人工智能風險管理能力評估2025-10-05實施2025-10-05實施 12規(guī)范性引用文件 13術語和定義 14人工智能風險管理能力框架與分級 24.1人工智能風險管理能力框架 24.2人工智能風險管理過程 34.3人工智能風險管理能力等級 44.4人工智能風險管理能力等級劃分 54.5人工智能風險管理能力項 65人工智能風險管理能力評估 85.1人工智能風險管理策劃能力評估 85.2人工智能風險溝通能力評估 5.3人工智能風險評估能力評估 5.4人工智能風險處理能力評估 5.5人工智能風險監(jiān)控能力評估 5.6人工智能風險回顧能力評估 20附錄A(資料性)推薦權重設置 附錄B(資料性)風險源 附錄C(資料性)風險管理方法、工具與技術 25 工Ⅲ本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由全國信息技術標準化技術委員會(SAC/TC28)提出并歸口。本文件起草單位：中國電子技術標準化研究院、中國科學院軟件研究所、中科南京軟件技術研究院、上海商湯智能科技有限公司、中建科技集團有限公司、北京謀遠咨詢有限公司、上海市人工智能行業(yè)協(xié)會、杭州半個宇宙科技有限公司、北京大學武漢人工智能研究院、海信集團控股股份有限公司、西門子(中國)有限公司、中電信數(shù)智科技有限公司、同方知網(wǎng)數(shù)字出版技術股份有限公司、上海計算機軟件技術開發(fā)中心、北京瑞萊智慧科技有限公司、上海人工智能研究院、北京航空航天大學、科大訊飛股份有限公司、浙江大華技術股份有限公司、北京郵電大學、中國民航信息網(wǎng)絡股份有限公司、中國航空工業(yè)集團沈陽飛機設計研究所、浪潮云信息技術股份公司、重慶國科礎智信息技術有限公司、浪潮軟件科技有限公司、上海燧原科技股份有限公司、中國船舶集團有限公司綜合技術經(jīng)濟研究院、電子科技大學、北京航天自動控制研究所、中國兵器工業(yè)信息中心、鄭州阿帕斯數(shù)云信息科技有限公司。本文件主要起草人：范科峰、劉張宇、葉珩、董建、孟令中、徐洋、馬騁昊、吳庚、曾濤、方亮、饒雪、郝立強、游洪峰、王士寧、楊彤暉、溫曉玲、吳立金、李照川、王金超、姜夢岑、蔣燕、吳惠甲、李勁松、“人工智能風險管理”是一個廣泛的概念，它涵蓋了與人工智能相關的所有風險的管理，包括但不限于技術風險(如算法偏差、數(shù)據(jù)泄露等)、倫理風險(如算法歧視、意識形態(tài)侵蝕等)、應用風險(如系統(tǒng)被黑客攻擊、算法被用于欺騙等)和法律風險(如算法合規(guī)、知識侵權等)。本文件主要關注組織在應用人工智能系統(tǒng)時的風險管理能力，這些風險可能涉及系統(tǒng)的穩(wěn)定性、安全性、性能以及與其他系統(tǒng)的兼容性等方面。人工智能系統(tǒng)的風險管理是為了確保系統(tǒng)能按預期運行，并避免由于系統(tǒng)故障或漏洞而導致的潛在問題。本文件確定的風險管理過程，主要是在GB/T24353—2022圖1展示的風險管理過程的基礎上，充分吸收ISO/IEC23894對人工智能風險管理過程的描述，考慮《人工智能安全治理框架》提及的風險點，對組織風險管理時應當進行的活動，以及應具備的能力做了進一步細化。1人工智能風險管理能力評估本文件規(guī)定了組織的人工智能風險管理能力的級別與要求，描述了組織的人工智能風險管理能力的評估方法。本文件適用于指導評估人員對組織的人工智能風險管理能力進行評估。2規(guī)范性引用文件本文件沒有規(guī)范性引用文件。3術語和定義下列術語和定義適用于本文件。人工智能系統(tǒng)的機制和應用的研究與開發(fā)。針對人類定義的給定目標，產(chǎn)生諸如內(nèi)容、預測、推薦或決策等輸出的一類工程系統(tǒng)。不確定性對目標的影響。在風險方面指導和控制組織的協(xié)調(diào)活動。單獨或組合有可能產(chǎn)生風險的元素。風險管理過程框架中相關過程的集合。2能力域中相關風險管理活動的集合。能力項capabilityitem能力子域中構成能力模型的若干特性指標單項。能力項權重factorofcapabi對應能力項在所述能力子域評估中的權重因子。4人工智能風險管理能力框架與分級4.1人工智能風險管理能力框架人工智能風險管理能力框架包括風險管理策劃、風險溝通、風險評估、風險回顧6個能力域。各能力域由若干能力子域與能力項按照衡量相關能力所需維度進行規(guī)定，見表1。