分类法
AIMO 分类法提供了一个结构化的分类系统,用于对AI系统、其使用和相关治理要求进行分类。它由 8个维度 和 91个代码 组成,能够在组织内实现一致的分类和证据管理。
目的
从审计角度来看,分类法有三个主要目的:
-
可解释性:提供描述整个组织AI用例的通用词汇,支持与审计师和利益相关者的清晰沟通。
-
证据就绪:使用标准化分类系统地记录AI系统,使证据收集和审查更加高效。
-
可比性:允许组织使用一致的术语跨不同上下文比较AI用例。
这不是什么(不过度声明)
!!! warning "重要提示" AIMO 标准支持可解释性和证据就绪。它不提供法律建议、保证合规或认证符合任何法规或框架。详情请参阅 责任边界。
分类法仅是一个分类系统。它不:
- 保证符合任何法律或法规
- 替代专业法律、安全或合规建议
- 认证符合外部框架(ISO、NIST、欧盟AI法案等)
- 提供风险评估或控制建议
AI/代理式特定风险示例(为什么需要AI特定标准)
传统安全控制(例如ISMS)通常无法以审计可解释的方式捕获LLM/代理特定的故障模式和自主代理偏差(例如意外工具执行、递归循环)。 AIMO 分类法提供了一种共享语言来分类这些AI特定风险,并将它们与证据要求和整改工作流程联系起来。
(用于区分的参考示例。以下代码是说明性占位符;官方代码系统遵循标准定义。) - AG-01 失控循环/递归 - AG-02 未授权工具使用(混淆代理式滥用) - AG-03 权限边界漂移
维度概述
AIMO 使用8个维度对AI用例进行分类。每个维度都有唯一的2字母前缀。
| ID | 名称 | 代码数量 | 描述 |
|---|---|---|---|
| FS | 功能范围 | 6 | 支持哪个业务功能 |
| UC | 用例类别 | 30 | 执行什么类型的任务 |
| DT | 数据类型 | 10 | 涉及什么数据分类 |
| CH | 渠道 | 8 | 用户如何访问AI |
| IM | 集成模式 | 7 | AI如何连接到企业系统 |
| RS | 风险面 | 8 | 关联什么风险 |
| OB | 结果/收益 | 7 | 期望什么收益 |
| LG | 日志/记录类型 | 15 | 需要什么日志/记录 |
总计:8个维度下的91个代码(EV- 专用于 Evidence 成果物 ID;分类法日志/记录维度使用 LG-。)
使用规则
| 维度 | 选择 | 审计含义 |
|---|---|---|
| FS, IM | 恰好1个 | 用于责任分配的主要分类 |
| UC, DT, CH, RS, LG | 1个或多个 | 风险覆盖需要完整枚举 |
| OB | 0个或多个 | 可选;记录预期业务价值 |
维度定义
FS:功能范围
按AI支持的业务功能对AI使用进行分类。选择恰好一个。
| 代码 | 标签 | 定义 |
|---|---|---|
| FS-001 | 最终用户生产力 | 用于提高内部最终用户生产力的AI(写作、搜索、摘要、会议记录)。 |
| FS-002 | 面向客户的功能 | 嵌入在向客户提供的产品/服务功能中的AI。 |
| FS-003 | 开发者工具 | 用于辅助软件开发和工程任务的AI。 |
| FS-004 | IT运营 | 用于IT运营和系统管理的AI(监控、事件处理)。 |
| FS-005 | 安全运营 | 用于安全监控/响应的AI(SOC、检测、分类)。 |
| FS-006 | 治理与合规 | 用于支持治理/合规活动的AI(政策、审计证据)。 |
UC:用例类别
按任务或交互类型对AI使用进行分类。选择一个或多个。 完整列表包括30个代码;以下是代表性示例。
| 代码 | 标签 | 定义 |
|---|---|---|
| UC-001 | 通用问答 | 通用问答和对话使用。 |
| UC-002 | 摘要 | 对文档、会议或消息进行摘要。 |
| UC-003 | 翻译 | 语言之间的翻译。 |
| UC-004 | 内容起草 | 为电子邮件、文档或报告生成草稿。 |
| UC-005 | 代码生成 | 生成代码或脚本。 |
| UC-006 | 代码审查 | 审查代码的问题和改进。 |
| UC-009 | 搜索/RAG | 基于RAG的检索和问答。 |
| UC-010 | 代理式自动化 | 执行操作的自主或半自主代理。 |
请参阅 字典 获取30个UC代码的完整列表。
DT:数据类型
对涉及数据的敏感性和分类进行分类。选择一个或多个。
| 代码 | 标签 | 定义 |
|---|---|---|
| DT-001 | 公开 | 公开可用并打算公开披露的数据。 |
| DT-002 | 内部 | 非公开的内部业务数据。 |
| DT-003 | 机密 | 需要限制访问的高度敏感内部数据。 |
| DT-004 | 个人数据 | 适用隐私法定义的个人数据。 |
| DT-005 | 敏感个人数据 | 特殊类别/敏感个人数据。 |
| DT-006 | 凭证 | 身份验证密钥和凭证。 |
| DT-007 | 源代码 | 源代码和相关工件。 |
| DT-008 | 客户数据 | 客户提供或客户相关的数据。 |
| DT-009 | 运营日志 | 用于监控和故障排除的运营或系统日志。 |
| DT-010 | 安全遥测 | 安全遥测,如警报和检测。 |
CH:渠道
对用户如何访问或与AI交互进行分类。选择一个或多个。
| 代码 | 标签 | 定义 |
|---|---|---|
| CH-001 | Web UI | 通过Web用户界面使用。 |
| CH-002 | API | 通过编程API集成使用。 |
| CH-003 | IDE 插件 | 通过IDE/编辑器插件使用。 |
| CH-004 | ChatOps | 通过聊天平台(Slack/Teams)集成使用。 |
| CH-005 | 桌面应用 | 通过原生桌面应用程序使用。 |
| CH-006 | 移动应用 | 通过原生移动应用程序使用。 |
| CH-007 | 电子邮件 | 通过电子邮件界面或基于电子邮件的自动化使用。 |
| CH-008 | 命令行 | 通过命令行界面使用。 |
IM:集成模式
对AI如何集成到企业系统进行分类。选择恰好一个。
| 代码 | 标签 | 定义 |
|---|---|---|
| IM-001 | 独立 | 独立使用,不集成到企业系统。 |
| IM-002 | SaaS 集成 | SaaS应用程序集成AI功能。 |
| IM-003 | 企业应用嵌入 | AI嵌入到内部企业应用程序中。 |
| IM-004 | RPA/工作流 | 在工作流自动化或RPA中调用AI。 |
| IM-005 | 本地/私有 | AI托管在私有/本地环境中。 |
| IM-006 | 托管服务 | 通过具有企业控制的托管服务使用。 |
| IM-007 | 影子/非托管 | 在批准的治理控制之外使用。 |
RS:风险面
对与AI使用相关的风险类型进行分类。选择一个或多个。
| 代码 | 标签 | 定义 |
|---|---|---|
| RS-001 | 数据泄露 | 意外数据披露的风险。 |
| RS-002 | 安全滥用 | 系统被滥用于恶意目的的风险。 |
| RS-003 | 合规违规 | 违反法律/法规/政策的风险。 |
| RS-004 | 知识产权侵权 | 侵犯版权/专利/商业秘密的风险。 |
| RS-005 | 模型滥用 | 不当使用模型或过度依赖的风险。 |
| RS-006 | 偏见/公平性 | 不公平或有偏见结果的风险。 |
| RS-007 | 安全性 | 有害内容或不安全建议的风险。 |
| RS-008 | 第三方风险 | 供应商、子处理者和模型提供商风险。 |
OB:结果/收益
对AI使用的预期结果或收益进行分类。可选;选择零个或多个。
| 代码 | 标签 | 定义 |
|---|---|---|
| OB-001 | 效率 | 提高时间/成本效率。 |
| OB-002 | 质量 | 提高输出的质量/准确性。 |
| OB-003 | 收入 | 促进收入增长。 |
| OB-004 | 风险降低 | 降低运营/安全/合规风险。 |
| OB-005 | 创新 | 实现新功能或创新。 |
| OB-006 | 客户满意度 | 提高客户满意度。 |
| OB-007 | 员工体验 | 改善员工体验。 |
LG:日志/记录类型
对需要或收集的日志/记录类型进行分类。选择一个或多个。(EV- 专用于 Evidence 成果物 ID。)
| 代码 | 标签 | 定义 |
|---|---|---|
| LG-001 | 请求记录 | AI使用/服务被请求和描述的证据。 |
| LG-002 | 审查/批准记录 | 进行了审查/批准的证据。 |
| LG-003 | 例外记录 | 例外被授予和跟踪的证据。 |
| LG-004 | 续期/重新评估记录 | 发生续期或重新评估的证据。 |
| LG-005 | 变更日志条目 | 变更及其批准的证据。 |
| LG-006 | 完整性证明 | 完整性证据(哈希、签名、WORM)。 |
| LG-007 | 访问日志 | 访问控制和访问历史的证据。 |
| LG-008 | 模型/服务清单 | 使用的模型/服务的清单记录。 |
| LG-009 | 风险评估 | 使用/服务的书面风险评估。 |
| LG-010 | 控制映射 | 与外部框架的控制映射证据。 |
| LG-011 | 培训/指导 | 向用户提供培训或指导的证据。 |
| LG-012 | 监控证据 | 监控和持续监督的证据。 |
| LG-013 | 事件记录 | 与AI使用相关的事件处理证据。 |
| LG-014 | 第三方评估 | 供应商或第三方评估的证据。 |
| LG-015 | 证明/签字 | 正式证明或签字记录。 |
如何使用
与证据的关系
每个证据文档引用来自多个维度的代码,以对正在记录的AI系统或用例进行分类。8维分类实现:
- 整个组织的一致分类
- 按维度值进行基于风险的筛选
- 通过覆盖映射进行框架映射
参考字典
有关完整的代码定义,包括范围说明和示例,请参阅 字典。
分类示例
FS: FS-001 (最终用户生产力)
UC: UC-001 (通用问答), UC-002 (摘要)
DT: DT-002 (内部), DT-004 (个人数据)
CH: CH-001 (Web UI)
IM: IM-002 (SaaS 集成)
RS: RS-001 (数据泄露), RS-003 (合规违规)
OB: OB-001 (效率)
LG: LG-001 (请求记录), LG-002 (审查/批准记录)
SSOT 参考
!!! info "事实来源"
权威定义是 source_pack/03_taxonomy/taxonomy_dictionary_v0.1.csv。本页是解释性的。有关更新工作流程,请参阅 本地化指南。