CISO助手
完成度
0%(0/150)
评估报告
AIMA

人工智能成熟度评估模型 1.0

控制项模式

人工智能成熟度评估模型,帮助组织评估和提升其人工智能系统的安全性和成熟度。

版本: 1.0覆盖状态: 完整覆盖 (150/150)控制项/量表/总计: 150/0/150当前展示: 18 / 1508 个分类
D-SA-A-1在人工智能部署中是否存在初步的安全意识或非正式的考虑?控制项
Design / 安全架构

基本隔离与访问控制:实施基本的安全措施,如身份验证和速率限制,以保护 AI API,并符合行业标准和最佳实践。有限的运行时保护:初步保护主要集中在基本的外围防御和简单的访问限制上。运行时防护措施:部署全面的运行时防护措施,包括输出清理和输入验证,以降低常见漏洞的风险(例如,针对大语言模型应用的 OWASP 前十)。结构化部署流程:标准化部署流程,确保在所有 AI 环境中一致地应用安全控制措施。AI 驱动的对抗检测:将先进的 AI 驱动的异常检测和对抗监控功能集成到部署环境中,实时主动识别和处理威胁。模型版本管理与回滚:实施模型版本管理并配备快速回滚机制,以实现快速事故恢复和响应,特别适用于私有或微调的部署。标准:基础隔离与访问控制:实施基本的安全措施,如身份验证和流量限制,以保护 AI API,符合行业标准和最佳实践。| 有限的运行时保护:初步防护主要集中在基础边界防御和简单访问限制。

评估
评估状态:
评估备注:
D-SA-A.69220 1 2 3控制项
Design / 安全架构

基本隔离与访问控制:实施基本的安全措施,如身份验证和速率限制,以保护 AI API,并符合行业标准和最佳实践。有限的运行时保护:初步保护主要集中在基本的外围防御和简单的访问限制上。运行时防护措施:部署全面的运行时防护措施,包括输出清理和输入验证,以降低常见漏洞的风险(例如,针对大语言模型应用的 OWASP 前十)。结构化部署流程:标准化部署流程,确保在所有 AI 环境中一致地应用安全控制措施。AI 驱动的对抗检测:将先进的 AI 驱动的异常检测和对抗监控功能集成到部署环境中,主动实时识别和应对威胁。模型版本管理与回滚:实施模型版本管理及快速回滚机制,以实现快速事件恢复与响应,特别适用于私有或微调部署。

评估
评估状态:
评估备注:
D-SA-A-2是否会偶尔进行非正式检查以确保建筑规范的遵守?控制项
Design / 安全架构

基本隔离与访问控制:实施基本的安全措施,如身份验证和速率限制,以保护 AI API,并符合行业标准和最佳实践。有限的运行时保护:初步保护主要集中在基本的外围防御和简单的访问限制上。运行时防护措施:部署全面的运行时防护措施,包括输出清理和输入验证,以降低常见漏洞的风险(例如,针对大语言模型应用的 OWASP 前十)。结构化部署流程:标准化部署流程,确保在所有 AI 环境中一致地应用安全控制措施。AI 驱动的对抗检测:将先进的 AI 驱动的异常检测和对抗监控功能集成到部署环境中,实时主动识别和处理威胁。模型版本管理与回滚:实施模型版本管理并配备快速回滚机制,以实现快速事故恢复和响应,特别适用于私有或微调的部署。标准:运行时防护:部署全面的运行时防护措施,包括输出清理和输入验证,以减轻常见漏洞(例如,LLM 应用的 OWASP 前十)。| 结构化部署流程:规范部署程序,以确保在所有 AI 环境中一致应用安全控件。

评估
评估状态:
评估备注:
D-SA-A.69230 1 2 3控制项
Design / 安全架构

基本隔离与访问控制:实施基本的安全措施,如身份验证和速率限制,以保护 AI API,并符合行业标准和最佳实践。有限的运行时保护:初步保护主要集中在基本的外围防御和简单的访问限制上。运行时防护措施:部署全面的运行时防护措施,包括输出清理和输入验证,以降低常见漏洞的风险(例如,针对大语言模型应用的 OWASP 前十)。结构化部署流程:标准化部署流程,确保在所有 AI 环境中一致地应用安全控制措施。AI 驱动的对抗检测:将先进的 AI 驱动的异常检测和对抗监控功能集成到部署环境中,主动实时识别和应对威胁。模型版本管理与回滚:实施模型版本管理及快速回滚机制,以实现快速事件恢复与响应,特别适用于私有或微调部署。

