Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Przepisy i standardy sztucznej inteligencji pojawiają się w różnych regionach i branżach, zapewniając niezawodne ramy dla organizacji do oceniania, implementowania i testowania kontroli w celu opracowania i używania wiarygodnej sztucznej inteligencji. Ten artykuł pomaga zespołom ds. ryzyka i zgodności przygotować się do nakładu pracy nad zgodnością. W tym artykule opisano, jak:
- Ocenianie i wzmacnianie poziomu zgodności z przepisami.
- Zaimplementuj kontrolki, aby zarządzać użyciem aplikacji i danych sztucznej inteligencji.
Jest to czwarty artykuł z serii. Jeśli nie wykonano jeszcze zadań opisanych w temacie Przygotowanie do zabezpieczeń sztucznej inteligencji, Odnajdywanie aplikacji i danych sztucznej inteligencji oraz Ochrona aplikacji i danych sztucznej inteligencji, zacznij od tych artykułów, aby przygotować środowisko z funkcjami określonymi w tym artykule.
Użyj tego artykułu razem z następującymi zasobami:
- Scenariusz biznesowy platformy wdrażania Zero Trust — spełnianie wymagań prawnych i zgodności z usługą Zero Trust
- Cloud Adoption Framework (CAF) for AI — proces nadzorowania sztuczną inteligencją
Jakie są nowe zagadnienia dotyczące zarządzania aplikacjami i danymi sztucznej inteligencji?
Podobnie jak sztuczna inteligencja wprowadza nowe powierzchnie ataków, które zmieniają krajobraz ryzyka, sztuczna inteligencja wprowadza również nowe metody przetwarzania i używania danych mających wpływ na zgodność z przepisami. Te nowe cechy sztucznej inteligencji mają wpływ zarówno na istniejące przepisy, jak przepisy dotyczące prywatności, jak i nowe przepisy przeznaczone specjalnie na korzystanie ze sztucznej inteligencji.
Poniższa ilustracja przedstawia pojawiające się przepisy dotyczące sztucznej inteligencji, w tym Ustawę o Sztucznej Inteligencji i Danych (AIDA) w Ameryce Północnej, Ustawę o Sztucznej Inteligencji w UE, Plan Działania Sztucznej Inteligencji w Australii oraz globalne standardy opracowane przez ISO.
Ogólnie rzecz biorąc, zarządzanie sztuczną inteligencją na potrzeby zgodności z przepisami obejmuje:
- Rejestrowanie i zachowywanie interakcji ze sztuczną inteligencją.
- Wykrywanie potencjalnego niezgodnego użycia.
- Korzystanie z narzędzi, takich jak e-discovery w interakcjach ze sztuczną inteligencją, w razie potrzeby.
Pomaga to organizacjom spełnić wymagania dotyczące zgodności i skutecznie reagować na potencjalne spory sądowe.
W przypadku organizacji tworzących sztuczną inteligencję, zespoły ds. ryzyka i zgodności muszą umożliwić zespołom deweloperów dokumentowanie szczegółów projektu, takich jak nazwa modelu, wersja, przeznaczenie systemów sztucznej inteligencji i ich metryki oceny na potrzeby rozwiązywania problemów z jakością, bezpieczeństwem i ryzykiem bezpieczeństwa. Ten wysiłek może pomóc zespołom ds. ryzyka i zgodności w uzyskaniu ustandaryzowanego formatu informacji, co ułatwi przygotowanie do audytów i odpowiedź na żądania regulacyjne.
Innym najlepszym rozwiązaniem jest użycie ocen wpływu na prywatność, kontroli, którą wiele firm wdrożyło już dla przepisów, takich jak RODO, w celu zapewnienia, że aplikacje sztucznej inteligencji mają wszystkie oceny i mechanizmy kontroli w celu ochrony prywatności. Firma Microsoft oferuje możliwości, takie jak Priva Privacy Assessments, które można łatwo zintegrować z cyklem projektowania sztucznej inteligencji, aby zapewnić deweloperom ochronę prywatności.
Wreszcie, aby tworzyć aplikacje odpowiedzialnej sztucznej inteligencji i przestrzegać nowych wymagań regulacyjnych, organizacje muszą tworzyć bariery ochronne do wykrywania i blokowania szkodliwych treści, takich jak przemoc, nienawiść, seksualna i zawartość samookaleczenia. Ponadto chcesz, aby aplikacje sztucznej inteligencji tworzyły niezawodną zawartość. Barierki powinny pomóc wykrywać i poprawiać nieprawidłowe informacje, aby zmniejszyć ryzyko błędnych decyzji w oparciu o nieuzasadnione dane wyjściowe. Powinny one również identyfikować treści naruszające prawa autorskie. Te zabezpieczenia mogą pomóc organizacjom w tworzeniu odpowiedzialnych i godnych zaufania aplikacji sztucznej inteligencji.
Możliwości zarządzania aplikacjami i danymi sztucznej inteligencji
Firma Microsoft oferuje możliwości ułatwiające organizacjom łączenie kropek między standardami regulacyjnymi i rozwiązaniami technologicznymi.
W poniższych krokach opisano ilustrację, a także przedstawiono kroki implementacji tych funkcji.
| Krok | Zadanie | Zakres |
|---|---|---|
| 1 | Tworzenie i zarządzanie ocenami w Microsoft Purview Compliance Manager | Całe przedsiębiorstwo |
| 2 | Zarządzanie aplikacjami sztucznej inteligencji na podstawie ryzyka zgodności przy użyciu usługi Defender for Cloud Apps | Aplikacje SaaS AI |
| 3 | Wykorzystaj zarządzanie stanem zabezpieczeń w chmurze (CSPM) dla obciążeń związanych z AI do odnajdywania i zarządzania niestandardowymi aplikacjami utworzonymi na podstawie ryzyka zgodności. | Specjalnie skonstruowane aplikacje sztucznej inteligencji oparte na platformie Azure |
| 4 | Skonfiguruj zgodność komunikacji Purview, aby zminimalizować ryzyko związane z komunikacją, pomagając wykrywać, przechwytywać i reagować na potencjalnie nieodpowiednie komunikaty w organizacji. | Aplikacje i usługi platformy Microsoft 365 Aplikacje sztucznej inteligencji obsługiwane przez łączniki Microsoft Entra lub mapy danych Microsoft Purview Usługi sztucznej inteligencji platformy Azure |
| 5 | Skonfiguruj zarządzanie cyklem życia danych usługi Purview, aby zachować zawartość, którą chcesz zachować, i usunąć nieużytą zawartość. | Zasady przechowywania dla aplikacji sztucznej inteligencji obejmują monity użytkownika i odpowiedzi dla Microsoft 365 Copilot i Copilot Studio, a także monity użytkownika i odpowiedzi dla innych aplikacji copilota firmy Microsoft oraz aplikacji generatywnej AI, kiedy mają politykę zbierania danych z ustawieniem przechwytywania zawartości. Te komunikaty można następnie przechowywać i usuwać ze względów zgodności. Aby zintegrować aplikacje sztucznej inteligencji opracowane przez innych dostawców usług w chmurze, użyj zestawu SDK usługi Purview. |
| 6 | Używaj usługi eDiscovery razem z dziennikami kontroli dla rozwiązania Microsoft 365 Copilot przy prowadzeniu badań, jeśli zachodzi taka potrzeba | Dzienniki inspekcji są generowane automatycznie, gdy użytkownik wchodzi w interakcję z aplikacją Copilot lub aplikacją sztucznej inteligencji. Aby zintegrować aplikacje sztucznej inteligencji opracowane przez innych dostawców usług w chmurze, użyj zestawu SDK usługi Purview. |
| 7 | Używanie ocen prywatności Priva w celu zainicjowania ocen wpływu na prywatność dla aplikacji sztucznej inteligencji, które tworzysz | Dowolna aplikacja, dowolna lokalizacja |
| 8 | Dokumentowanie szczegółów projektu sztucznej inteligencji dla opracowywanych aplikacji za pomocą raportów sztucznej inteligencji w narzędziu AI Foundry | Aplikacje sztucznej inteligencji na platformie Azure |
| 9 | Wdrożenie funkcji bezpieczeństwa treści Azure AI w celu blokowania szkodliwych treści oraz wykrywania i poprawiania nieuzasadnionych odpowiedzi | Aplikacje sztucznej inteligencji na platformie Azure |
Krok 1. Kompilowanie ocen i zarządzanie nimi w Menedżerze zgodności usługi Microsoft Purview
Menedżer zgodności Microsoft Purview to rozwiązanie, które pomaga automatycznie oceniać i zarządzać zgodnością w Twoim środowisku wielochmurowym. Menedżer zgodności może pomóc w całej podróży po zgodność, od tworzenia spisu zagrożeń związanych z ochroną danych po zarządzanie złożonością wdrażania mechanizmów kontroli, pozostawanie na bieżąco z przepisami i certyfikatami oraz raportowanie do audytorów.
