TCFEII 0021-2024 人工智能融合应用安全可信度评估规范（组织版）.docx

ICS35.240

CCSL77

团 体 标 准

T/CFEII0021—2024

人工智能融合应用安全可信度评估规范（组织版）

Assessmentspecificationforsecurityandtrustworthinessofartificialintelligenceintegratedapplications

（Organizationedition）

2024-07–22发布 2024-07–22实施

中国电子信息行业联合会?发布

T/CFEII0021-2024

T/CFEII0021-2024

T/CFEII0021-2024

T/CFEII0021-2024

I

I

IV

IV

目 次

前 言 III

引 言 IV

范围 1

规范性引用文件 1

术语和定义 1

评估框架与评估方法 3

模型构成 3

评估等级 3

评价方法 4

评估内容 4

内设架构 4

机构设置 4

责任体系 4

制度建设 5

文档管理 5

日志记录 5

风险管理 5

应急计划 6

多方参与 6

信息披露 6

宣贯培训 6

人员培训 6

传播宣贯 7

过程管理 7

数据管理 7

数据标注 7

算法选择 8

版本管理 8

性能测试 8

下线管理 8

防御机制 9

可信环境 9

攻击防范 9

附录A人工智能融合应用安全可信度（组织版）评估分级方法 10

概述 10

评估指标体系构建 10

构建原则 10

构建步骤 10

加权评分方法 10

权重设置 10

加权评分 10

分级判定参考 11

人工智能融合应用安全可信度一级 11

人工智能融合应用安全可信度二级 11

人工智能融合应用安全可信度三级 11

人工智能融合应用安全可信度四级 12

人工智能融合应用安全可信度五级 12

T/CFEII0021-2024

T/CFEII0021-2024

T/CFEII0021-2024

T/CFEII0021-2024

III

III

IV

IV

前 言

本标准按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本标准由中国电子信息行业联合会提出并归口。

请注意本标准的某些内容可能涉及专利，本标准的发布机构不承担识别专利的责任。本标准起草单位：国家工业信息安全发展研究中心、西安交通大学、清华大学公共管理

学院、北京格灵深瞳信息技术股份有限公司、北京工业大学、北京北信源软件股份有限公司、北京奇虎科技有限公司、商汤集团有限公司、蚂蚁科技集团股份有限公司、北京百度网讯科技有限公司、北京昇腾人工智能生态创新中心、北京晴数智慧科技有限公司、北京神州绿盟科技有限公司、北京中科睿鉴科技有限公司、广州广电信息安全科技有限公司、北京中银（深圳）律师事务所。

本标准主要起草人：王淼、邱惠君、张瑶、刘永东、李卫、张振乾、邱颖昭、沈超、李前、赵静、陈天博、李铮、王伟茹、姜来、杨东东、韩东、胡正坤、杨胜尧、林冠辰、郭建领、樊少培、张笑威、杨鑫宜、王子昂、张原、潘良。

引 言

人工智能作为数字化转型的重要赋能技术之一，正在与金融、医疗、工业、交通等领域融合发展。近年来，人工智能应用范围加速拓展，行业渗透率迅速提升。与此同时，人工智能存在算法、数据、攻防、应用、管理等方面的风险，已暴露出信息泄露、数据滥用、偏见歧视、实施诈骗等安全风险，引发了社会各界对人工智能安全问题的广泛关注。

本项目在充分研究分析国内外人工智能安全风险治理原则、政策、标准等文件的基础上，面向设计、开发、使用人工智能的组织提出人工智能安全可信度评估框架、方法和内容，为组织开展人工智能安全可信度自评估和第三方评估提供依据，也可以为监管部门提供参考。

对标准中的具体事项，法律法规另有规定的，需遵照其规定执行。

T/CFEII0021-2024

T/CFEII0021-2024

T/CFEII0021-2024

T/CFEII0021-2024

PAGE

PAGE11

PAGE

PAGE10

人工智能融合应用安全可信度评估规范（组织版）

范围

本标准规定了评估组织人工智能安全可信管理能力的评估框架与评估内容，并提供了评估规则。

本标准适用于指导人工智能系统开发者、使用者、第三方评估机构等对开发和应用人工智能系统的组织的安全可信管理能力进行评估。

规范性引用文件

本文件没有规范性引用文件。

术语和定义

下列术语和定义适用于本文件。

3.1