评估
评估状态:
评估备注:
D-SA-A-3是否已经建立了用于安全 AI 模型部署的正式程序?控制项
Design / 安全架构

基本隔离与访问控制:实施基本的安全措施,如身份验证和速率限制,以保护 AI API,并符合行业标准和最佳实践。有限的运行时保护:初步保护主要集中在基本的外围防御和简单的访问限制上。运行时防护措施:部署全面的运行时防护措施,包括输出清理和输入验证,以降低常见漏洞的风险(例如,针对大语言模型应用的 OWASP 前十)。结构化部署流程:标准化部署流程,确保在所有 AI 环境中一致地应用安全控制措施。AI 驱动的对抗检测:将先进的 AI 驱动的异常检测和对抗监控功能集成到部署环境中,实时主动识别和处理威胁。模型版本管理与回滚:实施模型版本管理并配备快速回滚机制,以实现快速事故恢复和响应,特别适用于私有或微调的部署。标准:AI 驱动的对抗检测:将先进的 AI 驱动异常检测和对抗监控能力集成到部署环境中,主动实时识别和应对威胁。| 模型版本管理与回滚:实施模型版本管理并配备快速回滚机制,以实现快速事件恢复和响应,这对于私有或微调部署尤其重要。

评估
评估状态:
评估备注:
D-SA-A.69240 1 2 3控制项
Design / 安全架构

基本隔离与访问控制:实施基本的安全措施,如身份验证和速率限制,以保护 AI API,并符合行业标准和最佳实践。有限的运行时保护:初步保护主要集中在基本的外围防御和简单的访问限制上。运行时防护措施:部署全面的运行时防护措施,包括输出清理和输入验证,以降低常见漏洞的风险(例如,针对大语言模型应用的 OWASP 前十)。结构化部署流程:标准化部署流程,确保在所有 AI 环境中一致地应用安全控制措施。AI 驱动的对抗检测:将先进的 AI 驱动的异常检测和对抗监控功能集成到部署环境中,主动实时识别和应对威胁。模型版本管理与回滚:实施模型版本管理及快速回滚机制,以实现快速事件恢复与响应,特别适用于私有或微调部署。

评估
评估状态:
评估备注:
D-SR-A-1安全要求是非正式识别还是零散记录的?控制项
Design / 安全要求

基础道德准则:制定关于偏见、公平、透明度和合规标准(如 GDPR、欧盟人工智能法)的基本道德准则。基本合规措施:满足监管要求的初步策略(如数据隐私、用户同意)。基本认知:利益相关者对道德和合规义务有基本认知。标准化的偏见与公平工具:在训练流程和应用输出中实施用于偏见检测和公平性衡量的标准化工具。集成合规流程:一致地应用合规控制(例如,针对 GDPR 合规的自动检查、同意验证)。结构化文档:将道德和合规措施系统化记录并定期审查。实时合规监控:在人工智能系统生命周期中整合自动化合规检查,提供实时审计追踪和即时警报机制。专家人工监督:复杂的合规决策会启动专家人工审查,以在自动化与责任之间取得平衡。预测性合规管理:利用预测分析主动识别新兴的合规和伦理风险。标准: 基础伦理准则:制定关于偏见、公平、透明度和合规标准(如 GDPR、欧盟 AI 法案)的基础伦理准则。| 基本合规措施:满足监管要求的初步策略(如数据隐私、用户同意)。| 一般意识:利益相关者对伦理和合规义务有基本认识。

评估
评估状态:
评估备注:
D-SR-A.69280 1 2 3控制项
Design / 安全要求

基础道德准则:制定关于偏见、公平、透明度和合规标准(如 GDPR、欧盟人工智能法)的基本道德准则。基本合规措施:满足监管要求的初步策略(如数据隐私、用户同意)。一般认知:利益相关者对道德和合规义务有基本认知。标准化的偏见与公平工具:在训练流程和应用输出中实施用于偏见检测和公平性衡量的标准化工具。集成合规流程:一致地应用合规控制(例如,自动检查 GDPR 合规性、验证同意情况)。系统化文档:将道德和合规措施系统记录并定期审查。实时合规监控:在人工智能系统生命周期中整合自动化合规检查,提供实时审计追踪和即时警报机制。专家人工监督:复杂的合规决策会启动专家人工审查,以在自动化与责任之间取得平衡。预测性合规管理:利用预测分析主动识别新兴的合规和伦理风险。

评估
评估状态:
评估备注:
D-SR-A-2非正式验证流程是否偶尔应用于安全性要求?控制项
Design / 安全要求

基础道德准则:制定关于偏见、公平、透明度和合规标准(如 GDPR、欧盟人工智能法)的基本道德准则。基本合规措施:满足监管要求的初步策略(如数据隐私、用户同意)。基本认知:利益相关者对道德和合规义务有基本认知。标准化的偏见与公平工具:在训练流程和应用输出中实施用于偏见检测和公平性衡量的标准化工具。集成合规流程:一致地应用合规控制(例如,针对 GDPR 合规的自动检查、同意验证)。结构化文档:将道德和合规措施系统化记录并定期审查。实时合规监控:在人工智能系统生命周期中整合自动化合规检查,提供实时审计追踪和即时警报机制。专家人工监督:复杂的合规决策会启动专家人工审查,以在自动化与责任之间取得平衡。预测性合规管理:利用预测分析主动识别新兴的合规和伦理风险。标准:标准化偏差与公平工具:在训练流程和应用输出中实施标准化的偏差检测和公平性测量工具。| 集成的合规流程:一致地应用合规控制(例如,自动检查 GDPR 合规性、验证用户同意)。| 结构化文档:道德和合规措施被系统记录并定期审查。

评估
评估状态:
评估备注:
D-SR-A.69290 1 2 3控制项
Design / 安全要求

基础道德准则:制定关于偏见、公平、透明度和合规标准(如 GDPR、欧盟人工智能法)的基本道德准则。基本合规措施:满足监管要求的初步策略(如数据隐私、用户同意)。一般认知:利益相关者对道德和合规义务有基本认知。标准化的偏见与公平工具:在训练流程和应用输出中实施用于偏见检测和公平性衡量的标准化工具。集成合规流程:一致地应用合规控制(例如,自动检查 GDPR 合规性、验证同意情况)。系统化文档:将道德和合规措施系统记录并定期审查。实时合规监控:在人工智能系统生命周期中整合自动化合规检查,提供实时审计追踪和即时警报机制。专家人工监督:复杂的合规决策会启动专家人工审查,以在自动化与责任之间取得平衡。预测性合规管理:利用预测分析主动识别新兴的合规和伦理风险。

评估
评估状态:
评估备注:
D-SR-A-3安全需求是否有正式的文档记录、明确定义并始终如一地传达?控制项
Design / 安全要求

基础道德准则:制定关于偏见、公平、透明度和合规标准(如 GDPR、欧盟人工智能法)的基本道德准则。基本合规措施:满足监管要求的初步策略(如数据隐私、用户同意)。基本认知:利益相关者对道德和合规义务有基本认知。标准化的偏见与公平工具:在训练流程和应用输出中实施用于偏见检测和公平性衡量的标准化工具。集成合规流程:一致地应用合规控制(例如,自动检查 GDPR 合规性、验证同意情况)。系统化文档:将道德和合规措施系统记录并定期审查。实时合规监控:在人工智能系统生命周期中整合自动化合规检查,提供实时审计追踪和即时警报机制。专家人工监督:复杂的合规决策会启动专家人工审查,以在自动化与责任之间取得平衡。预测性合规管理:利用预测分析主动识别新兴的合规和伦理风险。标准:实时合规监控:在整个AI系统生命周期中集成自动化合规检查,提供实时审计跟踪和即时警报机制。| 专家人工监督:复杂的合规决策会触发专家人工审查,以在自动化与责任之间取得平衡。| 预测性合规管理:利用预测分析主动识别新兴的合规和道德风险。

