AI 法規和標準正在跨區域和產業出現,為組織提供強固的架構,以評估、實作及測試其控件,以開發和使用值得信任的 AI。 本文可協助風險和合規性小組為合規性工作做好準備。 以下是如何:
- 針對法規評估並強化您的合規狀態。
- 實作控件以控管 AI 應用程式和數據的使用方式。
這是系列中的第四篇文章。 如果您尚未完成 準備 AI 安全性、 探索 AI 應用程式和數據,以及 保護 AI 應用程式和資料中的工作,請從這些文章開始,使用本文中規定的功能來準備您的環境。
請搭配下列資源使用本文:
- 零信任採用架構商務案例 — 符合零信任的法規和合規性需求
- 適用於 AI 的雲端採用架構 (CAF) — 治理 AI 的流程
治理 AI 應用程式和數據的新考慮為何?
就像 AI 引進改變風險環境的新攻擊面一樣,AI 也會引進影響法規合規性的新處理方式和使用數據。 這些 AI 的新特性會影響現有的法規,例如隱私權法規,以及特別針對 AI 使用的新法規。
下圖強調新興的 AI 法規,包括北美的人工智慧和數據法案、歐盟 AI 法案、澳大利亞的 AI 行動計畫,以及 ISO 所產生的全球標準。
大致上,治理 AI 以遵循法規要求包括:
- 記錄並保留 AI 互動。
- 偵測潛在的不相容使用狀況。
- 需要時,使用如電子文件探索等工具來處理 AI 互動。
這有助於組織符合其合規性需求,並有效地回應潛在的訴訟。
對於建置 AI 的組織,風險和合規性小組必須讓開發小組記錄其專案詳細數據,例如模型名稱、版本、AI 系統的用途,以及其用於解決品質、安全性和安全性風險的評估計量。 這項工作可協助風險和合規性小組具備標準化的資訊格式,以準備稽核並回應法規要求。
另一個最佳做法是使用隱私權影響評估,這是許多公司已針對GDPR等法規實作的控件,以確保AI應用程式具備所有評定和控制,以保護隱私權。 Microsoft提供 Priva 隱私權評定等功能,可讓您輕鬆地整合到 AI 開發生命週期,以確保開發人員將隱私權放在首位。
最後,若要建置負責任的 AI 應用程式並遵守新的法規要求,組織必須建立護欄來偵測和封鎖有害內容,例如暴力、仇恨、性及自我傷害內容。 此外,您想要讓 AI 應用程式產生可靠的內容。 護欄應協助偵測並修正不正確的資訊,以降低基於缺乏實據的輸出而做出錯誤決策的風險。 他們也應該識別違反著作權的內容。 這些護欄可協助組織建置負責任且值得信任的 AI 應用程式。
治理 AI 應用程式和數據的功能
Microsoft包含可協助組織連接法規標準和技術解決方案之間的點的功能。
下列步驟說明此圖例,並逐步解說實作這些功能的步驟。
| 步驟 | 任務 | 影響範圍 |
|---|---|---|
| 1 | 在 Microsoft Purview 合規性管理員中建置和管理評估 | 全企業 |
| 2 | 使用適用於 Cloud Apps 的 Defender,根據合規性風險管理 AI 應用程式 | SaaS AI 應用程式 |
| 3 | 使用適用於 AI 工作負載的雲端安全性狀態管理 (CSPM) 來根據合規性風險探索及管理自定義建置的應用程式 | 客製化建置的 Azure AI 驅動的 AI 應用程式 |
| 4 | 設定 Purview 通訊合規性,藉由協助您偵測、擷取及處理組織中可能不適當的訊息,以將通訊風險降到最低 | Microsoft 365 個應用程式和服務 Microsoft Entra 或 Microsoft Purview 資料地圖連接器所連接的 AI 應用程式 Azure AI 服務 |
| 5 | 設定 Purview 資料生命週期管理以保留您需要保留的內容,並刪除您未保留的內容。 | AI 應用程式的保留政策包括針對 Microsoft 365 Copilot 和 Copilot Studio 的使用者提示和回應,以及在其他 Microsoft Copilot 和生成 AI 應用程式具有擷取內容設定的集合政策時所包含的使用者提示和回應。 這些訊息接著可以保留和刪除,以符合規範的原因。 若要整合在其他雲端提供者上開發的 AI 應用程式,請使用 Purview SDK。 |
| 6 | 根據需要,將 Microsoft 365 Copilot 的電子檔探索與稽核記錄結合使用,以進行調查。 | 當使用者與 Copilot 或 AI 應用程式互動時,系統會自動產生稽核記錄。 若要整合在其他雲端提供者上開發的 AI 應用程式,請使用 Purview SDK。 |
| 7 | 使用 Priva 隱私權評定為您所建置的 AI 應用程式起始隱私權影響評估 | 任何應用程式、任何位置 |
| 8 | 使用 AI Foundry 中的 AI 報告來記錄您開發之應用程式的 AI 專案詳細數據 | Azure 中的 AI 應用程式 |
| 9 | 使用 Azure AI 內容安全來封鎖有害內容,並偵測和更正不可靠的回應。 | Azure 中的 AI 應用程式 |
步驟 1 — 在 Microsoft Purview 合規性管理員中建立和管理 Microsoft 評量
Microsoft Purview 合規性管理員是一個解決方案,可協助您自動評估和管理跨多重雲端環境的合規性。 合規性管理員可在整個合規性過程中協助您,從盤點資料保護風險到管理實施控制措施的複雜性、保持最新的法規和認證,以及向稽核員報告。
目前合規管理器包含以下 AI 相關法規的法規範本:
- 歐盟人工智慧法案
- ISO/IEC 23894:2023
- ISO/IEC 42001:2023
- NIST AI 風險管理架構 (RMF) 1.0
使用下列資源開始使用合規性管理員。
| 任務 | 建議的資源 |
|---|---|
| 瞭解並開始使用 |
Microsoft Purview 合規性管理員 開始使用 Microsoft Purview 合規性管理員 在 Microsoft Purview 合規性管理員中建置和管理評量 |
| 查看合規管理工具是否包含法規的範本 | 法規清單 |
| 建置自定義評量 | 在 Microsoft Purview 合規性管理員中建置自定義評定 (預覽) |
步驟 2 — 使用適用於 Cloud Apps 的 Defender
使用適用於 Cloud Apps 的 Defender,根據合規性風險管理 AI 應用程式。 本系列先前的文章說明如何使用適用於 Cloud Apps 的 Defender 來探索、管理及保護 AI 應用程式的使用。 法規合規性引進了分級和評估這些應用程式風險的額外準則。
在 Purview 合規性管理員中建置一或多個特定法規的評量之後,請與您的 Defender for Cloud Apps 小組合作,將合規性義務整合到評估 AI 應用程式風險、制裁或封鎖這些應用程式,以及套用會話原則來控制如何存取這些應用程式(例如,只有符合規範的裝置)。
請參閱本系列中的先前文章,以開始使用及使用適用於 Cloud Apps 的 Defender。
| 任務 | 建議的資源 |
|---|---|
| 使用適用於 Cloud Apps 的 Microsoft Defender 探索、批准及封鎖 AI 應用程式 | 請參閱 探索 AI 應用程式和數據中的步驟 3 |
| 使用適用於 Cloud Apps 的 Defender 來分級和保護 AI 應用程式的使用 | 請參閱在 保護 AI 應用程式和數據中充分利用 AI 的威脅防護 |
步驟 3 - 針對 AI 工作負載使用雲端安全性狀態管理 (CSPM)
使用適用於雲端的Defender Microsoft Defender中的Defender雲端安全性狀態管理 (CSPM) 方案,根據合規性風險探索及管理自定義建置的應用程式。 就像適用於 Cloud Apps 的 Defender 一樣,法規合規性引進了額外的準則,可讓您使用適用於 AI 的 CSPM 來分級和評估自定義建置應用程式的風險。
請與您的雲端安全小組合作,將符合性要求整合至評估和管理自行開發的應用程式風險的準則中。
請參閱本系列的先前文章,以便入門並使用 Defender for Cloud。
| 任務 | 建議的資源 |
|---|---|
| 探索環境中已部署的 AI 工作負載,並使用 Microsoft 適用於雲端的 Defender 取得安全性見解 | 請參閱 探索 AI 應用程式和資料中的步驟 4] |
| 在適用於雲端的Defender中套用 AI 保護 | 請參閱 在保護 AI 應用程式和數據中充分利用 AI 威脅防護的步驟 2 |
步驟 4 — 設定 Purview 通訊合規性
設定 Purview 通訊合規性,以協助您偵測、擷取及處理組織中可能不適當的訊息,以將通訊風險降到最低。 對於產生 AI,您可以使用通訊合規性原則來分析進入產生式 AI 應用程式的互動(提示和回應),以協助偵測不當或有風險的互動或共用機密資訊。 Microsoft 365 Copilot、使用 Microsoft Copilot Studio 建置的 Copilot、透過 Microsoft Entra 或 Microsoft Purview 數據對應連接器連接的 AI 應用程式等均受到支援涵蓋。
使用下列資源來入門。
| 任務 | 建議的資源 |
|---|---|
| 瞭解並開始使用。 |
了解通訊合規性 規劃通訊合規性 開始使用通訊合規管理 |
| 設定原則 |
設定通訊合規性政策以偵測生成式 AI 互動 建立和管理通訊合規性原則 |
步驟 5 — 設定 Purview 數據生命週期管理
Microsoft Purview 資料生命週期管理提供工具和功能,讓您保留您需要保留的內容,以及刪除您不需要的內容。 主動刪除您不再需要的內容,以協助降低 AI 工具中數據過度公開的風險。 主要功能包括:
- 保留原則和保留標籤
- 信箱封存和非使用中信箱 — 使用者信箱包含隱藏的資料夾,其中包含 Copilot 提示和回應
使用下列資源來入門。
| 任務 | 建議的資源 |
|---|---|
| 瞭解並開始使用 |
瞭解 Microsoft Purview 資料生命週期管理 開始使用資料生命週期管理 |
| 瞭解 Copilot & AI 應用程式的保留期 | 瞭解留存率如何在 AI 應用程式中發揮作用 |
| 針對在其他雲端提供者中開發的 AI 應用程式,請與 Purview SDK 整合 | 了解 Microsoft Purview SDK |
步驟 6 — 將電子文件探索與 Microsoft 365 Copilot 的稽核記錄一起使用
使用 Microsoft Purview eDiscovery 在 Copilot 提示和可能不適當的回應中搜尋關鍵詞。 您也可以在電子檔探索案例中包含此資訊,以檢閱、匯出或保留此數據,以進行持續的法律調查。
使用 Microsoft Purview 稽核記錄來識別出 Copilot 互動的方式、時間和地點,以及哪些項目已被存取,包括這些項目上的任何敏感性標籤。
| 任務 | 建議的資源 |
|---|---|
| 瞭解 Copilot 使用量數據的儲存位置,以及如何稽核數據 | Microsoft 365 Copilot 數據保護和稽核架構 |
| 開始使用電子文件檢索 | 瞭解電子檔案探索解決方案 |
| 瞭解 Purview 稽核記錄 | 了解 Microsoft Purview 中的稽核解決方案 |
| 瞭解 AI 應用程式的稽核記錄 | 瞭解 AI 應用程式會記錄哪些系統管理員和用戶活動 |
| 針對在其他雲端提供者中開發的 AI 應用程式,請與 Purview SDK 整合 | 了解 Microsoft Purview SDK |
步驟 7 - 使用 Priva 隱私權評估
使用 Priva 隱私權評定 (預覽) 為您所建置的 AI 應用程式起始隱私權影響評估。 這有助於確保 AI 應用程式是以隱私權尊重的方式建置。 隱私權評定會自動化探索、文件化和評估整個數據資產中個人資料的使用情形。
使用下列資源來開始使用 Priva 隱私權評定,並起始隱私權影響評估。
| 任務 | 建議的資源 |
|---|---|
| 瞭解並開始使用 |
了解隱私權評定 開始進行隱私評估 |
| 建立評估 | 建立和管理隱私權評定 |
步驟 8 - 在 AI Foundry 中使用 AI 報告
Azure AI Foundry 中的 AI 報告可協助開發人員記錄其專案詳細數據。 開發人員可以建立報告來顯示 AI 專案的所有詳細數據,例如模型卡、模型版本、內容安全篩選組態和評估計量。 此報告可以以 PDF 或 SPDX 格式匯出,協助開發小組在治理、風險和合規性 (GRC) 工作流程中展示生產整備程度,並協助在生產環境中更輕鬆地進行應用程式稽核。
使用下列資源來入門。
| 任務 | 建議的資源 |
|---|---|
| 閱讀 AI Foundry 部落格中的 AI 報告 | AI 報告:透過一致的檔案來改進 AI 治理和 GenAIOps |
| 瞭解 AI Foundry 並開始使用 | 什麼是 Azure AI Foundry? |
步驟 9 — 實作 Azure AI 內容安全性
Azure AI 內容安全性是一項 AI 服務,可在應用程式與服務中偵測使用者產生和 AI 產生的有害內容。 Azure AI 內容安全包含文字和影像 API,可讓您偵測有害的資料。 互動式 Content Safety Studio 可讓您檢視、探索及試用範例程式碼,以偵測不同形式的有害內容。
使用下列資源來入門。
| 任務 | 建議的資源 |
|---|---|
| 瞭解並開始使用 | 什麼是 Azure AI 內容安全性? - Azure AI 服務 | Microsoft Learn 在 Azure AI Foundry 入口網站中使用內容安全性 |
保護 AI 的下一個步驟
使用零信任資源繼續在端對端安全性上取得進展: