AI 法规和标准正在跨区域和行业出现,为组织提供可靠的框架来评估、实施和测试其控制,以开发和使用可信 AI。 本文可帮助风险和合规性团队为合规性工作做好准备。 描述如何使用:
- 根据法规来评估和增强合规性态势。
- 实现控制来控制 AI 应用和数据的使用。
这是系列中的第四篇文章。 如果尚未完成“ 准备 AI 安全性”、“ 发现 AI 应用和数据”和 “保护 AI 应用和数据”中的任务,请从以下文章开始,使用本文中规定的功能来准备环境。
将本文与以下资源一起使用:
- 零信任采用框架业务方案 - 满足零信任的法规和合规性要求
- 适用于 AI 的云采用框架 (CAF) - 治理 AI 的过程
治理 AI 应用和数据有哪些新注意事项?
正如 AI 引入改变风险格局的新攻击面一样,AI 还引入了影响法规合规性的数据处理和使用新方法。 这些 AI 的新特征会影响现有法规,例如隐私法规,以及专门针对 AI 使用的新法规。
下图突出了新兴的 AI 法规,包括北美的人工智能和数据法(AIDA),欧盟 AI 法案,澳大利亚的 AI 行动计划,以及 ISO 生成的全球标准。
大致而言,监管 AI 以符合法规包括:
- 记录和保留 AI 交互。
- 检测潜在的非合规使用。
- 必要时使用工具,如电子数据展示进行 AI 交互。
这有助于组织满足其合规性要求,并有效地应对潜在的诉讼。
对于构建 AI 的组织,风险和合规性团队需要使开发团队能够记录其项目详细信息,例如模型名称、版本、AI 系统的用途,以及用于应对质量、安全和安全风险的评估指标。 这一努力可以帮助风险和合规性团队提供标准化的信息格式,以准备审核和响应监管请求。
另一种最佳做法是使用隐私影响评估(许多公司已经为 GDPR 等法规实施的控制措施),以确保 AI 应用拥有保护隐私的所有评估和控制措施。 Microsoft提供 Priva 隐私评估等功能,可轻松集成到 AI 开发生命周期中,以确保开发人员始终牢记隐私。
最后,为了构建负责任的 AI 应用程序并遵守新的法规要求,组织需要创建防护措施来检测和阻止有害内容,如暴力、仇恨、性内容和自残内容。 此外,你还希望 AI 应用生成可靠的内容。 监督机制应有助于检测和更正不正确的信息,以减少基于无根据的输出所做出错误决策的风险。 它们还应识别违反版权的内容。 这些防护措施可帮助组织构建负责任的且可信的 AI 应用程序。
用于管理 AI 应用和数据的功能
Microsoft包括帮助组织在法规标准与技术解决方案之间建立联系的功能。
以下步骤介绍了此图,并逐步讲解了实现这些功能的步骤。
| 步骤 | 任务 | 范围 |
|---|---|---|
| 1 | 在 Microsoft Purview 合规性管理器中生成和管理评估 | 企业范围 |
| 2 | 使用 Defender for Cloud Apps 管理基于合规性风险的 AI 应用 | SaaS AI 应用 |
| 3 | 使用云安全状况管理(CSPM)实现 AI 工作负载,根据合规性风险发现和管理自定义生成的应用 | 基于 Azure AI 定制 AI 应用程序 |
| 4 | 配置 Purview 通信符合性,通过帮助你检测、捕获和处理组织中可能不适当的消息来最大程度地降低通信风险 | Microsoft 365 个应用和服务 通过 Microsoft Entra 或 Microsoft Purview 数据映射连接器连接的 AI 应用 Azure AI 服务 |
| 5 | 配置 Purview 数据生命周期管理以保留需要保留的内容,并删除不保留的内容。 | AI 应用的保留策略包括 Microsoft 365 Copilot 和 Copilot Studio 的用户提示和响应,以及其他 Microsoft Copilot 和生成式 AI 应用程序具有带捕获内容的设置的收集策略时的用户提示和响应。 然后,出于合规性原因,可能会保留或删除这些消息。 若要集成在其他云提供商上开发的 AI 应用,请使用 Purview SDK。 |
| 6 | 根据需要,将电子数据展示与 Microsoft 365 Copilot 的审核日志一起用于调查 | 当用户与 Copilot 或 AI 应用程序交互时,将自动生成审核日志。 若要集成在其他云提供商上开发的 AI 应用,请使用 Purview SDK。 |
| 7 | 使用 Priva 隐私评估为生成的 AI 应用启动隐私影响评估 | 任何应用,任何位置 |
