Skip to content
TECHNOMATON | Docs SAI Certified Trainers

MAP

This content is not available in your language yet.

Jak identifikovat, dokumentovat a klasifikovat AI systémy a jejich rizika

NIST AI RMF funkce: MAP Subkategorie: MP-1 až MP-5

1. Přehled funkce MAP

MAP funkce slouží k pochopení kontextu, ve kterém AI systémy operují, a k identifikaci souvisejících rizik.

Cíle MAP

CílPopis
KontextPochopit intended use a operational context
StakeholdeřiIdentifikovat všechny dotčené strany
RizikaZmapovat potenciální rizika a dopady
KlasifikaceKategorizovat systémy dle rizikovosti
DokumentaceVytvořit kompletní dokumentaci

2. MP-1: Intended Purpose & Context

2.1 Definice intended use

Pro každý AI systém zdokumentujte:

## AI SYSTEM: [Název]


### 1. Primární účel
- Co systém dělá?
- Jaký business problém řeší?
- Jaká je cílová metrika úspěchu?


### 2. Intended users
- Kdo bude systém používat?
- Jaká je jejich úroveň AI literacy?
- Jaký mají přístup k výsledkům?


### 3. Intended beneficiaries
- Kdo benefituje z výstupů systému?
- Jsou to stejné osoby jako users?


### 4. Operational context
- V jakém prostředí bude systém nasazen?
- Jaké jsou časové/prostorové omezení?
- Jaká je kritičnost systému?


### 5. Known limitations
- Co systém NEDĚLÁ?
- Jaké jsou známé edge cases?
- Jaké jsou performance hranice?


### 6. Misuse potential
- Jak by mohl být systém zneužit?
- Jaká preventivní opatření jsou na místě?

2.2 Context mapping

3. MP-2: Stakeholder identification

3.1 Kategorie stakeholderů

KategoriePopisPříklady
AI ActorsTi, kdo vyvíjejí/nasazují AIDevelopers, Operators
Direct UsersTi, kdo přímo používají AIZaměstnanci, Zákazníci
Affected IndividualsTi, na které AI dopadáSubjekty rozhodnutí
Affected CommunitiesŠirší komunity dotčené AIDemografické skupiny
Oversight BodiesTi, kdo dohlížejíRegulátoři, Auditors

3.2 Stakeholder matrix

StakeholderZájemVlivEngagement strategie
End usersVysokýStředníInformovat, vzdělávat
Affected individualsVysokýNízkýTransparentnost, práva
RegulátořiStředníVysokýCompliance, reporting
ManagementVysokýVysokýRozhodování, governance
Data subjectsVysokýNízkýGDPR práva, consent

3.3 Impact na stakeholdery

Pro každou skupinu stakeholderů vyhodnoťte:

DopadOtázkyZávažnost
EkonomickýOvlivňuje finance, zaměstnání?
ZdravotníMůže způsobit fyzickou/psychickou újmu?
PrávníOvlivňuje právní postavení?
SociálníOvlivňuje sociální status, reputaci?
AutonomieOmezuje svobodu rozhodování?

4. MP-3: AI System Inventory

4.1 Inventura - template

# AI SYSTEM INVENTORY


## System ID: AI-2025-XXX


### Basic Information
| Field | Value |
|-------|-------|
| Name | |
| Description | |
| Department | |
| Status | ☐ Development ☐ Testing ☐ Production ☐ Retired |


### Classification
| Field | Value |
|-------|-------|
| Type | ☐ Internal ☐ Third-party ☐ Embedded |
| Category | ☐ ML Model ☐ GAI ☐ Rule-based ☐ Hybrid |
| EU AI Act Risk | ☐ Prohibited ☐ High ☐ Limited ☐ Minimal |


### Data
| Field | Value |
|-------|-------|
| Training data sources | |
| Inference data types | |
| Contains PII? | ☐ Yes ☐ No |
| Special categories (Art. 9)? | ☐ Yes ☐ No |


### Technical
| Field | Value |
|-------|-------|
| Model type/architecture | |
| Hosting | ☐ On-premise ☐ Cloud ☐ Hybrid |
| Integration points | |


### Governance
| Field | Value |
|-------|-------|
| Pre-deployment review date | |
| Last review date | |
| Next review date | |
| DPIA required? | ☐ Yes ☐ No |
| DPIA completed? | ☐ Yes ☐ No ☐ N/A |

4.2 Kategorizace AI systémů

Dle typu

KategoriePopisPříklady
ML/DL ModelsStatistické modelyChurn prediction, Image classification
Generative AIModely generující obsahChatGPT, Claude, DALL-E
Rule-based AIExpertní systémy, decision treesBusiness rules engines
Robotic Process AutomationAutomatizace procesůUiPath, Power Automate
Embedded AIAI v produktechSmart devices, Vehicles

Dle deployment modelu

ModelKontrola datKontrola modeluPříklady
Vlastní vývojPlnáPlnáIn-house ML
Fine-tunedČástečnáČástečnáFine-tuned LLM
API/SaaSMinimálníŽádnáOpenAI API
EmbeddedŽádnáŽádnáAI v produktech

5. MP-4: Risk Identification

5.1 EU AI Act klasifikace

Krok 1: Prohibited practices check (Art. 5)

