Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Le normative e gli standard di IA stanno emergendo in aree e settori, fornendo un framework affidabile per le organizzazioni per valutare, implementare e testare i propri controlli per sviluppare e usare l'IA affidabile. Questo articolo aiuta i team di rischio e conformità a prepararsi per il lavoro di conformità. Viene descritto come:
- Valutare e rafforzare il comportamento di conformità rispetto alle normative.
- Implementare controlli per gestire l'utilizzo di app e dati di intelligenza artificiale.
Questo è il quarto articolo di una serie. Se non sono ancora state eseguite le attività in Preparare la sicurezza per l'intelligenza artificiale, Individuare app e dati di intelligenza artificiale e proteggere le app e i dati di intelligenza artificiale, iniziare con questi articoli per preparare l'ambiente con le funzionalità previste in questo articolo.
Usare questo articolo insieme alle risorse seguenti:
- Scenario aziendale per l'adozione del framework Zero Trust: Soddisfare i requisiti normativi e di conformità con Zero Trust
- Cloud Adoption Framework (CAF) per l'intelligenza artificiale: processo di governance dell'IA
Quali sono le nuove considerazioni per la governance di app e dati di intelligenza artificiale?
Proprio come l'IA introduce nuove superfici di attacco che cambiano il panorama dei rischi, l'IA introduce anche nuovi metodi di elaborazione e l'uso dei dati che influiscono sulla conformità alle normative. Queste nuove caratteristiche dell'IA influiscono sia sulle normative esistenti, ad esempio sulle normative sulla privacy, sia sulle nuove normative destinate specificamente all'uso dell'IA.
La figura seguente evidenzia le normative emergenti dell'IA, tra cui l'intelligenza artificiale e il Data Act (AIDA) in America del Nord, l'EU AI Act, il piano d'azione di IA in Australia e gli standard globali prodotti da ISO.
In generale, la governance dell'IA per la conformità alle normative include:
- Registrazione e conservazione delle interazioni con intelligenza artificiale.
- Rilevamento di potenziali utilizzi non conformi.
- Uso di strumenti, ad esempio eDiscovery sulle interazioni con intelligenza artificiale, quando necessario.
In questo modo, le organizzazioni soddisfano i requisiti di conformità e rispondono a potenziali controversie in modo efficace.
Per le organizzazioni che creano l'intelligenza artificiale, i team di rischio e conformità devono consentire ai team di sviluppo di documentare i dettagli del progetto, ad esempio il nome del modello, la versione, lo scopo dei sistemi di intelligenza artificiale e le metriche di valutazione per affrontare i rischi di qualità, sicurezza e sicurezza. Questo sforzo può aiutare i team di rischio e conformità a disporre di un formato standardizzato di informazioni per preparare i controlli e rispondere alle richieste normative.
Un'altra procedura consigliata consiste nell'usare valutazioni dell'impatto sulla privacy, un controllo che molte aziende hanno già implementato per normative come il GDPR, per garantire che le app di intelligenza artificiale abbiano tutte le valutazioni e i controlli applicati per proteggere la privacy. Microsoft offre funzionalità come le valutazioni della privacy di Priva, che possono essere facilmente integrate nel ciclo di vita dello sviluppo dell'intelligenza artificiale per garantire che gli sviluppatori tengano sempre in primo piano la privacy.
Infine, per creare applicazioni di IA responsabili e rispettare nuovi requisiti normativi, le organizzazioni devono creare protezioni per rilevare e bloccare contenuti dannosi, ad esempio violenza, odio, sesso e contenuto autolesionismo. Inoltre, si vuole che le app di intelligenza artificiale producano contenuti affidabili. Le protezioni dovrebbero aiutare a rilevare e correggere informazioni errate per ridurre il rischio di decisioni sbagliate basate su un output privo di fondamento. Devono anche identificare il contenuto che viola i diritti d'autore. Queste protezioni possono aiutare le organizzazioni a creare applicazioni di intelligenza artificiale responsabili e affidabili.
