CISO助手
完成度
0%(0/150)
评估报告
AIMA

人工智能成熟度评估模型 1.0

控制项模式

人工智能成熟度评估模型,帮助组织评估和提升其人工智能系统的安全性和成熟度。

版本: 1.0覆盖状态: 完整覆盖 (150/150)控制项/量表/总计: 150/0/150当前展示: 18 / 1508 个分类
I-DM-A-1缺陷跟踪流程是非正式应用还是记录不一致?控制项
Implementation / 缺陷管理

缺陷分类:为AI缺陷和故障模式定义并采用标准分类法。基础跟踪:开始跟踪模型行为问题和性能下降。初步文档:手动记录已知问题和缺陷以备将来参考。缺陷优先级:根据影响和严重性对缺陷进行评分。工作流整合:将缺陷跟踪嵌入到QA和发布流程中。缺陷分析:分析已记录的 AI 缺陷的趋势和模式。根本原因分析:调查数据、训练和架构层面的故障。知识共享:在知识库中记录并分享经验教训。跨职能审查:组建跨角色团队分析复杂故障。标准:缺陷分类:定义并采用 AI 缺陷和故障模式的标准分类体系。| 基本跟踪:开始跟踪模型的行为问题和性能下降。| 初步文档记录:手动记录已知问题和缺陷以备将来参考。

评估
评估状态:
评估备注:
I-DM-A.69460 1 2 3控制项
Implementation / 缺陷管理

缺陷分类:为AI缺陷和故障模式定义并采用标准分类法。基础跟踪:开始跟踪模型行为问题和性能下降。初步文档:手动记录已知问题和缺陷以备将来参考。缺陷优先级:根据影响和严重性对缺陷进行评分。工作流程整合:将缺陷跟踪嵌入到QA和发布流程中。缺陷分析:分析记录的 AI 缺陷中的趋势和模式。根本原因分析:在数据、训练和架构层面调查故障。知识分享:在知识库中记录并分享经验教训。跨职能审查:组建跨角色团队分析复杂故障。

评估
评估状态:
评估备注:
I-DM-A-2是否偶尔使用基本的技术方法来识别和解决缺陷?控制项
Implementation / 缺陷管理

缺陷分类:为AI缺陷和故障模式定义并采用标准分类法。基础跟踪:开始跟踪模型行为问题和性能下降。初步文档:手动记录已知问题和缺陷以备将来参考。缺陷优先级:根据影响和严重性对缺陷进行评分。工作流整合:将缺陷跟踪嵌入到QA和发布流程中。缺陷分析:分析记录的AI缺陷的趋势和模式。根本原因分析:在数据、训练和架构层面调查故障。知识共享:在知识库中记录并分享经验教训。跨职能审查:组建跨角色团队分析复杂故障。标准:缺陷优先级:根据影响和严重性对缺陷进行评分。| 工作流集成:将缺陷跟踪嵌入到质量保证和发布流程中。| 缺陷分析:分析已记录的AI缺陷的趋势和模式。

评估
评估状态:
评估备注:
I-DM-A.69470 1 2 3控制项
Implementation / 缺陷管理

缺陷分类:为AI缺陷和故障模式定义并采用标准分类法。基础跟踪:开始跟踪模型行为问题和性能下降。初步文档:手动记录已知问题和缺陷以备将来参考。缺陷优先级:根据影响和严重性对缺陷进行评分。工作流程整合:将缺陷跟踪嵌入到QA和发布流程中。缺陷分析:分析记录的 AI 缺陷中的趋势和模式。根本原因分析:在数据、训练和架构层面调查故障。知识分享:在知识库中记录并分享经验教训。跨职能审查:组建跨角色团队分析复杂故障。

评估
评估状态:
评估备注:
I-DM-A-3缺陷跟踪流程是否得到系统实施并定期记录?控制项
Implementation / 缺陷管理

缺陷分类:为AI缺陷和故障模式定义并采用标准分类法。基础跟踪:开始跟踪模型行为问题和性能下降。初步文档:手动记录已知问题和缺陷以备将来参考。缺陷优先级:根据影响和严重性对缺陷进行评分。工作流整合:将缺陷跟踪嵌入到QA和发布流程中。缺陷分析:分析已记录的 AI 缺陷的趋势和模式。根本原因分析:在数据、训练和架构层面调查故障。知识共享:在知识库中记录并分享经验教训。跨职能评审:组建跨角色团队分析复杂故障。标准:根本原因分析:在数据、训练和架构层面调查故障。| 知识共享:将经验教训记录并分享在知识库中。| 跨职能审查:组建跨职位团队分析复杂失败案例。