PraktikaPopisStatus
Social scoringHodnocení fyzických osob☐ Ano → STOP
Manipulativní AIPodprahové techniky☐ Ano → STOP
Exploitace zranitelnýchZneužití věku, postižení☐ Ano → STOP
Biometrická kategorizaceOdvozování citlivých údajů☐ Ano → STOP
Facial recognition scrapingNeselektivní sběr obličejů☐ Ano → STOP
Emotion recognitionV práci/vzdělávání☐ Ano → STOP
Real-time biometrieVe veřejných prostorách☐ Ano → STOP

Pokud ANO na cokoliv → ZAKÁZÁNO, nepoužívat

Krok 2: High-risk check (Annex III)

OblastPříkladyPlatí?
BiometrieIdentifikace, kategorizace
Kritická infrastrukturaEnergie, doprava, voda
VzděláváníPřijímání, hodnocení
ZaměstnanostRecruitment, hodnocení, propouštění
Základní službyÚvěry, pojištění, sociální dávky
Law enforcementPrediktivní policie, profiling
MigraceVisa, žádosti o azyl
JusticeRozhodování soudů

Pokud ANO → High-risk, full compliance required

Krok 3: Limited risk check (Art. 50)

SystémPovinnostPlatí?
Chatbot interagující s lidmiInformovat o AI
Emotion recognitionInformovat o použití
Biometric categorizationInformovat o použití
Deep fakesOznačit jako syntetické
AI-generated obsahOznačit jako AI-generated

Pokud ANO → Transparency obligations

5.2 NIST Risk categories

12 kategorií rizik dle NIST AI 600-1 (pro GAI):

#RizikoPopisPriorita
R1CBRNInformace o zbraníchCritical
R2ConfabulationHalucinace, nepravdyCritical
R3Dangerous ContentŠkodlivý obsahCritical
R4Data PrivacyÚnik osobních údajůCritical
R5EnvironmentalCarbon footprintMedium
R6Harmful BiasDiskriminaceCritical
R7Human-AI ConfigAutomation biasHigh
R8Information IntegrityDezinformaceCritical
R9Information SecurityKyberútokyCritical
R10Intellectual PropertyCopyrightHigh
R11Obscene ContentCSAM, NCIICritical
R12Value ChainSupply chain rizikaHigh

6. MP-5: Impact Assessment

6.1 AI Impact Assessment (AIIA)

Struktura AIIA:

# AI IMPACT ASSESSMENT


## 1. System Overview
- System ID:
- Purpose:
- Owner:


## 2. Stakeholder Analysis
| Stakeholder | Positive Impact | Negative Impact | Mitigation |
|-------------|-----------------|-----------------|------------|
| | | | |


## 3. Rights & Freedoms Impact
| Right/Freedom | Impact Level | Justification | Safeguards |
|---------------|--------------|---------------|------------|
| Privacy | | | |
| Non-discrimination | | | |
| Human dignity | | | |
| Freedom of expression | | | |


## 4. Risk Assessment
| Risk | Likelihood | Severity | Score | Mitigation |
|------|------------|----------|-------|------------|
| | L/M/H | L/M/H | | |


## 5. Proportionality
- Is AI necessary for this purpose?
- Are there less invasive alternatives?
- Is the benefit proportional to the risk?


## 6. Safeguards
| Safeguard | Implementation | Status |
|-----------|----------------|--------|
| Human oversight | | |
| Appeal mechanism | | |
| Transparency notice | | |


## 7. Conclusion
☐ Approved - proceed with safeguards
☐ Approved with conditions
☐ Not approved - unacceptable risk


## 8. Signatures
| Role | Name | Date | Signature |
|------|------|------|-----------|
| AI Owner | | | |
| DPO | | | |
| Legal | | | |

6.2 DPIA Integration

Kdy je potřeba DPIA (dle GDPR Art. 35):

  • Automatizované rozhodování s právními účinky
  • Systematické monitorování veřejných prostor
  • Zpracování citlivých údajů ve velkém měřítku
  • Systematické hodnocení osobních aspektů

AIIA + DPIA kombinace:

7. Implementační checklist

Fáze 1: Inventura (Týden 1-2)

  • Identifikovat všechny AI systémy v organizaci
  • Pro každý systém vyplnit základní inventární kartu
  • Kategorizovat dle typu (ML/GAI/Rule-based)
  • Identifikovat ownery

Fáze 2: Klasifikace (Týden 3-4)

  • Pro každý systém provést EU AI Act klasifikaci
  • Identifikovat high-risk systémy
  • Mapovat na NIST risk kategorie (pro GAI)
  • Prioritizovat dle rizikovosti

Fáze 3: Impact Assessment (Týden 5-8)

  • Provést AIIA pro high-risk systémy
  • Provést DPIA kde vyžadováno
  • Identifikovat stakeholdery a dopady
  • Navrhnout mitigační opatření

Fáze 4: Dokumentace (Ongoing)

  • Centralizovat inventuru
  • Nastavit review cyklus
  • Integrovat s change management
  • Automatizovat kde možné

8. Nástroje a šablony

NástrojÚčelLokace
AI Inventory TemplateEvidence AI systémů/templates/open/
Risk Classification ChecklistEU AI Act klasifikace/templates/open/
GAI Risk Assessment12 GAI rizik/templates/open/assessments/
DPIA TemplateData protection assessment/templates/open/assessments/

Pokračujte na MEASURE pro implementaci MEASURE funkce.

AI-Native Entry Framework | CC BY-NC-SA 4.0