Funzionalità per la governance di app e dati di intelligenza artificiale
Microsoft include funzionalità che consentono alle organizzazioni di connettere i puntini tra gli standard normativi e le soluzioni tecnologiche.
I passaggi seguenti descrivono l'illustrazione e illustrano anche i passaggi per implementare queste funzionalità.
| Passo | Attività | Ambito |
|---|---|---|
| 1 | Compilare e gestire le valutazioni in Microsoft Purview Compliance Manager | A livello aziendale |
| 2 | Usare Defender for Cloud Apps per gestire le app di intelligenza artificiale in base al rischio di conformità | Applicazioni SaaS di intelligenza artificiale |
| 3 | Usare Cloud Security Posture Management (CSPM) per i carichi di lavoro di intelligenza artificiale per individuare e gestire app personalizzate basate sul rischio di conformità | Applicazioni di intelligenza artificiale basate su intelligenza artificiale di Azure personalizzate |
| 4 | Configurare La conformità delle comunicazioni di Purview per ridurre al minimo i rischi di comunicazione consentendo di rilevare, acquisire e agire su messaggi potenzialmente inappropriati nell'organizzazione | App e servizi di Microsoft 365 App di intelligenza artificiale connesse dai connettori Microsoft Entra o Microsoft Purview Data Map |
| 5 | Configurare Purview Data Lifecycle Management per conservare il contenuto che è necessario conservare ed eliminare il contenuto che non si vuole mantenere. | App e servizi di Microsoft 365 |
| 6 | Usare eDiscovery insieme ai log di controllo per Microsoft 365 Copilot per le indagini, se necessario | Microsoft 365 Copilot, Microsoft Copilot |
| 7 | Usare le valutazioni priva di privacy per avviare valutazioni dell'impatto sulla privacy per le app di intelligenza artificiale create | Qualsiasi app, qualsiasi posizione |
| 8 | Usare i report di intelligenza artificiale in AI Foundry per documentare i dettagli del progetto di intelligenza artificiale per le app sviluppate | App di intelligenza artificiale in Azure |
| 9 | Implementare Azure AI Content Safety per bloccare il contenuto dannoso e rilevare e correggere le risposte infondate. | App di intelligenza artificiale in Azure |
Passaggio 1: Creare e gestire le valutazioni in Microsoft Purview Compliance Manager
Microsoft Purview Compliance Manager è una soluzione che consente di valutare e gestire automaticamente la conformità nell'ambiente multicloud. Compliance Manager può aiutare l’utente durante tutto il percorso di conformità, dall'inventario dei rischi per la protezione dei dati alla gestione, delle complessità dell'implementazione dei controlli all'aggiornamento su normative e certificazioni e alla segnalazione ai revisori.
Attualmente Compliance Manager include modelli normativi per le normative correlate all'IA seguenti:
- Legge sull'intelligenza artificiale dell'UE
- ISO/IEC 23894:2023
- ISO/IEC 42001:2023
- NIST AI Risk Management Framework (RMF) 1.0
Usare le risorse seguenti per iniziare a usare Compliance Manager.
| Attività | Risorse consigliate |
|---|---|
| Scopri e inizia |
Microsoft Purview Compliance Manager Introduzione a Microsoft Purview Compliance Manager Creare e gestire valutazioni in Microsoft Purview Compliance Manager |
| Verificare se Compliance Manager include un modello per una normativa | Elenco delle normative |
| Creare una valutazione personalizzata | Creare valutazioni personalizzate (anteprima) in Microsoft Purview Compliance Manager |
Passaggio 2: Usare Defender per le app cloud
Usare Defender per le app cloud per gestire le app di intelligenza artificiale in base al rischio di conformità. Gli articoli precedenti di questa serie descrivono come usare Defender for Cloud Apps per individuare, gestire e proteggere l'uso delle app di intelligenza artificiale. La conformità alle normative introduce criteri aggiuntivi per la valutazione e la valutazione del rischio di queste app.