| 8 | 使用 AI Foundry 中的 AI 报表来记录所开发应用的 AI 项目详细信息 | Azure 中的 AI 应用 |
| 9 | 实现 Azure AI 内容安全,以阻止有害内容,并检测和更正无根据的响应。 | Azure 中的 AI 应用 |
步骤 1 - 在 Microsoft Purview 合规性管理器中生成和管理评估
Microsoft Purview 合规性管理器是一种解决方案,可帮助你跨多云环境自动评估和管理合规性。 合规性管理器可以帮助你完成合规性之旅,从清查数据保护风险到管理实现控制的复杂性、及时了解最新法规和认证、以及向审核员报告。
目前,合规性管理器包括以下 AI 相关法规的监管模板:
- 欧盟人工智能法案
- ISO/IEC 23894:2023
- ISO/IEC 42001:2023
- NIST AI 风险管理框架 (RMF) 1.0
使用以下资源开始使用合规性管理器。
| 任务 | 推荐的资源 |
|---|---|
| 了解并开始使用 | Microsoft Purview 合规性管理器 Microsoft Purview 合规性管理器入门 在 Microsoft Purview 合规性管理器中生成和管理评估 |
| 查看合规性管理器是否包含法规模板 | 法规列表 |
| 生成自定义评估 | 在 Microsoft Purview 合规性管理器中生成自定义评估(预览版) |
步骤 2 - 使用 Defender for Cloud Apps
使用 Defender for Cloud Apps 管理基于合规性风险的 AI 应用。 本系列前面的文章介绍如何使用 Defender for Cloud Apps 发现、管理和保护 AI 应用的使用。 法规合规性引入了额外的标准,用于对这些应用进行会审和评估风险。
在 Purview 合规性管理器中为特定法规生成一个或多个评估后,请与 Defender for Cloud Apps 团队协作,将合规性义务集成到评估 AI 应用风险、批准或阻止这些应用以及应用会话策略来控制如何访问这些应用(例如,仅使用合规设备)。
请参阅本系列中的前一篇文章,开始使用 Defender for Cloud Apps。
| 任务 | 推荐的资源 |
|---|---|
| 使用 Microsoft Defender for Cloud Apps 发现、批准和阻止 AI 应用 | 请参阅 发现 AI 应用和数据中的步骤 3 |
| 使用 Defender for Cloud Apps 对 AI 应用进行分类管理和保护 | 请参阅 在保护 AI 应用和数据中充分利用 AI 的威胁防护 |
步骤 3 - 将云安全状况管理(CSPM)用于 AI 工作负载
使用 Microsoft Defender for Cloud 中的 Defender 云安全状况管理(CSPM)计划,根据合规性风险发现和管理自定义构建的应用。 与 Defender for Cloud Apps 一样,法规符合性引入了额外的标准,用于使用 CSPM for AI 对自定义生成应用进行会审和评估。
请与 Defender for Cloud 团队协作,将合规性义务集成到评估自定义生成的应用的风险和治理标准中。
请参阅本系列中的前一篇文章以开始使用和使用 Defender for Cloud。
| 任务 | 推荐的资源 |
|---|---|
| 在环境中发现已部署的 AI 工作负载,并使用 Microsoft Defender for Cloud 获取安全见解 | 请参阅 发现 AI 应用和数据中的步骤 4] |
| 在 Defender for Cloud 中应用 AI 保护 | 请参阅 有关在保护 AI 应用和数据中充分利用 AI 的威胁防护的步骤 2 |
步骤 4 - 配置 Purview 通信合规性
配置 Purview 通信符合性,通过帮助你检测、捕获和处理组织中可能不适当的消息来最大程度地降低通信风险。 对于生成式 AI,可以使用通信合规性策略分析输入到生成 AI 应用程序中的交互(提示和响应),以帮助检测不适当的或有风险的交互或共享机密信息。 Microsoft 365 Copilot、使用 Microsoft Copilot Studio 生成的 Copilot、Microsoft Entra 或 Microsoft Purview 数据映射连接器连接的 AI 应用程序等都支持覆盖率。
使用以下资源开始。