评估
评估状态:
评估备注:
D-SR-A.69300 1 2 3控制项
Design / 安全要求

基础道德准则:制定关于偏见、公平、透明度和合规标准(如 GDPR、欧盟人工智能法)的基本道德准则。基本合规措施:满足监管要求的初步策略(如数据隐私、用户同意)。一般认知:利益相关者对道德和合规义务有基本认知。标准化的偏见与公平工具:在训练流程和应用输出中实施用于偏见检测和公平性衡量的标准化工具。集成合规流程:一致地应用合规控制(例如,自动检查 GDPR 合规性、验证同意情况)。系统化文档:将道德和合规措施系统记录并定期审查。实时合规监控:在人工智能系统生命周期中整合自动化合规检查,提供实时审计追踪和即时警报机制。专家人工监督:复杂的合规决策会启动专家人工审查,以在自动化与责任之间取得平衡。预测性合规管理:利用预测分析主动识别新兴的合规和伦理风险。

评估
评估状态:
评估备注:
D-TA-A-1是否对特定于人工智能系统的威胁有基本的意识或非正式的识别?控制项
Design / 威胁评估

识别的高层次风险:初步识别并承认广泛风险(例如,数据泄露、不道德或有害的输出)。临时文档记录:以非正式方式记录风险,没有标准化的结构或严重性评级。有限的利益相关者认知:利益相关者对潜在风险有一般了解,但没有系统的跟踪。集中风险清单:建立并维护针对大语言模型(LLM)使用案例的全面风险清单,详细说明了如对抗性攻击、提示操作和伦理问题等漏洞。严重性评分:根据潜在影响、发生可能性和组织背景,为风险分配严重性评分。定期更新:风险清单会定期更新,或在大语言模型使用案例发生重大变化时更新。自动化风险监控:对大语言模型输出进行持续、自动化的监测,以发现潜在的有害内容、数据泄露和安全异常。实时警报:针对已识别的风险触发自动警报,便于立即进行调查和缓解。持续改进:通过持续监控和实时数据分析动态重新评估风险。标准:已识别的高级风险:初步识别和确认广泛风险(例如,数据泄露、不道德或有害的输出)。| 临时文档:风险以非正式方式记录,没有标准化结构或严重性评级。| 有限的利益相关者意识:利益相关者对潜在风险有一般认知,但没有系统的跟踪。

评估
评估状态:
评估备注:
D-TA-A.69160 1 2 3控制项
Design / 威胁评估

识别的高层次风险:初步识别并承认广泛风险(例如,数据泄露、不道德或有害的输出)。临时文档记录:以非正式方式记录风险,没有标准化的结构或严重性评级。有限的利益相关者认知:利益相关者对潜在风险有一般了解,但没有系统的跟踪。集中风险清单:建立并维护针对大语言模型(LLM)使用案例的全面风险清单,详细说明了如对抗性攻击、提示操作和伦理问题等漏洞。严重性评分:根据潜在影响、发生可能性和组织背景为风险分配严重性评分。定期更新:风险清单会定期更新,或在大语言模型使用案例发生重大变化时更新。自动化风险监控:对大语言模型输出进行持续的自动检测和监控,以发现潜在的有害内容、数据泄露和安全异常。实时警报:针对已识别的风险触发自动警报,便于立即进行调查和缓解。持续改进:通过持续监控和实时数据分析动态重新评估风险。

