《国际信息系统审计协会：生成式AI应用现状及政策建议（2023）（12页）.pdf》由会员分享，可在线阅读，更多相关《国际信息系统审计协会：生成式AI应用现状及政策建议（2023）（12页）.pdf（12页珍藏版）》请在三个皮匠报告上搜索。

1、生成式 AI 应用现状及政策建议2023 年 11 月 2 日生成式 AI:风险、机遇与前景全球数字信任专业机构 ISACA 调查了逾 2300 位审计、风险、安全、数据隐私、IT 治理领域的专业人士，收集了他们关于生成式 AI 应用现状的看法。调查结果:生成式 AI 的应用率快速上升，但众多组织缺乏相关政策准备、培训与有效的风险管理。只有有效管理 AI，AI 才能带来大量机遇。生成式 AI 应用现状及政策建议 2023 ISACA 版权所有生成式 AI 应用率高，但政策缺位仅28%仅41%的组织表示明确允许使用生成式 AI的组织表示员工不论有没有相关政策都在使用生成式 AI，另有 35%不确

2、定。生成式 AI 主要应用方式：65%进行书面写作44%提高生产率232%自动处理重复性任务329%提供客户服务427%改进决策5生成式 AI 应用现状及政策建议 2023 ISACA 版权所有缺乏培训、不关注 AI 应用伦理可能导致风险增加仅 10%受访者表示组织正式颁布了生成式 AI 应用的管理政策超过1/4的受访者表示目前没有政策，组织也没有计划制定政策。的组织为员工提供 AI 相关培训表示组织对 AI 应用伦理标准的关注不够表示根本没有 AI 相关培训，甚至直接受 AI 应用影响的团队也没有培训机会54%41%仅6%生成式 AI 应用现状及政策建议 2023 ISACA 版权所有组织需

3、要优先考虑风险管理不到 1/3的组织将管理 AI 风险视作当务之急。不法分子对 AI 的利用快于数字信任专业人士57%69%非常或极度担忧生成式 AI 被坏人滥用表示坏人对 AI 的应用与数字信任专业人士旗鼓相当甚至更胜一筹1.错误信息/虚假信息2.侵犯隐私3.社会工程学4.知识产权(IP)损失5.裁员77%35%58%63%68%Al 应用的五大风险生成式 AI 应用现状及政策建议 2023 ISACA 版权所有Al 将对工作岗位产生显著影响1/5的组织(19%)在未来 12 个月内将放出与 AI 相关的工作岗位45%但70%23%认为 AI 会造成大量岗位被淘汰。的数字信任专业人士认为 A

4、I 会对自己的工作产生一定积极影响,虽然 80%认为他们将需要额外的培训来保住工作或升职。认为岗位数量会增加。生成式 AI 应用现状及政策建议 2023 ISACA 版权所有总体来看，前景是乐观的85%的受访者认为 AI 作为一种工具能扩展人类的生产力。62%受访者认为 AI 将对整个社会都产生积极或中性的影响。在未来五年内：80%的数字信任专业人士相信 AI 会对所在行业产生积 极或中性的影响 81%的受访者相信 AI 会对所在组织产生积极或中性的 影响 82%的受访者相信 AI 会对自己的职业产生积极或中性 的影响生成式 AI 应用现状及政策建议 2023 ISACA 版权所有AI 可接受

5、使用政策（AUP）为企业提供了一个合乎道德、负责任地部署 AI 的框架。鉴于生成式 AI 的快速发展，企业必须提供明确的使用指南，以平衡其收益和风险。由 ISACA 开发的本资源可为企业起草生成式 AI 使用政策提供指南。获取 ISACA 白皮书、审计项目、证书等 AI 资源，请访问www.isaca.org/resources/artificial-intelligence。生成式 AI 应用现状及政策建议实施生成式 AI 政策的考虑因素 2023 ISACA 版权所有以下是实施生成式 AI 政策时的关键考虑因素。请注意，具体政策应根据您所在组织的具体需求作出调整。哪些人会受到政策范围影响？

6、AI 系统是否安全？消费者希望知道 AI 驱动的系统如何处理他们的信 息。监管部门可能询问您是否遵守负责任 AI 原则。员工必须了解此政策背后的根本原因和紧迫性。您所在组织中经理、员工和 IT 部门对生成式 AI 的责任分别是什么？保护 AI 系统，防止未经授权的访问、篡改和滥用。如果此 AI 系统生成的内容可能被滥用而造成伤害，这一点就极其重要。在企业内实施生成式 AI 使用政策之前、期间和之后，都必须证明使用的系统安全且符合隐私标准。是否与 ChatGPT 等生成式 AI 工具分享公司数据不应由员工来决定。如果组织致力于提供安全保险的环境，那么应用的所有 AI 工具都应被证实是负责任 AI