Dopo aver compilato una o più valutazioni per normative specifiche in Purview Compliance Manager, collaborare con il team di Defender for Cloud Apps per integrare gli obblighi di conformità nei criteri per valutare il rischio di app di intelligenza artificiale, approvare o bloccare queste app e applicare i criteri di sessione per controllare la modalità di accesso a queste app (ad esempio, solo con un dispositivo conforme).
Vedere gli articoli precedenti di questa serie per iniziare e usare Defender per le app cloud.
| Attività | Risorse consigliate |
|---|---|
| Individuare, approvare e bloccare le app di intelligenza artificiale con Microsoft Defender for Cloud Apps | Vedere Passaggio 2 in Individuare app e dati di intelligenza artificiale |
| Usare Defender for Cloud Apps per valutare e proteggere l'uso delle app di intelligenza artificiale | Vedere Ottenere il massimo dalla protezione dalle minacce per l'intelligenza artificiale in Proteggere le app e i dati di intelligenza artificiale |
Passaggio 3: Usare Cloud Security Posture Management (CSPM) per i carichi di lavoro di intelligenza artificiale
Usare il piano CsPM (Defender Cloud Security Posture Management) in Microsoft Defender for Cloud per individuare e gestire app personalizzate in base al rischio di conformità. Proprio come Defender per le app cloud, la conformità alle normative introduce criteri aggiuntivi per il triage e la valutazione del rischio delle app create personalizzate con CSPM per AI.
Collaborare con il team di Defender for Cloud per integrare gli obblighi di conformità nei criteri per valutare il rischio di e gestire le app personalizzate.
Consultare gli articoli precedenti di questa serie per iniziare a usare Defender for Cloud.
| Attività | Risorse consigliate |
|---|---|
| Individuare i carichi di lavoro di intelligenza artificiale distribuiti nell'ambiente e ottenere informazioni dettagliate sulla sicurezza con Microsoft Defender for Cloud | Vedere Passaggio 3 in Individuare app e dati di intelligenza artificiale] |
| Applicare protezioni di intelligenza artificiale in Defender for Cloud | Vedere Passaggio 2 per ottenere il massimo dalla protezione dalle minacce per l'intelligenza artificiale in Proteggere le app e i dati di intelligenza artificiale |
Passaggio 4: Configurare la conformità delle comunicazioni di Purview
Configurare La conformità delle comunicazioni di Purview per ridurre al minimo i rischi di comunicazione consentendo di rilevare, acquisire e agire su messaggi potenzialmente inappropriati nell'organizzazione. Per l'intelligenza artificiale generativa, è possibile usare i criteri di conformità delle comunicazioni per analizzare le interazioni (richieste e risposte) immesse in applicazioni di intelligenza artificiale generative per consentire il rilevamento di interazioni inappropriate o rischiose o la condivisione di informazioni riservate. La copertura è supportata per Microsoft 365 Copilot, copiloti creati con Microsoft Copilot Studio, applicazioni di intelligenza artificiale connesse da connettori Microsoft Entra o Microsoft Purview Data Map e altro ancora.
Usare le risorse seguenti per iniziare.
Passaggio 5: Configurare la gestione del ciclo di vita dei dati purview
La Gestione del ciclo di vita dei dati di Microsoft Purview offre strumenti e funzionalità per conservare il contenuto che è necessario conservare ed eliminare il contenuto che non si vuole mantenere. L'eliminazione proattiva del contenuto non è più necessaria per ridurre il rischio di sovraesposizione dei dati negli strumenti di intelligenza artificiale. Le funzionalità principali includono:
- Criteri di conservazione ed etichette di conservazione.
- Archiviazione delle cassette postali e cassette postali inattive: le cassette postali degli utenti includono una cartella nascosta con richieste e risposte di Copilot
Usare le risorse seguenti per iniziare.
| Attività | Risorse consigliate |
|---|---|
| Informazioni su e introduzione |
Informazioni sulla gestione del ciclo di vita dei dati di Microsoft Purview Introduzione alla gestione del ciclo di vita dei dati |
Passaggio 6: usare eDiscovery insieme ai log di controllo per Microsoft 365 Copilot
Usare Microsoft Purview eDiscovery per cercare parole chiave in Richieste e risposte di Copilot che potrebbero non essere appropriate. È anche possibile includere queste informazioni in un caso di eDiscovery per esaminare, esportare o mettere in attesa questi dati per un'indagine legale in corso.
