Argana Consulting GmbH
 Ihr externer Partner für Informationssicherheit, Datenschutz und Risikomanagement

ISO/IEC 42001: Das AI Management System



Das Managementsystem für Künstliche Intelligenz

Mit ISO/IEC 42001:2023 existiert erstmals eine zertifizierbare internationale Norm für den systematischen Umgang mit Künstlicher Intelligenz. Sie folgt der bewährten Harmonized Structure der ISO-Managementsystemnormen – wer ISO 9001 oder ISO/IEC 27001 kennt, findet sich sofort zurecht. Das macht die Norm anschlussfähig: Ein AIMS lässt sich in bestehende Qualitäts- oder Informationssicherheits-Managementsysteme integrieren, statt daneben ein Silo zu errichten.


Aufbau der Norm: Kapitel 4–10 als Steuerungskreis

Die Pflichtkapitel bilden einen kontinuierlichen Verbesserungszyklus (PDCA). In der Planungsphase bestimmt die Organisation ihren Kontext und Anwendungsbereich (Kapitel 4), verankert Führung und KI-Politik (Kapitel 5) und plant den Umgang mit Risiken und Chancen einschließlich KI-Risikobeurteilung, KI-Risikobehandlung und KI-System-Folgenabschätzung (Kapitel 6). Die Umsetzungsphase regelt Ressourcen, Kompetenz, Bewusstsein, Kommunikation und die Lenkung dokumentierter Information (Kapitel 7) sowie die betriebliche Steuerung (Kapitel 8). Geprüft wird in Kapitel 9 – Überwachung und Messung, internes Audit, Managementbewertung –, verbessert in Kapitel 10.


Ergänzend definiert Annex A konkrete Controls (A.2–A.10): von der KI-Politik über interne Organisation, Ressourcen und Folgenabschätzung bis zu KI-Lebenszyklus, Daten, Information für interessierte Parteien, Nutzung und Beziehungen zu Dritten. Welche Controls anwendbar sind, dokumentiert die Anwendbarkeitserklärung (Statement of Applicability, SoA) – sie ist das Herzstück jeder Zertifizierungsvorbereitung.


Von der Norm zur gelebten Praxis

Ein AIMS entsteht nicht durch das Kopieren von Normtext, sondern durch klare Zuordnung: Jede Normklausel braucht ein umsetzendes Dokument, jedes Dokument einen Verantwortlichen, jeder Nachweis einen Prüfrhythmus. Bewährt hat sich eine Rollenarchitektur mit einem KI-Beauftragten (AI Officer) als fachlich Verantwortlichem und Freigaben durch die oberste Leitung – ergänzt um mindestens jährliche Überprüfungszyklen für alle Kerndokumente.


Wie die dokumentierte Information eines AIMS im Detail aussieht, zeigt die Seite „Die AIMS-Dokumentenlandschaft“.