表1風險管理能力框架能力域能力子域能力項風險管理策劃確定領導作用進行資源協(xié)調(diào)指派職責定義人工智能風險管理活動范圍定義風險準則溝通與咨詢風險咨詢風險識別3表1風險管理能力框架(續(xù))能力域能力子域能力項制定和實施風險處理計劃風險報告4.2人工智能風險管理過程人工智能風險管理包括風險管理策劃、風險溝通、風險評估、風險處理、風險監(jiān)控、風險回顧6個過程域，見圖1。其中：——風險管理策劃，是風險管理的起始環(huán)節(jié)，涉及確定風險管理的范圍、環(huán)境和準地設計風險管理過程，風險管理策劃包括確定領導作用、制定風險政策等過程；——風險溝通，貫穿于風險管理的全過程，涉及組織內(nèi)部各級別之間以及組織與外部利益相關者之間的信息交流；——風險評估，是在風險管理策劃的基礎上進行，是對風險進行定性或量化分析的過程，旨在確定風險發(fā)生的可能性和影響程度，風險評估包括風險識別、風險分析和風險評價3個步驟，為風險處理提供決策依據(jù)；——風險處理，是組織根據(jù)風險評估的結(jié)果，制定并執(zhí)行風險應對策略和措施。風險處理旨在降低風險發(fā)生的可能性或減輕風險造成的損失；——風險監(jiān)控，是對風險管理活動進行持續(xù)跟蹤和監(jiān)測的過程，旨在及時發(fā)現(xiàn)并應對新的風險或原有風險的變化，風險監(jiān)控貫穿于風險管理的全過程；——風險回顧，是對風險管理策劃、風險評估、風險處理、風險溝通與風險監(jiān)控等其他5個過程域的風險管理活動與結(jié)果進行傳達，從而為組織提供決策信息，以改進其風險管理活動。4圖1人工智能風險管理過程4.3人工智能風險管理能力等級人工智能風險管理能力等級由低到高依次分為初始級、受管理級、穩(wěn)健級、5優(yōu)化級量化管理級受管理級初始級注：每個能力等級表明人工智能風險管理能力所達到的水平。較高的能力等級涵蓋了低于其能力等級的全部組織的風險管理能力等級由其人工智能風險管理能力總得分確定，具體等級劃分見表2。風險管取值范圍等級說明組織具備基本的人工智能風險管理能力。組織會應用一立系統(tǒng)的人工智能風險管理機制。風險管理往往以被動和臨管理結(jié)果不可預測且難以復制，通常更多地依賴于組織中人員的能力受管理級1.5≤得分<2.5組織具備可拓展的人工智能風險管理能力。組織意識要性，建立了基本的風險管理流程和機制。風險管理活動被明確、有足夠資源的人員，但多數(shù)風險管理活動還是基于過去經(jīng)驗的重復而缺乏體系2.5≤得分<3.5組織具備穩(wěn)定的人工智能風險管理能力。組織建立了制，風險管理活動可被標準化、協(xié)調(diào)和一致地推動。組織將為組織運作的關鍵要素，在決策和資源分配中給予重程中3.5≤得分<4.5組織具備優(yōu)秀的人工智能風險管理能力。組織建立了制，且持續(xù)根據(jù)內(nèi)外環(huán)境變化進行更新。組織應用定量和統(tǒng)和評估風險管理過程，風險管理被納入到組織的戰(zhàn)略規(guī)劃和偏好和政策得到了明確的闡述組織具備卓越的人工智能風險管理能力。組織建立了先程和機制，且持續(xù)根據(jù)內(nèi)外環(huán)境變化進行更新。在識別、監(jiān)測和應對風險過程中使用先進的技術工具，風險管理完全嵌入到組織的管理流程能力已成為行業(yè)標桿，可在整個行業(yè)內(nèi)分享最佳實踐的先進經(jīng)驗力以及風險回顧能力等各種人工智能風險管理能力的分級評64.5人工智能風險管理能力項確定領導作用能力包括下列內(nèi)容：a)確定組織方針：組織了解其內(nèi)部和外部環(huán)境，包括其在人工智能系統(tǒng)中的角色，以及這些角色如何影響其實現(xiàn)人工智能管理體系目標的能力，確定風險管理框架的設計原則；b)確定人工智能風險管理目標：組織確定人工智能風險管理目標，確保風險管理目標與組織的戰(zhàn)略目標一致；c)進行資源協(xié)調(diào)：領導確保提供所需的資源，建立并維護過程所需的組織機構和崗位的職責，包括人力、技能、經(jīng)驗和能力，以及風險管理所需的過程、方法和工具，支撐風險管理的實施與d)指派職責：領導確保負責風險管理的相關角色的權力、理的有效實施和持續(xù)改進。