V průběhu roku 2025 a začátku roku 2026 se tým bezpečnostních profesionálů zaměřených na umělou inteligenci v pracovní skupině Health-ISAC pro umělou inteligenci sešel, aby vytvořil bílou knihu s pokyny k vývoji rámců pro správu a řízení umělé inteligence. Výsledná bílá kniha poskytuje vzorovou politiku přijatelného používání umělé inteligence a podrobné pokyny k řízení rizik spojených s umělou inteligencí. Stanovuje jasné definice odpovědného používání generativní umělé inteligence a LLM, zakazuje vystavení chráněných zdravotních informací (PHI), osobních údajů (PII) a důvěrných údajů veřejným nástrojům a vyžaduje autorizaci, dohled a lidskou kontrolu výstupů umělé inteligence v klinickém, personálním, právním a finančním kontextu.
Mezi některé vlastnosti dokumentu patří:
Formální struktura řízení AI. Článek popisuje konkrétní model výboru pro řízení umělé inteligence s multifunkčním zastoupením (právní, soukromí, bezpečnost, technologie, datová věda, obchod, etika), který je podřízen vrcholovému vedení nebo představenstvu. Definuje odpovědnosti, uvádí příklady metrik a zdůrazňuje, že řízení je nutností, nikoli volitelnou součástí.
Rámec správy a řízení umělé inteligence založený na pilířích. Dokument popisuje sedmipilířový rámec: legislativa/regulace/politika, soukromí a etika v oblasti umělé inteligence, správa případů užití, správa životního cyklu modelu, uzavírání smluv a zavádění třetích stran, reakce na incidenty a řízení narušení bezpečnosti v oblasti umělé inteligence a školení a vzdělávání v oblasti umělé inteligence. Každý pilíř má specifické cíle a vlastníky.
Praktický plán implementace. Implementační plán rozděluje práci do čtyř fází: Zahájení (výbor, principy, inventarizace), Posouzení rizik a dopadů (DPIA, audity zkreslení, bezpečnostní kontroly), Nasazení rámce (zásady, registrace případů užití, kontroly životního cyklu) a Monitorování a kontrola (pravidelné kontroly, přeškolení, audity).
Podrobné, opakovaně použitelné zásady přijatelného používání umělé inteligence. Dokument obsahuje kompletní vzorovou politiku s účelem a rozsahem, hlavními zásadami, transparentností a etikou, odpovědností a dohledem, ochranou a zabezpečením dat, důvěrností, přijatelným a zakázaným použitím, vymáháním a definicemi, a také tabulku „povolených a nepovolených“ nástrojů veřejné umělé inteligence.
Osm kategorií rizik umělé inteligence je namapováno na konkrétní ochranná opatření. Systematicky se zabývá ochranou soukromí a zabezpečením dat, riziky dodavatelského řetězce a třetích stran, riziky modelu a výstupu, zkreslením a spravedlností, regulací a dodržováním předpisů, bezpečnostními zranitelnostmi, riziky správy a řízení a dohledu a stínovou umělou inteligencí a každou z nich spojuje s konkrétními ochrannými opatřeními, jako je minimalizace dat, SBOM (Metody řízení dodavatelů), due diligence dodavatelů, red teaming, smluvní kontroly a detekce stínové umělé inteligence.
