Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
AI-voorschriften en -standaarden komen voor in verschillende regio's en branches, waardoor organisaties een robuust framework kunnen bieden om hun controles te beoordelen, implementeren en testen om betrouwbare AI te ontwikkelen en te gebruiken. Dit artikel helpt risico- en complianceteams zich voor te bereiden op de nalevingsinspanning. Hierin wordt beschreven hoe u:
- Beoordeel en verbeter uw nalevingspostuur tegen regelgeving.
- Besturingselementen implementeren om het gebruik van AI-apps en -gegevens te beheren.
Dit is het vierde artikel in een reeks. Als u de taken in Voorbereiding op AI-beveiliging nog niet hebt uitgevoerd, AI-apps en -gegevens detecteren en AI-apps en -gegevens beveiligen, begint u met deze artikelen om uw omgeving voor te bereiden op de mogelijkheden die in dit artikel zijn voorgeschreven.
Gebruik dit artikel samen met deze resources:
- Zero Trust Adoption Framework-bedrijfsscenario: voldoen aan wettelijke en nalevingsvereisten met Zero Trust
- Cloud Adoption Framework (CAF) voor AI: proces voor het beheren van AI
Wat zijn nieuwe overwegingen voor het beheren van AI-apps en -gegevens?
Net zoals AI nieuwe aanvalsoppervlakken introduceert die het risicolandschap veranderen, introduceert AI ook nieuwe methoden voor het verwerken en gebruiken van gegevens die van invloed zijn op naleving van regelgeving. Deze nieuwe kenmerken van AI zijn van invloed op zowel bestaande regelgeving, zoals privacyvoorschriften, als nieuwe voorschriften die specifiek zijn gericht op AI-gebruik.
In de volgende afbeelding ziet u de opkomende AI-regelgeving, waaronder de AIDA (Artificial Intelligence and Data Act) in Noord-Amerika, de EU AI Act, het AI-actieplan in Australië en wereldwijde normen die door ISO worden geproduceerd.
Over het algemeen omvat ai voor naleving van regelgeving:
- Logboekregistratie en behoud van AI-interacties.
- Mogelijk niet-compatibel gebruik detecteren.
- Gebruik van hulpprogramma's, zoals eDiscovery voor AI-interacties, indien nodig.
Dit helpt organisaties te voldoen aan hun nalevingsvereisten en te reageren op mogelijke juridische procedures.
Organisaties die AI bouwen, risico- en nalevingsteams moeten ontwikkelteams in staat stellen hun projectdetails te documenteren, zoals modelnaam, versie, doel van de AI-systemen en hun evaluatiegegevens voor het aanpakken van kwaliteits-, veiligheids- en beveiligingsrisico's. Deze inspanning kan risico- en nalevingsteams helpen een gestandaardiseerde indeling van informatie te hebben om controles voor te bereiden en te reageren op regelgevingsaanvragen.
Een andere best practice is het gebruik van privacyimpactbeoordelingen, een controle die veel bedrijven al hebben geïmplementeerd voor regelgeving zoals de AVG, om ervoor te zorgen dat AI-apps alle evaluaties en controles hebben om privacy te beschermen. Microsoft biedt mogelijkheden zoals Priva-privacybeoordelingen die eenvoudig kunnen worden geïntegreerd in de levenscyclus van AI-ontwikkeling om ervoor te zorgen dat ontwikkelaars op de hoogte blijven van de privacy.
Ten slotte, om verantwoorde AI-toepassingen te bouwen en aan nieuwe wettelijke vereisten te voldoen, moeten organisaties kaders creëren om schadelijke inhoud te detecteren en te blokkeren, zoals geweld, haat, seksuele en zelfverschadigende inhoud. Daarnaast wilt u dat uw AI-apps betrouwbare inhoud produceren. De kaders moeten helpen bij het detecteren en corrigeren van onjuiste informatie om het risico op verkeerde beslissingen op basis van niet-geaarde uitvoer te verminderen. Ze moeten ook inhoud identificeren die auteursrecht schendt. Deze kaders kunnen organisaties helpen bij het bouwen van verantwoorde en betrouwbare AI-toepassingen.
Mogelijkheden voor het beheren van AI-apps en -gegevens
Microsoft bevat mogelijkheden om organisaties te helpen de punten tussen regelgevingsstandaarden en technologieoplossingen te verbinden.
