Kebijakan dan Perlindungan untuk Penggunaan AI yang Aman

Pertimbangan dalam menciptakan kerangka kerja tata kelola dan pengamanan AI.

Sepanjang tahun 2025 dan awal 2026, sebuah tim profesional keamanan yang berfokus pada AI di Kelompok Kerja Kecerdasan Buatan Health-ISAC berkumpul untuk membuat sebuah makalah putih yang menawarkan panduan tentang pengembangan kerangka kerja tata kelola AI. Makalah putih yang dihasilkan menyediakan contoh Kebijakan Penggunaan AI yang Dapat Diterima dan panduan terperinci tentang pengelolaan risiko AI. Makalah ini menetapkan definisi yang jelas tentang penggunaan AI generatif dan LLM yang bertanggung jawab, melarang pengungkapan PHI, PII, dan data rahasia kepada alat publik, dan mewajibkan otorisasi, pengawasan, dan peninjauan manusia terhadap keluaran AI dalam konteks klinis, SDM, hukum, dan keuangan.

Beberapa fitur dokumen tersebut meliputi:

• Struktur tata kelola AI formal. Makalah ini menjabarkan model Komite Tata Kelola AI yang konkret dengan representasi lintas fungsi (hukum, privasi, keamanan, teknologi, ilmu data, bisnis, etika) yang melapor kepada pimpinan senior atau Dewan Direksi. Makalah ini mendefinisikan tanggung jawab, contoh metrik, dan menekankan bahwa tata kelola adalah suatu keharusan, bukan pilihan.
• Kerangka Tata Kelola AI berbasis pilar. Dokumen ini menjelaskan kerangka kerja tujuh pilar: legislasi/regulasi/kebijakan, privasi dan etika AI, tata kelola kasus penggunaan, tata kelola siklus hidup model, kontrak dan pengintegrasian pihak ketiga, respons insiden AI dan manajemen pelanggaran, serta pelatihan dan pendidikan AI. Setiap pilar memiliki tujuan dan penanggung jawab spesifik.
• Peta jalan praktis untuk implementasi. Peta jalan implementasi membagi pekerjaan menjadi empat fase: Inisiasi (komite, prinsip, inventarisasi), Penilaian Risiko dan Dampak (DPIA, audit bias, tinjauan keamanan), Penerapan Kerangka Kerja (kebijakan, pendaftaran kasus penggunaan, kontrol siklus hidup), dan Pemantauan dan Tinjauan (tinjauan berkala, pelatihan ulang, audit).
• Kebijakan Penggunaan AI yang Terperinci dan Dapat Digunakan Kembali. Makalah ini mencakup contoh kebijakan lengkap dengan tujuan dan ruang lingkup, prinsip panduan, transparansi dan etika, akuntabilitas dan pengawasan, privasi dan keamanan data, kerahasiaan, penggunaan yang dapat diterima dan dilarang, penegakan hukum, dan definisi, ditambah tabel "diizinkan vs tidak diizinkan" untuk alat AI publik.
• Delapan kategori risiko AI dipetakan ke langkah-langkah pengamanan spesifik. Secara sistematis, buku ini membahas privasi dan keamanan data, risiko rantai pasokan dan pihak ketiga, risiko model dan output, bias dan keadilan, regulasi dan kepatuhan, kerentanan keamanan, risiko tata kelola dan pengawasan, serta AI bayangan, dan memasangkan masing-masing dengan pengamanan konkret seperti minimalisasi data, SBOM (Standard Business Operating Measures), uji tuntas vendor, red teaming, kontrol kontraktual, dan deteksi AI bayangan.

Penulis: Cohen, Luda (AbbVie); Mourad, Carole (Bio Bridge Global); Naik, Shrikanth (Abbott); Streelman, Jeff (SpendMend)

Kontributor Konten: Murphy, Bill (LeanTaaS), Gosnell, Joe (Tucson Medical Center)

TLP:PUTIH Laporan ini dapat dibagikan tanpa batasan.

• Sumber Daya & Berita Terkait
• Meningkatnya Serangan CalPhishing di Sektor Kesehatan
• Praktik Terbaik untuk Mengelola Identitas dan Akses Pihak Ketiga
• Apa yang Perlu Diketahui Para Pemimpin Layanan Kesehatan tentang Keamanan Siber di Tahun 2026-2027
• Apa Arti Perintah Eksekutif Trump tentang AI bagi Sektor Kesehatan?
• Laporan Gambaran Ancaman dalam Layanan Kesehatan dan Bantuan Sosial
• AI Agen dalam Perawatan Kesehatan Merupakan Proposisi yang Berisiko
• Live@eXchange Hari ke-2 – Analis Keamanan Perangkat Medis Health-ISAC
• Kesehatan-ISAC Peretasan Layanan Kesehatan 6-3-2026
• Kerentanan Baru yang Ditargetkan pada Industri Perawatan Kesehatan
• Buletin Bulanan – Juni 2026