事件经过
ISO/IEC 27090《网络安全——人工智能——针对人工智能系统安全威胁和危害的指导》已进入FDIS(最终国际标准草案)状态——正式发布前的最后投票阶段——根据ISO自身标准页面(直接获取,标题确认为"ISO/IEC FDIS 27090")。这是ISO/IEC 42001(AI管理系统)的配套网络安全标准,涉及整个AI系统生命周期中的AI特定威胁(模型投毒、提示注入、推理攻击)。多个行业跟踪机构(LinkedIn/从业者帖子)将其描述为三项ISO AI安全标准之一,"悄然推进2026年发布"。DIS→FDIS过渡在07-12–07-18窗口内的确切日期无法独立固定到有日期的新闻稿,但当前FDIS状态已通过本研究窗口内iso.org的直接获取得到确认,多个二级来源将过渡时间定在此时间范围内。
影响分析
27090将是组织用来映射AI特定网络威胁和控制的主要规范性国际标准,补充ISO/IEC 42001(AIMS)认证。发布后,它可能成为全球监管机构和审计师的参考标准(类似于27001锚定ISMS的方式)。追求ISO 42001认证或为EU AI法案合规性评估做准备的组织应密切关注其最终发布的临近情况。
建议行动
开始根据FDIS 27090草案结构对当前AI安全控制进行差距映射;监控最终发布(考虑到FDIS阶段,预计近期)以调整AIMS/ISMS整合工作。