NIST AI RMF vs. EU AI Act vs. ISO/IEC 42001：企業團隊的實用比較

如果您在全球運營，您可能同時受到三個主要AI治理框架的約束。您的美國聯邦合同參考 NIST。您的歐洲業務面臨 EU AI Act 義務。您的企業客戶和審計師詢問 ISO/IEC 42001 認證。

建立三個獨立的合規計劃既昂貴又冗餘。建立一個映射到所有三個的計劃是可行的——但只有在您了解框架分歧的地方才能做到。

這是一個實用比較，而非政策概述。目標是一個您可以採取行動的合規地圖。

框架一：NIST AI 風險管理框架（AI RMF 1.0）

司法管轄區和執行：美國自願性指導，2023 年 1 月發布。沒有直接的執行機制。通過採購要求和 NIST 網絡安全框架先例，對聯邦承包商實際上是必須的。在美國金融監管指導中大量參考（OCC、美聯儲、FDIC AI 風險管理指導）。

核心哲學：基於風險和過程導向。NIST 描述了良好實踐和原則，而不規定具體的技術實施。框架假設組織將根據其背景調整它，而非按規定遵循它。

結構：四個核心功能——治理、映射、測量、管理——組織成類別和子類別。治理功能建立組織政策和問責。映射在背景下識別AI風險。測量分析和監控這些風險。管理響應並改善它們。

主要優勢：技術中立且全面。因為它不指定技術要求，它適用於各種AI類型和使用案例。它也與現有企業風險管理框架（ISO 31000、COSO）清晰映射，這意味著具有成熟 ERM 計劃的組織可以擴展其現有結構，而非構建並行的AI特定結構。

主要限制：自願意味著外部無法驗證。客戶、合作夥伴和監管機構無法獲得您的組織遵循 NIST AI RMF 的獨立保證。沒有認證。框架在內部有用，但不能滿足第三方保證要求。

框架二：EU AI Act

司法管轄區和執行：歐盟法規，2024 年生效，通過 2026 年分階段實施。適用於在歐盟市場上市或以影響歐盟個人的方式使用的任何AI系統——無論提供商或部署商的總部在哪裡。不合規的罰款：對最嚴重的違規行為，最高 3,500 萬歐元或全球年收入的 7%。

核心哲學：風險分層和權利導向。EU AI Act 按風險級別對AI系統進行分類，並對更高風險系統施加日益嚴格的要求。受AI決策影響的個人權利是框架設計的核心。

結構：

• 禁止做法（第 5 條）：完全禁止的AI系統，包括社會評分、公共場所的實時生物特徵監控，以及利用漏洞操縱人類行為。
• 高風險系統（第 6 條 + 附件三）：包括關鍵基礎設施、教育、就業、基本服務（信貸、保險）、執法、移民和司法管理等行業的AI系統。高風險系統面臨廣泛的合規義務。
• 通用AI模型（第八章）：對發布供通用使用的大型AI模型的具體義務，包括關於訓練數據和模型能力的透明度。
• 有限和最低風險：透明度義務（您必須在有人與AI互動時披露），但沒有實質性治理要求。

主要優勢：法律約束力強，有具體的文件要求。第 10 條規定了高風險系統的訓練數據治理必須是什麼樣子。第 14 條規定了人工監督要求。第 30 條規定了日誌記錄要求。附件四和七規定了所需的技術文件。關於什麼是必需的沒有歧義——關於什麼算作合規有歧義，實施指導仍在解決中。

主要限制：複雜的適用性分析。確定您的AI系統是否根據附件三符合「高風險」資格需要仔細的法律分析。EU AI Act 也為提供商（開發和銷售AI系統的人）和部署商（在其業務中使用AI系統的人）都創建了義務，這些義務有所不同。合規時間表是交錯的，許多條款的指導仍在制定中。

框架三：ISO/IEC 42001:2023

司法管轄區和執行：國際自願性標準，2023 年 12 月發布。可由經認可的第三方審計師認證，類似於 ISO 27001（信息安全）和 ISO 9001（質量管理）。沒有監管執行，但認證越來越多地被企業客戶和政府採購要求。

核心哲學：管理系統方法。ISO/IEC 42001 不規定您的AI治理在特定技術控制方面應該是什麼樣子。它規定您應該有一個定義您的AI治理要求、實施它們、監控它們和改善它們的系統。標準驗證過程，而非具體內容。

結構：遵循標準 ISO 高級結構的 10 個條款（與 ISO 27001 和 9001 相同的結構），使已獲得其他標準認證的組織能夠整合管理系統。附件 A 包含組織在 8 個控制領域的 38 個控制，包括AI系統數據（A.6）、AI系統影響評估（A.8）和第三方及客戶關係（A.10）。

主要優勢：唯一具有第三方認證的主要AI治理框架。客戶和合作夥伴可以在不進行自己的審計的情況下驗證您的合規性。對於已獲得 ISO 27001 或 ISO 9001 認證的企業，擴展到 ISO/IEC 42001 重用現有基礎設施（內部審計功能、管理審查流程、文件控制）。

主要限制：管理系統方法意味著 ISO/IEC 42001 認證不會告訴您您的AI治理包含什麼——只是您有一個受治理的系統。兩個組織可以都獲得認證，但實際做法截然不同。對於希望對良好AI治理在技術上的樣子有規定性指導的組織，僅 ISO/IEC 42001 是不夠的。

它們的重疊：實用比較

三個框架在風險分類、文件和監控方面有實質性的重疊。所有三個框架都要求您知道您有哪些AI系統、評估其風險、記錄您的治理方法並監控結果。

構建一個滿足所有三個的計劃

最有效的路徑：以 EU AI Act 合規作為您的基礎。

EU AI Act 對具有高風險系統的組織是最規定性的框架。如果您滿足 EU AI Act 的附件四技術文件要求、第 14 條人工監督要求和第 30 條日誌記錄要求，您將涵蓋 NIST AI RMF 的治理、映射、測量和管理的大部分功能，以及 ISO/IEC 42001 附件 A 的大部分控制。

具體映射：

EU AI Act 第 10 條（訓練數據要求）→ NIST 映射 1.6（數據質量）→ ISO 42001 A.6.2（AI系統數據）。所有三個都要求您記錄訓練數據來源、質量評估和治理。為高風險系統滿足 EU AI Act 第 10 條涵蓋了其他兩個。

EU AI Act 第 30 條（日誌記錄）→ NIST 測量 2.5（監控）→ ISO 42001 第 9.1 條（監控和測量）。EU AI Act 規定了高風險系統的最低日誌記錄要求。實施這些日誌滿足了其他兩個框架的監控要求。

EU AI Act 第 9 條（風險管理系統）→ NIST 治理 1.1-1.4（風險治理）→ ISO 42001 第 6.1 條（風險評估）。EU AI Act 要求高風險系統有記錄的風險管理系統。這份文件本質上是 NIST 治理所要求的，也是 ISO 42001 第 6 條所要求的。

ISO 認證具體需要添加的內容：ISO/IEC 42001 對管理承諾（第 5 條）、組織角色（第 5.3 條）和持續改善（第 10 條）有強烈要求，這些不直接被 EU AI Act 合規所解決。這些是管理系統要求，而非技術要求——實施相對容易，但需要具體的文件。

NIST 具體需要添加的內容：NIST AI RMF 的AI透明度部分（映射 5.1-5.2）及其對AI開發中團隊多樣性的強調（治理 6.1）不直接被 EU AI Act 覆蓋。這些是相對低工作量的補充。

數據治理是關鍵所在

所有三個框架都將訓練數據治理作為關鍵合規要求。EU AI Act 第 10 條是最具體的——它要求對訓練、驗證和測試數據集進行記錄的治理，包括數據來源、特徵和質量評估。NIST 映射 1.6 和 ISO/IEC 42001 A.6.2 在較少規定性的術語中需要類似的文件。

對於在生產中使用AI的組織，這意味著用於訓練或微調模型的每個數據集都需要記錄的沿襲：數據來自哪裡、應用了什麼轉換、進行了什麼質量評估、誰授權了其使用？

EU AI Act 第 10 條對高風險系統的要求——以及 ISO/IEC 42001 附件 A 控制 A.6.2 對數據管理的要求——正是 Ertas Data Suite 管道默認生成的內容。每個攝取、清理、標記和增強操作都創建帶有時間戳和操作員歸因的不可變記錄。滿足所有三個框架的文件是作為數據準備工作流程的副產品生成的，而非事後組裝的。

預約與 Ertas 的發現電話 →