AI beheren : proces om AI te beheren
In dit artikel wordt het organisatieproces voor het beheren van AI beschreven. Het volgt het NIST Artificial Intelligence Risk Management Framework (AI RMF) en NIST AI RMF Playbook. Het is ook afgestemd op het framework in CAF Govern.
Deze richtlijnen zijn bedoeld om AI-risicobeheer te integreren in bredere strategieën voor risicobeheer. Deze integratie biedt een samenhangendere verwerking van AI-, cyberbeveiligings- en privacyrisico's voor een geïntegreerde governancebenadering.
Risico's van AI-organisaties beoordelen
AI-risicoanalyse identificeert en lost potentiële risico's op die worden geïntroduceerd door AI-technologieën. Dit proces bouwt vertrouwen op in AI-systemen en vermindert onbedoelde gevolgen. Het aanpakken van organisatierisico's zorgt ervoor dat AI-implementaties in overeenstemming zijn met de waarden, risicotolerantie en operationele doelstellingen van de organisatie.
Inzicht in de AI-workloads. Als u AI-risico's wilt beperken, moet u inzicht hebben in uw AI-workloads. Door het bereik en doel van elke AI-workload te verduidelijken, kunt u de bijbehorende risico's toewijzen. Deze verduidelijking moet eventuele veronderstellingen en beperkingen met betrekking tot de AI-workload omvatten.
Gebruik verantwoorde AI-principes om risico's te identificeren. Deze principes bieden een framework voor het beoordelen van AI-risico's. Gebruik de volgende tabel om risico's te identificeren en te beperken via een gestructureerde evaluatie van AI-principes.
Verantwoordelijk AI-principe Definitie Vraag over risicobeoordeling AI-privacy en -beveiliging AI-workloads moeten de privacy respecteren en veilig zijn. Hoe kunnen AI-workloads gevoelige gegevens verwerken of kwetsbaar worden voor beveiligingsschendingen? Betrouwbaarheid en veiligheid AI-workloads moeten veilig en betrouwbaar worden uitgevoerd. In welke situaties kunnen AI-workloads niet veilig werken of onbetrouwbare resultaten opleveren? Eerlijkheid AI-workloads moeten mensen eerlijk behandelen. Hoe kunnen AI-workloads leiden tot ongelijke behandeling of onbedoelde vooroordelen in besluitvorming? Inclusiviteit AI-workloads moeten inclusief en krachtig zijn. Hoe kunnen bepaalde groepen worden uitgesloten of achtergesteld in het ontwerp of de implementatie van AI-workloads? Transparency AI-workloads moeten begrijpelijk zijn. Welke aspecten van AI-besluitvorming kunnen lastig zijn voor gebruikers om te begrijpen of uit te leggen? Verantwoordelijkheid Personen moeten verantwoordelijk zijn voor AI-workloads. Waar kan verantwoordelijkheid onduidelijk of moeilijk zijn om vast te stellen in de ontwikkeling of het gebruik van AI? AI-risico's identificeren. Begin met het evalueren van de beveiligingsrisico's van AI-workloads, waaronder mogelijke gegevensschendingen, onbevoegde toegang of misbruik. Raadpleeg belanghebbenden om minder zichtbare risico's te ontdekken en beoordeel zowel kwalitatieve als kwantitatieve effecten, inclusief reputatierisico's, om de risicotolerantie van de organisatie te bepalen.
Identificeer risico's van externe afhankelijkheden. Evalueer risico's met betrekking tot gegevensbronnen, software en integraties van derden. Los problemen zoals beveiligingsproblemen, vooroordelen en intellectuele eigendomsrisico's op door beleidsregels vast te stellen die ervoor zorgen dat de privacy- en nalevingsstandaarden van de organisatie worden afgestemd.
Integratierisico's beoordelen. Evalueer AI-workloads die zijn geïntegreerd met bestaande workloads en processen. Documenteer potentiële risico's, zoals afhankelijkheid van andere workloads, verhoogde complexiteit of incompatibiliteit die van invloed kunnen zijn op de functionaliteit.
