安全控制框架 2024
控制项模式安全控制框架(SCF)是一个全面的网络安全控制框架,包含超过1000个控制要求,覆盖隐私、网络安全、数据保护、业务连续性等多个领域。SCF旨在帮助组织满足多个法规和标准的合规要求。
存在对人工智能 (AI) 和自主技术 (AAT) 的能力、针对性使用、目标以及预期收益和成本进行基准测试的机制。
存在建立和记录人工智能 (AI) 和自主技术 (AAT) 背景的机制,包括: (1) 预期目的; (2) 潜在有益用途; (3) 具体法律法规; (4) 规范和期望; (5) 将部署系统的预期环境。
存在持续改进人工智能 (AI) 和自主技术 (AAT) 能力的机制,以最大限度地提高与 AAT 相关的效益并最大限度地减少负面影响。
现有机制可以映射人工智能 (AI) 和自主技术 (AAT) 所有组件(包括第三方软件和数据)的风险和收益。
现有机制可利用领域专家和相关利益相关者的意见来验证人工智能 (AI) 和自主技术 (AAT) 是否按预期一致运行。
现有机制可以收集最终用户和受影响社区的反馈并将其整合到人工智能 (AI) 和自主技术 (AAT) 相关的系统评估指标中。
现有机制可评估和记录人工智能 (AI) 和自主技术 (AAT) 的环境影响和可持续性。
现有机制可防止人工智能 (AI) 和自主技术 (AAT) 不公平地识别、分析和/或统计挑选出由种族、宗教、性别认同、国籍、宗教、残疾或任何其他带有政治色彩的标识符定义的细分人群。
现有机制可以通过定期识别和跟踪现有的、意外的和新兴的人工智能 (AI) 和自主技术 (AAT) 相关风险来主动预防伤害。
存在保护人类受试者免受伤害的机制。
现有机制可以描述拟议的人工智能(AI)和自主技术(AAT)对个人、团体、社区、组织和社会的影响。
存在定义人工智能 (AI) 和自主技术 (AAT) 支持的任务的机制(例如分类器、生成模型、推荐器)。
存在向相关利益相关者(包括受影响社区)传达人工智能 (AI) 和自主技术 (AAT) 相关事件和/或错误的机制。
存在防止人工智能 (AI) 和自主技术 (AAT) 侵犯第三方知识产权 (IP) 的机制。
现有机制可识别和记录人工智能 (AI) 和自主技术 (AAT) 的内部网络安全和数据隐私控制。
现有机制可以识别和记录人工智能(AI)和自主技术(AAT)的知识限制,以提供足够的信息来协助相关利益相关者做出决策。
现有机制可根据人工智能 (AI) 和自主技术 (AAT) 在类似环境中的预期使用和过去使用来定义每个已识别风险的潜在可能性和影响。
通过与行业专家、领域专家和最终用户的审查和咨询,存在衡量人工智能 (AI) 和自主技术 (AAT) 相关部署环境风险的机制。
存在定义和记录组织使命以及人工智能 (AI) 和自主技术 (AAT) 既定目标的机制。
存在验证人工智能 (AI) 和自主技术 (AAT) 模型的机制。
存在识别和记录人工智能 (AI) 和自主技术 (AAT) 下游收购方和最终用户的负面残余风险(定义为所有未缓解风险的总和)的机制。
存在由不参与 AAT 开发的独立评估者和利益相关者对人工智能 (AI) 和自主技术 (AAT) 进行定期评估的机制。
存在与领域专家和相关利益相关者一起评估绩效改进或下降的机制,以定义与上下文相关的风险和可信度问题。
现有机制可评估拟议的人工智能(AI)和自主技术(AAT)的潜在好处。
存在评估潜在成本的机制,包括因预期或实现的人工智能 (AI) 和自主技术 (AAT) 相关错误或系统功能和可信度而导致的非货币成本。
现有机制可监控已部署的人工智能 (AI) 和自主技术 (AAT) 的功能和行为。
现有机制可识别、理解、记录和管理人工智能 (AI) 和自主技术 (AAT) 的适用法律和监管要求。
存在考虑社会技术影响的机制,以解决与人工智能(AI)和自主技术(AAT)相关的风险。
现有机制可以利用来自不同人口、学科、经验、专业知识和背景的决策者来绘制、衡量和管理人工智能 (AI) 和自主技术 (AAT) 相关风险。
现有机制可识别正在使用的人工智能 (AI) 和自主技术 (AAT),并将这些组件映射到潜在的法律风险,包括法律和法规合规要求。
现有机制可记录设计、开发、部署、评估和使用的人工智能 (AI) 和自主技术 (AAT) 的风险和潜在影响。
现有机制可根据评估和其他分析输出对人工智能 (AI) 和自主技术 (AAT) 相关风险进行优先排序、响应和补救。
现有的跟踪人工智能 (AI) 和自主技术 (AAT) 相关风险的机制很难使用当前可用的测量技术或在尚无指标的情况下进行评估。
现有机制可确保人工智能 (AI) 和自主技术 (AAT) 相关的操作员和从业者对人工智能 (AI) 和自主技术 (AAT) 的熟练程度要求得到定义、评估和记录。
现有机制可确保人工智能 (AI) 和自主技术 (AAT) 利益相关者的能力、技能和能力融合人口多样性、广泛领域和用户体验专业知识。
存在定期收集、考虑、优先考虑和整合来自开发或部署人工智能 (AI) 和自主技术 (AAT) 团队外部人员的风险相关反馈的机制。
现有机制可以指定和记录人工智能(AI)和自主技术(AAT)的拟议使用和操作的目标应用范围。
现有机制可确保为人员和外部利益相关者提供针对人工智能 (AI) 和自主技术 (AAT) 的特定职位风险管理培训。
现有机制可以维持已部署的人工智能 (AI) 和自主技术 (AAT) 的价值。
现有机制可定义人工智能 (AI) 和自主技术 (AAT) 是否达到预期目的和既定目标的标准,以确定是否应继续进行开发或部署。
现有机制可评估人工智能 (AI) 和自主技术 (AAT) 相关性能或针对与部署设置类似的条件所展示的保证标准。
现有机制可评估用于执行人工智能测试、评估、验证和验证 (AI TEVV) 的流程的有效性。
现有机制可以检查要部署的人工智能(AI)和自主技术(AAT)的公平性和偏见。
现有机制可以主动、持续地监控已部署的人工智能 (AI) 和自主技术 (AAT)。
现有机制可检查要部署的人工智能 (AI) 和自主技术 (AAT) 的数据隐私风险。
现有机制可评估要部署的人工智能 (AI) 和自主技术 (AAT) 的安全性和弹性。
存在评估人工智能测试、评估、验证和验证(AI TEVV)结果的机制,以确定拟议的人工智能(AI)和自主技术(AAT)的可行性。
现有机制可以证明要部署的人工智能 (AI) 和自主技术 (AAT) 是安全的,残余风险不会超出组织的风险承受能力,并且可以安全地失败,特别是在超出其知识限制的情况下。
存在记录测试集、指标以及有关人工智能测试、评估、验证和验证 (AI TEVV) 实践中使用的工具的详细信息的机制。
现有机制可检查与要部署的人工智能 (AI) 和自主技术 (AAT) 的透明度和问责制相关的风险。
现有机制可评估人工智能 (AI) 和自主技术 (AAT) 的可信行为和操作,包括出于批准目的而捕获和存储的数据的安全性、匿名化和分解。
现有机制可证明要部署的人工智能 (AI) 和自主技术 (AAT) 有效、可靠,并根据批准的设计按预期运行。
现有机制可确保与人工智能 (AI) 和自主技术 (AAT) 相关风险的映射、衡量和管理相关的政策、流程、程序和实践到位、透明且有效实施。
存在实施人工智能测试、评估、验证和验证 (AI TEVV) 实践的机制,以实现人工智能 (AI) 和自主技术 (AAT) 相关的测试、事件识别和信息共享。
存在定义和区分人类-人工智能配置和人工智能系统监督的角色和责任的机制。
存在识别和记录人工智能和自主技术(AAT)培训和/或操作中使用的数据源的机制。
存在保护源数据完整性的机制,以防止可能损害人工智能和自主技术 (AAT) 性能的意外污染或恶意损坏(例如数据中毒)。
现有机制可以收集和评估有关人工智能 (AI) 和自主技术 (AAT) 相关测量效果的反馈。
存在定期评估现有控制措施有效性的机制,包括错误报告和对受影响社区的潜在影响。
存在验证人工智能 (AI) 和自主技术(AAT 培训、维护和改进相关活动)中使用的预训练模型的信息来源和质量的机制。
当发现之前未知的人工智能 (AI) 和自主技术 (AAT) 相关风险时,现有机制可以对其做出响应并从中恢复。
现有机制用于定义取代、脱离或停用表现出与预期用途不一致的性能或结果的人工智能 (AI) 和自主技术 (AAT) 的标准和责任方。
现有机制迫使相关人工智能 (AI) 和自主技术 (AAT) 利益相关者持续参与,鼓励就积极、消极和意外影响提供反馈。
存在开发和维护人工智能 (AI) 和自主技术 (AAT)(内部和第三方)清单的机制。
现有机制可确保人工智能 (AI) 和自主技术 (AAT) 的设计可靠、安全、公平、可靠、有弹性、透明、可解释且数据隐私得到增强,以最大程度地减少突发事件或意外后果。
存在识别和记录无法衡量的风险或可信度特征的机制。
现有机制可整合已部署的人工智能 (AI) 和自主技术 (AAT) 的持续改进。