Usare i log di controllo di Microsoft Purview per identificare come, quando e dove si sono verificate le interazioni di Copilot e quali elementi sono stati accessibili, incluse eventuali etichette di riservatezza per tali elementi.
| Attività | Risorse consigliate |
|---|---|
| Informazioni su dove vengono archiviati i dati di utilizzo di Copilot e su come controllarli | L'architettura di protezione e controllo dei dati di Microsoft 365 Copilot |
| Introduzione a eDiscovery | Informazioni sulle soluzioni eDiscovery |
| Informazioni sui log di controllo di Purview | Informazioni sulle soluzioni di controllo in Microsoft Purview |
Passaggio 7: Usare le valutazioni priva di privacy
Usare Priva Privacy Assessment (anteprima) per avviare valutazioni dell'impatto sulla privacy per le app di intelligenza artificiale create. Ciò consente di garantire che le app di intelligenza artificiale siano compilate in modo rispettoso della privacy. Le valutazioni della privacy automatizzano l'individuazione, la documentazione e la valutazione dell'uso dei dati personali nell'intero patrimonio di dati.
Usare le risorse seguenti per iniziare a usare le valutazioni priva di privacy e avviare una valutazione dell'impatto sulla privacy.
| Attività | Risorse consigliate |
|---|---|
| Informazioni su e introduzione |
Informazioni sulle valutazioni della privacy Introduzione alle valutazioni della privacy |
| Creare una valutazione | Creare e gestire valutazioni della privacy |
Passaggio 8: Usare i report di intelligenza artificiale in AI Foundry
I report di intelligenza artificiale in Azure AI Foundry possono aiutare gli sviluppatori a documentare i dettagli del progetto. Gli sviluppatori possono creare un report che mostra tutti i dettagli di un progetto di intelligenza artificiale, ad esempio schede di modello, versioni del modello, configurazioni del filtro di sicurezza del contenuto e metriche di valutazione. Questo report può essere esportato in formati PDF o SPDX, aiutando i team di sviluppo a dimostrare la conformità di produzione all'interno di flussi di lavoro di governance, rischio e conformità (GRC) e facilitare controlli più semplici e continui delle applicazioni nell'ambiente di produzione.
Usare le risorse seguenti per iniziare.
| Attività | Risorse consigliate |
|---|---|
| Leggi i Report di AI in AI Foundry (blog) | Report di intelligenza artificiale: Migliorare la governance dell'intelligenza artificiale e GenAIOps con documentazione coerente |
| Informazioni su e introduzione a AI Foundry | Che cos'è Azure AI Foundry? |
Passaggio 9: Implementare la sicurezza dei contenuti per intelligenza artificiale di Azure
Sicurezza dei contenuti di Azure AI e un servizio di intelligenza artificiale che rileva contenuti dannosi generati dagli utenti e dall'intelligenza artificiale nelle applicazioni e nei servizi. Sicurezza dei contenuti di Azure AI include API di testo e immagine che consentono di rilevare materiale dannoso. Lo Studio di Sicurezza dei contenuti interattivo consente di visualizzare, esplorare e provare il codice di esempio per rilevare contenuto dannoso in diverse modalità.
Usare le risorse seguenti per iniziare.
| Attività | Risorse consigliate |
|---|---|
| Scopri di più e inizia | Che cos'è la Sicurezza dei contenuti di Azure AI? - Servizi di Azure AI | Microsoft Learn Usare Content Safety nel portale di Azure AI Foundry |
Passaggio successivo per la protezione dell'IA
Continuare a eseguire progressi sulla sicurezza end-to-end con risorse Zero Trust: