责任边界
本页定义 AIMO 标准提供和不提供什么、它做出的假设以及采用者的责任。
AIMO 标准提供什么
- 结构化的证据格式:AI治理证据的模式、模板和分类法。
- 可追溯性框架:基于生命周期的证据链接(请求 → 审查 → 例外 → 续期)。
- 可解释性支持:与外部框架的覆盖映射,用于审计讨论。
- 验证工具:用于结构一致性检查的参考验证器和规则。
- 文档:规范性规范、示例和指南。
AIMO 标准不提供什么
| 超出范围 | 解释 |
|---|---|
| 法律建议 | AIMO 不解释法律或法规。请咨询合格的法律顾问以获取监管合规。 |
| 合规认证 | 使用 AIMO 不能证明符合任何法规或框架(ISO 42001、欧盟AI法案、NIST AI RMF 等)。 |
| 风险评估 | AIMO 构建证据但不执行或验证AI风险评估。 |
| 技术控制 | AIMO 不实施访问控制、加密或其他安全控制;它记录期望。 |
| 审计执行 | AIMO 为审计师提供材料但不进行审计。 |
| AI模型评估 | AIMO 不评估模型性能、偏见或安全性。 |
假设
AIMO 标准假设:
- 采用者有治理流程:存在请求、审查、批准和例外工作流程。
- 采用者维护证据:证据由采用者的系统创建、存储和保留。
- 采用者根据权威文本验证:使用覆盖映射时,采用者检查原始框架或法规。
- 工具是可选的:参考验证器是便利工具;采用者可以使用自己的验证。
采用者责任
| 责任 | 描述 |
|---|---|
| 证据创建 | 生成与 EV 模式对齐的准确、及时的证据记录。 |
| 证据存储和保留 | 使用适当的访问控制和保留期限安全存储证据。 |
| 完整性和访问控制 | 实施控制(哈希、WORM、审计日志)以保护证据完整性。 |
| 法律验证 | 根据权威法律文本验证合规声明,并根据需要获取法律建议。 |
| 持续对齐 | 随着 AIMO 标准版本和外部框架的发展更新证据和映射。 |
| 审计准备 | 在提交给审计师之前打包证据包并运行验证。 |
RACI 矩阵
以下 RACI 矩阵澄清了 AIMO 标准、采用者和审计师角色的责任。
| 活动 | AIMO 标准 | 采用者 | 审计师 |
|---|---|---|---|
| 定义证据模式和模板 | R/A | I | I |
| 创建证据记录 | — | R/A | I |
| 存储和保留证据 | — | R/A | I |
| 实施访问控制 | — | R/A | I |
| 实施完整性控制(哈希、WORM) | — | R/A | I |
| 对包运行验证器 | C | R/A | C |
| 打包提交(zip、校验和) | C | R/A | I |
| 验证校验和(sha256) | — | C | R/A |
| 验证包结构(验证器) | — | C | R/A |
| 解释监管要求 | — | R/A | C |
| 发布审计结论 | — | — | R/A |
| 提供法律建议 | — | — | — |
图例:R = 负责、A = 问责、C = 咨询、I = 知情、— = 不适用
!!! note "关键要点" AIMO 标准负责定义格式。采用者负责创建、存储和验证证据。审计师负责验证提交和发布审计结论。
!!! warning "非认证声明" AIMO 标准是参考性的;它不认证合规或提供法律建议。审计结论和符合性评估是合格审计师和法律专业人员的唯一责任。
不过度声明声明
!!! warning "重要提示" AIMO 标准支持可解释性和证据就绪。它不提供法律建议、保证合规或认证符合任何法规或框架。采用者必须根据权威文本验证声明,并在适当时获取专业建议。
此声明适用于所有 AIMO 标准文档,包括信任包、证据包、最低证据要求、覆盖映射和发布。