KI-MS gemäß ISO 42001 ein, setzen Sie es um, erhalten Sie es aufrecht und verbessern Sie es kontinuierlich. Weisen Sie Verantwortlichkeiten zu und integrieren Sie es in bestehende Managementsysteme.

Nicht begonnenTeilweise erfülltWeitgehend erfülltVollständig erfüllt

Kapitel 5

Führung

Engagement der obersten Leitung, KI-Richtlinie sowie organisatorische Rollen und Verantwortlichkeiten.

5.1, Führung und Verpflichtung

Nachweis, dass die oberste Leitung das KI-MS aktiv unterstützt: Ressourcen bereitstellt, KI-Risiken in das unternehmensweite Risikomanagement integriert und verantwortungsvolle KI fördert.

Nicht begonnenTeilweise erfülltWeitgehend erfülltVollständig erfüllt

5.2, KI-Richtlinie

Eine dokumentierte, von der obersten Leitung unterzeichnete KI-Richtlinie. Sie muss KI-Ziele, die Verpflichtung zur Compliance und zur kontinuierlichen Verbesserung benennen. Intern veröffentlicht.

Nicht begonnenTeilweise erfülltWeitgehend erfülltVollständig erfüllt

5.3, Rollen, Verantwortlichkeiten und Befugnisse

Definierte Rollen für die KI-Governance: KI-Verantwortliche/r, Risikoverantwortliche/r, Datenschutzbeauftragte/r (sofern zutreffend) und operative KI-Teams. Die Verantwortlichkeiten werden kommuniziert und verstanden.

Nicht begonnenTeilweise erfülltWeitgehend erfülltVollständig erfüllt

Kapitel 6

Planung

Bewertung von Risiken und Chancen, KI-Ziele und Planung von Änderungen.

6.1, Maßnahmen zum Umgang mit Risiken und Chancen

Systematischer Prozess zur Identifizierung KI-spezifischer Risiken (Bias, Safety, Sicherheit, Datenschutz) und Chancen. Risiken werden bewertet, behandelt und überwacht.

Nicht begonnenTeilweise erfülltWeitgehend erfülltVollständig erfüllt

6.1.2, KI-Risikobeurteilung

Dokumentierte Methodik zur KI-Risikobeurteilung. Risiken werden nach Eintrittswahrscheinlichkeit und Auswirkung bewertet. Die Beurteilung wird bei wesentlichen Änderungen der KI-Systeme wiederholt.

Nicht begonnenTeilweise erfülltWeitgehend erfülltVollständig erfüllt

6.1.3, KI-Risikobehandlung

Risikobehandlungsplan mit ausgewählten Kontrollen, Behandlungsoptionen (vermeiden, verringern, übertragen, akzeptieren) und Freigabe des Restrisikos durch die rechenschaftspflichtige Leitung.

Nicht begonnenTeilweise erfülltWeitgehend erfülltVollständig erfüllt

6.2, KI-Ziele und Planung

Messbare, an der KI-Richtlinie ausgerichtete KI-Ziele. Die Ziele haben Verantwortliche, Zeitpläne und Erfolgskennzahlen und werden bei Managementbewertungen überprüft.

Nicht begonnenTeilweise erfülltWeitgehend erfülltVollständig erfüllt

Kapitel 7

Unterstützung

Ressourcen, Kompetenz, Bewusstsein, Kommunikation und dokumentierte Information.

7.1, Ressourcen

Angemessene personelle, technische und finanzielle Ressourcen für das KI-MS bereitgestellt. Der Ressourcenbedarf wird jährlich überprüft und bei Unzulänglichkeit eskaliert.

Nicht begonnenTeilweise erfülltWeitgehend erfülltVollständig erfüllt

7.2, Kompetenz

Kompetenzanforderungen für alle KI-bezogenen Rollen definiert. Schulungsnachweise werden geführt. Lücken werden ermittelt und durch Entwicklungspläne geschlossen.

Nicht begonnenTeilweise erfülltWeitgehend erfülltVollständig erfüllt

7.3, Bewusstsein

Alle Mitarbeitenden mit KI-Verantwortung kennen die KI-Richtlinie, ihren Beitrag zur Wirksamkeit des KI-MS und die Folgen einer Nichtkonformität.

Nicht begonnenTeilweise erfülltWeitgehend erfülltVollständig erfüllt

7.4, Kommunikation

Interner und externer Kommunikationsplan für KI-Governance-Themen. Die interessierten Parteien wissen, wie sie KI-Bedenken melden und wie Aktualisierungen geteilt werden.

Nicht begonnenTeilweise erfülltWeitgehend erfülltVollständig erfüllt

7.5, Dokumentierte Information

Die KI-MS-Dokumentation wird gelenkt: erstellt, aktualisiert und aufbewahrt mit angemessenen Zugriffskontrollen, Versionsverwaltung und Aufbewahrungsfristen.

