隨著企業將網絡安全納入治理、風險與合規(GRC)體系，重新審視現有的GRC計劃至關重要，以確保GenAI和自主式AI使用量的增加及其帶來的風險得到妥善處理，從而讓企業能夠持續滿足監管要求。

“AI是一種極具顛覆性的技術，它并非可以簡單歸類并定義為‘這就是AI’的事物，”國際信息系統審計與控制協會(ISACA)董事會成員兼澳大利亞證券和投資委員會(ASIC)的CISO杰米·諾頓(Jamie Norton)表示。

AI的風險難以量化，但AI的采用如何擴大和改變企業的風險面，這方面數據可提供線索。根據Check Point發布的《2025年AI安全報告》，企業設備向GenAI服務發送的每80個提示詞中，就有1個(1.25%)存在敏感數據泄露的高風險。

CISO面臨的挑戰在于，既要滿足企業對創新的需求，又要確保AI部署的安全，同時考慮到其中的風險。諾頓告訴記者：“從純粹的安全角度出發，他們正努力防止‘影子AI’成為一種文化現象，即我們不加限制地采用和使用它。”

AI并非典型風險，那么GRC框架能起到什么作用呢?

治理、風險與合規這一概念起源于21世紀初的開放合規與道德小組(OCEG)，旨在定義一套關鍵能力，以應對不確定性、誠信行事并確保合規，從而支持企業的目標，此后，GRC已從專注于合規的規則和清單，發展為更廣泛的風險管理方法，數據保護要求、不斷增長的監管環境、數字化轉型努力以及董事會層面的關注，推動了GRC的這一轉變。

與此同時，網絡安全已成為企業核心風險，CISO也幫助確保了監管要求的合規性，并建立了有效的治理框架，如今，隨著AI的擴展，有必要將這一新的風險類別納入GRC框架。

然而，行業調查顯示，在AI監管方面，仍有很長的路要走。根據《2025年聯想首席信息官指南》，只有24%的企業全面實施了企業AI GRC政策，同時，報告發現，AI治理與合規是首要任務。

行業研究表明，由于領導層渴望在不增加風險的情況下獲得回報，CISO需要緊急加強AI風險管理。

AuditBoard的CISO里奇·馬庫斯(Rich Marcus)表示，CISO處境艱難，因為他們肩負著雙重使命：既要提高生產力，利用這一強大的新興技術，又要履行治理、風險與合規義務。“他們被要求利用AI或幫助加速企業內AI的采用，以實現生產力提升，但如果我們做錯了，不能讓它成為扼殺企業的因素。”馬庫斯說。

為支持風險知情型的AI采用，馬庫斯的建議是，CISO應避免單打獨斗，CISO需要在整個企業內培養廣泛的信任和風險管理認同。“成功管理AI風險的關鍵在于以協作的心態應對情況，并向大家傳達這樣的信息：我們共同面對，你不是來拖后腿的。”

這種方法應有助于鼓勵企業內部對AI使用方式和領域的透明度。諾頓表示，網絡安全領導者必須通過建立安全流程來獲取可見性，該流程將記錄AI當前的使用情況或新AI需求的出現。

“如今，你的每一款產品都包含某種AI，而且沒有一個治理論壇能夠全面覆蓋各種形式的AI。”他說。

諾頓建議CISO制定戰略和戰術方法，以定義不同類型的AI工具，捕捉相對風險，并平衡生產力和創新方面的潛在回報。采用安全設計流程、IT變更流程、影子AI發現計劃或基于風險的AI庫存和分類等戰術措施，是處理小型AI工具的實用方法。諾頓說：“對于日常使用的AI——比如嵌入在某個產品或某個SaaS平臺中的AI，且這種AI正在各地增長——可以通過戰術方法進行管理，以確定哪些[元素]需要監督。”

戰略方法適用于伴隨微軟Copilot和ChatGPT等主要工具而來的重大AI變革。與保護眾多其他添加了AI功能的工具相比，使用內部AI監督論壇來保護這些“重磅”AI工具要相對容易一些。

這樣，CISO就可以將資源集中在影響最大的風險上，而不會創建繁瑣或不可行的流程。諾頓說：“我們的想法不是讓這件事變得冗長復雜，以至于幾乎無法取得任何成果，因為企業通常希望迅速行動，所以，這更像是一個相對輕量級的過程，將這種風險考量應用于允許AI使用或如果AI存在風險則阻止其使用。”

最終，安全領導者的任務是利用治理和風險作為更廣泛的組織GRC框架的一部分，從安全角度審視AI。諾頓說：“許多企業都設有首席風險官或類似職位的人，負責整體環境中的廣泛風險，但安全應該有一席之地。如今，CISO不再只是說‘行’或‘不行’，我們更多的是提供做某些事情所涉及的風險可見性，然后讓組織和高級管理人員圍繞這些風險做出決策。”

結合AI風險控制調整現有框架

AI的風險包括數據安全、AI工具濫用、隱私考慮、影子AI、偏見與倫理考慮、幻覺與結果驗證、法律與聲譽問題以及模型治理等。

Check Point的AI技術副總裁丹·卡爾帕蒂(Dan Karpati)表示，應將AI相關風險作為組織風險組合中的一個獨立類別，通過融入GRC支柱來確立。卡爾帕蒂提出了四大支柱：

? 企業風險管理：定義AI風險偏好，并成立AI治理委員會。

? 模型風險管理：監控模型漂移、偏見和對抗性測試。

? 運營風險管理：包括AI故障應急計劃和人工監督培訓。

? IT風險管理：包括定期審計、AI系統合規性檢查、治理框架以及與業務目標保持一致。

為幫助繪制這些風險圖，CISO可以參考美國國家標準與技術研究院(NIST)的AI風險管理框架以及其他框架，如企業風險管理整合框架(COSO)和信息及相關技術控制目標(COBIT)，并應用其核心原則——治理、控制和風險對齊——來覆蓋AI特性，如概率性輸出、數據依賴性、決策不透明性、自主性和快速演變。新興基準ISO/IEC 42001為AI提供了一個結構化的監督和保證框架，旨在將治理和風險實踐嵌入AI生命周期。

調整這些框架有助于提升AI風險討論，使AI風險偏好與企業的整體風險承受能力保持一致，并在所有業務部門中嵌入強大的AI治理。“安全領導者無需重新發明輪子，可以將AI風險映射到實際業務影響上。”卡爾帕蒂說。

AI風險還可以映射到因欺詐或錯誤決策導致的潛在財務損失、因數據泄露導致的聲譽損害、偏見結果或客戶不滿、因與遺留系統集成不佳和系統故障導致的運營中斷以及法律和監管處罰。CISO可以利用信息風險因素分析(FAIR)等框架來評估AI相關事件發生的可能性，以貨幣形式估計損失，并獲取風險暴露指標。卡爾帕蒂說：“通過從定性和定量角度分析風險，企業領導者可以更好地理解和權衡安全風險與財務基準。”

此外，馬庫斯表示，隨著新興監管要求的出現，CISO需要關注法規草案、跟蹤意見征求期、提前了解新標準，并在批準前做好實施準備。

利用行業網絡和同行可以幫助CISO及時了解威脅和風險，而GRC平臺中的報告功能則監控任何監管變化。馬庫斯說：“了解實際中出現了哪些風險、哪些措施可以保護其他組織，并共同建立關鍵控制和程序，這將使我們行業隨著時間的推移對這些類型的威脅更具韌性，這是很有幫助的。”

治理是更廣泛的GRC框架中的關鍵部分，CISO在制定企業如何負責任地使用AI的規則和原則方面發揮著重要作用。

制定治理政策

除了定義風險和管理合規性外，CISO還必須制定新的治理政策。馬庫斯說：“有效的治理需要包括AI的可接受使用政策，評估過程的早期成果之一應該是為你的組織定義行為準則。”

馬庫斯建議采用紅綠燈系統——紅、黃、綠——來對業務中AI工具的使用進行分類，它為員工提供了明確的指導，為技術好奇的員工提供了一個安全探索的空間，同時使安全團隊能夠建立檢測和執行程序，重要的是，它還讓安全團隊能夠以協作的方式促進創新。

“綠色”工具已經過審查和批準，“黃色”工具需要額外評估和特定使用案例，而標有“紅色”的工具則缺乏必要的保護措施，禁止員工使用。

在AuditBoard，馬庫斯和團隊制定了一套AI工具選擇標準，其中包括保護專有數據和保留所有輸入和輸出的所有權等。馬庫斯說：“作為一家企業，你可以開始制定你關心的標準，并以此作為衡量任何新工具或使用案例的標尺。”

他建議CISO及其團隊提前定義指導原則，教育公司了解哪些是重要的，并幫助團隊通過過濾掉不符合標準的事物來實現自我執行。馬庫斯說：“這樣，當一個AI工具到達CISO手中時，人們就已經了解了期望是什么。”

在具體的AI工具和使用案例方面，馬庫斯和團隊制定了“模型卡片”，即一頁紙的文件，概述了AI系統架構，包括輸入、輸出、數據流、預期使用案例、第三方以及系統數據的訓練方式。他告訴記者：“這使我們的風險分析師能夠評估該使用案例是否違反了任何隱私法律或要求、任何安全最佳實踐以及可能適用于企業的任何新興監管框架。”

這一過程旨在識別潛在風險，并能夠將這些風險傳達給組織內的利益相關者，包括董事會。馬庫斯說：“如果你評估了數十個這樣的使用案例，你就可以找出常見的風險和主題，將它們匯總起來，然后制定策略來減輕其中一些風險。”

然后，團隊可以查看可以應用哪些補償性控制措施，以及這些措施可以在多大程度上應用于不同的AI工具，并向高管提供這一指導。馬庫斯說：“這將對話從關于這一個使用案例或這一個風險的更戰術性討論，轉變為制定應對組織中‘AI風險’的更戰略性計劃。”

杰米·諾頓警告說，現在AI的炫酷界面已對所有人開放，安全團隊需要將注意力集中在這些工具表面之下發生的事情上。應用戰略風險分析、利用風險管理框架、監控合規性以及制定治理政策，可以幫助CISO在企業的AI之旅中提供指導。

諾頓說：“作為CISO，我們不想阻礙創新，但我們必須設置一些限制，以確保我們不會盲目行事，導致數據泄露。”