一日内可能发布多篇推送,推荐标星⭐本号,避免错过数据合规新鲜资讯~
来源:全国网安标委
1.范围
本文件提供了生成式人工智能服务安全事件的分类、分级建议以及安全应急响应过程的管理措施和技术方法,适用于生成式人工智能服务提供者开展安全应急响应活动。
列出了构成本文件不可缺少条款的引用文件,包括信息安全事件管理原理和网络安全事件分类分级指南等。
定义了与本实践指南相关的术语,如生成式人工智能服务、服务提供者、违法不良信息和生成式人工智能服务安全事件等。
描述了生成式人工智能技术的快速发展带来的安全问题,以及制定专门针对生成式人工智能服务的安全应急响应标准的必要性。
5.1 分类方法 按照GB/T 20986-2023的分类方法,将生成式人工智能服务安全事件分为信息内容安全事件、数据安全事件、网络攻击事件等10类。 5.2 常见生成式人工智能服务安全事件 列出了常见的生成式人工智能服务安全事件,包括信息内容安全事件、数据安全事件和网络攻击事件等。
根据事件影响对象的重要程度、业务损失的严重程度和社会危害的严重程度三个要素进行分级,将安全事件分为特别重大事件、重大事件、较大事件和一般事件。
7.1 应急准备 包括应急策略制定、安全事件管理计划、应急响应预案、事件升级策略和程序、上下线管理审查程序、事件响应小组(IRT)的建立、培训和技术支持等。 7.2 监测预警 涉及监测策略制定、预警机制建立、快速响应机制建立、实时监测、数据分析和安全预警等。 7.3 应急处置 包括评估与决策、启动应急响应预案、应急调度、排查与诊断、处理与恢复、服务测试评估、事件关闭和服务上线管理审查等。 7.4 总结改进 涉及应急响应工作总结、审核、改进、经验反馈机制、模拟测试、技术审计和知识管理和更新等。
提供了两个典型案例,包括信息内容安全事件中的歧视性信息生成事件和虚假信息生成事件的安全应急响应案例,展示了应急响应的全过程。