Obecnie Menedżer zgodności zawiera szablony regulacyjne dla następujących przepisów związanych ze sztuczną inteligencją:
- Akt o sztucznej inteligencji UE
- ISO/IEC 23894:2023
- ISO/IEC 42001:2023
- NIST AI Risk Management Framework (RMF) 1.0
Skorzystaj z poniższych zasobów, aby rozpocząć pracę z menedżerem zgodności.
| Zadanie | Zalecane zasoby |
|---|---|
| Dowiedz się więcej na temat i rozpocznij pracę |
Menedżer zgodności usługi Microsoft Purview Rozpoczęcie pracy z Menedżerem Zgodności Microsoft Purview Kompilowanie ocen i zarządzanie nimi w Menedżerze zgodności usługi Microsoft Purview |
| Sprawdź, czy Menedżer zgodności zawiera szablon rozporządzenia | Lista przepisów |
| Stwórz ocenę niestandardową | Tworzenie niestandardowych ocen (wersja wstępna) w Menedżerze zgodności Microsoft Purview |
Krok 2. Korzystanie z usługi Defender for Cloud Apps
Usługa Defender for Cloud Apps umożliwia zarządzanie aplikacjami sztucznej inteligencji na podstawie ryzyka zgodności. W poprzednich artykułach z tej serii opisano sposób używania usługi Defender for Cloud Apps do odnajdywania i ochrony aplikacji sztucznej inteligencji oraz zarządzania nimi. Zgodność z przepisami wprowadza dodatkowe kryteria klasyfikacji i oceny ryzyka tych aplikacji.
Po utworzeniu jednej lub kilku ocen określonych przepisów w Menedżerze zgodności usługi Purview, współpracuj z zespołem usługi Defender for Cloud Apps, aby zintegrować zobowiązania dotyczące zgodności z kryteriami oceny ryzyka aplikacji AI, zatwierdzania lub blokowania tych aplikacji oraz stosowania zasad sesji w celu kontrolowania dostępu do tych aplikacji (na przykład tylko za pomocą zgodnego urządzenia).
Zapoznaj się z poprzednimi artykułami z tej serii, aby rozpocząć pracę z usługą Defender for Cloud Apps i korzystać z nich.
| Zadanie | Zalecane zasoby |
|---|---|
| Odnajdywanie, akceptowanie i blokowanie aplikacji sztucznej inteligencji za pomocą usługi Microsoft Defender for Cloud Apps | Zobacz Krok 3 w artykule Odnajdywanie aplikacji i danych sztucznej inteligencji |
| Klasyfikowanie i ochrona aplikacji sztucznej inteligencji za pomocą usługi Defender for Cloud Apps | Zobacz Najlepsze wykorzystanie ochrony przed zagrożeniami dla AI w Ochrona aplikacji AI i danych |
Krok 3. Używanie zarządzania stanem zabezpieczeń w chmurze (CSPM) dla obciążeń sztucznej inteligencji
Plan zarządzania stanem zabezpieczeń w chmurze (CSPM) w usłudze Microsoft Defender for Cloud umożliwia odnajdywanie niestandardowych aplikacji utworzonych i zarządzanie nimi na podstawie ryzyka zgodności. Podobnie jak usługa Defender for Cloud Apps, zgodność z przepisami wprowadza dodatkowe kryteria klasyfikacji i oceny ryzyka niestandardowych aplikacji za pomocą CSPM dla AI.
Skontaktuj się z zespołem usługi Defender for Cloud, aby zintegrować zobowiązania dotyczące zgodności z kryteriami oceny ryzyka i zarządzania niestandardowymi aplikacjami.
Zapoznaj się z poprzednimi artykułami z tej serii, aby rozpocząć pracę z usługą Defender for Cloud i korzystać z nich.
| Zadanie | Zalecane zasoby |
|---|---|
| Odnajdywanie wdrożonych obciążeń sztucznej inteligencji w środowisku i uzyskiwanie szczegółowych informacji o zabezpieczeniach za pomocą usługi Microsoft Defender for Cloud | Zobacz Krok 4 w artykule Odnajdywanie aplikacji i danych sztucznej inteligencji] |
| Stosowanie ochrony sztucznej inteligencji w usłudze Defender for Cloud | Zobacz Krok 2 w Wykorzystaj maksymalnie ochronę przed zagrożeniami dla AI w Ochrona aplikacji i danych AI |
Krok 4. Konfigurowanie zgodności komunikacji usługi Purview
Skonfiguruj zgodność komunikacji w Purview, aby zminimalizować ryzyko związane z komunikacją, pomagając wykrywać, przechwytywać i podejmować działania wobec potencjalnie nieodpowiednich komunikatów w organizacji. W przypadku generatywnej SI można użyć polityk zgodności komunikacyjnej do analizowania interakcji (monitów i odpowiedzi) wprowadzonych do aplikacji generatywnej SI, aby pomóc wykrywać niewłaściwe lub ryzykowne interakcje lub wykrywać udostępnianie poufnych informacji. Pokrycie jest zapewnione dla aplikacji Microsoft 365 Copilot, Copilotów tworzonych za pomocą studia Microsoft Copilot, aplikacji sztucznej inteligencji połączonych przy użyciu łączników Microsoft Entra lub Microsoft Purview Data Map, i nie tylko.
Aby rozpocząć pracę, skorzystaj z poniższych zasobów.
| Zadanie | Zalecane zasoby |
|---|---|
| Dowiedz się więcej i rozpocznij pracę. |
Dowiedz się więcej o zgodności w komunikacji Planowanie zgodności komunikacji Rozpocznij korzystanie ze zgodności w komunikacji |
| Konfigurowanie zasad |
Skonfiguruj politykę zgodności komunikacji w celu wykrywania interakcji z generatywną sztuczną inteligencją Twórz zasady zgodności w komunikacji i zarządzaj nimi |
Krok 5. Konfigurowanie zarządzania cyklem życia danych usługi Purview
Zarządzanie cyklem życia danych Microsoft Purview udostępnia narzędzia i funkcje do zachowywania zawartości, którą musisz przechowywać, oraz do usuwania zawartości, której nie potrzebujesz. Proaktywne usuwanie zawartości, która nie jest już wymagana, pomaga zmniejszyć ryzyko nadmiernego uwidocznienia danych w narzędziach sztucznej inteligencji. Najważniejsze funkcje:
- Zasady przechowywania i etykiety przechowywania
- Archiwizowanie skrzynek pocztowych i nieaktywne skrzynki pocztowe — skrzynki pocztowe użytkowników zawierają ukryty folder z sugestiami i odpowiedziami Copilot
Aby rozpocząć pracę, skorzystaj z poniższych zasobów.
| Zadanie | Zalecane zasoby |
|---|---|
| Dowiedz się więcej na temat i rozpocznij pracę |
Dowiedz się więcej o zarządzaniu cyklem życia danych usługi Microsoft Purview Wprowadzenie do zarządzania cyklem życia danych |
| Dowiedz się więcej o przechowywaniu aplikacji Copilot i sztucznej inteligencji | Dowiedz się, jak działa przechowywanie w aplikacjach sztucznej inteligencji |
| W przypadku aplikacji sztucznej inteligencji opracowanych przy użyciu innych dostawców usług chmurowych, zintegrować się z zestawem SDK usługi Purview. | Dowiedz się więcej o zestawie SDK usługi Microsoft Purview |
Krok 6. Używanie e-Discovery razem z dziennikami inspekcji dla Microsoft 365 Copilot
Użyj zbierania elektronicznych materiałów dowodowych w usłudze Microsoft Purview, aby wyszukać słowa kluczowe w monitach i odpowiedziach Copilot, które mogą być nieodpowiednie. Możesz również dołączyć te informacje do sprawy zbierania elektronicznych materiałów dowodowych, aby przejrzeć, wyeksportować lub wstrzymać te dane w celu przeprowadzenia toczącego się dochodzenia prawnego.
Użyj dzienników inspekcji usługi Microsoft Purview, aby zidentyfikować, kiedy i gdzie wystąpiły interakcje z rozwiązaniem Copilot oraz do których elementów uzyskiwano dostęp, w tym wszelkie etykiety poufności tych elementów.
| Zadanie | Zalecane zasoby |
|---|---|
| Dowiedz się, gdzie są przechowywane dane użycia rozwiązania Copilot i jak można je przeprowadzić inspekcję | architektura ochrony danych i audytowania w Microsoft 365 Copilot |
| Rozpocznij pracę z eDiscovery | Poznaj rozwiązania eDiscovery |
| Dowiedz się więcej o dziennikach audytowych Purview | Dowiedz się więcej o rozwiązaniach inspekcji w usłudze Microsoft Purview |
| Dowiedz się więcej o dziennikach inspekcji dla aplikacji sztucznej inteligencji | Dowiedz się, które działania administratora i użytkownika są rejestrowane dla aplikacji sztucznej inteligencji |
| W przypadku aplikacji sztucznej inteligencji opracowanych przy użyciu innych dostawców usług chmurowych, zintegrować się z zestawem SDK usługi Purview. | Dowiedz się więcej o zestawie SDK usługi Microsoft Purview |
Krok 7. Korzystanie z ocen prywatności priva
Użyj funkcji Priva Privacy Assessments (wersja zapoznawcza), aby zainicjować oceny wpływu na prywatność dla aplikacji sztucznej inteligencji, które tworzysz. Dzięki temu aplikacje sztucznej inteligencji są tworzone w sposób zapewniający szacunek prywatności. Oceny prywatności automatyzują odnajdywanie, dokumentację i ocenę wykorzystania danych osobowych w całej infrastrukturze danych.
Skorzystaj z poniższych zasobów, aby rozpocząć pracę z ocenami prywatności priva i zainicjować ocenę wpływu na prywatność.
| Zadanie | Zalecane zasoby |
|---|---|
| Dowiedz się więcej na temat i rozpocznij pracę |
Dowiedz się więcej o ocenach prywatności Wprowadzenie do ocen prywatności |
| Tworzenie oceny | Tworzenie ocen prywatności i zarządzanie nimi |
Krok 8. Korzystanie z raportów sztucznej inteligencji w narzędziu AI Foundry
Raporty sztucznej inteligencji w usłudze Azure AI Foundry mogą ułatwić deweloperom dokumentowanie szczegółów projektu. Deweloperzy mogą utworzyć raport przedstawiający wszystkie szczegóły projektu sztucznej inteligencji, takie jak karty modelu, wersje modelu, konfiguracje filtru bezpieczeństwa zawartości i metryki oceny. Ten raport można eksportować w formatach PDF lub SPDX, pomagając zespołom deweloperów zademonstrować gotowość produkcyjną w ramach przepływów pracy ładu, ryzyka i zgodności (GRC) oraz ułatwić bieżące inspekcje aplikacji w środowisku produkcyjnym.
Aby rozpocząć pracę, skorzystaj z poniższych zasobów.
| Zadanie | Zalecane zasoby |
|---|---|
| Przeczytaj o raportach sztucznej inteligencji w narzędziu AI Foundry (blog) | Raporty sztucznej inteligencji: ulepszanie ładu w zakresie sztucznej inteligencji i metodyki GenAIOps dzięki spójnej dokumentacji |
| Dowiedz się więcej o usłudze AI Foundry i rozpocznij pracę z usługą AI Foundry | Co to jest usługa Azure AI Foundry? |
Krok 9. Implementowanie bezpieczeństwa zawartości usługi Azure AI
Bezpieczeństwo zawartości usługi Azure AI to usługa sztucznej inteligencji, która wykrywa szkodliwą zawartość wygenerowaną przez użytkownika i wygenerowaną przez sztuczną inteligencję w aplikacjach i usługach. Bezpieczeństwo zawartości usługi Azure AI obejmuje interfejsy API tekstu i obrazu, które umożliwiają wykrywanie szkodliwych materiałów. Interaktywne narzędzie Content Safety Studio umożliwia wyświetlanie, eksplorowanie i wypróbowanie przykładowego kodu do wykrywania szkodliwej zawartości w różnych modalnościach.
Aby rozpocząć pracę, skorzystaj z poniższych zasobów.
| Zadanie | Zalecane zasoby |
|---|---|
| Dowiedz się więcej na temat i rozpocznij pracę | Co to jest bezpieczeństwo zawartości usługi Azure AI? — Usługi sztucznej inteligencji platformy Azure | Microsoft Learn Korzystanie z bezpieczeństwa zawartości w portalu usługi Azure AI Foundry |
Następny krok zabezpieczania sztucznej inteligencji
Kontynuuj, aby poczynić postępy w zakresie kompleksowego zabezpieczeń przy użyciu zasobów Zero Trust: