ISO 42001 Nedir? Yapay Zekâ Yönetim Sistemi Standardı
ISO 42001 nedir sorusu, yapay zekâyı ürünlerinde veya iş süreçlerinde kullanan her kuruluşun gündeminde. ISO/IEC 42001:2023, yapay zekâ yönetim sistemi (AIMS) kurmak, işletmek ve sürekli iyileştirmek için gereksinimleri tanımlayan ilk uluslararası yönetim sistemi standardıdır. Bu rehberde standardın kapsamını, Ek A kontrollerini, kimlere uygulandığını ve belgelendirmenin kuruluşunuza sağlayacağı avantajları bulacaksınız.
ISO 42001’in tanımı ve kapsamı
ISO/IEC 42001, kuruluşların yapay zekâ sistemlerini sorumlu, şeffaf ve yönetilebilir biçimde geliştirmesi, sunması veya kullanması için bir yönetim sistemi çerçevesi tanımlar. Standart, ISO ve IEC tarafından ortak yayımlanmıştır.
Kapsam üç tür kuruluşu içerir:
- Yapay zekâ geliştiren kuruluşlar (model, ürün, platform)
- Yapay zekâ sağlayan kuruluşlar (API, SaaS, entegrasyon)
- Yapay zekâ kullanan kuruluşlar (hazır araçlar dâhil)
Standart teknolojiye değil, yönetim sistemine odaklanır. Hangi modeli kullandığınız değil; riskleri nasıl değerlendirdiğiniz, kararları nasıl belgelediğiniz ve insan gözetimini nasıl kurduğunuz denetlenir.
ISO/IEC 42001 tarihçesi: neden yayınlandı?
Standart Aralık 2023’te yayımlandı. Arka planda iki gelişme var:
- Regülasyon dalgası: EU AI Act ile Avrupa Birliği, yapay zekâya risk temelli yasal yükümlülükler getirdi. Tedarik zincirindeki Türk firmaları da bu yükümlülüklerin kanıtını sunmak zorunda kalıyor.
- Güven açığı: Kurumsal müşteriler ve denetçiler, tedarikçilerinin AI kullanımını sorgulamaya başladı. “AI’ı nasıl yönetiyorsunuz?” sorusuna belgeli yanıt gerekiyordu.
ISO 42001 bu iki ihtiyaca tek çerçevede yanıt verir: yönetişim kanıtı + uluslararası geçerli belge.
AIMS nedir? (AI Management System)
AIMS — yapay zekâ yönetim sistemi — kuruluşunuzun AI ile ilgili politika, süreç, rol ve kayıtlarının bütünüdür. ISO 9001’deki kalite yönetim sistemi ya da ISO 27001’deki BGYS’nin yapay zekâ karşılığıdır.
Tipik bir AIMS şunları içerir:
| Bileşen | İçerik | İlgili madde |
|---|---|---|
| Kapsam beyanı | Hangi AI sistemleri, hangi birimler | Madde 4.3 |
| AI politikası | Etik ilkeler, taahhütler | Madde 5.2 |
| Risk metodolojisi | Olasılık × etki, kabul kriterleri | Madde 6.1 |
| AI etki değerlendirmesi | Birey ve toplum üzerindeki etkiler | Madde 6.1.4 |
| AI sistem envanteri | Sistem, amaç, veri, risk seviyesi | Ek A |
| Uygulanabilirlik Bildirgesi (SoA) | Hangi kontroller, hangi gerekçeyle | Madde 6.1.3 |
| İzleme ve iç denetim kayıtları | KPI, denetim bulguları, DÖF | Madde 9–10 |
Plan-Do-Check-Act döngüsü
ISO 42001, diğer yönetim sistemi standartları gibi PDCA döngüsüne oturur:
- Plan (Madde 4–6): Bağlamı ve paydaş beklentilerini belirleyin, kapsamı çizin, riskleri değerlendirin, hedefleri koyun.
- Do (Madde 7–8): Kaynak ve yetkinlikleri sağlayın, kontrolleri uygulayın, AI yaşam döngüsünü yönetin.
- Check (Madde 9): Performansı izleyin, iç denetim yapın, yönetim gözden geçirmesi yürütün.
- Act (Madde 10): Uygunsuzlukları düzeltin, sistemi sürekli iyileştirin.
Bu yapı Annex SL ortak çerçevesidir; ISO 27001 veya 9001 uygulayan kuruluşlar aynı iskeleti tanıyacaktır.
Ek A: 38 kontrol
Standardın Ek A’sı, AIMS’in uygulama katmanını oluşturan 38 kontrolü 9 başlık altında toplar:
- A.2 — AI politikaları: Politikanın tanımı, gözden geçirilmesi
- A.3 — İç organizasyon: Roller, sorumluluklar, endişe bildirimi
- A.4 — AI kaynakları: Veri, araç, insan ve hesaplama kaynaklarının belgelenmesi
- A.5 — Etki değerlendirmesi: Birey, grup ve toplum üzerindeki etkiler
- A.6 — AI yaşam döngüsü: Tasarımdan devreden çıkarmaya planlı yönetim
- A.7 — AI için veri: Veri kalitesi, kaynağı, hazırlığı
- A.8 — İlgili taraflara bilgi: Şeffaflık, raporlama, kullanıcı bilgilendirme
- A.9 — AI kullanımı: Sorumlu kullanım, hedeflenen amaçla uyum
- A.10 — Üçüncü taraf ilişkileri: Tedarikçi ve müşteri sorumlulukları
Her kontrol için “uyguluyoruz / dışladık, çünkü…” kararınızı Uygulanabilirlik Bildirgesi’nde (SoA) gerekçelendirirsiniz. Denetimde en çok bakılan belge budur.
ISO 42001 kime uygulanır?
Standart sektör ve büyüklükten bağımsızdır. Türkiye’de öne çıkan profiller:
- AB’ye ihracat yapan üretici ve yazılım firmaları — müşteri denetimlerinde AI yönetişimi kanıtı isteniyor.
- Bankacılık, sigorta, fintech — regülasyon baskısı ve yoğun AI kullanımı bir arada.
- Savunma, sağlık, telekom — yüksek riskli AI uygulamaları ve ihale şartnameleri.
- SaaS ve yazılım evleri — kurumsal müşteriye güven sinyali.
- ISO 27001/9001 sahibi kuruluşlar — entegre yönetim sistemiyle en hızlı dönüşen grup.
Yalnızca hazır AI araçları kullanıyor olmanız kapsam dışında kalmanızı sağlamaz; kullanım da AIMS konusudur.
ISO 42001’in avantajları
- Tedarik zinciri uyumu: EU AI Act kapsamındaki müşterilerinize denetlenebilir kanıt sunarsınız.
- Kamu ihaleleri: Şartnamelerde yönetim sistemi belgeleri puan ve ön koşul avantajı sağlar.
- Kurumsal güven: Satış süreçlerindeki güvenlik/uyum anketlerinde somut referans olur.
- Risk kontrolü: Önyargı, mahremiyet, açıklanabilirlik ve güvenlik riskleri sistematik yönetilir.
- KVKK uyumu ile sinerji: AI envanteri ve etki değerlendirmesi, KVKK veri envanteri ve VERBİS süreçlerinizle örtüşür.
ISO 42001 vs ISO 27001 vs EU AI Act
| ISO 42001 | ISO 27001 | EU AI Act | |
|---|---|---|---|
| Tür | Gönüllü standart | Gönüllü standart | Yasal düzenleme (AB) |
| Odak | AI yönetişimi | Bilgi güvenliği | AI risk sınıfları ve yükümlülükler |
| Belge | Sertifika (akredite kuruluş) | Sertifika (akredite kuruluş) | CE işareti / uygunluk beyanı |
| Kime | AI geliştiren/sağlayan/kullanan | Bilgi varlığı olan herkes | AB pazarına AI sunanlar |
| İlişki | AI Act uyumuna güçlü altyapı | 42001 ile entegre kurulabilir | 42001 kanıt çerçevesi sağlar |
Ayrıntılı karşılaştırma için ISO 42001 ve ISO 27001 farkları yazımıza bakın.
Uyum yolculuğuna nasıl başlarsınız?
Önerdiğimiz sıra:
- Gap analizi: Mevcut durumu 25 soruda ölçün. Ücretsiz gap analizi aracımız 10 dakikada uyum skorunuzu ve zayıf alanlarınızı gösterir.
- Kapsam ve yol haritası: AI envanterinizi çıkarın, AIMS kapsamını netleştirin.
- Dokümantasyon ve uygulama: Politika, risk metodolojisi, SoA ve kontrolleri kurun. Adımların tamamı için belgelendirme süreci rehberimizi inceleyin.
- İç denetim ve sertifikasyon: Denetime hazır olduğunuzda akredite kuruluşla ilerleyin.
Süreci uzman desteğiyle yürütmek isterseniz ISO 42001 danışmanlık hizmetimize göz atın veya teklif isteyin.