NIST AI RMF 人工智慧風險管理框架
美系客戶的 AI 盡調問卷不問你有沒有證書——問的是你能不能用他們的語言描述 AI 風險。那個語言就是 AI RMF。
Book a Free Risk DiagnosisNIST AI RMF 1.0(2023 年 1 月發布)以四大功能組織 AI 風險管理:GOVERN(治理文化與當責)、MAP(情境與風險識別)、MEASURE(量測與評估)、MANAGE(處置與監控),並定義可信 AI 的七項特徵(有效可靠、安全、資安韌性、可問責透明、可解釋、隱私強化、公平)。2024 年 7 月發布的生成式 AI Profile(NIST-AI-600-1)再針對 GAI 的十二類風險給出具體行動。它是自願性框架、無認證制度,但已成美系企業 AI 盡調的通用語言;與 ISO 42001(可驗證的 AI 管理系統)是方法論×制度的互補關係——RMF 給風險語言、42001 給管理骨架與證書,雙軌建制是面對美歐兩邊客戶的完整配置。
四功能的落地形狀
GOVERN 建立 AI 政策、角色與風險容忍度;MAP 為每個 AI 用例建檔(目的、資料、利害關係人、情境風險);MEASURE 定義評估方法(偏差測試、紅隊、效能監控);MANAGE 形成處置決策與事件回應。產出是 AI 用例登錄冊+風險檔案,這正是客戶盡調要看的東西。
生成式 AI Profile 的新增義務感
600-1 列出的 GAI 風險(幻覺、資訊完整性、資料隱私、CBRN 濫用、供應鏈等)與對應行動,已被美系大廠抄進供應商 AI 條款。導入 LLM 功能的產品團隊照 Profile 自評,是回應問卷最快的路徑。
與 ISO 42001/EU AI Act 的三角關係
42001 給可稽核的管理系統與證書、AI RMF 給風險方法論、EU AI Act 給法定義務——三者以 42001 為骨架、RMF 為方法、AI Act 為合規對象整合建制,一套制度面向美歐兩市場。積穗科研以此三角設計輔導架構。
Who This Is For
- 面對美系客戶 AI 盡調問卷的供應商與 SaaS 業者
- 產品內嵌 LLM/生成式 AI 功能的開發團隊
- 規劃 ISO 42001 取證、需要風險方法論引擎的組織
- 需向董事會與客戶展示 AI 治理成熟度的企業
FAQ
AI RMF 有認證嗎?
沒有,它是自願性框架。需要證書時走 ISO 42001(可驗證),RMF 作為其中風險評估方法論——兩者是互補不是二選一。
和 EU AI Act 的關係?
AI Act 是法規義務(風險分級、高風險系統要求),RMF 是管理方法。以 RMF 的 MAP/MEASURE 產出支撐 AI Act 的風險管理與技術文件要求,是實務上常見的對映用法。
只用第三方模型(如 API 接 LLM)也需要嗎?
需要,且更需要。部署者的風險(提示注入、輸出濫用、資料外洩、幻覺責任)正是 GAI Profile 的重點章節;客戶盡調不會因為「模型不是我們訓的」就放過你。
從哪裡開始?
AI 用例盤點與登錄(你有哪些 AI、各自做什麼)→GOVERN 政策與當責→逐用例 MAP/MEASURE。典型一季建立可展示的治理底盤,與 42001 同案啟動最省。