Zarządzanie sztuczną inteligencją — proces zarządzania sztuczną inteligencją
W tym artykule opisano proces organizacyjny zarządzania sztuczną inteligencją. Jest zgodny z podręcznikiem NIST Artificial Intelligence Risk Management Framework (AI RMF) i podręcznikiem NIST AI RMF. Jest ona również zgodna ze strukturą w systemie CAF Govern.
Te wskazówki mają na celu ułatwienie integracji zarządzania ryzykiem sztucznej inteligencji w szerszych strategiach zarządzania ryzykiem. Ta integracja zapewnia bardziej spójną obsługę sztucznej inteligencji, cyberbezpieczeństwa i ryzyka prywatności w ramach ujednoliconego podejścia do zapewniania ładu.
Ocena ryzyka organizacyjnego sztucznej inteligencji
Ocena ryzyka sztucznej inteligencji identyfikuje i rozwiązuje potencjalne zagrożenia wprowadzone przez technologie sztucznej inteligencji. Ten proces zwiększa zaufanie do systemów sztucznej inteligencji i zmniejsza niezamierzone konsekwencje. Rozwiązanie ryzyka organizacyjnego zapewnia, że wdrożenia sztucznej inteligencji są zgodne z wartościami organizacji, tolerancją ryzyka i celami operacyjnymi.
Omówienie obciążeń sztucznej inteligencji. Aby ograniczyć ryzyko związane ze sztuczną inteligencją, musisz zrozumieć obciążenia sztucznej inteligencji. Wyjaśniając zakres i przeznaczenie każdego obciążenia sztucznej inteligencji, możesz mapować powiązane czynniki ryzyka. To wyjaśnienie powinno obejmować wszelkie założenia i ograniczenia związane z obciążeniem sztucznej inteligencji.
Użyj zasad odpowiedzialnej sztucznej inteligencji, aby zidentyfikować czynniki ryzyka. Te zasady stanowią ramy oceny zagrożeń związanych ze sztuczną inteligencją. Skorzystaj z poniższej tabeli, aby zidentyfikować i ograniczyć ryzyko dzięki ustrukturyzowanej ocenie zasad sztucznej inteligencji.
Zasada odpowiedzialnej sztucznej inteligencji Definicja Pytanie dotyczące oceny ryzyka Prywatność i zabezpieczenia sztucznej inteligencji Obciążenia sztucznej inteligencji powinny przestrzegać prywatności i być bezpieczne. W jaki sposób obciążenia sztucznej inteligencji mogą obsługiwać poufne dane lub stać się narażone na naruszenia zabezpieczeń? Niezawodność i bezpieczeństwo Obciążenia sztucznej inteligencji powinny działać bezpiecznie i niezawodnie. W jakich sytuacjach obciążenia sztucznej inteligencji mogą bezpiecznie działać lub wygenerować zawodne wyniki? Sprawiedliwość Obciążenia sztucznej inteligencji powinny traktować ludzi sprawiedliwie. Jak obciążenia sztucznej inteligencji mogą prowadzić do nierównego traktowania lub niezamierzonego uprzedzeń w podejmowaniu decyzji? Brak wykluczeń Obciążenia sztucznej inteligencji powinny być inkluzywne i zwiększać możliwości. W jaki sposób niektóre grupy mogą być wykluczone lub niekorzystne w projekcie lub wdrożeniu obciążeń sztucznej inteligencji? Przezroczystość Obciążenia sztucznej inteligencji powinny być zrozumiałe. Jakie aspekty podejmowania decyzji dotyczących sztucznej inteligencji mogą być trudne dla użytkowników do zrozumienia lub wyjaśnienia? Odpowiedzialności Osoby powinny być odpowiedzialnymi za obciążenia sztucznej inteligencji. Gdzie może być niejasne lub trudne do ustalenia w rozwoju lub wykorzystaniu sztucznej inteligencji? Identyfikowanie zagrożeń związanych ze sztuczną inteligencją. Zacznij od oceny zagrożeń bezpieczeństwa obciążeń sztucznej inteligencji, w tym potencjalnych naruszeń danych, nieautoryzowanego dostępu lub nieprawidłowego użycia. Skonsultuj się z uczestnikami projektu, aby odkryć mniej widoczne zagrożenia oraz ocenić zarówno wpływ jakościowy, jak i ilościowy, w tym ryzyko reputacji, aby określić tolerancję ryzyka w organizacji.
Identyfikowanie czynników ryzyka z zależności zewnętrznych. Ocenianie ryzyka związanego ze źródłami danych, oprogramowaniem i integracją innych firm. Rozwiąż problemy, takie jak luki w zabezpieczeniach, stronniczość i ryzyko związane z własnością intelektualną, ustanawiając zasady zapewniające dopasowanie do standardów prywatności i zgodności organizacji.