评估
评估状态:
评估备注:
I-DM-A.69480 1 2 3控制项
Implementation / 缺陷管理

缺陷分类:为AI缺陷和故障模式定义并采用标准分类法。基础跟踪:开始跟踪模型行为问题和性能下降。初步文档:手动记录已知问题和缺陷以备将来参考。缺陷优先级:根据影响和严重性对缺陷进行评分。工作流程整合:将缺陷跟踪嵌入到QA和发布流程中。缺陷分析:分析记录的 AI 缺陷中的趋势和模式。根本原因分析:在数据、训练和架构层面调查故障。知识分享:在知识库中记录并分享经验教训。跨职能审查:组建跨角色团队分析复杂故障。

评估
评估状态:
评估备注:
I-SB-A-1有没有一些用于安全构建人工智能系统的基本非正式做法?控制项
Implementation / 安全构建

临时模型选择:模型来源没有标准标准进行选择。缺乏清单:清单是非正式的或过时的。缺失来源:模型的用途和来源很少被记录。安全指南:安全开发指南包括针对人工智能的特定考虑。基本模型审查:模型审查包括基本的伦理和合规检查。库存控制:库存管理已标准化,但未实现自动化。正式风险审查:对第三方和内部模型进行正式风险评估。托管控制:AI资产的托管情况被跟踪和管理。供应商保证:向供应商索取声明和合规文件。标准:临时模型选择:模型来源的选择没有标准化的标准。| 库存不足:库存不正规或过时。| 缺少来源:模型的用途和来源很少被记录。

评估
评估状态:
评估备注:
I-SB-A.69340 1 2 3控制项
Implementation / 安全构建

临时模型选择:模型来源没有标准标准进行选择。缺乏清单:清单是非正式的或过时的。缺失来源:模型的用途和来源很少被记录。安全指南:安全开发指南包括针对人工智能的特定考虑。基本模型审查:模型审查包括基本的伦理和合规检查。库存控制:库存管理已标准化,但未实现自动化。正式风险评审:对第三方和内部模型进行正式的风险评估。托管控制:AI 资产的托管情况已被跟踪和管理。供应商保证:要求供应商提供声明和合规文件。

评估
评估状态:
评估备注:
I-SB-A-2在构建过程中是否偶尔使用安全工具或自动化?控制项
Implementation / 安全构建

临时模型选择:模型来源没有标准标准进行选择。缺乏清单:清单是非正式的或过时的。缺失来源:模型的用途和来源很少被记录。安全指南:安全开发指南包括针对人工智能的特定考虑。基本模型审查:模型审查包括基本的伦理和合规检查。库存管理:库存管理已标准化,但未实现自动化。正式风险评审:对第三方和内部模型进行正式的风险评估。托管控制:AI资产的托管情况被跟踪和管理。供应商保证:向供应商请求证明和合规文件。标准:安全指南:安全开发指南包括针对AI的特定考量。| 基本模型审查:模型审查包括基本的伦理和合规检查。| 库存控制:库存管理是标准化的,但未实现自动化。

评估
评估状态:
评估备注:
I-SB-A.69350 1 2 3控制项
Implementation / 安全构建

临时模型选择:模型来源没有标准标准进行选择。缺乏清单:清单是非正式的或过时的。缺失来源:模型的用途和来源很少被记录。安全指南:安全开发指南包括针对人工智能的特定考虑。基本模型审查:模型审查包括基本的伦理和合规检查。库存控制:库存管理已标准化,但未实现自动化。正式风险评审:对第三方和内部模型进行正式的风险评估。托管控制:AI 资产的托管情况已被跟踪和管理。供应商保证:要求供应商提供声明和合规文件。

评估
评估状态:
评估备注:
I-SB-A-3是否有正式、系统的安全建设程序文档,并且能够始终如一地应用?控制项
Implementation / 安全构建

临时模型选择:模型来源没有标准标准进行选择。缺乏清单:清单是非正式的或过时的。缺失来源:模型的用途和来源很少被记录。安全指南:安全开发指南包括针对人工智能的特定考虑。基本模型审查:模型审查包括基本的伦理和合规检查。库存控制:库存管理已标准化,但尚未自动化。正式风险审查:对第三方和内部模型进行正式风险评估。托管控制:AI资产的托管情况受到跟踪和管理。供应商保证:要求供应商提供声明和合规文件。标准:正式风险审查:对第三方和内部模型进行正式风险评估。| 托管控制:人工智能资产的托管情况被跟踪和管理。| 供应商保障:向供应商索取证明和合规文件。

