責任邊界
本頁定義 AIMO 標準提供和不提供的內容、它做出的假設,以及採用者的責任。
AIMO 標準提供的內容
- 結構化證據格式:AI 治理證據的結構描述、範本和分類法。
- 可追溯性框架:基於生命週期的證據連結(request → review → exception → renewal)。
- 可解釋性支援:與外部框架的覆蓋範圍對應,用於稽核討論。
- 驗證工具:結構一致性檢查的參考驗證器和規則。
- 文件:規範性規格、範例和指引。
AIMO 標準不提供的內容
| 範圍外 | 說明 |
|---|---|
| 法律建議 | AIMO 不解釋法律或法規。請諮詢合格的法律顧問以確保法規合規性。 |
| 合規認證 | 使用 AIMO 不會認證符合任何法規或框架(ISO 42001、歐盟 AI 法案、NIST AI RMF 等)。 |
| 風險評估 | AIMO 結構化證據但不執行或驗證 AI 風險評估。 |
| 技術控制 | AIMO 不實施存取控制、加密或其他安全控制;它記錄期望。 |
| 稽核執行 | AIMO 為稽核員提供材料但不進行稽核。 |
| AI 模型評估 | AIMO 不評估模型效能、偏見或安全性。 |
假設
AIMO 標準假設:
- 採用者有治理流程:請求、審查、核准和例外工作流程已存在。
- 採用者維護證據:證據由採用者的系統建立、儲存和保留。
- 採用者對照權威文本驗證:使用覆蓋範圍對應時,採用者檢查原始框架或法規。
- 工具是選用的:參考驗證器是便利工具;採用者可以使用自己的驗證。
採用者責任
| 責任 | 說明 |
|---|---|
| 證據建立 | 產生符合 EV 結構描述的準確、及時證據記錄。 |
| 證據儲存與保留 | 以適當的存取控制和保留期限安全儲存證據。 |
| 完整性與存取控制 | 實施控制(雜湊、WORM、稽核日誌)以保護證據完整性。 |
| 法律驗證 | 對照權威法律文本驗證合規聲明,並視需要取得法律建議。 |
| 持續對齊 | 隨著 AIMO 標準版本和外部框架演進更新證據和對應。 |
| 稽核準備 | 在提交給稽核員之前打包證據包並執行驗證。 |
RACI 矩陣
以下 RACI 矩陣釐清 AIMO 標準、採用者和稽核員角色之間的責任。
| 活動 | AIMO 標準 | 採用者 | 稽核員 |
|---|---|---|---|
| 定義證據結構描述和範本 | R/A | I | I |
| 建立證據記錄 | — | R/A | I |
| 儲存和保留證據 | — | R/A | I |
| 實施存取控制 | — | R/A | I |
| 實施完整性控制(雜湊、WORM) | — | R/A | I |
| 對套件執行驗證器 | C | R/A | C |
| 打包提交(zip、校驗和) | C | R/A | I |
| 驗證校驗和(sha256) | — | C | R/A |
| 驗證套件結構(驗證器) | — | C | R/A |
| 解釋法規要求 | — | R/A | C |
| 發布稽核結論 | — | — | R/A |
| 提供法律建議 | — | — | — |
圖例:R = 負責、A = 當責、C = 諮詢、I = 通知、— = 不適用
!!! note "關鍵要點" AIMO 標準負責定義格式。採用者負責建立、儲存和驗證證據。稽核員負責驗證提交和發布稽核結論。
!!! warning "非認證聲明" AIMO 標準是參考性的;它不認證合規性或提供法律建議。稽核結論和符合性評估是合格稽核員和法律專業人員的唯一責任。
不過度聲明聲明
!!! warning "重要" AIMO 標準支援可解釋性和證據就緒。它不提供法律建議、保證合規性或認證符合任何法規或框架。採用者必須對照權威文本驗證聲明並視情況取得專業建議。
此聲明適用於所有 AIMO 標準文件,包括信任套件、證據包、最低證據要求、覆蓋範圍對應和發布。