Ocena czynników ryzyka integracji. Ocena obciążeń sztucznej inteligencji integruje się z istniejącymi obciążeniami i procesami. Dokumentowanie potencjalnych zagrożeń, takich jak zależność od innych obciążeń, zwiększona złożoność lub niezgodności, które mogą mieć wpływ na funkcjonalność.
Dokumentowanie zasad ładu sztucznej inteligencji
Zasady zapewniania ładu w zakresie sztucznej inteligencji zapewniają strukturę odpowiedzialnego użycia sztucznej inteligencji. Te zasady są zgodne z działaniami sztucznej inteligencji ze standardami etycznymi, wymaganiami prawnymi i celami biznesowymi. Dokumentowanie zasad zapewnia jasne wytyczne dotyczące zarządzania modelami, danymi i operacjami sztucznej inteligencji.
| Obszar zasad zapewniania ładu w zakresie sztucznej inteligencji | Zalecenia dotyczące zasad zapewniania ładu w zakresie sztucznej inteligencji |
|---|---|
| Definiowanie zasad wybierania i dołączania modeli | ▪ Ustanów zasady wybierania modeli sztucznej inteligencji. Zasady powinny określać kryteria wybierania modeli spełniających wartości organizacyjne, możliwości i ograniczenia kosztów. Przejrzyj potencjalne modele pod kątem dostosowania do tolerancji ryzyka i zamierzonych wymagań dotyczących zadań. ▪ Dołączanie nowych modeli za pomocą zasad strukturalnych. Formalny proces dołączania modelu utrzymuje spójność w uzasadnieniu modelu, weryfikacji i zatwierdzeniu. Użyj środowisk piaskownicy do początkowych eksperymentów, a następnie zweryfikuj i przejrzyj modele w katalogu produkcyjnym, aby uniknąć duplikowania. |
| Definiowanie zasad dotyczących używania narzędzi i danych innych firm | ▪ Ustawianie kontrolek dla narzędzi innych firm. Proces weryfikacji narzędzi innych firm chroni przed zagrożeniami bezpieczeństwa, zgodnością i dopasowaniem. Zasady powinny obejmować wytyczne dotyczące prywatności danych, zabezpieczeń i standardów etycznych podczas korzystania z zewnętrznych zestawów danych. ▪ Definiowanie standardów poufności danych. Utrzymywanie oddzielnych danych poufnych i publicznych jest niezbędne do ograniczania ryzyka związanego ze sztuczną inteligencją. Tworzenie zasad dotyczących obsługi i oddzielania danych. ▪ Definiowanie standardów jakości danych. "Złoty zestaw danych" zapewnia niezawodny test porównawczy na potrzeby testowania i oceny modelu sztucznej inteligencji. Ustanów jasne zasady spójności i jakości danych, aby zapewnić wysoką wydajność i wiarygodne dane wyjściowe. |
| Definiowanie zasad utrzymywania i monitorowania modeli | ▪ Określ częstotliwość ponownego trenowania według przypadku użycia. Częste ponowne trenowanie obsługuje dokładność obciążeń sztucznej inteligencji wysokiego ryzyka. Zdefiniuj wytyczne, które uwzględniają przypadek użycia i poziom ryzyka każdego modelu, zwłaszcza w przypadku sektorów, takich jak opieka zdrowotna i finanse. ▪ Monitorowanie pod kątem obniżenia wydajności. Monitorowanie wydajności modelu w czasie pomaga wykrywać problemy przed ich wpływem na wyniki. Udokumentowanie testów porównawczych i jeśli wydajność modelu spada, inicjuj proces ponownego trenowania lub przeglądu. |
| Definiowanie zasad zgodności z przepisami | ▪ Zgodność z regionalnymi wymaganiami prawnymi. Zrozumienie przepisów regionalnych zapewnia, że operacje sztucznej inteligencji pozostają zgodne w różnych lokalizacjach. Zbadaj obowiązujące przepisy dotyczące każdego obszaru wdrażania, takie jak przepisy dotyczące prywatności danych, standardy etyczne i przepisy branżowe. ▪ Opracowywanie zasad specyficznych dla regionu. Dostosowanie zasad sztucznej inteligencji do zagadnień regionalnych obsługuje zgodność ze standardami lokalnymi. Zasady mogą obejmować obsługę języka, protokoły przechowywania danych i adaptacje kulturowe. ▪ Dostosowywanie sztucznej inteligencji w celu zapewnienia zmienności regionalnej. Elastyczność obciążeń sztucznej inteligencji umożliwia dostosowanie funkcji specyficznych dla lokalizacji. W przypadku operacji globalnych dokumentuj dostosowania specyficzne dla regionu, takie jak zlokalizowane dane szkoleniowe i ograniczenia funkcji. |
| Definiowanie zasad postępowania użytkowników | ▪ Zdefiniuj strategie ograniczania ryzyka związane z nieprawidłowym użyciem. Zasady zapobiegania nadużyciom pomagają chronić przed zamierzonymi lub niezamierzonym szkodami. Zapoznaj się z możliwymi scenariuszami nieprawidłowego użycia i uwzględnij mechanizmy kontroli, takie jak funkcje z ograniczeniami lub funkcje wykrywania nieprawidłowego użycia. ▪ Ustawianie wytycznych dotyczących postępowania użytkowników. Umowy użytkownika wyjaśniają dopuszczalne zachowania podczas interakcji z obciążeniem sztucznej inteligencji, co zmniejsza ryzyko nieprawidłowego użycia. Opracowanie jasnych warunków użytkowania w celu komunikowania standardów i obsługi odpowiedzialnej interakcji ze sztuczną inteligencją. |
| Definiowanie zasad integracji i zastępowania sztucznej inteligencji | ▪ Konspektuj zasady integracji. Wytyczne dotyczące integracji zapewniają, że obciążenia sztucznej inteligencji utrzymują integralność danych i zabezpieczenia podczas interfacingu obciążenia. Określ wymagania techniczne, protokoły udostępniania danych i środki zabezpieczeń. ▪ Zaplanuj przejście i zastąpienie. Zasady przejścia zapewniają strukturę podczas zastępowania starych procesów obciążeniami sztucznej inteligencji. Opis kroków wycofywania starszych procesów, szkoleń i monitorowania wydajności w trakcie wprowadzania zmian. |
Wymuszanie zasad zapewniania ładu w zakresie sztucznej inteligencji
Wymuszanie zasad zapewniania ładu w zakresie sztucznej inteligencji zapewnia spójne i etyczne praktyki sztucznej inteligencji w organizacji. Zautomatyzowane narzędzia i interwencje ręczne obsługują przestrzeganie zasad we wszystkich wdrożeniach. Właściwe wymuszanie pomaga zachować zgodność i zminimalizować błąd człowieka.
Automatyzuj wymuszanie zasad, jeśli to możliwe , użyj platform, takich jak Azure Policy i Microsoft Purview, aby wymusić zasady automatycznie we wdrożeniach sztucznej inteligencji, zmniejszając liczbę błędów ludzkich. Regularnie oceniaj obszary, w których automatyzacja może poprawić przestrzeganie zasad.
Ręczne wymuszanie zasad sztucznej inteligencji. Zapewnienie pracownikom szkoleń dotyczących ryzyka i zgodności ze sztuczną inteligencją w celu zapewnienia, że rozumieją swoją rolę w zakresie zapewniania ładu w zakresie sztucznej inteligencji. Regularne warsztaty aktualizują personel w zasadach sztucznej inteligencji, a okresowe inspekcje pomagają monitorować przestrzeganie i identyfikować obszary poprawy.
Skorzystaj ze wskazówek dotyczących ładu specyficznego dla obciążenia. Szczegółowe wskazówki dotyczące zabezpieczeń są dostępne dla obciążeń sztucznej inteligencji w usługach platformy Azure (PaaS) i infrastrukturze platformy Azure (IaaS). Skorzystaj z tych wskazówek, aby zarządzać modelami, zasobami i danymi sztucznej inteligencji w ramach tych typów obciążeń.
Monitorowanie ryzyka organizacyjnego sztucznej inteligencji
Monitorowanie zagrożeń związanych ze sztuczną inteligencją umożliwia organizacjom identyfikowanie pojawiających się zagrożeń i szybkie reagowanie na nie. Regularne oceny zapewniają, że obciążenia sztucznej inteligencji działają zgodnie z oczekiwaniami. Spójne monitorowanie pomaga organizacjom dostosowywać się do zmieniających się warunków i zapobiegać negatywnym wpływom systemów sztucznej inteligencji.
Ustanów procedury trwającej oceny ryzyka. Skonfiguruj regularne przeglądy w celu identyfikowania nowych zagrożeń, angażowania uczestników projektu w celu oceny szerszego wpływu sztucznej inteligencji. Opracuj plan reagowania na problemy, które pojawiają się w celu umożliwienia ponownej oceny ryzyka i niezbędnych korekt.
Opracowywanie planu pomiaru. Jasny plan pomiaru zapewnia spójne zbieranie i analizę danych. Zdefiniuj metody zbierania danych, takie jak automatyczne rejestrowanie metryk operacyjnych i ankiet na potrzeby jakościowej opinii. Ustanów częstotliwość i zakres pomiarów, koncentrując się na obszarach wysokiego ryzyka i twórz pętle opinii w celu uściślinia ocen ryzyka na podstawie danych wejściowych uczestników projektu.
Kwantyfikuj i kwalifikują ryzyko związane ze sztuczną inteligencją. Wybierz metryki ilościowe (współczynniki błędów, dokładność) i wskaźniki jakościowe (opinie użytkowników, obawy etyczne), które są zgodne z celem obciążenia. Testowanie wydajności względem standardów branżowych w celu śledzenia wpływu, wiarygodności i wydajności sztucznej inteligencji.
Dokumentowanie i raportowanie wyników pomiarów. Regularna dokumentacja i raporty zwiększają przejrzystość i odpowiedzialność. Twórz ustandaryzowane raporty, które podsumowują metryki, wyniki i wszelkie anomalie, aby kierować podejmowaniem decyzji. Udostępnij te szczegółowe informacje uczestnikom projektu, używając ich do uściślenia strategii ograniczania ryzyka i ulepszania przyszłych wdrożeń.
Ustanów niezależne procesy przeglądu. Regularne niezależne przeglądy zapewniają obiektywne oceny zagrożeń i zgodności sztucznej inteligencji przy użyciu zewnętrznych lub niezauwolonych wewnętrznych recenzentów. Użyj wyników, aby wzmocnić oceny ryzyka i uściślić zasady ładu.
Następny krok
Przykładowe środki zaradcze związane ze sztuczną inteligencją
W poniższej tabeli wymieniono niektóre typowe zagrożenia związane ze sztuczną inteligencją i przedstawiono strategię ograniczania ryzyka oraz przykładowe zasady dla każdego z nich. Tabela nie zawiera pełnej listy czynników ryzyka.
| Identyfikator ryzyka | Ryzyko związane ze sztuczną inteligencją | Czynności zapobiegawcze | Zasady |
|---|---|---|---|
| R001 | Niezgodność z przepisami dotyczącymi ochrony danych | Użyj menedżera zgodności usługi Microsoft Purview, aby ocenić zgodność danych. | Cykl projektowania zabezpieczeń musi zostać wdrożony w celu zapewnienia zgodności wszystkich programowania i wdrażania sztucznej inteligencji z przepisami dotyczącymi ochrony danych. |
| R005 | Brak przejrzystości w podejmowaniu decyzji dotyczących sztucznej inteligencji | Zastosuj ustandaryzowaną strukturę i język, aby zwiększyć przejrzystość procesów sztucznej inteligencji i podejmowania decyzji. | Należy przyjąć NIST AI Risk Management Framework, a wszystkie modele sztucznej inteligencji muszą być dokładnie udokumentowane w celu zachowania przejrzystości wszystkich modeli sztucznej inteligencji. |
| R006 | Niedokładne przewidywania | Użyj usługi Azure API Management, aby śledzić metryki modelu sztucznej inteligencji, aby zapewnić dokładność i niezawodność. | Ciągłe monitorowanie wydajności i opinie ludzi muszą być używane w celu zapewnienia, że przewidywania modelu sztucznej inteligencji są dokładne. |
| R007 | Atak niepożądany | Użyj rozwiązania PyRIT, aby przetestować obciążenia sztucznej inteligencji pod kątem luk w zabezpieczeniach i wzmocnić ochronę. | Cykl życia programowania zabezpieczeń i czerwony zespół sztucznej inteligencji muszą być używane do zabezpieczania obciążeń sztucznej inteligencji przed atakami niepożądanymi. |
| R008 | Zagrożenia dla niejawnych testerów | Użyj identyfikatora Entra firmy Microsoft, aby wymusić ścisłe mechanizmy kontroli dostępu oparte na rolach i członkostwie w grupach w celu ograniczenia dostępu niejawnego do poufnych danych. | Ścisłe zarządzanie tożsamościami i dostępem oraz ciągłe monitorowanie muszą być używane w celu ograniczenia zagrożeń wewnętrznych. |
| R009 | Nieoczekiwane koszty | Usługa Microsoft Cost Management umożliwia śledzenie użycia procesora CPU, procesora GPU, pamięci i magazynu w celu zapewnienia efektywnego wykorzystania zasobów i zapobiegania wzrostom kosztów. | Do zarządzania nieoczekiwanymi kosztami należy użyć monitorowania i optymalizacji użycia zasobów oraz automatycznego wykrywania przekroczenia kosztów. |
| R010 | Niepełne wykorzystanie zasobów sztucznej inteligencji | Monitoruj metryki usługi sztucznej inteligencji, takie jak współczynniki żądań i czasy odpowiedzi, aby zoptymalizować użycie. | Metryki wydajności i automatyczna skalowalność muszą być używane do optymalizowania wykorzystania zasobów sztucznej inteligencji. |