AI-governancebeleid documenteer
AI-governancebeleid biedt een gestructureerd framework voor verantwoord AI-gebruik. Met deze beleidsregels worden AI-activiteiten afgestemd op ethische standaarden, wettelijke vereisten en bedrijfsdoelstellingen. Documenteringsbeleid zorgt voor duidelijke richtlijnen voor het beheren van AI-modellen, -gegevens en -bewerkingen.
| Beleidsgebied VOOR AI-governance | Aanbevelingen voor AI-governancebeleid |
|---|---|
| Beleid definiëren voor het selecteren en onboarden van modellen | ▪ Stel beleidsregels in voor het selecteren van AI-modellen. Beleidsregels moeten criteria bevatten voor het kiezen van modellen die voldoen aan organisatiewaarden, mogelijkheden en kostenbeperkingen. Bekijk mogelijke modellen voor afstemming met risicotolerantie en beoogde taakvereisten. ▪ Onboarding van nieuwe modellen met gestructureerd beleid. Een formeel proces voor het onboarden van modellen behoudt consistentie in modelredenen, validatie en goedkeuring. Gebruik sandbox-omgevingen voor eerste experimenten, valideer en controleer modellen in de productiecatalogus om duplicatie te voorkomen. |
| Beleid definiëren voor het gebruik van hulpprogramma's en gegevens van derden | ▪ Besturingselementen instellen voor hulpprogramma's van derden. Een controleproces voor hulpprogramma's van derden beschermt tegen beveiligings-, nalevings- en afstemmingsrisico's. Beleidsregels moeten richtlijnen bevatten voor gegevensprivacy, beveiliging en ethische normen bij het gebruik van externe gegevenssets. ▪ Definieer vertrouwelijkheidsstandaarden voor gegevens. Gevoelige en openbare gegevens gescheiden houden is essentieel voor het beperken van AI-risico's. Beleidsregels maken voor gegevensverwerking en scheiding. ▪ Definieer gegevenskwaliteitsstandaarden. Een 'gouden gegevensset' biedt een betrouwbare benchmark voor het testen en evalueren van AI-modellen. Maak duidelijke beleidsregels voor gegevensconsistentie en -kwaliteit om hoge prestaties en betrouwbare uitvoer te garanderen. |
| Beleid definiëren voor het onderhouden en bewaken van modellen | ▪ Geef de frequentie voor opnieuw trainen op gebruiksscenario op. Frequente hertraining biedt ondersteuning voor nauwkeurigheid voor AI-workloads met een hoog risico. Definieer richtlijnen die rekening houden met de use case en het risiconiveau van elk model, met name voor sectoren zoals gezondheidszorg en financiën. ▪ Controleren op prestatievermindering. Het bewaken van modelprestaties in de loop van de tijd helpt bij het detecteren van problemen voordat ze van invloed zijn op resultaten. Documenteer benchmarks en als de prestaties van een model afnemen, start u een hertraining of beoordelingsproces. |
| Beleidsregels definiëren voor naleving van regelgeving | ▪ Voldoen aan regionale wettelijke vereisten. Inzicht in regionale wetten zorgt ervoor dat AI-bewerkingen compatibel blijven op verschillende locaties. Onderzoek de toepasselijke regelgeving voor elk implementatiegebied, zoals wetgeving inzake gegevensprivacy, ethische normen en branchevoorschriften. ▪ Regiospecifiek beleid ontwikkelen. Het aanpassen van AI-beleid aan regionale overwegingen ondersteunt naleving van lokale standaarden. Beleidsregels kunnen taalondersteuning, protocollen voor gegevensopslag en culturele aanpassingen omvatten. ▪ Pas AI aan voor regionale variabiliteit. Flexibiliteit in AI-workloads zorgt voor locatiespecifieke functionaliteitsaanpassingen. Voor globale bewerkingen documenteert u regiospecifieke aanpassingen, zoals gelokaliseerde trainingsgegevens en functiebeperkingen. |
| Beleid definiëren voor gebruikersgedrag | ▪ Risicobeperkingsstrategieën definiëren voor misbruik. Beleid voor preventie van misbruik helpt u te beschermen tegen opzettelijke of onbedoelde schade. Schets mogelijke misbruikscenario's en neem controles op, zoals beperkte functies of functies voor misbruikdetectie. ▪ Richtlijnen voor gebruikersgedrag instellen. Gebruikersovereenkomsten verduidelijken acceptabel gedrag bij interactie met de AI-workload, waardoor het risico op misbruik wordt verminderd. Concept duidelijke gebruiksvoorwaarden om standaarden te communiceren en verantwoorde AI-interactie te ondersteunen. |
| Beleidsregels definiëren voor AI-integratie en vervanging | ▪ Overzicht van integratiebeleid. Integratierichtlijnen zorgen ervoor dat AI-workloads de gegevensintegriteit en -beveiliging behouden tijdens de interfacing van workloads. Geef technische vereisten, protocollen voor het delen van gegevens en beveiligingsmaatregelen op. ▪ Plan de overgang en vervanging. Overgangsbeleid biedt structuur bij het vervangen van oude processen door AI-workloads. Overzichtsstappen voor het afbouwen van verouderde processen, trainingspersoneel en het bewaken van de prestaties tijdens de wijziging. |
AI-governancebeleid afdwingen
Het afdwingen van AI-governancebeleid zorgt voor consistente en ethische AI-procedures binnen een organisatie. Geautomatiseerde hulpprogramma's en handmatige interventies ondersteunen naleving van beleid in implementaties. Goede afdwinging helpt bij het handhaven van naleving en minimaliseert menselijke fouten.
Automatiseer beleidsafdwinging waar mogelijk Platformen zoals Azure Policy en Microsoft Purview gebruiken om beleidsregels automatisch af te dwingen in AI-implementaties, waardoor menselijke fouten worden verminderd. Evalueer regelmatig gebieden waar automatisering de naleving van het beleid kan verbeteren.
AI-beleid handmatig afdwingen. Bied AI-risico- en nalevingstraining voor werknemers om ervoor te zorgen dat ze hun rol in AI-governance begrijpen. Regelmatige workshops houden personeel op de hoogte van AI-beleid en periodieke controles helpen bij het bewaken van naleving en het identificeren van gebieden voor verbetering.
Gebruik richtlijnen voor specifieke governance voor workloads. Gedetailleerde beveiligingsrichtlijnen zijn beschikbaar voor AI-workloads op Azure-platformservices (PaaS) en Azure-infrastructuur (IaaS). Gebruik deze richtlijnen om AI-modellen, -resources en -gegevens binnen deze workloadtypen te beheren.
Risico's van AI-organisaties bewaken
Door AI-risico's te bewaken, kunnen organisaties opkomende risico's identificeren en deze onmiddellijk aanpakken. Regelmatige evaluaties zorgen ervoor dat AI-workloads werken zoals bedoeld. Consistente bewaking helpt organisaties zich aan te passen aan veranderende omstandigheden en negatieve gevolgen van AI-systemen te voorkomen.
Procedures vaststellen voor doorlopende risicoanalyse. Stel regelmatig beoordelingen in om nieuwe risico's te identificeren en belanghebbenden te betrekken bij het beoordelen van de bredere impact van AI. Ontwikkel een reactieplan voor problemen die zich voordoen om risico's opnieuw te beoordelen en noodzakelijke aanpassingen mogelijk te maken.
Een meetplan ontwikkelen. Een duidelijk meetplan zorgt voor consistente gegevensverzameling en -analyse. Definieer methoden voor gegevensverzameling, zoals geautomatiseerde logboekregistratie voor operationele metrische gegevens en enquêtes voor kwalitatieve feedback. Stel de frequentie en het bereik van metingen vast, richt zich op gebieden met een hoog risico en maak feedbacklussen om risicobeoordelingen te verfijnen op basis van de input van belanghebbenden.
Ai-risico's kwantificeren en kwalificeren. Kies kwantitatieve metrische gegevens (foutpercentages, nauwkeurigheid) en kwalitatieve indicatoren (feedback van gebruikers, ethische problemen) die overeenkomen met het doel van de workload. Benchmarkprestaties op basis van industriestandaarden om de gevolgen, betrouwbaarheid en prestaties van ai bij te houden.
Resultaten van document- en rapportmetingen. Regelmatige documentatie en rapporten verbeteren transparantie en verantwoording. Maak gestandaardiseerde rapporten die metrische gegevens, bevindingen en eventuele afwijkingen samenvatten om besluitvorming te begeleiden. Deel deze inzichten met belanghebbenden en gebruik ze om risicobeperkingsstrategieën te verfijnen en toekomstige implementaties te verbeteren.
Onafhankelijke beoordelingsprocessen tot stand brengen. Regelmatige onafhankelijke beoordelingen bieden objectieve evaluaties van AI-risico's en naleving, met behulp van externe of niet-betrokken interne revisoren. Gebruik bevindingen om risicobeoordelingen te versterken en governancebeleid te verfijnen.
Volgende stap
Voorbeelden van AI-risicobeperking
De volgende tabel bevat enkele veelvoorkomende AI-risico's en biedt een risicobeperkingsstrategie en een voorbeeldbeleid voor elk risico. In de tabel wordt geen volledige set risico's vermeld.
| Risico-id | AI-risico | Oplossing | Beleid |
|---|---|---|---|
| R001 | Niet-naleving van de wetgeving inzake gegevensbescherming | Gebruik Microsoft Purview Compliance Manager om gegevensnaleving te evalueren. | De levenscyclus van beveiligingsontwikkeling moet worden geïmplementeerd om ervoor te zorgen dat alle AI-ontwikkeling en -implementatie voldoen aan de wetgeving voor gegevensbescherming. |
| R005 | Gebrek aan transparantie in ai-besluitvorming | Pas een gestandaardiseerd framework en een gestandaardiseerde taal toe om de transparantie in AI-processen en besluitvorming te verbeteren. | Het NIST AI Risk Management Framework moet worden aangenomen en alle AI-modellen moeten grondig worden gedocumenteerd om de transparantie van alle AI-modellen te behouden. |
| R006 | Onnauwkeurige voorspellingen | Gebruik Azure API Management om metrische gegevens van AI-modellen bij te houden om nauwkeurigheid en betrouwbaarheid te garanderen. | Continue prestatiebewaking en menselijke feedback moeten worden gebruikt om ervoor te zorgen dat voorspellingen van AI-modellen nauwkeurig zijn. |
| R007 | Adversarial aanval | Gebruik PyRIT om AI-workloads te testen op beveiligingsproblemen en verdediging te versterken. | De beveiligingsontwikkelingslevenscyclus en ai-rode teamtests moeten worden gebruikt om AI-workloads te beveiligen tegen kwaadwillende aanvallen. |
| R008 | Insider-bedreigingen | Gebruik Microsoft Entra ID om strikte toegangsbeheer af te dwingen die zijn gebaseerd op rollen en groepslidmaatschappen om insidertoegang tot gevoelige gegevens te beperken. | Strikt identiteits- en toegangsbeheer en continue bewaking moeten worden gebruikt om bedreigingen van insiders te beperken. |
| R009 | Onverwachte kosten | Gebruik Microsoft Cost Management om cpu-, GPU-, geheugen- en opslaggebruik bij te houden om efficiënt resourcegebruik te garanderen en kostenpieken te voorkomen. | Bewaking en optimalisatie van resourcegebruik en geautomatiseerde detectie van kostenoverschrijdingen moeten worden gebruikt om onverwachte kosten te beheren. |
| R010 | Ondergebruik van AI-resources | Bewaak metrische gegevens van de AI-service, zoals aanvraagsnelheden en reactietijden, om het gebruik te optimaliseren. | Metrische gegevens over prestaties en geautomatiseerde schaalbaarheid moeten worden gebruikt om het AI-resourcegebruik te optimaliseren. |