制定風險政策能力包括下列內(nèi)容：a)定義人工智能風險管理活動范圍：組織確定其風險管理活動的范圍，與組織的戰(zhàn)略目標和運營需求相一致；b)定義風險參數(shù)：定義用于風險管理的參數(shù)，包括用于風險分析、分類和排序的參數(shù)，以及用于控c)定義風險準則：組織規(guī)定其可能承擔或不承擔的風險的數(shù)量和類型，以及評估風險重要性和支持決策過程的標準；d)確定風險管理策略：確定人工智能風險管理活動的時機、方法和管理要求；e)確定風險儲備：確定人工智能相關風險的應急儲備和管理儲備。溝通與咨詢能力包括下列內(nèi)容。1)透明溝通：確保與人工智能相關的決策過程、風險評估結(jié)果和風險管理策略對內(nèi)外部利益相關者保持透明，包括清晰地傳達人工智能系統(tǒng)的預期用途、潛在風險、已采取的緩解措施以及在發(fā)生風險時的應對計劃；2)及時溝通：信息在風險管理過程的關鍵時刻及時傳達，以確保利益相關者能做出基于最新信息的決策；3)全面溝通：確保向利益相關者傳達信息同時收集和整合利益相關者的反饋和意見，溝通內(nèi)b)風險咨詢：1)利益相關方識別：識別所有可能受人工智能系統(tǒng)影響的內(nèi)外部利益相關方，確保這些利益相關方的觀點和利益在后續(xù)的風險管理流程中得到考慮；2)反饋機制：確保具備系統(tǒng)化的反饋流程，能收集利益相關者的意見及其對風險管理的3)多元化視角：確保咨詢過程中包含多樣化的觀點，增加風險管理的深度和廣度，組織能從7多角度審視風險。風險識別能力包括下列內(nèi)容：a)選擇風險識別工具/技術/方法：組織根據(jù)人工智能系統(tǒng)的特點和組織管理需求，建立風險識別的工具/技術/方法庫，選擇適合的工具/技術/方法來識別風險；b)識別人工智能風險源：組織識別與人工智能的開發(fā)或使用相關的風險源；c)識別風險后果：組織識別風險可能帶來的直接和間接后果，評估這些后果對組織目標、利益相關者以及社會環(huán)境的潛在影響。風險分析能力包括下列內(nèi)容：a)進行人工智能風險分類：組織根據(jù)不同維度明確風險分類準則，并進行分類，如：按內(nèi)部/外部擬等手段；c)進行風險影響分析：基于定性或定量方法，進行風險影響分析，如風險評價能力包括下列內(nèi)容：a)建立風險概率影響矩陣：根據(jù)風險概率分析和風險影響分析的結(jié)果，基于定性或定量方法，建立風險概率影響矩陣；b)確定風險優(yōu)先級：根據(jù)風險參數(shù)劃分等級(如高、中、低)并根據(jù)參數(shù)進行風險排序。風險應對能力包括下列內(nèi)容。a)選擇風險應對方案：基于風險評估結(jié)果和風險管理目標，根據(jù)風險優(yōu)先等級，選擇適合的風險b)制定和實施風險處理計劃：1)制定風險處理計劃：計劃內(nèi)容包括風險應對方案的理由、預期收益、涉及的實施及批準人2)實施風險處理計劃：按照風險處理計劃執(zhí)行風險應對措施，確保計劃的實施與組織目標和風險管理策略一致，定期監(jiān)控風險處理措施的效果，評估是否達到預期的降低風險的目標。基于監(jiān)控結(jié)果和業(yè)務環(huán)境的變化，定期審查，在必要時調(diào)整風險處理計劃。風險監(jiān)督與檢查能力包括下列內(nèi)容：a)風險監(jiān)督：收集風險管理信息、監(jiān)督風險處理措施的實施情況、記錄監(jiān)督過程中發(fā)生的問題和結(jié)果，并提供有利于促進風險管理過程持續(xù)改進的反饋；8b)風險檢查：對風險管理效果進行檢查，將檢查結(jié)果納入整個組織的績效管理中。風險記錄與報告能力包括下列內(nèi)容：b)風險報告：確定報告的方法、成本、頻率和及時性，傳達整個組織的風險管理活動和結(jié)果，從而改進風險管理活動。5人工智能風險管理能力評估5.1人工智能風險管理策劃能力評估開展確定領導作用能力子域的能力項評估時，應使用表3中規(guī)定的取值規(guī)則。