In de volgende stappen wordt de afbeelding beschreven en worden ook de stappen beschreven voor het implementeren van deze mogelijkheden.
| Stap | Opdracht | Omvang |
|---|---|---|
| 1 | Evaluaties bouwen en beheren in Microsoft Purview Compliance Manager | Ondernemingbreed |
| 2 | Defender for Cloud Apps gebruiken om AI-apps te beheren op basis van nalevingsrisico's | SaaS AI-apps |
| 3 | Cloud Security Posture Management (CSPM) gebruiken voor AI-workloads om aangepaste apps te detecteren en te beheren op basis van nalevingsrisico's | Op maat gemaakte AI-toepassingen op basis van Azure AI |
| 4 | Purview Communication Compliance configureren om communicatierisico's te minimaliseren door u te helpen bij het detecteren, vastleggen en reageren op mogelijk ongepaste berichten in uw organisatie | Microsoft 365-apps en -services AI-apps die zijn verbonden met Microsoft Entra of Microsoft Purview Data Map-connectors Azure AI-diensten |
| 5 | Configureer Purview Data Lifecycle Management om de inhoud te bewaren die u moet bewaren en verwijder de inhoud die u niet wilt behouden. | Bewaarbeleid voor AI-apps omvat gebruikersprompts en antwoorden voor Microsoft 365 Copilot en Copilot Studio, en ook gebruikersprompts en antwoorden voor andere Microsoft-copilots en generatieve AI-apps wanneer ze een verzamelingsbeleid hebben met de instelling om inhoud vast te leggen. Deze berichten kunnen vervolgens om nalevingsredenen worden bewaard en verwijderd. Gebruik de Purview SDK om AI-apps te integreren die zijn ontwikkeld in andere cloudproviders. |
| 6 | Gebruik eDiscovery samen met auditlogboeken voor Microsoft 365 Copilot voor onderzoeken, indien nodig | Auditlogboeken worden automatisch gegenereerd wanneer een gebruiker communiceert met Copilot of een AI-toepassing. Gebruik de Purview SDK om AI-apps te integreren die zijn ontwikkeld in andere cloudproviders. |
| 7 | Priva-privacybeoordelingen gebruiken om privacyimpactbeoordelingen te initiëren voor AI-apps die u bouwt | Elke app, elke locatie |
| 8 | AI-rapporten in AI Foundry gebruiken om ai-projectdetails te documenteren voor apps die u ontwikkelt | AI-toepassingen in Azure |
| 9 | Azure AI Content Safety implementeren om schadelijke inhoud te blokkeren en ongefundeerde antwoorden te detecteren en corrigeren. | AI-toepassingen in Azure |
Stap 1: evaluaties bouwen en beheren in Microsoft Purview Compliance Manager
Microsoft Purview Compliance Manager is een oplossing waarmee u automatisch naleving in uw omgeving met meerdere clouds kunt beoordelen en beheren. Compliancebeheer kan u helpen tijdens uw nalevingstraject, van het inventariseren van uw risico's voor gegevensbescherming tot het beheren van de complexiteit van het implementeren van controles, het op de hoogte blijven van regelgeving en certificeringen en het rapporteren aan auditors.
Compliancebeheer bevat momenteel wettelijke sjablonen voor de volgende AI-gerelateerde regelgeving:
- Eu-wet op kunstmatige intelligentie
- ISO/IEC 23894:2023
- ISO/IEC 42001:2023
- NIST AI Risk Management Framework (RMF) 1.0
Gebruik de volgende middelen om te beginnen met Compliance Manager.
| Opdracht | Aanbevolen informatiebronnen |
|---|---|
| Leer meer over en begin |
Microsoft Purview Compliance Manager Aan de slag met Microsoft Purview Compliance Manager Evaluaties bouwen en beheren in Microsoft Purview Compliance Manager |
| Controleren of Compliancebeheer een sjabloon voor een verordening bevat | Lijst met voorschriften |
| Een aangepaste evaluatie maken | Aangepaste evaluaties bouwen (preview) in Microsoft Purview Compliance Manager |
Stap 2: Defender for Cloud Apps gebruiken
Gebruik Defender voor Cloud Apps om AI-apps te beheren op basis van nalevingsrisico's. In eerdere artikelen in deze reeks wordt beschreven hoe u Defender voor Cloud Apps gebruikt om het gebruik van AI-apps te detecteren, beheren en beveiligen. Naleving van regelgeving introduceert extra criteria voor het triëren en evalueren van het risico van deze apps.
Nadat u een of meer evaluaties hebt gemaakt voor specifieke voorschriften in Purview Compliance Manager, kunt u samenwerken met uw Defender voor Cloud Apps-team om uw nalevingsverplichtingen te integreren in de criteria voor het beoordelen van het risico van AI-apps, het goedkeuren of blokkeren van deze apps en het toepassen van sessiebeleid om te bepalen hoe deze apps kunnen worden geopend (bijvoorbeeld alleen met een compatibel apparaat).
Zie de vorige artikelen in deze reeks om aan de slag te gaan met Defender voor Cloud Apps en deze te gebruiken.
| Opdracht | Aanbevolen informatiebronnen |
|---|---|
| AI-apps detecteren, goedkeuren en blokkeren met Microsoft Defender voor Cloud Apps | Zie stap 3 in AI-apps en -gegevens ontdekken |
| Defender voor Cloud Apps gebruiken om het gebruik van AI-apps te classificeren en te beveiligen | Zie Optimaal profiteren van bedreigingsbeveiliging voor AI in AI-apps en -gegevens beveiligen |
Stap 3: Cloud Security Posture Management (CSPM) gebruiken voor AI-workloads
Gebruik het abonnement Defender Cloud Security Posture Management (CSPM) in Microsoft Defender for Cloud om aangepaste apps te detecteren en te beheren op basis van nalevingsrisico's. Net als Defender voor Cloud Apps introduceert de naleving van regelgeving extra criteria voor het triëren en beoordelen van het risico van uw aangepaste apps met behulp van CSPM voor AI.
Werk samen met uw Defender voor Cloud-team om uw nalevingsverplichtingen te integreren in de criteria voor het beoordelen van het risico van en het beheren van uw aangepaste apps.
Zie de vorige artikelen in deze reeks om aan de slag te gaan met Defender for Cloud en deze te gebruiken.
| Opdracht | Aanbevolen informatiebronnen |
|---|---|
| Geïmplementeerde AI-workloads in uw omgeving detecteren en beveiligingsinzichten verkrijgen met Microsoft Defender voor Cloud | Zie stap 4 in AI-apps en -gegevens ontdekken] |
| AI-beveiliging toepassen in Defender for Cloud | Zie stap 2 over optimaal gebruik maken van bedreigingsbeveiliging voor AI in AI-apps en -gegevens beveiligen |
Stap 4: Purview Communication Compliance configureren
Configureer Purview Communication Compliance om communicatierisico's te minimaliseren door u te helpen bij het detecteren, vastleggen en reageren op mogelijk ongepaste berichten in uw organisatie. Voor Generatieve AI kunt u communicatienalevingsbeleid gebruiken om interacties (prompts en antwoorden) te analyseren die zijn ingevoerd in generatieve AI-toepassingen om ongepaste of riskante interacties te detecteren of vertrouwelijke informatie te delen. Dekking wordt ondersteund voor Microsoft 365 Copilot, copilots gebouwd met behulp van Microsoft Copilot Studio, AI-toepassingen die zijn verbonden met Microsoft Entra of Microsoft Purview Data Map-connectoren, en meer.
Gebruik de volgende resources om aan de slag te gaan.
| Opdracht | Aanbevolen informatiebronnen |
|---|---|
| Leer meer over en begin. |
Meer informatie over communicatiecompliance Communicatiecompatibiliteit plannen Aan de slag met communicatiecompliance |
| Instellen van beleid |
Een communicatienalevingsbeleid configureren om te detecteren voor generatieve AI-interacties Beleid voor communicatiecompliance maken en beheren |
Stap 5: Purview-gegevenslevenscyclusbeheer configureren
Microsoft Purview-levenscyclusbeheer biedt u hulpprogramma's en mogelijkheden voor het behouden van de inhoud die u moet bewaren en de inhoud die u niet wilt verwijderen. Het proactief verwijderen van inhoud die u niet meer nodig hebt om te behouden, vermindert het risico op gegevensoverschrijding in AI-hulpprogramma's. Belangrijke functies zijn onder andere:
- Bewaarbeleid en retentielabels
- Postvakarchivering en inactieve postvakken: gebruikerspostvakken bevatten een verborgen map met Copilot-prompts en -antwoorden
Gebruik de volgende resources om aan de slag te gaan.
| Opdracht | Aanbevolen informatiebronnen |
|---|---|
| Leer meer over en begin |
Meer informatie over Microsoft Purview-gegevenslevenscyclusbeheer Aan de slag met gegevenslevenscyclusbeheer |
| Meer informatie over retentie voor Copilot & AI-apps | Meer informatie over hoe retentie werkt met AI-apps |
| Voor AI-apps die zijn ontwikkeld in andere cloudproviders, integreert u met de Purview SDK | Meer informatie over de Microsoft Purview SDK |
Stap 6: eDiscovery samen met auditlogboeken gebruiken voor Microsoft 365 Copilot
Gebruik Microsoft Purview eDiscovery om trefwoorden te zoeken in Copilot-prompts en -antwoorden die mogelijk ongepast zijn. U kunt deze informatie ook opnemen in een eDiscovery-zaak om deze gegevens te bekijken, te exporteren of in bewaring te plaatsen voor een lopend juridisch onderzoek.
Gebruik Auditlogboeken van Microsoft Purview om te bepalen hoe, wanneer en waar Copilot-interacties hebben plaatsgevonden en welke items zijn geopend, inclusief eventuele vertrouwelijkheidslabels op die items.
| Opdracht | Aanbevolen informatiebronnen |
|---|---|
| Meer informatie over waar Copilot-gebruiksgegevens worden opgeslagen en hoe u deze kunt controleren | Microsoft 365 Copilot-architectuur voor gegevensbeveiliging en -controle |
| Aan de slag met eDiscovery | Meer informatie over eDiscovery-oplossingen |
| Meer informatie over Purview-auditlogboeken | Meer informatie over controleoplossingen in Microsoft Purview |
| Meer informatie over auditlogboeken voor AI-apps | Meer informatie over welke beheerders- en gebruikersactiviteiten worden geregistreerd voor AI-apps |
| Voor AI-apps die zijn ontwikkeld in andere cloudproviders, integreert u met de Purview SDK | Meer informatie over de Microsoft Purview SDK |
Stap 7: Privacyevaluaties van Priva gebruiken
Gebruik Priva-privacybeoordelingen (preview) om privacyimpactbeoordelingen te initiëren voor AI-apps die u bouwt. Dit helpt ervoor te zorgen dat AI-apps op een privacy-respectvolle manier worden gebouwd. Privacyevaluaties automatiseren de detectie, documentatie en evaluatie van het gebruik van persoonlijke gegevens in uw hele gegevensomgeving.
Gebruik de volgende bronnen om aan de slag te gaan met Priva-privacybeoordelingen en om een privacyimpactbeoordeling te starten.
| Opdracht | Aanbevolen informatiebronnen |
|---|---|
| Leer meer over en begin |
Meer informatie over privacybeoordelingen Aan de slag met privacybeoordelingen |
| Een evaluatie maken | Privacybeoordelingen maken en beheren |
Stap 8: AI-rapporten gebruiken in AI Foundry
MET AI-rapporten in Azure AI Foundry kunnen ontwikkelaars hun projectdetails documenteren. Ontwikkelaars kunnen een rapport maken waarin alle details van een AI-project worden weergegeven, zoals modelkaarten, modelversies, configuraties voor inhoudsbeveiligingsfilters en metrische evaluatiegegevens. Dit rapport kan worden geëxporteerd in PDF- of SPDX-indelingen, waardoor ontwikkelteams productiegereedheid kunnen demonstreren binnen governance-, risico- en nalevingswerkstromen en eenvoudigere, doorlopende controles van toepassingen in productie mogelijk maken.
Gebruik de volgende resources om aan de slag te gaan.
| Opdracht | Aanbevolen informatiebronnen |
|---|---|
| Meer informatie over AI-rapporten in AI Foundry (blog) | AI-rapporten: AI-governance en GenAIOps verbeteren met consistente documentatie |
| Meer informatie over en aan de slag met AI Foundry | Wat is Azure AI Foundry? |
Stap 9: Azure AI-inhoudsveiligheid implementeren
Azure AI Content Safety is een AI-service die schadelijke door de gebruiker gegenereerde en DOOR AI gegenereerde inhoud in toepassingen en services detecteert. Azure AI Content Safety bevat api's voor tekst en afbeeldingen waarmee u materiaal kunt detecteren dat schadelijk is. Met de interactieve Content Safety Studio kunt u voorbeeldcode bekijken, verkennen en uitproberen voor het detecteren van schadelijke inhoud in verschillende modaliteiten.
Gebruik de volgende resources om aan de slag te gaan.
| Opdracht | Aanbevolen informatiebronnen |
|---|---|
| Leer meer over en begin | Wat is Azure AI Content Safety? - Azure AI-services | Microsoft Learn Inhoudsveiligheid gebruiken in de Azure AI Foundry-portal |
Volgende stap voor het beveiligen van AI
Ga door met de voortgang van end-to-end-beveiliging met Zero Trust-resources: