分類法
AIMO 分類法提供一個結構化的分類系統,用於分類 AI 系統、其使用和相關治理要求。它由 8 個維度和 91 個代碼組成,使組織能夠進行一致的分類和證據管理。
目的
從稽核角度來看,分類法服務於三個主要目的:
-
可解釋性:提供共同詞彙來描述整個組織的 AI 使用案例,支援與稽核員和利害關係人的清晰溝通。
-
證據就緒:使用標準化分類系統地記錄 AI 系統,使證據收集和審查更加高效。
-
可比較性:允許組織使用一致的術語比較不同情境中的 AI 使用案例。
這不是什麼(不過度聲明)
!!! warning "重要" AIMO 標準支援可解釋性和證據就緒。它不提供法律建議、保證合規性或認證符合任何法規或框架。請參閱責任邊界了解詳情。
分類法僅是分類系統。它不會:
- 保證符合任何法律或法規
- 取代專業的法律、安全或合規建議
- 認證符合外部框架(ISO、NIST、歐盟 AI 法案等)
- 提供風險評估或控制建議
AI/代理式特定風險的範例(為什麼需要 AI 特定標準)
傳統安全控制(例如 ISMS)通常無法以可稽核解釋的方式捕捉 LLM/代理特定的故障模式和自主代理偏差(例如非預期工具執行、遞迴迴圈)。 AIMO 分類法提供共享語言來分類這些 AI 特定風險,並將它們連接到證據要求和補救工作流程。
(用於區分的參考範例。以下代碼是說明性佔位符;官方代碼系統遵循標準定義。) - AG-01 失控迴圈 / 遞迴 - AG-02 未授權工具使用(混淆代理人式濫用) - AG-03 權限邊界漂移
維度概述
AIMO 使用 8 個維度來分類 AI 使用案例。每個維度有唯一的 2 字母前綴。
| ID | 名稱 | 代碼數量 | 說明 |
|---|---|---|---|
| FS | 功能範圍 | 6 | 支援哪個業務功能 |
| UC | 使用案例類別 | 30 | 執行什麼類型的任務 |
| DT | 資料類型 | 10 | 涉及哪些資料分類 |
| CH | 通道 | 8 | 使用者如何存取 AI |
| IM | 整合模式 | 7 | AI 如何連接到企業系統 |
| RS | 風險面 | 8 | 相關的風險是什麼 |
| OB | 成果 / 效益 | 7 | 預期的效益是什麼 |
| LG | 日誌/記錄類型 | 15 | 需要什麼日誌/記錄 |
總計:8 個維度中的 91 個代碼(EV- 專用於 Evidence 成果物 ID;分類法日誌/記錄維度使用 LG-。)
使用規則
| 維度 | 選擇 | 稽核影響 |
|---|---|---|
| FS、IM | 正好 1 | 責任分配的主要分類 |
| UC、DT、CH、RS、LG | 1 或更多 | 風險覆蓋需要完整列舉 |
| OB | 0 或更多 | 選用;記錄預期的業務價值 |
維度定義
FS:功能範圍
按支援的業務功能分類 AI 使用。選擇正好一個。
| 代碼 | 標籤 | 定義 |
|---|---|---|
| FS-001 | 終端使用者生產力 | 用於提高內部終端使用者生產力的 AI(寫作、搜尋、摘要、會議記錄)。 |
| FS-002 | 面向客戶的功能 | 嵌入提供給客戶的產品/服務功能中的 AI。 |
| FS-003 | 開發人員工具 | 用於協助軟體開發和工程任務的 AI。 |
| FS-004 | IT 營運 | 用於 IT 營運和系統管理(監控、事件處理)的 AI。 |
| FS-005 | 安全營運 | 用於安全監控/回應(SOC、偵測、分類)的 AI。 |
| FS-006 | 治理與合規 | 用於支援治理/合規活動(政策、稽核證據)的 AI。 |
UC:使用案例類別
按任務或互動類型分類 AI 使用。選擇一個或多個。完整清單包含 30 個代碼;以下是代表性範例。
| 代碼 | 標籤 | 定義 |
|---|---|---|
| UC-001 | 一般問答 | 一般問答和對話使用。 |
| UC-002 | 摘要 | 摘要文件、會議或訊息。 |
| UC-003 | 翻譯 | 語言之間的翻譯。 |
| UC-004 | 內容起草 | 產生電子郵件、文件或報告的草稿。 |
| UC-005 | 程式碼產生 | 產生程式碼或腳本。 |
| UC-006 | 程式碼審查 | 審查程式碼的問題和改進。 |
| UC-009 | 搜尋/RAG | 基於 RAG 的檢索和問答。 |
| UC-010 | 代理式自動化 | 執行動作的自主或半自主代理。 |
請參閱字典了解完整的 30 個 UC 代碼清單。
DT:資料類型
分類涉及的資料敏感性和分類。選擇一個或多個。
| 代碼 | 標籤 | 定義 |
|---|---|---|
| DT-001 | 公開 | 公開可用且預期公開揭露的資料。 |
| DT-002 | 內部 | 非公開的內部業務資料。 |
| DT-003 | 機密 | 需要限制存取的高度敏感內部資料。 |
| DT-004 | 個人資料 | 適用隱私法定義的個人資料。 |
| DT-005 | 敏感個人資料 | 特殊類別/敏感個人資料。 |
| DT-006 | 憑證 | 驗證密鑰和憑證。 |
| DT-007 | 原始碼 | 原始碼和相關人工產物。 |
| DT-008 | 客戶資料 | 客戶提供或與客戶相關的資料。 |
| DT-009 | 營運日誌 | 用於監控和故障排除的營運或系統日誌。 |
| DT-010 | 安全遙測 | 警報和偵測等安全遙測。 |
CH:通道
分類使用者如何存取或與 AI 互動。選擇一個或多個。
| 代碼 | 標籤 | 定義 |
|---|---|---|
| CH-001 | Web UI | 透過 Web 使用者介面使用。 |
| CH-002 | API | 透過程式化 API 整合使用。 |
| CH-003 | IDE 外掛程式 | 透過 IDE/編輯器外掛程式使用。 |
| CH-004 | ChatOps | 透過聊天平台(Slack/Teams)整合使用。 |
| CH-005 | 桌面應用程式 | 透過原生桌面應用程式使用。 |
| CH-006 | 行動應用程式 | 透過原生行動應用程式使用。 |
| CH-007 | 電子郵件 | 透過電子郵件介面或電子郵件式自動化使用。 |
| CH-008 | 命令列 | 透過命令列介面使用。 |
IM:整合模式
分類 AI 如何整合到企業系統中。選擇正好一個。
| 代碼 | 標籤 | 定義 |
|---|---|---|
| IM-001 | 獨立 | 獨立使用,未整合到企業系統。 |
| IM-002 | SaaS 整合 | SaaS 應用程式整合 AI 功能。 |
| IM-003 | 企業應用程式嵌入 | AI 嵌入內部企業應用程式。 |
| IM-004 | RPA/工作流程 | AI 在工作流程自動化或 RPA 中呼叫。 |
| IM-005 | 內部部署 / 私有 | AI 託管在私有/內部部署環境。 |
| IM-006 | 受管服務 | 透過具有企業控制的受管服務使用。 |
| IM-007 | Shadow / 未受管理 | 在核准的治理控制之外使用。 |
RS:風險面
分類與 AI 使用相關的風險類型。選擇一個或多個。
| 代碼 | 標籤 | 定義 |
|---|---|---|
| RS-001 | 資料洩漏 | 非預期資料揭露的風險。 |
| RS-002 | 安全濫用 | 系統被濫用於惡意目的的風險。 |
| RS-003 | 合規違反 | 違反法律/法規/政策的風險。 |
| RS-004 | 智慧財產侵權 | 侵犯著作權/專利/營業秘密的風險。 |
| RS-005 | 模型濫用 | 不當模型使用或過度依賴的風險。 |
| RS-006 | 偏見/公平性 | 不公平或有偏見結果的風險。 |
| RS-007 | 安全性 | 有害內容或不安全建議的風險。 |
| RS-008 | 第三方風險 | 供應商、子處理者和模型提供者風險。 |
OB:成果 / 效益
分類 AI 使用的預期成果或效益。選用;選擇零個或多個。
| 代碼 | 標籤 | 定義 |
|---|---|---|
| OB-001 | 效率 | 改善時間/成本效率。 |
| OB-002 | 品質 | 改善產出的品質/準確性。 |
| OB-003 | 營收 | 貢獻營收成長。 |
| OB-004 | 風險降低 | 降低營運/安全/合規風險。 |
| OB-005 | 創新 | 實現新能力或創新。 |
| OB-006 | 客戶滿意度 | 改善客戶滿意度。 |
| OB-007 | 員工體驗 | 改善員工體驗。 |
LG:日誌/記錄類型
分類需要或收集的日誌/記錄類型。選擇一個或多個。(EV- 專用於 Evidence 成果物 ID。)
| 代碼 | 標籤 | 定義 |
|---|---|---|
| LG-001 | 請求記錄 | AI 使用/服務已請求並描述的證據。 |
| LG-002 | 審查/核准記錄 | 已執行審查/核准的證據。 |
| LG-003 | 例外記錄 | 已授予並追蹤例外的證據。 |
| LG-004 | 續期/重新評估記錄 | 已發生續期或重新評估的證據。 |
| LG-005 | 變更日誌條目 | 變更及其核准的證據。 |
| LG-006 | 完整性證明 | 完整性(雜湊、簽章、WORM)的證據。 |
| LG-007 | 存取日誌 | 存取控制和存取歷史的證據。 |
| LG-008 | 模型/服務清冊 | 使用的模型/服務的清冊記錄。 |
| LG-009 | 風險評估 | 使用/服務的記錄風險評估。 |
| LG-010 | 控制對應 | 與外部框架的控制對應證據。 |
| LG-011 | 培訓/指引 | 提供給使用者的培訓或指引證據。 |
| LG-012 | 監控證據 | 監控和持續監督的證據。 |
| LG-013 | 事件記錄 | 與 AI 使用相關的事件處理證據。 |
| LG-014 | 第三方評估 | 供應商或第三方評估的證據。 |
| LG-015 | 證明/簽核 | 正式證明或簽核記錄。 |
如何使用
與證據的關係
每個證據文件參照來自多個維度的代碼,以分類正在記錄的 AI 系統或使用案例。8 維度分類實現:
- 整個組織的一致分類
- 按維度值的基於風險的篩選
- 透過覆蓋範圍對應的框架對應
參照字典
如需完整的代碼定義,包括範圍說明和範例,請參閱字典。
分類範例
FS: FS-001 (終端使用者生產力)
UC: UC-001 (一般問答), UC-002 (摘要)
DT: DT-002 (內部), DT-004 (個人資料)
CH: CH-001 (Web UI)
IM: IM-002 (SaaS 整合)
RS: RS-001 (資料洩漏), RS-003 (合規違反)
OB: OB-001 (效率)
LG: LG-001 (請求記錄), LG-002 (審查/核准記錄)
SSOT 參照
!!! info "事實來源"
權威定義是 source_pack/03_taxonomy/taxonomy_dictionary_v0.1.csv。本頁是解釋性的。請參閱在地化指南了解更新工作流程。