NIST AI RMF & AI Compliance

Overview

NIST AI 風險管理框架（AI RMF 1.0）由美國國家標準與技術研究院於 2023 年 1 月發布，是一個自願性框架，旨在幫助組織管理與 AI 系統相關的風險貫穿其整個生命週期。與具有約束力的法規不同，AI RMF 提供了一種靈活的、結構化的方法，組織可以根據其特定環境、能力和風險容忍度進行調整。它已迅速成為美國 AI 治理的主要參考框架，並在國際上日益獲得認可。

該框架分為兩個主要部分：構建 AI 風險框架的基礎資訊和提供可操作指導的核心功能。核心由四個功能組成——治理（Govern）、映射（Map）、度量（Measure）和管理（Manage）——每個功能包含描述特定成果和活動的類別和子類別。這種結構有意與 NIST 網路安全框架熟悉的按功能組織的方法保持一致，使已有 NIST 標準經驗的組織更容易上手。

對於 AI 開發團隊，AI RMF 提供了一種通用語言和系統方法來識別、評估和減輕 AI 風險。它涉及與偏差和公平性、透明度和可解釋性、隱私、安全、保障和問責相關的風險。該框架強調 AI 風險管理應整合到更廣泛的組織風險管理實踐中，而不是作為單獨、孤立的活動來處理。這種整體方法確保 AI 特有的風險與營運、財務和聲譽風險一起被考慮。

AI-Specific Requirements

治理（Govern）功能建立 AI 風險管理的組織結構、政策和流程。它要求培養風險意識文化、定義 AI 治理的角色和職責、為 AI 開發和部署實施政策和程序，以及建立持續監控和審查的機制。組織必須記錄其 AI 風險容忍度、定義已識別風險的升級程序，並確保 AI 治理得到充分資源和高層承諾的支持。

映射（Map）功能側重於理解 AI 系統運作的環境。這包括識別和分類 AI 系統、評估 AI 系統故障或濫用的潛在影響、理解用於訓練和運作的資料特徵，以及評估運營環境和利益相關者的期望。對於訓練資料，映射功能要求理解資料來源、評估資料品質和代表性、識別潛在偏差，以及記錄資料收集和處理方法。

度量（Measure）功能透過定量和定性方法解決 AI 風險的評估和分析。組織應實施測試和評估程序、根據定義的指標度量 AI 系統性能、評估相關人口群體的偏差和公平性、評估安全和隱私風險，並隨著系統和環境的演變進行定期重新評估。管理（Manage）功能則利用映射和度量的結果來優先排序和處理已識別的風險、實施控制措施、向利益相關者傳達風險資訊，並持續監控風險處理的有效性。

How Ertas Helps

Ertas 透過提供全面的資料譜系和來源追蹤來支援 NIST AI RMF 的映射功能。了解您的訓練資料來自哪裡、如何被處理以及應用了什麼轉換是映射 AI 風險的基礎。Ertas Data Suite 記錄每個資料集的完整生命週期，從初始匯入到清理、轉換、增強和最終準備進行訓練。這些來源資訊直接支援映射功能對理解資料特徵、品質和潛在偏差的要求。

對於度量功能，Ertas 提供了追蹤和評估 AI 系統行為所需的稽核基礎設施。全面的稽核日誌捕獲與資料和模型的所有互動，使組織能夠度量處理完整性、追蹤存取模式並識別可能表示新興風險的異常。Ertas Studio 中的結構化工作流程擷取訓練配置、評估指標和性能基準，提供度量功能進行持續風險評估所需的量化證據基礎。

管理功能受益於 Ertas 直接減輕已識別風險的技術控制。本地端架構透過消除外部資料傳輸來管理資料安全和隱私風險。PII 編輯管理訓練資料中的隱私風險。Vault 加密和存取控制管理機密性和未授權存取風險。氣隙部署管理資料外洩風險。這些技術控制作為具體的風險處理措施，組織可以在其 AI 風險管理計畫中記錄，展示對框架管理功能成果的系統性實施。

Compliance Checklist