AI如何重塑GRC战略:风险管控与合规新范式

本文探讨人工智能如何推动企业治理、风险与合规(GRC)战略变革,涵盖AI风险量化、NIST框架应用、影子AI治理及四支柱风险管理模型,为CISO提供可落地的AI治理实践方案。

AI如何改变GRC战略

随着企业将网络安全纳入治理、风险与合规(GRC)体系,重新审视现有GRC计划至关重要,以确保生成式AI和代理式AI的广泛使用及相关风险得到有效管控,使企业持续满足监管要求。

ISACA董事会成员、澳大利亚证券与投资委员会(ASIC)CISO Jamie Norton指出:“AI具有巨大颠覆性,你无法将其简单归类为‘这就是AI’。”

尽管AI风险难以量化,但关于AI采用如何扩展和转变组织风险面的数据提供了线索。根据CheckPoint《2025年AI安全报告》,企业设备发送给生成式AI服务的每80条提示中就有1条(1.25%)存在敏感数据泄露的高风险。

GRC框架如何应对非典型AI风险?

治理、风险与合规(GRC)概念源于2000年代初的开放合规与道德小组(OCEG),旨在定义一系列关键能力以应对不确定性、保持诚信并确保合规以支持组织目标。此后,GRC从专注于合规的规则和清单发展为更广泛的风险管理方法。数据保护要求、不断扩展的监管环境、数字化转型努力以及董事会层面的关注推动了GRC的这一转变。

与此同时,网络安全已成为核心企业风险,CISO帮助确保符合监管要求并建立有效的治理框架。随着AI的扩展,需要将这类新风险纳入GRC框架。

然而,行业调查显示,防护措施跟上AI发展仍有很长的路要走。根据《2025年联想CIO手册》,只有24%的组织完全执行了企业AI GRC政策。同时,报告发现AI治理和合规是首要任务。

行业研究表明,CISO需要紧急帮助加强AI风险管理,这是由领导层渴望在不动摇风险指针的情况下实现回报所驱动的。

AuditBoard的CISO Rich Marcus表示:“CISO处境艰难,因为他们有双重任务:提高生产力和利用这种强大的新兴技术,同时仍要履行治理、风险和合规义务。他们被要求利用AI或帮助加速组织采用AI以实现生产力提升,但不能因为操作失误而损害业务。”

适应现有框架:集成AI风险控制

AI风险包括数据安全、AI工具滥用、隐私考虑、影子AI、偏见和道德问题、幻觉和结果验证、法律和声誉问题以及模型治理等。

CheckPoint AI技术副总裁Dan Karpati建议将AI相关风险作为组织风险组合中的独立类别,通过集成到GRC四大支柱中实现:

  1. 企业风险管理:定义AI风险偏好并建立AI治理委员会
  2. 模型风险管理:监控模型漂移、偏见和对抗性测试
  3. 运营风险管理:包括AI故障应急计划和人工监督培训
  4. IT风险管理:包括定期审计、AI系统合规检查、治理框架和与业务目标对齐

为帮助映射这些风险,CISO可以参考NIST AI风险管理框架和其他框架(如COSO和COBIT),应用其核心原则——治理、控制和风险对齐——以覆盖AI特性,如概率输出、数据依赖性、决策不透明性、自主性和快速演进。新兴标准ISO/IEC 42001为AI提供了结构化框架,用于监督和保证,旨在将治理和风险实践嵌入AI生命周期。

适应这些框架提供了一种提升AI风险讨论、使AI风险偏好与组织总体风险承受能力对齐并在所有业务单元嵌入强大AI治理的方法。Karpati表示:“安全领导者可以将AI风险映射到具体的业务影响,而不是重新发明轮子。”

制定治理政策

除了定义风险和管理合规性外,CISO还必须制定新的治理政策。Marcus表示:“有效的治理需要包括AI的可接受使用政策。评估过程的早期产出之一应该是为组织定义道路规则。”

Marcus建议采用红绿灯系统——红色、黄色、绿色——对AI工具进行分类,明确指导员工,为技术好奇的员工提供安全探索空间,同时使安全团队能够构建检测和执行程序。重要的是,它还让安全团队提供协作式创新方法。

在AuditBoard,Marcus和团队制定了AI工具选择标准,包括保护专有数据、保留所有输入和输出的所有权等。“作为企业,你可以开始制定关心的标准,并用这些标准作为衡量任何新工具或用例的标尺。”

他建议CISO及其团队提前定义指导原则,教育公司了解重要事项,并通过过滤不符合标准的内容来帮助团队自我执行。“这样当AI工具到达CISO时,人们已经了解了期望是什么。”

对于特定的AI工具和用例,Marcus和团队开发了“模型卡片”——一页文档,概述AI系统架构,包括输入、输出、数据流、预期用例、第三方以及系统数据的训练方式。“这让我们的风险分析师能够评估该用例是否违反任何隐私法律或要求、任何安全最佳实践以及可能适用于业务的新兴监管框架。”

该过程旨在识别潜在风险,并能够与组织内的利益相关者(包括董事会)沟通这些风险。“如果你评估了数十个这样的用例,你可以挑选出共同风险和共同主题,汇总这些内容,然后制定策略来减轻其中一些风险。”

然后,团队可以查看可以应用哪些补偿控制措施,这些控制措施可以在不同AI工具中应用多远,并向高管提供指导。“这将对话从关于这一个用例或这一个风险的战术性对话转变为处理组织中‘AI风险’的更战略性计划。”

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次