Wiessel Haaptberäich

Richtlinnen a Sécherheetsmoossname fir déi sécher Notzung vun KI

Iwwerleeunge fir d'Schafung vun engem Kader fir Gouvernance a Sécherheetsmoossnamen fir AI

Am Laf vun 2025 an Ufank 2026 ass en Team vun KI-fokuséierte Sécherheetsexperten an der Health-ISAC Artificial Intelligence Working Group zesummekomm, fir e Wäissbuch ze erstellen, dat Richtlinne fir d'Entwécklung vun KI-Governance-Frameworks bitt. Dat resultéierend Wäissbuch liwwert eng Beispillpolitik fir eng akzeptabel KI-Benotzung an detailléiert Richtlinne fir d'Gestioun vun KI-Risiken. Et setzt kloer Definitioune vun der verantwortungsvoller Notzung vu generativer KI an LLMs fest, verbitt d'Expositioun vu PHI, PII a vertraulechen Daten un ëffentlech Tools, a verlaangt Autorisatioun, Iwwerwaachung a mënschlech Iwwerpréiwung vun KI-Resultater am klineschen, HR-, juristeschen a finanzielle Kontexter.

E puer Charakteristike vum Dokument sinn:

  • Formal KI-Governancestruktur. D'Aarbecht presentéiert e konkret Modell vun engem AI Governance Committee mat enger funktiounsiwwergräifender Vertriedung (Juridik, Privatsphär, Sécherheet, Technologie, Datenwëssenschaft, Wirtschaft, Ethik), déi un d'Leedung oder de Verwaltungsrot bericht. Et definéiert d'Verantwortung, gëtt Beispiller fir Metriken a betount, datt Governance e Must-Have ass, net optional.
  • E saileverbaséiert KI-Governance-Framework. D'Dokument beschreift e Kader mat siwe Säile: Gesetzgebung/Reguléierung/Politik, KI-Dateschutz an Ethik, Governance vu Gebrauchsfäll, Governance vu Modellliewenszyklus, Vertragsofkommes an Onboarding vun Drëttpersounen, KI-Incidentreaktioun a Gestioun vu Sécherheetsbriecher, an KI-Ausbildung an -ausbildung. All Säile huet spezifesch Ziler a Besëtzer.
  • Praktesche Plang fir d'Ëmsetzung. Eng Ëmsetzungsplang deelt d'Aarbecht a véier Phasen op: Initiatioun (Komitee, Prinzipien, Inventar), Risiko- an Impaktbeurteilung (DPIAen, Bias-Audits, Sécherheetsreviews), Framework-Deployment (Politiken, Use-Case-Registréierung, Liewenszykluskontrollen) a Monitoring an Review (periodesch Revisiounen, Nei-Schulung, Audits).
  • Detailéiert, wiederverwendbar Politik fir akzeptabel Benotzung vun KI. D'Pabeier enthält eng komplett Beispillpolitik mat Zweck an Ëmfang, Richtlinnen, Transparenz an Ethik, Rechenschaftspflicht an Iwwerwaachung, Dateschutz a -sécherheet, Vertraulechkeet, akzeptabelen an verbuedenen Notzungen, Ëmsetzung a Definitiounen, plus eng Tabelle vun "erlaabten vs. net erlaabt" fir ëffentlech KI-Tools.
  • Aacht KI-Risikokategorien sinn op spezifesch Sécherheetsmoossname zougeuerdnet. Et deckt systematesch Datenschutz a -sécherheet, Risiken vun der Liwwerkette a vun Drëttpersounen, Modell- a Outputrisiko, Bias a Fairness, Reguléierung a Konformitéit, Sécherheetslücken, Governance- a Kontrollrisiko, a Shadow-KI of, a kombinéiert all dës mat konkrete Sécherheetsmoossnamen wéi Datenminiméierung, SBOMs, Vendor Due Diligence, Red Teaming, vertraglech Kontrollen an d'Detektioun vu Shadow-KI.

 

Auteuren: Cohen, Luda (AbbVie); Mourad, Carole (Bio Bridge Global); Naik, Shrikanth (Abbott); Streelman, Jeff (SpendMend)

Inhaltsbäiträger: Murphy, Bill (LeanTaaS), Gosnell, Joe (Tucson Medical Center)

TLP:WÄISS Dëse Rapport däerf ouni Restriktioun gedeelt ginn.

 

Wat den Stryker-Attack iwwer d'Sécherheet vu medizineschen Apparater verréit
HSCC presentéiert Guide fir d'Transparenz vun Drëttubidder an der KI-Risiko- a Fournisseurskette