如今，人工智能已经不再是一项实验性技术，而是正全面融入企业的业务流程之中，从自动与客户互动到加速药物发现。然而，人工智能技术的快速应用也伴随着潜在风险：如果缺乏有效的治理，企业将面临合规、数据滥用、算法偏见和声誉受损等多重挑战。企业需要一个有效的治理机制确保自己能够在快速变化的市场中拥抱人工智能，同时保持客户信任、合规和业务韧性。

治理滞后：AI应用走在了规则之前

尽管一些政府和行业团体迅速行动，例如欧盟推出了《人工智能法》，但人工智能技术的普及速度已经超过了监管步伐，导致许多企业对人工智能的使用缺乏明确规范，面临违规而产生法律责任的潜在风险。

影响人工智能使用的另一个因素是技术的平民化。以往的技术，如数字化转型和云计算的采用，通常在传统IT团队的职责范围内。而人工智能打破了这一惯例，因为其他团队（包括法律、销售、人力资源和财务）也会参与人工智能的开发和采用。

显然，安全负责人不能坐等新法规的出台。他们需要制订出治理框架，不仅应对当今的风险，同时还要能灵活适应新的威胁和使用场景。

筑牢根基：启动AI治理前要做三件事

在正式开始进行人工智能治理之前，有三件事要做：

明确责任：治理必须是跨部门协作，而非单一团队的责任，IT、安全、合规和法律等团队都需承担各自的监督责任。

采用公认标准： 标准可为实施负责任和透明的人工智能流程提供指导，如ISO 42001:2023和欧盟《人工智能法》等。

尽早引入利益相关方：与人力资源、培训和业务负责人合作，确保政策规定与员工准备和运营目标保持一致。

人机协同：突破工具局限的成功要诀

部署人工智能工具只是项目成功的一半。项目的最终成功还依赖于员工与人工智能工具的协同。员工需要具备足够的AI素养，以理解输出、识别工具的局限性并保持监督——即“人在回路”。

例如，人工智能系统可以对金融交易进行风险评分，但必须由经过培训的员工解释该评分在当前上下文中是否合适。没有人的判断，组织就可能过度依赖自动化，并在决策中引入潜在盲点。

一些具有前瞻性的组织已经在开展相关培训，以提高技术和非技术角色对人工智能的认知水平。这些项目帮助员工识别偏见、质疑结果，保证企业成为一个负责任的人工智能技术使用者。

CISO新使命：从安全守护者到AI治理核心

对于CISO（首席信息安全官）而言，人工智能治理是现有的风险管理和合规责任的自然延伸，安全负责人必须确保治理框架到位，以管控这些风险。

CISO的主要责任包括：

数据保护：保护敏感的训练数据和推理数据，确保遵守隐私法规，并防止未经授权的访问。

模型安全：保障人工智能模型不被窃取，并防御对抗性攻击和投毒攻击。

透明性和可审计性：确保人工智能决策能够向监管机构、审计员和业务利益相关者解释。

教育高管：将复杂的人工智能风险转化为董事会成员可以理解的语言，确保战略决策既考虑机会也考虑风险。

治理三重回报：合规、风控与信任

好的治理的好处显而易见，那些实施监督框架的组织在以下方面具有显著优势，反之，一旦发生数据泄露等因治理失效引发的重大事故，其所导致的声誉损失将远超AI带来的效率提升。

合规：提前应对合规要求，降低成本罚款或强制运营变更的风险。

减少风险：主动识别和克服偏见、减少滥用或数据安全漏洞，有助于保护品牌声誉。

提高可信度：当治理透明且负责时，客户、合作伙伴和员工更愿意接受人工智能系统。

结语

人工智能在数字化转型战略中变得越来越关键，治理提供了一个框架，使创新能够蓬勃发展，而不损害企业安全和客户信任。对于CISO和安全负责人来说，必须将人工智能治理融入企业战略的各个方面，以降低风险，使企业在智能系统时代中成为受信赖的领导者。