评估
评估状态:
评估备注:
I-SB-A.69360 1 2 3控制项
Implementation / 安全构建

临时模型选择:模型来源没有标准标准进行选择。缺乏清单:清单是非正式的或过时的。缺失来源:模型的用途和来源很少被记录。安全指南:安全开发指南包括针对人工智能的特定考虑。基本模型审查:模型审查包括基本的伦理和合规检查。库存控制:库存管理已标准化,但未实现自动化。正式风险评审:对第三方和内部模型进行正式的风险评估。托管控制:AI 资产的托管情况已被跟踪和管理。供应商保证:要求供应商提供声明和合规文件。

评估
评估状态:
评估备注:
I-SD-A-1是否有非正式或临时的流程来安全部署人工智能系统?控制项
Implementation / 安全部署

环境捕获:记录部署配置和运行时环境。 依赖日志:记录库、依赖项和版本。 手动跟踪:保持基本记录而不使用自动化。 审批流程:在部署前定义明确的审查和签署步骤。 回滚计划:建立安全恢复到先前版本的机制。审计追踪:记录并存储部署决策以便追溯。合规检查:定期评估法律、法规和政策的符合性。自动化:将合规检查集成到CI/CD工作流中。审计准备:维护用于法规或内部审计的文档。标准:环境捕获:记录部署配置和运行时环境。| 依赖记录:记录库、依赖项及其版本。| 手动跟踪:在没有自动化的情况下保持基本记录。

评估
评估状态:
评估备注:
I-SD-A.69400 1 2 3控制项
Implementation / 安全部署

环境捕获:记录部署配置和运行时环境。 依赖日志:记录库、依赖项和版本。 手动跟踪:在没有自动化的情况下保持基本记录。 审批工作流程:在部署前定义清晰的审核和批准步骤。 回滚计划:建立安全回到先前版本的机制。审计追踪:记录和存储部署决策以便追溯。合规检查:定期评估是否符合法律、法规和政策要求。自动化:将合规检查集成到 CI/CD 工作流程中。审计准备:为法规或内部审计保持文档资料。

评估
评估状态:
评估备注:
I-SD-A-2在部署期间是否偶尔实施基本的技术控制?控制项
Implementation / 安全部署

环境捕获:记录部署配置和运行时环境。 依赖日志:记录库、依赖项和版本。 手动跟踪:在没有自动化的情况下保持基本记录。 审批工作流程:在部署前定义清晰的审核和批准步骤。 回滚计划:建立安全回到先前版本的机制。审计追踪:记录并存储部署决策以便可追溯性。合规检查:定期评估法律、法规和政策的符合性。自动化:将合规检查集成到 CI/CD 工作流中。审计准备:维护用于监管或内部审计的文档。标准:审批工作流:在部署前定义明确的审核和签署步骤。| 回滚计划:建立机制以安全地恢复到先前版本。| 审计追踪:记录并存储部署决策以便追踪。

评估
评估状态:
评估备注:
I-SD-A.69410 1 2 3控制项
Implementation / 安全部署

环境捕获:记录部署配置和运行时环境。 依赖日志:记录库、依赖项和版本。 手动跟踪:在没有自动化的情况下保持基本记录。 审批工作流程:在部署前定义清晰的审核和批准步骤。 回滚计划:建立安全回到先前版本的机制。审计追踪:记录和存储部署决策以便追溯。合规检查:定期评估是否符合法律、法规和政策要求。自动化:将合规检查集成到 CI/CD 工作流程中。审计准备:为法规或内部审计保持文档资料。

评估
评估状态:
评估备注:
I-SD-A-3是否已定义正式流程并始终遵循,以确保 AI 系统的安全部署?控制项
Implementation / 安全部署

环境捕获:记录部署配置和运行时环境。 依赖日志:记录库、依赖项和版本。 手动跟踪:在没有自动化的情况下保持基本记录。 审批工作流程:在部署前定义清晰的审核和批准步骤。 回滚计划:建立安全回到先前版本的机制。审计追踪:记录并存储部署决策以便可追溯性。 合规检查:定期评估法律、法规和政策的符合性。 自动化:将合规检查整合到CI/CD工作流中。 审计准备:为监管或内部审计维护文档。 标准:合规检查:定期评估法律、法规和政策的符合性。| 自动化:将合规性检查集成到 CI/CD 工作流中。| 审计准备:维护用于监管或内部审计的文档。

评估
评估状态:
评估备注:
I-SD-A.69420 1 2 3控制项
Implementation / 安全部署

环境捕获:记录部署配置和运行时环境。 依赖日志:记录库、依赖项和版本。 手动跟踪:在没有自动化的情况下保持基本记录。 审批工作流程:在部署前定义清晰的审核和批准步骤。 回滚计划:建立安全回到先前版本的机制。审计追踪:记录和存储部署决策以便追溯。合规检查:定期评估是否符合法律、法规和政策要求。自动化:将合规检查集成到 CI/CD 工作流程中。审计准备:为法规或内部审计保持文档资料。

评估
评估状态:
评估备注: