NIST AI RMF vs EU AI Act vs ISO/IEC 42001:企业团队的实用对比
三大 AI 治理框架,来自不同司法管辖区和理念。以下是各自的要求、重叠之处,以及如何构建统一的合规体系。
如果你在全球运营,你很可能同时受到所有三大 AI 治理框架的约束。你的美国联邦合同引用 NIST。你的欧洲业务面临 EU AI Act 义务。你的企业客户和审计师询问 ISO/IEC 42001 认证。
建立三个独立的合规项目既昂贵又冗余。建立一个映射到所有三个的项目是可行的——但前提是你了解框架在哪里分歧。
这是一个实用比较,不是政策概述。目标是一个你可以执行的合规地图。
框架一:NIST AI 风险管理框架(AI RMF 1.0)
司法管辖区和执行:美国自愿性指导,2023年1月发布。无直接执行机制。通过采购要求和 NIST 网络安全框架先例,对联邦承包商实际上是必需的。在美国金融监管指导中大量引用。
核心理念:基于风险和流程导向。NIST 描述良好实践和原则,不规定特定技术实现。框架假设组织将根据自身情况进行调整。
结构:四个核心功能——治理、映射、度量、管理——组织为类别和子类别。
关键优势:技术中立且全面。因为不指定技术要求,适用于各种 AI 类型和用例。
关键局限:自愿性意味着外部无法验证。无认证。
框架二:EU AI Act
司法管辖区和执行:EU 法规,2024年生效,分阶段实施至2026年。��适用于在 EU 市场上投放或以影响 EU 个人方式使用的任何 AI 系统——无论提供者或部署者总部在哪里。最严重违规的处罚:最高3500万欧元或全球年收入的7%。
核心理念:风险分级和基于权利。EU AI Act 按风险级别对 AI 系统进行分类,对更高风险系统施加更严格的要求。
结构:
- 禁止实践(第5条):完全禁止的 AI 系统
- 高风险系统(第6条 + 附件III):关键基础设施、教育、就业、基本服务等领域的 AI 系统
- 通用 AI 模型(第VIII章):大型通用 AI 模型的特定义务
- 有限和最低风险:透明度义务但无实质性治理要求
关键优势:具有法律约束力,有具体的文档要求。
关键局限:适用性分析复杂。
框架三:ISO/IEC 42001:2023
司法管辖区和执行:国际自愿标准,2023年12月发布。可由认可的第三方审计师认证。无监管执行,但企业客户和政府采购越来越要求认证。
核心理念:管理体系方法。ISO/IEC 42001 不指定 AI 治理的具体技术控制。它指定你应该有一个系统来定义你的 AI 治理要求、实施它们、监控它们并改进它们。
关键优势:唯一具有第三方认证的主要 AI 治理框架。
关键局限:管理体系方法意味着认证不告诉你具体的 AI 治理内容——只是你有一个受治理的系统。
重叠对比
| 维度 | NIST AI RMF | EU AI Act | ISO/IEC 42001 |
|---|---|---|---|
| 风险分类 | 必需,灵活 | 必需,具体(附件III) | 必需,组织自定义 |
| 文档 | 引用,灵活 | 附件IV 规定性(高风险) | 条款7.5 记录要求 |
| 人工监督 | 基于原则 | 第14条具体要求 | A.6.1.5 引用 |
| 审计追踪/日志 | 监控功能引用 | 第30条具体要求 | 条款9.1 监控记录 |
| 事件响应 | 管理功能引用 | 第73条严重事件报告 | 条款10.1 改进流程 |
| 第三方保证 | 无认证 | 高风险合格评定 | 可由认可审计师认证 |
实质性重叠在于风险分类、文档和监控。三个框架都要求你�知道你有哪些 AI 系统、评估其风险、记录你的治理方法并监控结果。
构建满足三者的单一项目
最有效的路径:以 EU AI Act 合规为基础。
EU AI Act 对拥有高风险系统的组织是最规范的框架。如果你满足 EU AI Act 的附件IV 技术文档要求、第14条人工监督要求和第30条日志要求,你将覆盖 NIST AI RMF 治理、映射、度量和管理功能的大部分以及 ISO/IEC 42001 附件A 控制的大部分。
具体映射:
EU AI Act 第10条(训练数据要求)→ NIST Map 1.6(数据质量)→ ISO 42001 A.6.2(AI 系统数据)。三者都要求你记录训练数据来源、质量评估和治理。满足 EU AI Act 第10条的高风险系统要求即覆盖其他两者。
EU AI Act 第30条(日志)→ NIST Measure 2.5(监控)→ ISO 42001 条款9.1(监控和度量)。EU AI Act 规定了高风险系统的最低日志要求。实施这些日志即满足其他两个框架的监控要求。
EU AI Act 第9条(风险管理系统)→ NIST Govern 1.1-1.4(风险治理)→ ISO 42001 条款6.1(风险评估)。EU AI Act 要求高风险系统有文档化的风险管理系统。这份文件本质上就是 NIST Govern 所��要求的和 ISO 42001 条款6 所要求的。
ISO 认证特别需要补充的:ISO/IEC 42001 对管理层承诺(条款5)、组织角色(条款5.3)和持续改进(条款10)有强要求,这些不直接由 EU AI Act 合规覆盖。这些是管理体系要求,不是技术要求——相对容易实施但需要特定文档。
NIST 特别需要补充的:NIST AI RMF 的 AI 透明度部分(Map 5.1-5.2)和其对 AI 开发团队多样性的强调(Govern 6.1)不直接由 EU AI Act 覆盖。这些是相对低工作量的补充。
数据治理是关键瓶颈
三个框架都在训练数据治理上趋同为关键合规要求。EU AI Act 第10条最为具体。对于在生产中使用 AI 的组织,这意味着用于训练或微调模型的每个数据集都需要文档化的溯源。
EU AI Act 第10条和 ISO/IEC 42001 附件A 控制 A.6.2 的要求正是 Ertas Data Suite 流水线默认生成的。每个摄取、清洗、标注和增强操作都创建带有时间戳和操作员归属的不可变记录。满足三个框架的文档是数据准备工作流的副产品,而非事后组装。
Ship AI that runs on your users' devices.
Early bird pricing starts at $14.50/mo — locked in for life. Plans for builders and agencies.
Keep reading
The EU AI Act's High-Risk System Requirements: What They Demand and What They Don't Tell You
The EU AI Act's Annex III defines high-risk AI categories. If you're deploying in healthcare, legal, finance, or HR, you're almost certainly in scope. Here's what compliance actually requires.
AI Model Inventory Template: Track Every Model Your Organization Runs in Production
SR 11-7, EU AI Act, and ISO 42001 all require a model inventory. Here's a complete template with every field you need, plus guidance on what to capture and why.
EU AI Act Article 30 Documentation Checklist: What High-Risk AI Providers Must Log
EU AI Act Article 30 requires providers of high-risk AI systems to maintain detailed logs. This checklist covers every requirement with practical implementation guidance.