表3確定領導作用能力子域取值規(guī)則能力項賦值區(qū)間組織將人工智能風險管理作為整體業(yè)務發(fā)展戰(zhàn)略的一智能風險管理相關的國際標準、國家標準及行業(yè)標準的制定，能評估現(xiàn)有人工智能風險管理策略方針和管理制度的適用性，對人工智能系統(tǒng)全生命周期制定完整的風險管理策略和風險應對方案，并明確組織的最高管理者對風險管理的組織將人工智能風險管理納入到組織整體風險管理領域，建立較規(guī)范的人工智能風險管理框架與流程低級別能力包括以下內(nèi)容：組織僅將人工智能風險管理納入組織整體風險管理領具備卓越的風險管理能力，能對新型風險進行識別，建立完善的風險應對措具備發(fā)展的風險管理能力，能對關鍵的、常見的1分～3分低級別能力包括以下內(nèi)容：具備基本的風險管理能力，能識別和應對重大風險進行資源協(xié)調(diào)a)人員：設置具備豐富風險管理經(jīng)驗的專職中高層風險理與考核機制結(jié)合；b)工具：使用專用軟件系統(tǒng)工具實現(xiàn)完善的9能力項賦值區(qū)間進行資源協(xié)調(diào)a)人員：設置具備一般風險管理能力的專職風險管理人險管理；b)工具：使用通用軟件系統(tǒng)工具支持基本的風低級別能力包括以下內(nèi)容：a)人員：未設專職風險管理人員，由其他職能的人員兼職度的風險管理活動；b)工具：使用通用軟件系統(tǒng)工具支持最低限度的風指派職責a)組織建立專門的風險管理委員會，定期向組織高級管展與風險管理情況，確保人工智能風險管理活動具有高優(yōu)先級；b)組織設置至少2名具備獨立性的專職風險管理人員，明確其權組織設置至少1名具備獨立性的專職風險管理人員，明低級別能力包括以下內(nèi)容：組織未設置專職風險管理人員，一般由不具備獨立性風險管理職責，其權力、責任、決策流程或問責機制未明確注：未達到以上能力最低評分要求或完全不具備該能力項功能的，評為0表4制定風險政策能力子域取值規(guī)則能力項賦值區(qū)間管理活動范圍a)領導參與：在定義人工智能風險管理活動范圍時，包參與和決策支持，以確保所有活動所需資源；b)一致性：在定義風險管理活動時，充分考慮了各項活動與組織風險管理目標以及組織戰(zhàn)略目標的一致性；c)全面性：充分考慮到風險管理活動需要貫穿組考慮到所有相關部門的協(xié)作和配合，確保全面覆蓋和有效應對；d)目標與結(jié)果：明確風險管理活動的目標與預期結(jié)果表4制定風險政策能力子域取值規(guī)則(續(xù))能力項賦值區(qū)間管理活動范圍a)領導參與：在定義人工智能風險管理活動范圍時，由中障重要活動所需資源；b)一致性：在定義風險管理活動時，大多數(shù)活動與組織風險管織戰(zhàn)略目標的一致性基本符合，少量活動的一致性存在偏離；c)全面性：考慮了部分重要相關部門之間的協(xié)作效應對；d)目標與結(jié)果：基本明確風險管理活動的目標與預期結(jié)果低級別能力包括以下內(nèi)容：a)領導參與：在定義人工智能風險管理活動范圍時，僅由項目經(jīng)理及項目團隊負責，缺乏重要活動所需資源的支持；b)一致性：在定義風險管理活動時，忽略了各項活動與組織戰(zhàn)險管理目標的一致性，甚至一致性存在顯著偏離；c)全面性：僅在部門內(nèi)部進行，未考慮跨部門的協(xié)作和配合，未做到全面覆蓋，無法有效應對；d)目標與結(jié)果：未明確或無法明確風險管理活動的目標或預期結(jié)果a)風險參數(shù)類別：風險參數(shù)涵蓋技術、財務、人力、設備、環(huán)境等5個及以上的b)風險參數(shù)邊界劃分：風險參數(shù)邊界劃分清晰；c)風險參數(shù)可用性：風險參數(shù)從技術和經(jīng)濟上來說，完全能獲得和可用；a)風險參數(shù)類別：風險參數(shù)涵蓋3分～5分(含)種維度；b)風險參數(shù)邊界劃分：風險參數(shù)邊界劃分基本清晰；c)風險參數(shù)可用性：風險參數(shù)從技術和經(jīng)濟上來說，基本能獲得和可用；1分～3分低級別能力包括以下內(nèi)容：a)風險參數(shù)類別：風險參數(shù)僅涵蓋1種～2種維度；b)風險參數(shù)邊界劃分：風險參數(shù)邊界劃分不清晰；c)風險參數(shù)可用性：風險參數(shù)從技術和經(jīng)濟上來說，難以獲得或可用；定義風險準則a)風險數(shù)量與類型：明確組織能接受或不可接受的風險錄B,并給出清晰的風險定義與閾值范圍；b)風險組合：能考慮到多種風險的組合、關聯(lián)以及順序；c)明確風險評估：清晰地確定了評估風險重要性和支持決策過程的標準；d)定義風險準則的頻度：在完成初始化之后，能按需、動態(tài)地進行風險準則的審查與修訂能力項賦值區(qū)間定義風險準則a)風險數(shù)量與類型：基本明確組織能接受或不可接型，見附錄B,能給出部分風險定義與閾值范圍；b)風險組合：能考慮到少數(shù)重要風險的組合、關聯(lián)以及順序；c)明確風險評估：部分確定了評估風險重要性和支持決策過程的標準；d)定義風險