评估
评估状态:
评估备注:
D-TA-A-2非正式的威胁缓解策略是否偶尔会被讨论或实施?控制项
Design / 威胁评估

识别的高层次风险:初步识别并承认广泛风险(例如,数据泄露、不道德或有害的输出)。临时文档记录:以非正式方式记录风险,没有标准化的结构或严重性评级。有限的利益相关者认知:利益相关者对潜在风险有一般了解,但没有系统的跟踪。集中风险清单:建立并维护针对大语言模型(LLM)使用案例的全面风险清单,详细说明了如对抗性攻击、提示操作和伦理问题等漏洞。严重性评分:根据潜在影响、发生可能性和组织背景,为风险分配严重性评分。定期更新:风险清单会定期更新,或在大语言模型使用案例发生重大变化时更新。自动化风险监控:对大语言模型输出进行持续、自动化的监测,以发现潜在的有害内容、数据泄露和安全异常。实时警报:针对已识别的风险触发自动警报,便于立即进行调查和缓解。持续改进:通过持续监控和实时数据分析对风险进行动态重新评估。标准:集中风险清单:建立并维护针对大语言模型使用案例的全面风险清单,详细列出了如对抗攻击、提示操控及伦理问题等漏洞。| 严重性评分:根据潜在影响、可能性和组织背景为风险分配严重性评分。| 定期更新:在风险清单定期更新或在大型语言模型使用案例发生重大变化时进行更新。

评估
评估状态:
评估备注:
D-TA-A.69170 1 2 3控制项
Design / 威胁评估

识别的高层次风险:初步识别并承认广泛风险(例如,数据泄露、不道德或有害的输出)。临时文档记录:以非正式方式记录风险,没有标准化的结构或严重性评级。有限的利益相关者认知:利益相关者对潜在风险有一般了解,但没有系统的跟踪。集中风险清单:建立并维护针对大语言模型(LLM)使用案例的全面风险清单,详细说明了如对抗性攻击、提示操作和伦理问题等漏洞。严重性评分:根据潜在影响、发生可能性和组织背景为风险分配严重性评分。定期更新:风险清单会定期更新,或在大语言模型使用案例发生重大变化时更新。自动化风险监控:对大语言模型输出进行持续的自动检测和监控,以发现潜在的有害内容、数据泄露和安全异常。实时警报:针对已识别的风险触发自动警报,便于立即进行调查和缓解。持续改进:通过持续监控和实时数据分析动态重新评估风险。

评估
评估状态:
评估备注:
D-TA-A-3是否对人工智能系统的威胁进行系统识别和记录?控制项
Design / 威胁评估

识别的高层次风险:初步识别并承认广泛风险(例如,数据泄露、不道德或有害的输出)。临时文档记录:以非正式方式记录风险,没有标准化的结构或严重性评级。有限的利益相关者认知:利益相关者对潜在风险有一般了解,但没有系统的跟踪。集中风险清单:建立并维护针对大语言模型(LLM)使用案例的全面风险清单,详细说明了如对抗性攻击、提示操作和伦理问题等漏洞。严重性评分:根据潜在影响、发生可能性和组织背景,为风险分配严重性评分。定期更新:风险清单会定期更新,或在大语言模型使用案例发生重大变化时更新。自动化风险监控:对大语言模型输出进行持续的、自动化的检测和监控,以发现潜在有害内容、数据泄露和安全异常。实时警报:当识别到风险时触发自动警报,便于立即进行调查和缓解。持续改进:通过持续监控和实时数据分析动态地重新评估风险。标准:自动化风险监控:对大语言模型输出的潜在有害内容、数据泄露和安全异常进行持续的自动检测和监控。| 实时警报:由识别出的风险触发的自动化警报,便于立即进行调查和缓解。| 持续改进:通过持续监控和实时数据分析动态重新评估风险。

评估
评估状态:
评估备注:
D-TA-A.69180 1 2 3控制项
Design / 威胁评估

识别的高层次风险:初步识别并承认广泛风险(例如,数据泄露、不道德或有害的输出)。临时文档记录:以非正式方式记录风险,没有标准化的结构或严重性评级。有限的利益相关者认知:利益相关者对潜在风险有一般了解,但没有系统的跟踪。集中风险清单:建立并维护针对大语言模型(LLM)使用案例的全面风险清单,详细说明了如对抗性攻击、提示操作和伦理问题等漏洞。严重性评分:根据潜在影响、发生可能性和组织背景为风险分配严重性评分。定期更新:风险清单会定期更新,或在大语言模型使用案例发生重大变化时更新。自动化风险监控:对大语言模型输出进行持续的自动检测和监控,以发现潜在的有害内容、数据泄露和安全异常。实时警报:针对已识别的风险触发自动警报,便于立即进行调查和缓解。持续改进:通过持续监控和实时数据分析动态重新评估风险。

评估
评估状态:
评估备注: