سیاست‌ها و تدابیر حفاظتی برای استفاده ایمن از هوش مصنوعی

ملاحظاتی برای ایجاد چارچوب حاکمیت شرکتی و پادمان‌ها

در طول سال ۲۰۲۵ و اوایل ۲۰۲۶، تیمی از متخصصان امنیتی متمرکز بر هوش مصنوعی در گروه کاری هوش مصنوعی Health-ISAC گرد هم آمدند تا یک گزارش رسمی تهیه کنند که راهنمایی‌هایی در مورد توسعه چارچوب‌های حاکمیت هوش مصنوعی ارائه می‌دهد. گزارش رسمی حاصل، یک نمونه از سیاست استفاده قابل قبول از هوش مصنوعی و راهنمایی‌های دقیقی در مورد مدیریت خطرات هوش مصنوعی ارائه می‌دهد. این گزارش تعاریف روشنی از استفاده مسئولانه از هوش مصنوعی مولد و LLMها ارائه می‌دهد، قرار گرفتن داده‌های PHI، PII و محرمانه را در معرض ابزارهای عمومی ممنوع می‌کند و نیاز به مجوز، نظارت و بررسی انسانی خروجی‌های هوش مصنوعی در زمینه‌های بالینی، منابع انسانی، حقوقی و مالی را الزامی می‌کند.

برخی از ویژگی‌های سند عبارتند از:

• ساختار رسمی مدیریت هوش مصنوعی. این مقاله، یک مدل کمیته حاکمیت هوش مصنوعی ملموس با نمایندگی بین‌بخشی (حقوقی، حریم خصوصی، امنیت، فناوری، علوم داده، تجارت، اخلاق) را ارائه می‌دهد که به رهبری ارشد یا هیئت مدیره گزارش می‌دهد. این مقاله مسئولیت‌ها، معیارهای نمونه را تعریف می‌کند و تأکید می‌کند که حاکمیت یک امر ضروری است، نه اختیاری.
• چارچوب حاکمیت هوش مصنوعی مبتنی بر ستون. این سند یک چارچوب هفت رکنی را شرح می‌دهد: قانون‌گذاری/مقررات/سیاست، حریم خصوصی و اخلاق هوش مصنوعی، مدیریت موارد استفاده، مدیریت چرخه عمر مدل، قراردادها و پذیرش شخص ثالث، مدیریت واکنش به حوادث هوش مصنوعی و نقض اطلاعات، و آموزش و پرورش هوش مصنوعی. هر رکن اهداف و مالکان خاصی دارد.
• نقشه راه عملی برای اجرا. یک نقشه راه پیاده‌سازی، کار را به چهار مرحله تقسیم می‌کند: آغاز (کمیته، اصول، فهرست)، ارزیابی ریسک و تأثیر (DPIAها، ممیزی‌های سوگیری، بررسی‌های امنیتی)، استقرار چارچوب (سیاست‌ها، ثبت موارد استفاده، کنترل‌های چرخه عمر) و نظارت و بررسی (بررسی‌های دوره‌ای، آموزش مجدد، ممیزی‌ها).
• سیاست استفاده مجاز از هوش مصنوعی با جزئیات و قابلیت استفاده مجدد. این مقاله شامل یک نمونه کامل از سیاست‌ها با هدف و دامنه، اصول راهنما، شفافیت و اخلاق، پاسخگویی و نظارت، حریم خصوصی و امنیت داده‌ها، محرمانگی، کاربردهای قابل قبول و ممنوع، اجرا و تعاریف، به علاوه جدولی از «مجاز در مقابل غیرمجاز» برای ابزارهای عمومی هوش مصنوعی است.
• هشت دسته ریسک هوش مصنوعی به حفاظت‌های خاص مربوط می‌شوند. این [مبحث/مبحث/...] به طور سیستماتیک حریم خصوصی و امنیت داده‌ها، ریسک زنجیره تأمین و شخص ثالث، ریسک مدل و خروجی، سوگیری و انصاف، مقررات و انطباق، آسیب‌پذیری‌های امنیتی، ریسک حاکمیت و نظارت و هوش مصنوعی در سایه را پوشش می‌دهد و هر یک را با اقدامات حفاظتی مشخصی مانند کمینه‌سازی داده‌ها، SBOMها، بررسی دقیق فروشنده، تیم قرمز، کنترل‌های قراردادی و تشخیص هوش مصنوعی در سایه جفت می‌کند.

نویسندگان: کوهن، لادا (AbbVie)؛ مراد، کارول (Bio Bridge Global)؛ نایک، شریکانت (Abbott)؛ استریلمن، جف (SpendMend)

همکاران محتوا: مورفی، بیل (LeanTaaS)، گاسنل، جو (مرکز پزشکی توسان)

TLP: سفید این گزارش می‌تواند بدون هیچ محدودیتی به اشتراک گذاشته شود.

• منابع و اخبار مرتبط
• گزارش چشم‌انداز تهدید مراقبت‌های بهداشتی و کمک‌های اجتماعی
• هوش مصنوعی عامل‌دار در مراقبت‌های بهداشتی، پیشنهادی پرخطر است
• Live@eXchange روز دوم - تحلیلگر امنیت تجهیزات پزشکی Health-ISAC
• Health-ISAC Hacking Healthcare 6-3-2026
• آسیب‌پذیری‌های جدید صنعت مراقبت‌های بهداشتی را هدف قرار داده‌اند
• خبرنامه ماهانه – ژوئن 2026
• آنچه واقعاً برای ایمن‌سازی مراقبت‌های بهداشتی لازم است
• موجودی دستگاه و نقشه برداری PHI با حذف HIPAA جدید، سنگین ترین کارها خواهند بود.
• Verizon DBIR: مراقبت‌های بهداشتی حملات مهندسی اجتماعی فزاینده را دفع می‌کند
• گزارش وضعیت ریسک سایبری انسانی