Nicht begonnenTeilweise erfülltWeitgehend erfülltVollständig erfüllt

Kapitel 8

Betrieb

Betriebliche Planung, Lebenszyklusmanagement von KI-Systemen und Kontrollen der Lieferkette.

8.1, Betriebliche Planung und Steuerung

KI-Systeme werden gemäß dokumentierter Prozesse entwickelt, eingesetzt und betrieben. Änderungen werden vor der Umsetzung auf KI-Risiken bewertet.

Nicht begonnenTeilweise erfülltWeitgehend erfülltVollständig erfüllt

8.2, KI-Risikobeurteilung (betrieblich)

Für jedes betroffene KI-System werden Risikobeurteilungen durchgeführt, bei Änderungen der Systeme aktualisiert und mindestens jährlich überprüft.

Nicht begonnenTeilweise erfülltWeitgehend erfülltVollständig erfüllt

8.3, KI-Risikobehandlung (betrieblich)

Risikobehandlungspläne werden umgesetzt und ihre Wirksamkeit überwacht. Restrisiken werden von der rechenschaftspflichtigen Person formell akzeptiert.

Nicht begonnenTeilweise erfülltWeitgehend erfülltVollständig erfüllt

8.4, Folgenabschätzung von KI-Systemen

Folgenabschätzungen für KI-Systeme mit hohem Risiko: Bewertung der Auswirkungen auf Einzelpersonen, Gruppen und die Gesellschaft. Ergebnisse werden vor dem Einsatz dokumentiert und überprüft.

Nicht begonnenTeilweise erfülltWeitgehend erfülltVollständig erfüllt

8.5, Lebenszyklus von KI-Systemen

Dokumentierte Lebenszyklusprozesse, die Konzeption, Entwicklung, Test, Einsatz, Überwachung und Außerbetriebnahme abdecken. Jede Phase hat definierte Freigabepunkte und Genehmigungen.

Nicht begonnenTeilweise erfülltWeitgehend erfülltVollständig erfüllt

8.6, Zugehörige organisatorische Kontrollen

Kontrollen zu Daten-Governance, KI-Nutzung durch Dritte, verantwortungsvollen KI-Praktiken und menschlicher Aufsicht sind dokumentiert und operationalisiert.

Nicht begonnenTeilweise erfülltWeitgehend erfülltVollständig erfüllt

Kapitel 9

Bewertung der Leistung

Überwachung, Messung, internes Audit und Managementbewertung.

9.1, Überwachung, Messung, Analyse und Bewertung

KPIs für Leistung, Fairness, Zuverlässigkeit und Sicherheit von KI-Systemen sind definiert, werden regelmäßig gemessen und an die Leitung berichtet.

Nicht begonnenTeilweise erfülltWeitgehend erfülltVollständig erfüllt

9.2, Internes Audit

Jährliches internes Auditprogramm, das alle betroffenen Kapitel abdeckt. Die Auditoren sind kompetent und unabhängig. Nichtkonformitäten werden bis zum Abschluss verfolgt.

Nicht begonnenTeilweise erfülltWeitgehend erfülltVollständig erfüllt

9.3, Managementbewertung

Jährliche Managementbewertung des KI-MS, die Auditergebnisse, Risiken, Ziele, Ressourcenbedarf und Rückmeldungen der interessierten Parteien abdeckt. Protokolle und Maßnahmen werden dokumentiert.

Nicht begonnenTeilweise erfülltWeitgehend erfülltVollständig erfüllt

Kapitel 10

Verbesserung

Management von Nichtkonformitäten, Korrekturmaßnahmen und kontinuierliche Verbesserung.

10.1, Nichtkonformität und Korrekturmaßnahmen

Prozess zur Identifizierung, Dokumentation und Schließung von Nichtkonformitäten des KI-MS. Ursachenanalyse durchgeführt. Korrekturmaßnahmen werden verfolgt und verifiziert.

Nicht begonnenTeilweise erfülltWeitgehend erfülltVollständig erfüllt

10.2, Kontinuierliche Verbesserung

Systematischer Ansatz zur kontinuierlichen Verbesserung der Eignung, Angemessenheit und Wirksamkeit des KI-MS. Verbesserungsinitiativen werden verfolgt und gemessen.

Nicht begonnenTeilweise erfülltWeitgehend erfülltVollständig erfüllt

Verwandte Ressourcen

ISO-42001-Glossar Plattformüberblick KI-Governance-Framework Alle Vorlagen

Erste Schritte

Beschleunigen Sie Ihre ISO-42001-Bereitschaft

Aona AI bietet die KI-Governance-Kontrollen, Audit-Trails und Richtliniendurchsetzung, die ISO 42001 erfordert, entwickelt für den Unternehmenseinsatz.