制定组织生成人工智能政策的关键考虑因素

玛丽卡迈克尔
作者: 玛丽卡迈克尔, CRISC, CISA, CPA, ISACA新兴趋势工作组成员
发表日期: 2023年11月1日

人工智能可接受使用政策(AUP)为组织提供了一个道德和负责任的人工智能部署框架. 鉴于生成式人工智能的快速发展, 组织应该提供清晰的使用指南,平衡其收益与风险.

随着组织希望采用生成式人工智能, 重要的是要实施一项政策,概述对这些工具使用的期望. 没有适当的政策, 如果在使用支持人工智能的工具时没有适当的治理,澳门赌场官方下载可能会更容易受到数据泄露和其他安全危害的影响. 然而, ISACA最近的一项关于生成式人工智能的研究发现,只有10%的组织有正式的, 为生成式人工智能制定全面的政策.

什么是人工智能政策?

创建一个有效的生成式AI AUP, 理解政策和标准之间的区别是很重要的. A 政策 是否有文件说明要求和禁止的活动和行为. 这是一个大的图景 什么为什么 这建立了关于特定主题的意图, 反映更广泛的目标, 组织的目标和文化. 这是一个告知员工期望的工具,什么是允许的,什么是不允许的. A 标准 是强制性要求, 由外部标准组织批准的操作规程或规范. 它包含实现和维护策略意图的规则集. 标准在隐私、道德和数据管理方面非常详细.

一个组织的生成式AI AUP可能取决于对其行业造成的破坏程度,但以下是重要的因素 所有 组织在制定适合他们的政策时所考虑的问题.

在实施新政策之前:

  • 理解生成式人工智能. 除了潜在的应用之外,确保你了解生成AI是什么, 风险与收益. 熟悉最常见的生成AI模型类型, 比如ChatGPT, DALL·E等.
  • 评估组织需求: 了解你的组织打算如何使用生成式人工智能, 是否用于内容创建, 自动化, 数据分析或其他功能. 这将通知AUP的条款.
  • 调查监管环境 研究你所在行业和辖区内与生成式人工智能相关的法律法规要求. 这项研究也可能影响有关您的技术环境的决策, 包括在公共和私人人工智能平台之间的选择.
  • 进行风险评估. 识别与在组织中部署生成式人工智能相关的潜在风险. 这包括技术风险(例如.g.(如意外产出)和道德问题(如.g.,产生误导信息).
  • 确认生成人工智能可接受使用的目的和范围. 政策的目标和涉及的系统范围是什么? 指定策略是否仅适用于生成式AI或包括其他AI模型. 清楚地阐明政策的界限和意图, 是否确保合乎道德地使用, 符合法律标准或为用户提供清晰度.
  • 检讨现有的资讯科技及资讯保安政策. 在你创造全新的东西之前, 检查潜在的重叠策略,以确保一致性和清晰度. 有什么语言可以借用吗? 现有政策中是否列出了类似的责任和期望? 您可以根据哪些策略对这个模型进行建模呢?
  • 让利益相关者参与政策制定. 确保所有相关利益相关者在这个过程中都有发言权是至关重要的, 制定全面可行的政策,并确保遵守法律和道德标准. 涉众参与的广度和深度将取决于组织环境, 如, 管理/法律要求, 人工智能的使用范围和相关的潜在风险(例如.g.、道德、偏见、错误信息).

    利益相关者提供技术专长, 确保道德一致, 提供法律合规检查, 提供实际的操作反馈, 协同评估风险, 共同定义和执行组织内使用人工智能的指导原则. 主要利益相关者——包括行政领导, 法律团队和技术专家沟通团队, 风险管理/合规和业务集团代表在塑造中起着至关重要的作用, 完善和落实政策. 他们的贡献确保了法律的遵守, 技术可行性和与商业和社会价值的一致性.
  • 为内部和外部沟通做好准备. 政策应该是活生生的文件,传达给员工和利益相关者. 不仅组织内的团队需要收到策略更新和更改的通知, 但客户和监管机构将希望及时了解您的组织的预期用途, 围绕生成式人工智能的伦理和隐私.
  • 了解您的技术环境和需求. 理解生成式人工智能解决方案的技术方面, 包括模型类型, 数据源, 偏见和能力. 考虑组织的需求, 法律义务和风险评估,以决定公共或私人人工智能平台.
  • 利用治理框架. 治理框架被视为解决所有权等问题的最佳方式, 责任和审计(以及其他),因为它提供了一种结构化的决策方法,并确保了一致性, 管理和监督过程的透明度和问责制. 生成式人工智能是一项商业计划,因此回答以下问题至关重要:
    • 谁拥有这份保单?
    • 谁负责更新保单?
    • 谁在审核生成式AI?
    • 谁确保内部和外部的合规性?
    • 你们是否设有人工智能督导委员会来监督该政策及监察其成效?

当涉及到人工智能时,治理框架尤为重要. 因为这些技术对社会产生了深远的影响, 澳门赌场官方下载和个人, 对于如何管理它们,必须有清晰透明的指导方针, 确保合乎道德和负责任的使用. 治理框架:

  • 提供清晰的明确角色和职责,消除歧义.
  • 确保问责指定特定实体并追究其责任.
  • 促进透明度:让利益相关者了解关键的决策和变化.
  • 保持一致性确保统一处理所有的政策.
  • 促进风险管理:帮助识别和减轻潜在风险.
  • 建立利益相关者的信任结构化的方法可以增强对系统管理的信心.
  • 协助遵守法规:帮助组织与不断发展的法规保持一致.
  • 提供了灵活性虽然结构化,但它可以适应新的挑战或机遇.

采用生成式AI策略时的关键考虑因素:

请注意,UAP应该专门定制,以满足您组织的独特需求.

  • 谁会受到政策范围的影响?
    • 消费者会想知道他们的信息是如何被人工智能驱动的系统管理的. 监管机构可能会问你是否遵守了负责任的人工智能原则. 必须告知工作人员这项政策背后的理由和紧急情况.
    • 你的经理、员工和IT部门的生成人工智能责任是什么?
  • 人工智能系统安全吗?
    • 保护人工智能系统免受未经授权的访问、篡改和误用. 如果人工智能系统可以生成如果被滥用可能有害的内容,这一点尤其重要.
    • 之前, 在澳门赌场官方下载内实施生成式人工智能使用期间和之后, 所使用的系统必须被证明是安全的,并符合隐私标准.
    • 与ChatGPT等生成式人工智能工具共享公司数据并不是员工的决定. 如果一个组织致力于提供安全可靠的环境, 那么任何使用的人工智能都必须证明是负责任的,以避免造成任何类型的伤害. 必须为整个组织设定期望.
    • 建立对AI输出和系统性能的反馈方法. 你是否信任你所使用的系统,它所做的决定,甚至它所生成的内容?
  • 政策中是否涉及人工智能伦理原则?
    • 确保在组织中使用生成式人工智能不会造成伤害是关键, 包括制造或强化破坏性偏见. 您的组织必须遵守的人工智能道德和原则是什么?
    • 重要的是,组织中要有人能够解释这些启用的人工智能工具或系统是如何做出决策的. 对这些算法保持透明对于保持消费者的数字信任至关重要.
  • 什么是好的行为,什么是可接受的使用条款?
    • 强调期望和可接受的行为与不可接受的行为是创建策略的重要考虑因素. 例如, 人工智能工具应限于与业务相关的目的,同时保持符合组织的道德和隐私法规.
    • 概述人工智能不会被使用的方式与确定可接受的用途同样重要. 什么是可接受的,什么是不可接受的,这取决于你所在的行业.
  • 在数据处理和培训方面有什么指导方针?
    • 在获取数据时,指定指导方针是至关重要的, 特别是在处理个人数据或敏感信息时. E.g.,强调使用去识别和匿名数据以确保隐私. 也, 数据的质量很重要, 因为它直接影响输出的准确性和可靠性.
  • 这项政策将如何鼓励透明度和归因?
    • 在分享或发布内容时,是否强制披露内容是人工智能生成的? 鼓励对人工智能生成的内容使用水印或其他指标.
    • 确定组织内人工智能生成的内容创建和分发的责任. 概述审查和验证人工智能输出的程序.
  • 您的组织将如何确保满足法律和合规要求?
    • 强调当地的法律和合规要求, 国内法和国际法律, 特别是在版权方面, 数据保护和错误信息.
  • 有哪些限制和风险?
    • 承认生成式人工智能模型的固有局限性. 就何时不完全依赖人工智能输出提供指导,强调人类的监督.
  • 这一政策如何与其他已经实施的政策相联系?
    • 关注你的生成式人工智能策略是如何与其他已经存在的策略相连接的,这是为利益相关者提供对需求和期望的透彻理解的关键. 数据隐私和信息安全政策, 例如, 与人工智能政策有内在联系,并且必须相互支持. 利益攸关方可以从“获取更多信息”部分的这些补充政策链接中受益.
    • 生成式人工智能政策不应该被孤立. 协作是关键,因为人工智能以不同的方式影响业务. 考虑采用综合方法来优化政策覆盖范围.
  • 如何突出异常处理?
    • 对于需要升级或例外的AI策略的特殊情况,流程会是什么样子? 在某些情况下, 一个通常不允许使用的项目或活动可能需要生成人工智能工具——在这种情况下如何决定批准?
  • 你将如何报告和调查违规行为?
    • 在报告和调查过程中,为IT提供适当的调查工具至关重要. 如果有违反本政策的嫌疑, 重要的是要确保相关方有权审查任何人工智能通信或生成人工智能工具的使用.
    • 员工行为准则和人力资源政策可能已经概述了违反人工智能的相关处罚. 取决于违规的严重程度, 包括该员工是否主动举报,或者违规行为是否以其他方式被披露, 员工可能会面临职业发展受阻或被解雇的问题.
  • 谁来评审、管理和审核?
    • 确定谁拥有该保单, 如何进行管理和审计, 以及它将如何保持当前状态并按预期工作. 鉴于未来几年将发生的变化的程度,风险评估和其他形式的支助是必不可少的.
    • 在当前的科技领域,每个人都对人工智能感兴趣. 这意味着利益相关者的基础比人们最初预期的要广泛.
  • 政策将如何及何时更新?
    • 政策一旦公布,人们往往就会忘记它. 为了防止这种情况发生, 利益相关者必须得到教育和了解, 这种认识必须不断加强.
    • 如果你的生成式人工智能工具的新功能被发布, 谁将决定这对政策的影响? 你会给员工提供什么样的指导,以确保双方都明白什么是允许的,什么是不允许的?
    • 至少每年一次, 但更频繁地, 此策略应根据您的特定行业和/或组织内发生的情况进行更新, 尤其是在部署新的人工智能能力方面.
    • 监管环境正在迅速变化, 因此,考虑采取适当的措施,使您的政策足够灵活,以适应不断变化的监管环境.
    • 建立一种方法,让利益相关者对政策提供反馈, 培养持续改进的文化.

访问ISACA的人工智能资源,包括白皮书、审计程序、证书等 http://ksmu.svztur.com/resources/artificial-intelligence.