Bỏ qua nội dung chính

Chính sách và biện pháp bảo vệ để sử dụng AI một cách an toàn

Những yếu tố cần xem xét khi xây dựng khung quản trị và bảo vệ AI.

Trong suốt năm 2025 và đầu năm 2026, một nhóm các chuyên gia bảo mật tập trung vào AI thuộc Nhóm Công tác Trí tuệ Nhân tạo Health-ISAC đã cùng nhau biên soạn một báo cáo chuyên đề cung cấp hướng dẫn về việc phát triển các khung quản trị AI. Báo cáo này cung cấp một mẫu Chính sách Sử dụng AI Chấp nhận được và hướng dẫn chi tiết về quản lý rủi ro AI. Nó đưa ra các định nghĩa rõ ràng về việc sử dụng có trách nhiệm AI tạo sinh và LLM, cấm tiết lộ thông tin PHI, PII và dữ liệu bí mật cho các công cụ công cộng, đồng thời yêu cầu sự ủy quyền, giám sát và xem xét của con người đối với các kết quả đầu ra của AI trong các bối cảnh lâm sàng, nhân sự, pháp lý và tài chính.

Một số đặc điểm của tài liệu này bao gồm:

  • Cấu trúc quản trị AI chính thức. Bài báo này trình bày một mô hình cụ thể về Ủy ban Quản trị AI với sự đại diện đa chức năng (pháp lý, quyền riêng tư, bảo mật, công nghệ, khoa học dữ liệu, kinh doanh, đạo đức) báo cáo cho lãnh đạo cấp cao hoặc Hội đồng quản trị. Bài báo xác định trách nhiệm, các chỉ số ví dụ và nhấn mạnh rằng quản trị là điều bắt buộc, chứ không phải là tùy chọn.
  • Một khuôn khổ quản trị AI dựa trên các trụ cột. Tài liệu này mô tả một khuôn khổ gồm bảy trụ cột: luật pháp/quy định/chính sách, quyền riêng tư và đạo đức trong AI, quản trị trường hợp sử dụng, quản trị vòng đời mô hình, hợp đồng và tuyển chọn bên thứ ba, ứng phó sự cố AI và quản lý vi phạm, và đào tạo và giáo dục về AI. Mỗi trụ cột đều có mục tiêu và người chịu trách nhiệm cụ thể.
  • Lộ trình thực tiễn để triển khai. Lộ trình triển khai chia công việc thành bốn giai đoạn: Khởi tạo (ủy ban, nguyên tắc, kiểm kê), Đánh giá rủi ro và tác động (DPIA, kiểm toán thiên vị, đánh giá an ninh), Triển khai khung (chính sách, đăng ký trường hợp sử dụng, kiểm soát vòng đời) và Giám sát và đánh giá (đánh giá định kỳ, đào tạo lại, kiểm toán).
  • Chính sách sử dụng AI chi tiết, có thể tái sử dụng. Tài liệu này bao gồm một mẫu chính sách đầy đủ với mục đích và phạm vi, các nguyên tắc hướng dẫn, tính minh bạch và đạo đức, trách nhiệm giải trình và giám sát, quyền riêng tư và bảo mật dữ liệu, tính bảo mật thông tin, các trường hợp sử dụng được chấp nhận và bị cấm, việc thực thi và các định nghĩa, cùng với một bảng "được phép so với không được phép" đối với các công cụ AI công cộng.
  • Tám loại rủi ro liên quan đến trí tuệ nhân tạo được phân loại tương ứng với các biện pháp bảo vệ cụ thể. Nó bao gồm một cách có hệ thống các vấn đề về quyền riêng tư và bảo mật dữ liệu, rủi ro chuỗi cung ứng và bên thứ ba, rủi ro mô hình và đầu ra, thiên vị và công bằng, quy định và tuân thủ, lỗ hổng bảo mật, rủi ro quản trị và giám sát, và trí tuệ nhân tạo ngầm (shadow AI), đồng thời kết hợp mỗi vấn đề với các biện pháp bảo vệ cụ thể như giảm thiểu dữ liệu, SBOM (Stack Objective Materials), thẩm định nhà cung cấp, tấn công giả lập (red teaming), kiểm soát hợp đồng và phát hiện trí tuệ nhân tạo ngầm.

 

Tác giả: Cohen, Luda (AbbVie); Mourad, Carole (Bio Bridge Global); Naik, Shrikanth (Abbott); Streelman, Jeff (SpendMend)

Người đóng góp nội dung: Bill Murphy (LeanTaaS), Joe Gosnell (Trung tâm Y tế Tucson)

TLP:WHITE Báo cáo này có thể được chia sẻ mà không bị hạn chế.

 

Vụ tấn công Stryker hé lộ điều gì về bảo mật thiết bị y tế?
HSCC công bố hướng dẫn về rủi ro AI của bên thứ ba và tính minh bạch trong chuỗi cung ứng.