TISC 0028-2023人工智能模型风险管理能力成熟度模型.pdfVIP

T/ISC 0028—2023 人工智能模型风险管理能力成熟度模型 1 范围 本文件提供了组织在开展人工智能模型需求分析、数据准备、模型构建、检验验证、模型部署、运 行监控、持续验证、模型修正、模型下线等关键活动过程中进行风险管理的建议。 本文件适用于管理、研发、供应、使用人工智能模型的相关机构。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 25069—2022 信息安全技术 术语 GB/T 24353—2022 风险管理 指南（ISO 31000—2018,IDT） 3 术语和定义 GB/T 25069—2022和GB/T 24353—2022界定的以及下列术语和定义适用于本文件。 3.1 模型 model 系统、实体、现象或过程的物理、数学或其他逻辑表示。 [来源：ISO/IEC 18023-1:2006,3.1.11] 3.2 人工智能模型 artificial intelligence model 使用一种或多种人工智能技术和方法构建的模型（3.1）。 注：人工智能模型可以针对一组给定的人类定义的目标生成输出，例如内容、预测、建议或影响他们互动环境的决 策。 3.3 风险 risk 不确定性对目标的影响。 注1：影响是指偏离预期，偏离可以是正面的和/或负面的，可能带来机会和威胁。 注2：目标可有不同维度和类型，可应用在不同层级。 注3：通常风险可以用风险源、潜在事件及其后果和可能性来描述。 [来源：GB/T 24353—2022,3.1] 1 T/ISC 0028—2023 3.4 模型风险 model risk 基于不正确的模型（3.1）、乱用模型输出和报告进行决策可能产生的风险（3.3）。 3.5 能力成熟度模型 capability maturity model 一种模型，该模型包含一个或多个学科的有效过程的基本要素，并描述了从临时的、不成熟的过程 到具有改进的质量和有效性的、受到训练的、成熟的过程的进化改进路径。 [来源：ISO/IEC/IEEE 24765:2017，3.472] 4 人工智能模型风险管理 4.1 风险管理目标 a）安全可靠：应具备与所面临的安全风险相匹配的安全能力，并采取足够的管理措施和技术手段， 保障人工智能模型的完整性和鲁棒性。 b）透明可解释：应能够解释人工智能模型如何工作以及如何达到特定的预测，或如何在决策过程中 发挥作用，建立理解和信任。 c）公平公正：应保障利益相关者的权益，促进机会均等。 d）尊重隐私：应尊重和保护个人隐私，充分保障个人的知情权和选择权。 e）可监督、可问责、可审计：应保障人工智能模型生命周期中利益相关方职责清晰，并具备足够的 监督、控制能力，留存足够的记录以支持审计和取证活动。 4.2 风险管理框架 图1 人工智能模型风险管理框架 人工智能模型风险管理框架包括以下模块： a）策略：指组织为实现人工智能模型风险管理而采取的策略，涵盖规划、执行及控制过程，主要关 注组织策略方针和管理制度。 2 T/ISC 0028—2023 b）组织：指管理层对人工智能模型风险管理的职责，确保组织业务战略和重大策略的一致性，评估 和控制人工智能模型风险管理效率和效果，确定组织的风险偏好等