準則的頻度：在完成初始化之后，定期低級別能力包括以下內(nèi)容：a)風險數(shù)量與類型：未明確組織能接受或不可接受的風附錄B,風險定義與閾值范圍不清晰或無法給出；b)風險組合：未考慮到多種風險的組合、關聯(lián)以及順序；c)明確風險評估：未確定評估風險重要性和支持決策過程的標準；d)定義風險準則的頻度：在完成初始化之后，無a)風險管理的主動性：傾向于主動預測和管理風險，而才采取行動；主動定義不可接受的風險閾值，并制定風應對措施；b)風險管理全面性：考慮組織整體的風險狀況，覆蓋所有關鍵在風險源；c)風險管理的深度：對于每種風險，都進行深入的分析和評估，以確定其潛在影響、可能性、緊急性和閾值；d)風險管理的演進性：對風險管理工具、技術與方法不斷演進、創(chuàng)新，從而不斷提升組織的風險管理能力等級a)風險管理的主動性：當風險發(fā)生或接近閾值時，能迅速做出反應，并采取相應的措施來減輕風險的影響；b)風險管理全面性：針對組織內(nèi)的重要業(yè)務領域和主要風險源；c)風險管理的深度：對風險進行適度的分析和評估性和閾值；d)風險管理的演進性：能適應一定程度的環(huán)境變化低級別能力包括以下內(nèi)容：a)風險管理的主動性：僅在風險發(fā)生后才采取行動，而b)風險管理全面性：僅關注組織內(nèi)的某些局部領域或特定風險源；c)風險管理的深度：對風險進行基本的分析和評估，但不夠深入；d)風險管理的演進性：采用相對穩(wěn)定的風險管理表4制定風險政策能力子域取值規(guī)則(續(xù))能力項賦值區(qū)間對于人工智能可能造成的風險，在關注度和資源上付出與其可能造成的影響相低級別能力包括以下內(nèi)容：注：未達到以上能力最低評分要求或完全不具備該能力項功能的，評為0能力項賦值區(qū)間確保所有相關方及時、準確地理解人工智能相關風險信息。包括使用清晰、易懂的語言，根據(jù)不同受眾的理解水平和需求，采用適當議、報告、在線平臺)進行溝通等。在傳遞過程中，具備基本溝通能力，能向相關方提供大部分必要的準度和深度上存在一定的限制低級別能力包括以下內(nèi)容：溝通能力較弱，難以有效地向利益相關者傳達人工智能相致信息不完整、不準確風險咨詢能整合來自內(nèi)外部利益相關方的反饋和建議為組織和項目團隊提供全面的人工智能風險管理建議和解決方案。能通過深入分析和的戰(zhàn)略建議，幫助他們理解和應對人工智能系統(tǒng)可能面臨的各類風險具備基本的咨詢能力，能為組織和項目團隊提供一議。能識別并聯(lián)系一些關鍵的內(nèi)外部利益相關方，但在低級別能力包括以下內(nèi)容：咨詢能力有限，很少或沒有主動征求內(nèi)外部利益相關方意見，僅能就人工智能風險的基本問題提供簡單的建議，可能無法滿能力項賦值區(qū)間選擇風險識別a)工具清單：擁有完備且前沿的人工智能風險識別工具/附錄C,以確保涵蓋所有相關領域；能在現(xiàn)有工具/技術/方法的基礎上進行整合與創(chuàng)新，提出新的風險識別方法；b)運用能力：能根據(jù)實際場景，運用已經(jīng)掌握的人工智能風險術/方法，對每種風險提出2套或者以上的完整解決方案；c)匹配度和有效性：選擇的工具/技術/方法準確、適用，能高效地識別項目、a)工具清單：擁有較完備的人工智能風險識別工具/技術/方法清單；b)運用能力：能在實際場景中，運用已有的人工智能風險識別工法，對每種風險提出至少1套完整的解決方案；c)匹配度和有效性：選擇的工具/技術/方法部分準確、適用，能識別項目、產(chǎn)品或過程中的主要潛在風險低級別能力包括以下內(nèi)容：a)工具清單：擁有初步的人工智能風險識別工具/技術/方法清單，或無清單；b)運用能力：能簡單了解人工智能風險識別工具/技術/方法并進行運用；c)匹配度和有效性：選擇的工具/技術/方法不準確或不適用，能識別一些常對人工智能系統(tǒng)、人工智能技術原理、應用場錄B對人工智能系統(tǒng)及其風險源比較熟悉，能識別出常見的風險低級別能力包括以下內(nèi)容：對人工智能系統(tǒng)及其風險源有初步的認識和了解，但缺乏深相關方的后果影響；b)風險后果影響維度：能全面識別風險的財務影響(組織財務響)、運營影響(組織日常運營的影響)、法務影響(是否可能導致組織違反法律法規(guī)或面臨法律訴訟)、聲譽影響(對組織聲譽和品牌形象響(社會影響、倫理影響)等能力項賦值區(qū)間a)風險后果影響對象：能基本識別風險對系統(tǒng)、業(yè)務、