ISACA Journal | 填补AI领域的网络安全实践空白：现状、差距与未来展望

自从OpenAI的ChatGPT出现以来，随着一系列其他面向消费者和企业的人工智能（AI）产品的出现，AI作为一种技术趋势得到了广泛的宣传和关注。

许多评论员只关注到AI目前作为一个流行词汇的突出地位，很少关注其技术和定义细节。但实际上，真正的AI、神经网络与仅仅算是高级决策工具之间存在区别，正如生成式AI（如ChatGPT）与解释性AI之间有差异一样。为了简化表述，作者认为AI涵盖了所有这些技术，它们在为任何业务或技术流程增加复杂程度方面超越了传统软件工具的范畴。

科技界在充分理解和把握AI的全部潜力及其局限性上还有很长的路要走。关于AI，不仅需要不断思考与重新思考其在商业模式和使用技术方面的方法，还需要确保AI所涉及的所有事物的安全性和可信度。

探讨特定的网络安全风险管理实践及现行法规如何旨在预先防范并限制对用户和利益相关者的风险，以及它们如何满足或未能满足这一战略反思的需求，是很有价值的。在实施或部署任何AI方案时，创建安全和隐私风险管理基线都需要一些根本性的考量。当明确了这个基线后，用户就能充分利用AI为治理、风险和合规（GRC）带来的机遇。

现有及不断演进的监管和风险管理架构

网络安全和风险管理方法可分为两大类：政府发布的法规和自愿采纳的最佳实践。当然，这两者之间存在重叠。例如，政府部门或供应商可能需要遵循既有的框架，遵循由政府机构发布的最佳实践目录，以及政府推荐的原则和问卷，这些可被视为事实上的规则。

政府发布的法规旨在广泛确保个人权益得到尊重，且商业行为或失败不会危及社会或经济稳定。这包括减少因网络安全事件导致的重大业务失败风险，此类事件的影响可能远远超出组织自身的生存范围。通常，法规采取高层次视角，设立防护规范，旨在防止疏忽或滥用行为的发生。