AI Security Maturity Model segédlet
A Cloud Security Alliance közzétette az AI Security Maturity Model-t (AISMM), ami segít a szervezeteknek az AI biztonsági programjaik kialakításában, értékelésében és fejlesztésében. Az AISMM, összhangban a szokásos információbiztonsági struktúrákkal, folyamatokkal és felelősségi körökkel, gyakorlati roadmapet nyújt az AI-biztonsági érettség vállalati szintű fejlesztéséhez.
Más AI érettségi modellektől eltérően az AISMM kifejezetten a vállalati AI biztonsági programok működésbe hozására összpontosít. A modell olyan területeket vesz figyelembe, amelyek a valós funkciókat tükrözik, beleértve az alkalmazásbiztonságot, az incidenskezelést és az AI kockázatkezelést.
Az AISMM – összhangban az AI Controls Matrix-szal (AICM) – meghatározza az érettség legfontosabb mutatóit. A szervezetek ezeket a mutatókat felhasználva értékelhetik AI biztonsági gyakorlataik hatékonyságát és skálázhatóságát. Függetlenül attól, hogy az AI bevezetés melyik szakaszában tart, az AISMM segít egy rugalmas AI biztonsági program felépítésében.
Az AISMM alapvető felépítése megegyezik a CSMM-mel, az AI biztonsági követelményeknek megfelelő módosításokkal. Három területen összesen tizenkét kategóriát tartalmaz. Ezek lefedik az AI biztonsági tevékenységek főbb területeit, amelyekkel egy vállalati programnak foglalkoznia kell. A kategóriák felépítése szándékosan követi a CSMM-et azokon a területeken, ahol a fogalmak egymásnak felelnek meg, és eltér tőle ott, ahol az AI biztonság valóban saját kategóriákat igényel (például a „Modellbiztonság” kategóriának nincs közvetlen megfelelője a CSMM-ben).
Öt érettségi szintet sorol fel az AISMM: Initial (L1), Repeatable (L2), Defined (L3), Capable (L4), és Efficient (L5) Az AISMM-ben tervezésből adódóan nincsenek 1. szintű ellenőrzési célok, mivel az 1. szint az a kiindulási állapot, ahol még nincsenek AI specifikus képességek, így nincs mit mérni.
Az AISMM három telepítési típust különböztet meg. Ez újdonság a CSMM-hez képest. Az AI-telepítések három jelentősen eltérő mintába csoportosulnak: saját üzemeltetésű (a modell futtatása saját infrastruktúrán), PaaS (a modell API-jainak felhasználása olyan felhőszolgáltatók által kezelt szolgáltatásokon keresztül, mint a Bedrock vagy az Azure OpenAI) és API/SaaS (a modell API-jainak közvetlen felhasználása egy szolgáltatótól, vagy egy SaaS-termékbe beágyazott AI-funkció). Számos ellenőrzési cél vonatkozik mindháromra, de elég sok közülük különbözik telepítési típusonként. A modellben minden kontrollhoz hozzá van rendelve az a telepítési típus, amelyre vonatkozik.