組的后果影響；b)風險后果影響維度：能重點識別風險的財務影響(組織財務響)、運營影響(組織日常運營的影響)、法務影響(是否可能導致組織違反法律低級別能力包括以下內(nèi)容：a)風險后果影響對象：僅能識別風險對系統(tǒng)、業(yè)務的后果影響；b)風險后果影響維度：能基本識別風險的財務影響(組織財務響)、運營影響(組織日常運營的影響)等注：未達到以上能力最低評分要求或完全不具備該能力項功能的，評為0能力項賦值區(qū)間出眾的分類能力：能將面臨的風險進行詳細的分類，類別達到5個維度及以上，包括與傳統(tǒng)軟件系統(tǒng)相近的風險、人工智能系統(tǒng)數(shù)據(jù)結(jié)果能明確風險源和具體風險類型，直觀準確一般的分類能力：能將面臨的風險進行基本的分類度，包括與傳統(tǒng)軟件系統(tǒng)相近的風險、人工智能系統(tǒng)相關風險等，分類結(jié)果能明確風險源，但缺乏對具體風險類型的分類能力1分～3分低級別能力包括以下內(nèi)容：有限的分類能力：能將面臨的風險進行大致的分類，類度，包括人工智能系統(tǒng)相關風險、非人工智能系統(tǒng)相關風詳細區(qū)分不同的風險源或類型，且在風險多樣性能力項賦值區(qū)間a)分析方法：以定量分析為主，能在復雜數(shù)據(jù)環(huán)境下基于大量數(shù)據(jù)，熟練運用先進的統(tǒng)計方法和數(shù)據(jù)分析算法，對風險概率進行量化，對于不可量化的不確定性，即使缺乏精確的數(shù)據(jù)或統(tǒng)計方法，也能運用定性分析和專家判斷，對潛在的風險概率進行綜合評估和分析，從而為決策提供依據(jù)；b)分析因素：能深入分析單個風險因素，同時理解多個風險源聯(lián)和影響，進行多因素綜合分析，增強概率預測的全面性、準確性和可c)分析結(jié)果：得到量化的風險事件概率，并且具進行風險概率動態(tài)更新的能力，能及時調(diào)整預測模型，確基于當前的條件和最新的信息a)分析方法：定性與定量方法相結(jié)合，能通過定性分析性，并結(jié)合定量數(shù)據(jù)進行簡單的概率估計；b)分析因素：能理解并分析關鍵、重要的風險因素，并針對單一針對性的分析；c)分析結(jié)果：能將風險事件的概率分類為高、中、低三個等級低級別能力包括以下內(nèi)容：a)分析方法：能進行基本的定性分析(直觀判斷或非結(jié)構入的數(shù)據(jù)支持和詳細的量化分析；b)分析因素：能對直接和表面的風險因素進行分析，缺乏深入因素或其相互作用的能力；c)分析結(jié)果：僅能提供風險概率的大致估計，判斷風險事件發(fā)生的概率是否a)分析方法：以定量分析為主，能熟練運用先進的統(tǒng)法，對風險事件可能帶來的負面影響進行精確的量化險影響，能運用定性分析和專家判斷，對潛在的風險影響進行綜合評估和分析，從而為決策提供依據(jù)；b)分析維度：能綜合考慮財務、聲譽、運營、法律、環(huán)境等多個響，能分析風險事件的影響傳播鏈條，從而全面評估風險事件的總體負面c)分析結(jié)果：能得到量化的風險事件概率，全面、準確地預測風險對組織和系統(tǒng)的綜合影響a)分析方法：定性與定量方法相結(jié)合，能結(jié)合定性描述和險影響進行初步評估，使用案例分析、專家意見和歷史數(shù)據(jù)來進行風險的負面影響分析；b)分析維度：能分析部分影響維度，大致估計風險事件可能影關職能，但在分析的維度、層次、精度方面有所欠缺；c)分析結(jié)果：能將風險事件的影響分類為高、中、低三個等級1分～3分能力項賦值區(qū)間低級別能力包括以下內(nèi)容：a)分析方法：能依賴基本的定性分析(直觀判斷或非結(jié)構量化分析；b)分析維度：能分析有限的影響維度，對風險事件的負面影響的理解通常局限于最直接和顯著的影響，缺乏對可能發(fā)生的連鎖反應或更深層次影響的探討，不能充分理解風險事件在不同業(yè)務和操作層面上的潛在后果；c)分析結(jié)果：僅能關注最顯而易見的風險影響，注：未達到以上能力最低評分要求或完全不具備該能力項功能的，評為0能力項賦值區(qū)間a)矩陣：能建立二維、9個象限的風險概率影響矩陣，利刻度在矩陣中定位各風險的對應位置，支持對風險概率影響的定量分析；b)更新：能實時、動態(tài)地更新風險概率影響矩陣，并根據(jù)新的評險應對策略a)矩陣：能建立二維、9個象限的風險概率影響矩陣，能定性-定量相結(jié)合的分析；b)更新：能按月/周的頻度，對風險概率影響矩陣進1分～3分低級別能力包括以下內(nèi)容：a)矩陣：能建立二維、4個象限的風險概率影響矩陣，能基本的定性分析；b)更新：在完成風險概率影響矩陣初始化后，不概率影響評估：同時具備定量分析和定性分析的能力，對先級排序概率影響評估：基于定性-定量分析，對風險概率1分～3分低級別能力包括以下內(nèi)容：概率影響評估：基于定性分析，對風險概率影能力項賦值區(qū)間a)多樣化且主動的應對方案：針對高風險，能提出3的措施；b)成本效益分析：在選擇應對方案時，會綜合考慮成本、時間和資源投入，以及預期收益和潛在風險，確保選擇的方案在符合風險管有最佳的成本效益；保決策符合法律法規(guī)和組織的價值觀，在符合法果符合組織的長遠利益最大化原則a)基本的應對方案：針對高風險，能提出2種應對方案，方案基本明確、具體；b)基本成本效益分析：在選擇應對方案時，會考慮基本的成本效能缺乏深入的分析和比較；c)決策質(zhì)量：決策過程基本合理，但可能存在一些1分～3分低級別能力包括以下內(nèi)容：a)有限的應對方案：針對高風險，沒有應對方案，或只能案，但缺乏多樣性和靈活性，方案不明確、具體；b)成本效益分析：在選擇應對方案時，較少考慮成本效益因素，的資源浪費或收益不足；c)決策質(zhì)量：決策過程可能存在較多遺漏或誤判，決策結(jié)果可能不符合組織的利益最大化原則處理計劃高級別能力包括以下內(nèi)容。a)制定風險處理計劃：1)明確了風險處理責任人和主要的備援人員，以及各項參與相關活動的利益相關者；2)明確了具體的時間節(jié)點、活動優(yōu)先級排序、b)實施過程：1)團隊成員對風險處理計劃有深入的理解和認識；2)執(zhí)行流程清晰、高效，監(jiān)控機制完善，能及時發(fā)現(xiàn)和處理問題；3)應對措施能按時、高效執(zhí)行，并能在必要時能力項賦值區(qū)間處理計劃1)明確了風險處理責任人；2)明確了風險處理的具體時間節(jié)點，能保障重要活動所需資源。1)有部分團隊成員對風險處理計劃理解不夠深入；2)有明確的執(zhí)行流程，但執(zhí)行中可能存在小范圍的延誤或不足；1分～3分1)指定了各項參與相關活動的利益相關者，但無明確的風險處理責2)確定了風險處理可接受的時間范圍。1)團隊成員對風險處理計劃缺乏基本理解，認知存在較大偏差；2)實施過程混亂，缺乏明確的執(zhí)行流程；注：未達到以上能力最低評分要求或完全不具備該能力項功能的，評為0表10監(jiān)督與檢查能力子域取值規(guī)則能力項賦值區(qū)間a)監(jiān)督主體：有明確的責任機制，有專職部門或多名專和應急響應；b)監(jiān)督范圍：監(jiān)督大部分關鍵業(yè)務領域和潛在風險點，能涵80%及以上的人工智能風險源，并能動態(tài)、實時地擴險源清單；c)監(jiān)督頻度：實時或準實時風險監(jiān)督，確保對潛在風險變化的快速響應；d)監(jiān)督工具：建立符合法律法規(guī)的監(jiān)控系統(tǒng)，適應不斷變化的風險環(huán)境和法規(guī)要求；e)響應速度：設有快速響應機制，能在發(fā)現(xiàn)風險內(nèi)完成風險處理)能力項賦值區(qū)間a)監(jiān)督主體：有至少一名專職人員負責監(jiān)控和應急響應；b)監(jiān)督范圍：監(jiān)督重要關鍵業(yè)務領域和潛在風險點，能涵50%～80%的人工智能風險源，能定期擴充或更新人工智能風險源清單；c)監(jiān)督頻度：定期(如每日、每周)進行風險監(jiān)督；d)監(jiān)督工具：使用分析工具和模型，見附錄C,進行險處理措施的實施情況，定期對監(jiān)督模型進行審查和更新；e)響應速度：設有一定的響應機制，能在發(fā)現(xiàn)風險后采取相應措施(如8h~24h之間)低級別能力包括以下內(nèi)容：a)監(jiān)督主體：有兼職人員或無人員負責監(jiān)控或應急響應；b)監(jiān)督范圍：僅監(jiān)督少量關鍵業(yè)務領域和有限的風險點，僅能50%以下的人工智能風險源；c)監(jiān)督頻度：不定期或偶爾進行風險監(jiān)督；d)監(jiān)督工具：使用基本的分析方法，見附錄C,進行全人工的風險監(jiān)督，監(jiān)督工具或模型更新不頻繁，或僅在發(fā)現(xiàn)問題時進行調(diào)整；高級別能力包括以下內(nèi)容。a)風險檢查的覆蓋范圍：檢查深入、全面，涵蓋了80源，見附錄B,以及所有風險管理過程或活b)風險檢查的及時性：檢查及時，能在風險應對后24h內(nèi)完c)風險檢查的準確性：檢查結(jié)果準確、可靠，基于充分的數(shù)據(jù)和分d)風險檢查的實用性：檢查結(jié)果對風險管理和控價值的建議和改進措施。e)風險檢查的可靠性，檢查結(jié)果基于以下4項內(nèi)容：1)對人工智能系統(tǒng)使用的數(shù)據(jù)進行全面審計；2)對人工智能算法進行審查；3)對人工智能系統(tǒng)進行安全測試；4)評估人工智能系統(tǒng)在不同場景下的表現(xiàn)和風險。f)風險檢查績效管理：風險檢查的結(jié)果納入中高層領導、部門負責人以及團隊成員的績效考核a)風險檢查的覆蓋范圍：檢查較為全面，涵蓋了50%～80附錄B,以及關鍵風險管理過程或活動。b)風險檢查的及時性：檢查及時性尚可，能在風險應對后24h～72h內(nèi)完成。c)風險檢查的準確性：檢查結(jié)果基本準確，但可能存在一些誤差或不足。d)風險檢查的實用性：檢查結(jié)果對風險管理和控制有一定的貢獻，提供了一些建議和改進措施。e)風險檢查的可靠性，檢查結(jié)果是基于以下任意2項～3項：1)對人工智能系統(tǒng)使用的數(shù)據(jù)進行全面審計；2)對人工智能算法進行審查；3)對人工智能系統(tǒng)進行安全測試；4)評估人工智能系統(tǒng)在不同場景下的表現(xiàn)和風險。f)風險檢查績效管理：風險檢查的結(jié)果納入部門負責人與團隊成員的績效考核表10監(jiān)督與檢查能力子域取值規(guī)則(續(xù))能力項賦值區(qū)間a)風險檢查的覆蓋范圍：檢查全面性一般，僅涵蓋50%以b)風險檢查的及時性：檢查及時性一般，通常在72h以上完成。c)風險檢查的準確性：檢查結(jié)果可能存在較大的d)風險檢查的實用性：檢查結(jié)果對風險管理和控e)風險檢查的可靠性：檢查結(jié)果是基于以下0分~1分1)對人工智能系統(tǒng)使用的數(shù)據(jù)進行全面審計；2)對人工智能算法進行審查；3)對人工智能系統(tǒng)進行安全測試；4)評估人工智能系統(tǒng)在不同場景下的表現(xiàn)和風險。f)風險檢查績效管理：風險檢查的結(jié)果僅納入團隊成員的績效考核，或未納注：未達到以上能力最低評分要求或完全不具備該能力項功能的，評為0表11記錄與報告能力子域取值規(guī)則能力項賦值區(qū)間a)記錄工具：通過智能化項目管理系統(tǒng)建立、記錄和維護一蹤表，制定統(tǒng)一的風險記錄格式，確保所有風險記錄的一致性和可比性；b)記錄內(nèi)容：包括并不限于所分析人工智能系統(tǒng)的預期用途說明組織、風險評估人員、風險描述、風險識別過程、風險案等信息，能根據(jù)項目/產(chǎn)品的特點進行擴展，能保證險管理過程中的可追蹤性；a)記錄工具：通過基礎的項目管理工具建立、記錄和維險跟蹤表；b)記錄內(nèi)容：包括所分析人工智能系統(tǒng)的預期用途說明、風險評估評估人員、風險描述、風險識別過程、風險概率影響、風險應對預案等內(nèi)容；人員、風險描述、風險識別過程、風險概率影響、風險應對預案等部分內(nèi)容；能力項賦值區(qū)間風險報告b)報告頻度：根據(jù)項目需求，動態(tài)、實時地進行報告；的全過程納入組織過程資源中a)報告內(nèi)容：比較全面地描述風險處理全過程；b)報告頻度：在項目例會(如每日例會、周例會、雙周會等頻度)進行報告；c)風險管理復盤：團隊重要利益相關者參加，根據(jù)風險報告進行比較全面的復盤與分析，能形成會議紀要1分～3分低級別能力包括以下內(nèi)容：a)報告內(nèi)容：概要地描述風險處理過程；b)報告頻度：按月度以上頻度進行風險報告，缺乏時效性； (資料性)推薦權重設置能力域能力子域能力項能力項權重風險管理策劃(權重20%)確定領導作用(權重50%)進行資源協(xié)調(diào)指派職責(權重50%)定義人工智能風險管理活動范圍定義風險準則(權重10%)溝通與咨詢(權重100%)風險咨詢(權重25%)風險識別(權重40%)(權重30%)(權重30%)(權重20%)(權重100%)制定和實施風險處理計劃(權重15%)(權重100%)(權重10%)風險記錄與報告(權重100%)風險報告(資料性)風險源表B.1給出了人工智能風險源的分類。需求風險法律風險