7、，从而避免导致任何危害。组织应该为所有人设定明确的要求。建立关于 AI 产出和系统性能的反馈路径。您是否信任您正在使用的系统、信任它做的决定甚至它生成的内容？生成式 AI 应用现状及政策建议 2023 ISACA 版权所有政策是否包括 AI 道德原则相关规定？确保组织使用生成式 AI 时不造成危害，包括产生或强化具危害性的算法偏见，这一点非常关键。哪些 AI 道德和原则是组织必须遵守的？组织内需要有人能解释组织应用的这些 AI 工具或系统是如何作出决策的，这一点很重要。保持算法透明对于保持消费者的数字信任非常重要。什么是好的行为，以及什么是可接受使用条款？强调预期的、可接受与不可接受的行为在制

8、定政策时非常重要。例如，AI 工具只能用于与业务相关的活动，且遵循组织的道德与隐私政策。明确指出 AI 的禁区与规定可接受的用法同样重要。具体什么可接受、什么不可接受取决于您所在行业的具体情况。数据处理与培训方面有哪些现有的指南？在获取数据时，特别是在处理个人数据或敏感信息时（例如，重点强调使用去身份和匿名化数据以确保数据的保密性），明确指南至关重要。此外，数据的质量也很重要，因为它直接影响到输出结果的准确性和可靠性。“在为组织制定 AI 可接受使用政策时，确保所有利益相关者都能参与其中至关重要。利益相关者可以提供专业技术知识、确保政策符合道德、提供法律合规审查、提供实际操作反馈、共同评估风险

9、，以及共同定义和执行组织内 AI 使用的指导原则。主要利益相关者从组织高管、法律团队和技术专家到沟通团队、风险管理/合规和业务团队代表在该政策的制定、完善和实施过程中发挥着至关重要的作用。他们的工作确保企业对 AI的使用在法律上合规，技术上可行，服务于组织的业务，且符合社会价值观。”MARY CARMICHAELCRISC,CISA,CPA,ISACA 新兴趋势工作组成员生成式 AI 应用现状及政策建议 2023 ISACA 版权所有该政策如何鼓励透明性和问责？分享或发布内容时，是否必须披露内容是 AI 生成的？政策应鼓励对 AI 生成的内容使用水印或其他标志进行标注。在组织内确定 AI 生成

10、内容的产出与传播责任制。明确审查和批准 AI 生成内容的流程。您如何报告并调查违规情况？如何处理例外情况？政策考虑了哪些限制和风险？您所在组织如何保证达到法律与合规要求？该政策与现有其他政策有何关联？重点强调本地、本国和国际法中的法律与合规要求，重点关注与版权、数据保护与错误信息相关的内容。要承认生成式 AI 模型存在内在限制。规定不能完全依赖AI 产出的情况，强调人类的监督。要让利益相关者充分了解政策的要求和效果预期，关键是要让他们注意到该生成式 AI 政策与其他已有政策的联系。例如，数据隐私和信息安全政策与 AI 政策内在相连，必须相互支持。在“更多信息”一节中提供这些相关政策的链接，可帮

11、助利益相关者更好地了解这一政策。生成式 AI 政策不应局限于某一部门。合作非常关键，因为AI以多种不同方式对业务产生影响。您可考虑综合施策，从而将政策覆盖最大化。在有必要不遵守或升级您的 AI 政策时，应该遵循什么流程呢？有时候，一个生成式 AI 工具可能需要被用于某个一般不能使用 AI 的项目中，这种情况下应该如何审批？报告和调查过程中，为 IT 部门提供适当的调查工具至关重要。如果出现涉嫌违反政策的情况，必须确保相关方有权审查任何 AI 通信或生成式 AI 工具的使用情况。员工守则和 HR 政策可能已经包括违反 AI 使用条例的处罚规定。根据行为的严重程度，无论是员工主动交代还是被揭发，员

12、工可能会面临职业发展受阻或被解雇的后果。生成式 AI 应用现状及政策建议 2023 ISACA 版权所有谁负责审查、管理与审计？应确定谁为政策负责，如何管理和审计，以及如何及时更新并按预期运行。考虑到未来几年的变化，风险评估和其他的支持至关重要。当今技术形势下，没有人对 AI 不感兴趣。这意味着利益相关者的范围会比预料中的更大。政策如何以及何时更新？政策发布后很容易被淡忘。为了避免这样的情况，应为利益相关者提供相应培训与信息，并时时强化利益相关者对政策的认知。如果您的生成式 AI 工具发布了新功能，谁来确定新功能对政策的影响？您将为员工提供哪些指导来确保他们对被允许和不被允许的事项形成共识？政策应与您所在行业与/或组织的最新发展保持同步，尤其在部署 AI 新功能时，政策应至少一年一更新，或根据需要更加频繁地更新。监管环境正在飞速变化，应考虑采用适当措施，确保政策有足够灵活性应对监管环境的变化。制定反馈路径，使利益相关者能够对政策给予反馈，培养持续改进的文化。了解更多信息，请访问 isaca.org/resources/artificial-intelligence生成式 AI 应用现状及政策建议 2023 ISACA 版权所有