家峻熙
大多数公司每年都对记录数据系统进行IT审核,但审核人工智能和大数据,同时确保它们符合足够的安全和治理要求却是一项有待完善的工作。
好消息是,许多公司已经有诸多实践成果可运用于AI和大数据,这些实践体现在可适用于AI和大数据的IT政策和程序中。在专业审核公司提供的AI和大数据服务很有限时,这一切极有帮助。以下是公司可以用来自我审核AI和大数据的问题和方法。
1.数据来源
许多公司从业务运营获取自己的数据,但也从外部供应商处购买和使用数据,用于AI和分析。在将数据用于AI和分析之前,应评估来自外部的所有数据的可信度和数据质量。审核来自第三方的数据应该是每份采购需求表(RFP)的一部分。
2.数据隐私
您可能与客户谈妥了自己的数据隐私规则和协议,但是面对可能没有同样数据隐私标准的外部业务合作伙伴时,这些数据隐私权会面临问题。在这种情况下,不仅IT部门应该有确保数据隐私的政策和程序,公司法务和合规部门也应该有这类政策和程序,以确保其数据可能被使用、匿名或共享的客户了解这一事实。
3.锁定程序
物联网和边缘计算设备将日益为系统带来非结构化大数据。由于这些是移动的分布式设备,它们很容易丢失、中招或放错地方。至少,IT部门应该有一种方法来跟踪这些设备及使用情况,一旦被报告丢失或放错地方就锁起来。
4.所有IT系统是否都符合安全设置
许多边缘计算和物联网设备以及路由器和集线器都有厂商的默认安全设置,它们不符合企业安全标准。作为安装过程的一部分,IT部门应添加这一步:检查默认安全设置,然后将其设为企业安全设置之后再部署。
5.数据筛选
适当级别的数据清理应落实到位,可能涉及数据丢弃、数据规范以及使用提取转换加載(ETL)工具等。这是为了确保进入您的分析和AI系统的数据尽可能“干净”、准确。
6. AI的确定性
AI系统中使用的算法和数据在不断变化,因此对AI而言今天正确的假设明天可能不适用了。AI还可能含有无法立即检测到的偏误。因此,监控和修改AI算法、查询和数据的流程必须是持续不断的。应落实一套AI程序,用于定期调整AI数据和操作。
7.设置权限
所有大数据存储库以及AI和分析系统都应进行24×7全天候监控,以确保只有授权使用数据和系统的用户才能访问它们。
8.评估
至少应每年评估一次AI系统,以确认它们满足业务的需求和使命。如果未满足,应修改或丢弃它们。
9.故障切换
如果您将AI操作嵌入到业务流程中,灾难恢复计划应考虑到这些系统无法运行的情况。如果系统出现停机,您会怎么做?有快速上线的备份系统吗?还是一套手动程序(以及知道如何执行这些程序的员工)可以接过任务,直至AI系统恢复过来?公司能否将AI做出的决策推迟到系统恢复正常?要为IT和业务部门明确列出停机后应采取的一套程序。