| 任务 | 推荐的资源 |
|---|---|
| 了解并开始使用。 | 了解通信合规性 规划通信合规性 通信合规性入门 |
| 配置策略 | 配置通信合规策略以检测生成性 AI 交互 创建和管理通信合规性策略 |
步骤 5 - 配置 Purview 数据生命周期管理
Microsoft Purview 数据生命周期管理提供多种工具和功能,用于保留需要保留的内容并删除不需要的内容。 主动删除不再需要的内容,以帮助降低 AI 工具中的数据过度公开的风险。 主要功能包括:
- 保留策略和保留标签
- 邮箱存档和非活动邮箱 - 用户邮箱包含具有 Copilot 提示和响应的隐藏文件夹
使用以下资源开始。
| 任务 | 推荐的资源 |
|---|---|
| 了解并开始使用 | 了解 Microsoft Purview 数据生命周期管理 数据生命周期管理入门 |
| 了解 Copilot 与 AI 应用的保留 | 了解 AI 应用中的保留机制是如何运作的 |
| 对于在其他云提供商中开发的 AI 应用,请与 Purview SDK 集成 | 了解 Microsoft Purview SDK |
步骤 6—将电子数据展示与 Microsoft 365 Copilot 的审核日志一起使用
使用 Microsoft Purview 电子数据展示在 Copilot 提示和响应中搜索可能不适当的关键字。 还可以在电子数据展示案例中包含此信息,以便审查、导出或保留此数据,以便进行正在进行的法律调查。
使用 Microsoft Purview 审核日志来识别 Copilot 交互发生的方式、时间和地点,以及哪些项被访问,包括这些项上的任何敏感度标签。
| 任务 | 推荐的资源 |
|---|---|
| 了解 Copilot 使用情况数据的存储位置以及如何对其进行审核 | Microsoft 365 Copilot 数据保护和审核体系结构 |
| 电子数据展示入门 | 了解电子发现解决方案 |
| 了解 Purview 审核日志 | 了解 Microsoft Purview 中的审核解决方案 |
| 了解 AI 应用的审核日志 | 了解为 AI 应用记录了哪些管理员和用户活动 |
| 对于在其他云提供商中开发的 AI 应用,请与 Purview SDK 集成 | 了解 Microsoft Purview SDK |
步骤 7 - 使用 Priva 隐私评估
使用 Priva 隐私评估(预览版)为生成的 AI 应用启动隐私影响评估。 这有助于确保以隐私尊重的方式构建 AI 应用。 隐私评估会自动发现、记录和评估整个数据资产中个人数据的使用。
使用以下资源开始使用 Priva 隐私评估并启动隐私影响评估。
| 任务 | 推荐的资源 |
|---|---|
| 了解并开始使用 | 了解隐私评估 隐私评估入门 |
| 创建评估 | 创建和管理隐私评估 |
步骤 8 - 在 AI Foundry 中使用 AI 报告
Azure AI Foundry 中的 AI 报表可帮助开发人员记录其项目详细信息。 开发人员可以创建一个报表来显示 AI 项目的所有详细信息,例如模型卡、模型版本、内容安全筛选器配置和评估指标。 此报告可以以 PDF 或 SPDX 格式导出,帮助开发团队在治理、风险和符合性(GRC)工作流中演示生产就绪情况,并简化生产中应用程序的持续审核。
使用以下资源开始。
| 任务 | 推荐的资源 |
|---|---|
| 在 AI Foundry 博客中阅读 AI 报告 | AI 报告:使用一致的文档改进 AI 治理和 GenAIOps |
| 了解 AI Foundry 并开始上手使用 | 什么是 Azure AI Foundry? |
步骤 9 - 实现 Azure AI 内容安全
Azure AI 内容安全是一项 AI 服务,旨在检测应用程序和服务中用户生成和 AI 生成的有害内容。 Azure AI 内容安全包括文本和图像 API,可用于检测有害材料。 交互式内容安全工作室可用于查看、浏览和试用用于检测不同形式的有害内容的示例代码。
使用以下资源开始。
| 任务 | 推荐的资源 |
|---|---|
| 了解并开始使用 | 什么是 Azure AI 内容安全? - Azure AI 服务 | Microsoft Learn 在 Azure AI Foundry 门户中使用内容安全 |
保护 AI 的下一步
使用零信任资源继续在端到端安全性方面取得进展: