Hensyn til etableringen av et rammeverk for styring og sikkerhetstiltak for AI
Gjennom 2025 og begynnelsen av 2026 kom et team av AI-fokuserte sikkerhetseksperter i Health-ISACs arbeidsgruppe for kunstig intelligens sammen for å lage en hvitbok som gir veiledning om utvikling av rammeverk for styring av AI. Den resulterende hvitboken inneholder et eksempel på akseptabel brukspolicy for AI og detaljert veiledning om håndtering av AI-risikoer. Den setter klare definisjoner av ansvarlig bruk av generativ AI og LLM-er, forbyr eksponering av PHI, PII og konfidensielle data til offentlige verktøy, og krever autorisasjon, tilsyn og menneskelig gjennomgang av AI-resultater i kliniske, HR-, juridiske og økonomiske sammenhenger.
Noen av dokumentets funksjoner inkluderer:
Formell styringsstruktur for AI. Dokumentet legger frem en konkret modell for en AI-styringskomité med tverrfaglig representasjon (juridisk, personvern, sikkerhet, teknologi, datavitenskap, forretningsdrift, etikk) som rapporterer til toppledelsen eller styret. Den definerer ansvar, viser eksempler på målinger og understreker at styring er et must, ikke valgfritt.
Et søylebasert rammeverk for AI-styring. Dokumentet beskriver et rammeverk med syv søyler: lovgivning/regulering/policy, personvern og etikk innen kunstig intelligens, styring av brukstilfeller, styring av modelllivssyklus, kontraktsføring og onboarding av tredjeparter, hendelsesrespons og håndtering av brudd på kunstig intelligens, og opplæring og utdanning innen kunstig intelligens. Hver søyle har spesifikke mål og eiere.
Praktisk plan for implementering. En implementeringsplan deler arbeidet inn i fire faser: Oppstart (komité, prinsipper, inventar), risiko- og konsekvensanalyse (DPIA-er, bias-revisjoner, sikkerhetsgjennomganger), rammeverksimplementering (policyer, registrering av brukstilfeller, livssykluskontroller) og overvåking og gjennomgang (periodiske gjennomganger, omskolering, revisjoner).
Detaljert, gjenbrukbar policy for akseptabel bruk av AI. Dokumentet inneholder et fullstendig eksempel på retningslinjer med formål og omfang, veiledende prinsipper, åpenhet og etikk, ansvarlighet og tilsyn, personvern og -sikkerhet, konfidensialitet, akseptabel og forbudt bruk, håndheving og definisjoner, pluss en tabell over «tillatt kontra ikke tillatt» for offentlige AI-verktøy.
Åtte AI-risikokategorier er tilordnet spesifikke sikkerhetstiltak. Den dekker systematisk datapersonvern og -sikkerhet, risiko i forsyningskjeden og tredjeparter, modell- og outputrisiko, skjevhet og rettferdighet, regulatorisk samsvar, sikkerhetssårbarheter, styrings- og tilsynsrisiko og skygge-AI, og kombinerer hver med konkrete sikkerhetstiltak som dataminimering, SBOM-er, leverandørdue diligence, red teaming, kontraktsmessige kontroller og deteksjon av skygge-AI.
