ISACA Blog | 构建可执行的 AI 治理蓝图

编者按:ISACA推出了一系列人工智能培训课程,包括AI治理课程。Meghan Maneval 是一位人工智能专家,她为人工智能治理的原则、战略和业务一致性课程做出了贡献,她最近接受了 ISACA Now 采访,分享了她对人工智能治理和该课程的一些主要组成部分的看法。

m2gjn8141r10-(1).jpeg

ISACA Now:您对AI治理最感兴趣的是什么?

我对人工智能的兴趣始于多年前,当时我开始探索流程自动化在网络安全中的应用。像许多人一样,从触发器和工作流程开始,我的兴趣已经扩展到了生活中方方面面的众多生成式智能和机器学习机会。随着人工智能的使用在整个组织中传播,与新技术相关的恐慌开始了。但作为一个自称“风险乐观主义者”的人,我反而开始积极寻求现有管理框架与AI系统所引发的独特安全挑战之间的契合点。

目前,关于AI治理的指导并不多。这就是我最感兴趣的——有机会定义它!这是一个全新的世界,我们每天都在了解新的可能性和新的威胁。作为一个行业,我们有机会为道德、可信和安全的人工智能系统的未来制定指导原则。我觉得这一点很棒!

ISACA Now: 您认为在哪些方面,AI治理与审计、风险、隐私和安全等领域的专业人士交集最多?

关于AI治理,要记住的最重要的一点是,它不是一个独立的过程。要想取得成功,它必须嵌入到组织更高的安全性和合规性生态系统中。具体而言,将人工智能风险管理作为软件开发、项目管理和变更管理流程的一部分,可确保及早且经常地评估风险,并将风险降低到可接受的水平。

从隐私和数据治理的角度来看,确保适当的资产、数据和模型跟踪可以全面了解人工智能的使用情况。此外,确保您的第三方风险管理流程可以跟踪哪些供应商使用人工智能,以及他们如何保护人工智能,从而提供更多的风险监督。此外,将AI控制添加到内部审计日历中,并将更新作为董事会会议或管理审查会议的一部分,确保每个人都能随时了解情况,并根据需要及时调整AI治理策略。简而言之,AI治理与审计、风险、隐私和安全的各个方面相交。AI治理对 GRC 的所有分支都很重要。

ISACA Now: 对于不优先考虑 AI 治理的组织来说,后果可能是什么样子?

不接受AI治理的公司可能会继续存在一段时间,但不出多久,我们就会开始目睹与AI相关的违规事件,而这反过来又会促使强制性法规的出台。我的预测是,这种情况很可能发生在一家大型企业被第三方供应商攻破的情况,类似于家得宝(Home Depot)那起臭名昭著的HVAC系统被入侵事件。人工智能的使用方式没有足够的透明度,许多组织在不知不觉中通过其供应商承担了人工智能风险。如果组织不优先考虑第三方人工智能评估,他们可能会成为第三方违规的受害者。

此外,组织也可能因为没有优先考虑 AI 治理而开始失去业务。我们对人工智能了解得越多,了解它的作用、访问的内容以及如何保护它就越重要。不实施这些流程的组织将无法向其客户人工智能的可信的使用情况。

ISACA Now: ISACA新推出的AI治理课程中,你认为学习者会发现特别有价值的方面是什么?

该课程深入探讨了AI治理的原则,包括设计、开发、实施和监控安全可信赖的人工智能系统。该课程还探讨了实施AI治理的好处和挑战,为向利益相关者传达人工智能风险提供了最佳实践。但是,学习者会发现特别有价值的是四步可实施的AI治理路线图。完成后,他们将拥有工具和专业知识,能够在其组织中部署强大的 AI 治理计划。

ISACA Now: AI治理知识将如何帮助个人在企业或未来雇主中脱颖而出?

AI治理本质上是一个新的研究领域。尽管与现有的 GRC 原则有一些重叠,但了解针对AI 治理的细微差别、挑战和好处将使个人成为人工智能主题专家。鉴于这些概念的新颖性,学习者将处于AI治理的最前沿,并且对认真面对人工智能使用的公司有很高的需求。学习者将成为为数不多的AI治理大师之一,他们可以将这项技能用于任何未来的角色或组织。

编者按:本文于2024年5月8日首次发表于ISACA官网ISACA Now Blog。文章内容仅代表作者本人观点。

翻译:李京(Randy Li),CGEIT,ISACA微信公众号特邀通讯员,关注IT治理、信息安全。

校对:张锋,CISA,CIA、CISP、ISACA微信公众号特邀通讯员。