2025年AI组织责任：治理、风险管理、合规与文化方面报告.pdfVIP

©2025云安全联盟大中华区版权所有1

AI组织责任工作组的永久官方地址是

/research/working-groups/ai-organizational-

sponsibility

©2025云安全联盟大中华区——保留所有权利。你可以在你的电脑上下载、储存、展示、查

看及打印，或者访问云安全联盟大中华区官网()。须遵守以下:(a)本文

只可作个人、信息获取、非商业用途;(b)本文内容不得篡改;(c)本文不得转发;(d)该商标、版

权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，

使用时请注明引用于云安全联盟大中华区。

©2025云安全联盟大中华区版权所有2

©2025云安全联盟大中华区版权所有3

目录

引言6

所有责任的六个跨领域关注点6

假设7

目标受众7

责任角色定义8

管理和策略8

治理、风险与合规9

技术与安全9

运营与开发10

规范性引用11

术语表12

1.风险管理12

1.1威胁建模12

1.2风险评估14

1.3攻击模拟19

1.4事件响应计划23

1.5运营弹性27

1.6审计日志与活动监控34

1.7风险缓解38

1.8数据漂移监控41

2.治理与合规45

2.1AI安全政策、流程和程序46

2.2审计50

©2025云安全联盟大中华区版权所有4

2.3董事会报告56

2.4法律监管要求-法律63

2.5实施可测量/可审计的控制措施67

2.6欧盟AI法案，美国行政命令：开发安全、可信的AI等69

2.7AI使用政策70

2.8模型治理72

3.安全文化与培训77

3.1基于角色的教育78

3.2意识建立80

3.3负责任的AI培训84

3.4沟通与报告88

4.影子AI防范91

4.1AI系统清单92

4.2差距分析97

4.3未经授权的系统识别100

4.4访问控制104

4.5活动监控108

4.6变更控制流程112

结论117

©2025云安全联盟大中华区版权所有5

引言

这份白皮书是一个系列中的第二部分，致力于阐明围绕人工智能（AI）组织责

任的细节。首份白皮书探讨了核心安全原则，而本部分则关注治理、风险和合规

（GRC）方面的内容。未来的白皮书将继续解决组织在采用和实施AI应用时的其

他挑战，如供应链完整性和滥用行为的缓解。

该系列的首份白皮书《AI组织责任-核心安全责任》深入探讨了与AI相关的

企业核心安全责任，包括数据安全、模型安全和漏洞管理。

本白皮书综合了专家推荐的GRC最佳实践、文化方面以及影子AI预防措施，

通过这六个关键领域的建议来指导企业负责任且安全的AI开发与部署。

所有责任的六个跨领域关注点

我们通过以下六个维度分析每项责任：

1．评估标准：通过量化的指标，帮助利益相关者衡量