AI如何改变GRC战略

随着企业将网络安全纳入治理、风险与合规（GRC）体系，重新审视现有GRC计划至关重要，以确保生成式AI和代理型AI的广泛使用及相关风险得到有效管理，使企业持续符合监管要求。

ISACA董事会成员、澳大利亚证券与投资委员会（ASIC）CISO Jamie Norton指出：“AI是一种极具颠覆性的技术，无法简单归类为‘这就是AI’。”

尽管量化AI风险困难，但数据揭示了AI采用如何扩展和转变组织风险面。根据Check Point 2025年AI安全报告，企业设备发送给生成式AI服务的每80条提示中就有1条（1.25%）存在敏感数据泄漏的高风险。

CISOs的双重挑战：创新与风险管控

CISOs面临在支持业务创新需求的同时保障AI部署安全的挑战。Norton表示：“从纯粹安全角度，他们试图阻止影子AI成为无约束的文化现象。”

行业调查显示，AI防护措施仍落后于技术发展。2025年联想CIO手册指出，仅24%的组织完全执行了企业AI GRC政策，而AI治理与合规已成为头等优先级。

AuditBoard CISO Rich Marcus认为，CISOs处境艰难，因为他们既要提升生产力并利用新兴技术，又要履行治理、风险与合规义务。“组织要求他们利用AI加速采用以实现生产力提升，但不能因错误实施而危及业务。”

治理、风险与合规（GRC）概念源于2000年代初开放合规与道德小组（OCEG），旨在定义关键能力以应对不确定性、保持诚信并确保合规。GRC已从注重合规的规则清单发展为更广泛的风险管理方法。

随着AI扩展，需要将这类新风险纳入GRC框架。但行业研究表明，防护措施追赶AI技术仍有长路。

Norton建议CISOs制定战略和战术方法，定义AI工具类型、捕捉相对风险并平衡生产力和创新的潜在回报。战术措施包括安全设计流程、IT变更流程、影子AI发现程序或基于风险的AI清单分类。

战略方法适用于Microsoft Copilot和ChatGPT等重大工具。通过内部AI监督论坛保护这些“高价值”AI工具比保护众多添加AI功能的其他工具更容易。

Check Point AI技术副总裁Dan Karpati建议将AI相关风险作为独立类别整合到GRC支柱中：

CISOs可参考NIST AI风险管理框架及COSO、COBIT等框架，应用其核心原则——治理、控制和风险对齐——覆盖AI特性如概率输出、数据依赖性、决策不透明性、自主性和快速演进。

新兴标准ISO/IEC 42001为AI提供了结构化框架，旨在将治理和风险实践嵌入AI生命周期。

除了定义风险和管理合规，CISOs还需制定新治理政策。Marcus强调：“有效治理需要包含AI可接受使用政策。评估过程的早期输出应定义组织规则。”

Marcus建议采用红绿灯系统（红、黄、绿）对AI工具进行分类，为员工提供明确指导，允许技术好奇员工在安全空间探索，同时使安全团队能够构建检测和执行程序。

Marcus团队开发了AI工具选择标准，包括保护专有数据和保留所有输入输出的所有权等。“企业可以制定关心标准，并将其作为衡量新工具或用例的标尺。”

对于特定AI工具和用例，团队开发了“模型卡”——单页文档，概述AI系统架构，包括输入、输出、数据流、预期用例、第三方以及系统数据训练方式。“这使风险分析师能够评估用例是否违反隐私法律、安全最佳实践或可能适用于业务的新兴监管框架。”

Norton警告，现在AI的闪亮界面人人可及，安全团队需关注这些工具表面下的运作。应用战略风险分析、利用风险管理框架、监控合规性和制定治理政策可帮助CISOs引导组织AI之旅。

“作为CISOs，我们不想阻碍创新，但必须设置防护栏，以免数据泄漏并陷入混乱。”Norton总结道。