login
AI公司三年信息安全建设规划
2025/09/15·StepFun can make mistakes, check important info.
你是一家成立两年的AI创业公司的CISO,在向CEO汇报未来三年内的IT和信息安全建设规划,基于ISO 27001/27701、等保、网信办和证监会审查等依据,写一篇汇报报告,在7-8个板块内的若干管理项提及短中长期的具体动作。

Requirement clarification

我需要为AI创业公司制定一份信息安全建设规划报告。作为CISO,我需要考虑多方面的合规要求和公司发展阶段。

基于您的需求,我理解核心是制定一份符合ISO 27001/27701、等保、网信办和证监会要求的信息安全规划,并按短中长期划分具体动作。我需要确定报告的关键板块和管理项,确保全面覆盖信息安全治理各方面。

在分析您的需求时,我注意到需要明确几个关键点以便提供更精准的规划:

  1. 贵公司的业务性质是什么?(例如:是做AI基础设施、AI应用开发、AI咨询服务等)
  2. 公司目前的规模大约是多少人?预计三年内的增长趋势如何?
  3. 公司是否已获得或计划获得融资?是否有上市计划?
  1. 贵公司主要从事什么类型的AI业务?(如AI模型开发、应用服务等)
  2. 公司目前的规模(人数)及三年内预计增长情况?
  3. 公司是否有融资或上市计划?
1. AGI业务,面向智能终端等很多场景提供AGI服务;2. 当前500人,预计增长到800人;3. 在融资,有上市计划;

好的,这是为您制定的IT与信息安全建设规划报告撰写计划。

Research plan
  1. 在国际标准化组织(ISO)官网、国家信息安全标准化技术委员会(TC260)官网和网信办官网,研究并提炼ISO 27001/27701、网络安全等级保护2.0、以及《生成式人工智能服务管理暂行办法》等法规的核心要求。
  2. 在中国证监会(CSRC)官网及上海、深圳证券交易所网站,检索关于拟上市企业在信息技术内控、网络安全和数据合规方面的信息披露及审查要求。
  3. 结合公司AGI业务特性,在OWASP、NIST等安全社区和标准组织网站,研究AI模型安全、数据训练安全、供应链安全等领域的行业最佳实践和潜在风险。
  4. 综合分析上述合规要求与行业实践,识别其中的共性与差异,并结合公司融资上市的业务目标,确定安全建设的优先事项。
  5. 设计一份包含7-8个核心板块的汇报报告框架,确保覆盖治理、风险与合规(GRC)、数据安全与隐私保护、基础设施安全、应用与AI模型安全、安全运营等关键领域。
  6. 针对报告的每个板块,规划未来三年(短期、中期、长期)的具体、可执行的管理和技术动作,并与相应的合规条款或业务需求进行关联。
  7. 撰写报告初稿,将规划好的各阶段动作清晰地填充至报告框架中,确保内容具有商业和战略视角,而不仅仅是技术清单。
  8. 审阅并优化整个报告,确保逻辑清晰、目标明确,能够向CEO清晰传达未来三年IT与信息安全建设的价值、路线图和资源需求。
开始研究

Deep Research

让我首先搜索ISO 27001/27701的相关信息。

搜索

Search

ISO 27001 27701 标准要求 信息安全管理体系 核心内容
文件
文件
[PDF] 基于ISO27001的企业信息安全保障体系的构建设想
文件
文件
[PDF] 打造信息管理安全屏障破解计算机网络安全魔咒
搜狐网
搜狐网
ISO27001 是由国际标准化组织(ISO)制定的信息安全管理体系(ISMS)国际标准,旨在帮助组织建立、实施、维护和持续改进信息安全管理框架。该标准于 2022 年发布最新版本(ISO/IEC 27001:2022),咨询199-0343-9240通过系统化的方法管理敏感信息,确保数据的机密性、完整性和可用性...
搜狐网
搜狐网
ISO27001信息安全管理体系(ISMS)认证对于希望提升信息安全管理水平的企业至关重要。企业在申请ISO27001认证时,需要满足一系列关键条件以及理解标准核心内容。首先,企业必须是合法注册的法人实体,具备有效营业执照,且在过去一年内无重大信息安全违规记录。此外,企业需要拥有固定的办公场所,能够接受认证机构的现场审核。这些要求确保了企业在合法合规的框架内开展信息安全管理工作。其次...
搜狐网
搜狐网
ISO27001第二阶段审核内容 (1)与信息安全管理体系标准或其他规范性文件的所有要求的符合情况及证据;(2)依据信息安全管理体系关键绩效目标和指标,对绩效进行的监视、测量、报告和评审;(3)信息安全管理体系的能力以及在符合适用法律法规要求和合同要求方面的绩效;(4)受审核方过程的运作控制;(5)内部审核和管理评审;(6)证实管理
dnv.com
该标准使组织能够有效管理并定期核查合规状态,通过持续改进机制确保保密性防护,及时应对潜在脆弱性。 ISO 27701 设计为ISO 27001 的扩展标准,可与ISO 27001 同步实施,也可 ...
sgsgroup.com.cn
ISO/IEC 27701作为一个独立的标准,可以独立认证,不再需要以ISO/IEC 27001认证为基础,因此,在认证时相比较于现有的2019版标准而言,相对没有那么复杂。 未 ...
bsigroup.com
bsigroup.com
按照全球首套国际隐私信息管理体系标准来妥善管理个人信息,并证明您遵守隐私法规。 ISO/IEC 27701为负责处理PII的各个组织提供指南,并就建立、实施和维护隐私信息管理 ...
https://static-favicon.basemind.com/01JV1M65Z33WWVD7KW7VEWM794
https://s2.zimgs.cn/ims?kt=url&at=smstruct&key=aHR0cHM6Ly9ndy5hbGljZG4uY29tL0wxLzcyMy8xNTg0MzI5MTIyL2ZhLzdiL2QwL2ZhN2JkMGM2MTlhODM2NmIwNzNkNWM3ZWQ0ZWFhNWUwLmljbw==&sign=yx:C1HunXUgWw_Hnydsxo7hNSZ08AU=&tv=400_400
https://static-favicon.basemind.com/01JV1MWN3BH7HXN1293S4EW92Y
View all 16 sources

我将根据搜索结果,为您制定一份全面的IT和信息安全建设规划报告。首先,让我搜索更多关于等级保护、网信办和证监会相关要求的信息。

搜索

Search

网络安全等级保护2.0 要求 网信办 生成式人工智能服务管理暂行办法
文件
文件
[PDF] 网信办等七部门发布《生成式人工智能服务管理暂行办法》8 月 15 日起实施
文件
文件
[PDF] 生成式人工智能进入合规发展阶段
cac.gov.cn
cac.gov.cn
第一条为了促进生成式人工智能健康发展和规范应用,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》、 ...
mps.gov.cn
关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护,基于等级保护提出的分等级的防护机制和管理手段提出关键信息基础设施的加强保护措施,确保等级保护标准和 ...
gov.cn
答:《办法》明确生成式人工智能服务提供者应当依法开展预训练、优化训练等训练数据处理活动,使用具有合法来源的数据和基础模型;涉及知识产权的,不得侵害 ...
澎湃新闻
澎湃新闻
近日,国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局公布《生成式人工智能服务管理暂行办法》(以下称《办法》),自2023年8月15日起施行。国家互联网信息办公室有关负责
科技频道·央广网
科技频道·央广网
央广网北京7月13日消息 近日,国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局公布了《生成式人工智能服务管理暂行办法》。该文件全文如下: 生成式人工智能服务管理暂行办法 第一章 总则 第一条 为了促进生成式人工智能健康发展和规范应用,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息
百度百科
百度百科
《生成式人工智能服务管理暂行办法》(以下称《办法》),是国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局七部门于2023年7月10日联合公布,自2023年8月15日起施行的办法。《办法》旨在促进生成式人工智能健康发展和规范应用,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。《...
https://s2.zimgs.cn/ims?kt=url&at=smstruct&key=aHR0cDovL3d3dy5jYWMuZ292LmNuL2Zhdmljb24uaWNv&sign=yx:NXPxZxzl5AyyBn5hypuU9NE49dM=&tv=400_400
https://s2.zimgs.cn/ims?kt=url&at=smstruct&key=aHR0cHM6Ly9ndy5hbGljZG4uY29tL0wxLzcyMy8xNTg0NDM0MjA4Lzg4LzJkLzIyLzg4MmQyMjNjZDQwYTU0NTUzYWFhOWQ2MTk0MjkzYTkyLmljbw==&sign=yx:3DqV4OhRbkLh-tyg8wPgSAAnD-0=&tv=400_400
https://s2.zimgs.cn/ims?kt=url&at=smstruct&key=aHR0cHM6Ly9ndy5hbGljZG4uY29tL0wxLzcyMy8xNTg0NDI0ODE3L2IxL2ZkLzVjL2IxZmQ1YzY2ODRkYmIxODZlOGJiNWI4NGQ4ZWE4NmM0Lmljbw==&sign=yx:nM8BOiiu3OFC7iJTSk1iMkgdlPU=&tv=400_400
View all 18 sources

现在我需要搜索关于证监会对上市企业信息安全管理的要求,以完善我的报告内容。

搜索

Search

证监会 上市公司 信息安全 网络安全 合规要求
文件
文件
[PDF] 证券期货业网络和信息安全管理办法
文件
文件
[PDF] 证券期货业网络和信息安全管理办法
东方财富网
东方财富网
证监会3月3日宣布,为有效落实《网络安全 法》《数据安全 法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求,规范 证券 期货业网络和信息安全管理,防范化解行业网络和信息安全风险,维护资本市场安全平稳高效运行,证监会制定并发布了《证券 期货业网络和...
csrc.gov.cn
csrc.gov.cn
为有效落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求,规范证券期货业网络和信息安全管理,防范化解 ...
glo.com.cn
《管理试行办法》第十六条规定,发行人应当在境外提交首次公开发行上市申请文件后3个工作日内,向中国证监会提交备案材料,包括国务院有关主管部门出具的安全 ...
zhonglun.com
zhonglun.com
2021年12月28日,修订后的《网络安全审查办法》(“《网安办法》")正式发布并于2022年2月15日起施行,其要求掌握超过100万用户个人信息的网络平台运营者赴国外 ...
东方律师网
东方律师网
为实现与《网络安全法》以及《关键信息基础设施安全保护条例》等上位法的有效衔接,新管理办法 新增了“关键信息基础设施安全保护”章节,对于构成证券期货业关键信息基础设施运营者的相关机构,规定了更为严格的合规要求,具体表现在以下方面: l 将关键信息基础设施安全保护情况纳入 负责人 网络和信息安全工作 的考核内容 l 为每个关键信息基础设施指定网络和信息安全管理责任人,并对专门安全管理机构负责人和关键岗位人...
中国上市公司协会
为有效落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求,规范证券期货业网络和信息安全管理,防范化解行业网络和信息安全风险,维护资本市场安全平稳高效运行,证监会制定并发布了《证券期货业网络和信息安全管理办法》(以下简称《...
https://static-favicon.basemind.com/01JV1M65Z33WWVD7KW7VEWM794
https://s2.zimgs.cn/ims?kt=url&at=smstruct&key=aHR0cHM6Ly9ndy5hbGljZG4uY29tL0wxLzcyMy8xNTYyODEzMjI0L2I0LzExL2Y3L2I0MTFmN2ExMGZlNzgxYzNhNjMwYzYxYWU2NmE0ODY2LnBuZw==&sign=yx:VnmFtuBPyzBrSG70neamT35QLU4=&tv=400_400
https://s2.zimgs.cn/ims?kt=url&at=smstruct&key=aHR0cHM6Ly9jZG4uc20uY24vdGVtcC8yMDIxMTExODEwMTEzOS0wNDZjbjNvbWI3czd5dTcyNDJkdnM0dTkwdTU2OGgxYS5wbmc=&sign=yx:vwfYxilfk-1jrtYWPjgmjicOSsU=&tv=400_400
View all 18 sources

现在我需要了解等级保护2.0的具体要求,以便在报告中提供更详细的合规建议。

搜索

Search

网络安全等级保护2.0 标准要求 具体内容
文件
文件
[PDF] 新形势下地方院校网络安全管理探讨
文件
文件
[PDF] 关于等保 2.0 在政务部门实践的有关思考
CSDN技术社区
CSDN技术社区
网络安全等级保护2.0的核心是将安全保护等级划分为四个级别:第一级、第二级、第三级和第四级,每个级别对应不同级别的安全要求。以下是对这些要求的详细解释:一、技术要求:1.物理和环境安全:-基本要求包括选择合适的机房场地,确保防灾能力。第一级主要关注物理位置的选择。第二级增加了电子门禁系统,用于控制和记录人员进出。...
博客园
博客园
Refer:https://zhuanlan.zhihu.com/p/159164906 一、等保服务类型 等保测评服务 等保整改咨询 等保安全产品 二、等级保护分级 在网络安全等级保护2.0国家标准(等保2.0)中,信息安全等级保护分为五级,分别是第一级(自主保护级)、第二级(指导保护级)、第三级
CSDN技术社区
CSDN技术社区
在这些文件中,我们可以深入了解到等保2.0的具体内容和要求,以及在实施过程中如何测评、设计和测试评估。首先,等保2.0是对之前等级保护标准的升级,它全称为《信息安全技术 网络安全等级保护基本要求》。这项标准明确了网络环境下的安全等级保护制度,将信息系统的安全保护等级
每日经济新闻
每日经济新闻
5月13日,网络安全等级保护2.0(简称等保2.0)核心标准(《信息安全技术? 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求
中华人民共和国公安部
中华人民共和国公安部
针对网络边界提出的安全控制要求。主要对象为系统边界和区域边界等;涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全 ...
昆明理工大学
主要增加的内容包括“室外控制设备防护”、. “工业控制系统网络架构安全”、“拨号使用控. 制”、“无线使用控制” 和“控制设备安全”. 等方面,针对工业控制系统实时性要求高的特点.
https://static-favicon.basemind.com/01JV1VRKF90VSCPGXBHP9C3JCG
https://s2.zimgs.cn/ims?kt=url&at=smstruct&key=aHR0cHM6Ly9ndy5hbGljZG4uY29tL0wxLzcyMy8xNTg0MzI5MTIyL2ZhLzdiL2QwL2ZhN2JkMGM2MTlhODM2NmIwNzNkNWM3ZWQ0ZWFhNWUwLmljbw==&sign=yx:C1HunXUgWw_Hnydsxo7hNSZ08AU=&tv=400_400
https://static-favicon.basemind.com/01JV2VAAV473Z6BX4PH9BWZDKS
View all 18 sources

已掌握的信息

  1. 核心合规框架要求:已初步掌握ISO 27001/27701信息安全与隐私保护管理体系的核心思想(基于PDCA模型和风险评估),网络安全等级保护2.0(等保2.0)对定级备案、安全建设和测评的基本要求,以及其从传统信息系统扩展到云计算、大数据等新领域的特点。
  2. AI专项监管要求:明确了国家网信办《生成式人工智能服务管理暂行办法》的核心规定,包括对训练数据来源合法性、内容安全、个人信息保护、算法备案和安全评估等方面的具体要求,这对于AI公司的业务至关重要。
  3. 资本市场监管要求:了解了证监会针对拟上市企业在网络安全、数据安全、投资者信息保护及跨境数据流动方面的监管重点。特别是《证券期货业网络和信息安全管理办法》和对掌握百万用户个人信息的运营者赴外上市需进行网络安全审查的规定,是公司未来融资上市必须满足的前置条件。

下一步行动计划

  1. 整合与映射合规要求:综合分析已收集的ISO 27001/27701、等保2.0、网信办及证监会四方面的要求,识别其中的共性与差异点,并绘制成一张综合性的合规要求矩阵图。此举旨在提炼出适用于本公司的统一安全控制基线,避免重复建设,明确各阶段的建设重点。
  2. 研究AI安全行业最佳实践:深入研究AI领域的特定安全风险和行业领先的防护实践。重点关注OWASP发布的针对大型语言模型(LLM)的十大安全风险、NIST AI风险管理框架等,将这些实践融入到规划中,确保安全建设不仅满足合规底线,更能应对AI业务的独特挑战。相关信息可在OWASP和NIST的官方网站获取。
  3. 构建汇报报告框架并填充内容:设计一份包含“战略愿景与目标”、“治理、风险与合规(GRC)”、“数据安全与隐私保护”、“AI模型与应用安全”、“基础设施安全”、“安全运营与应急响应”、“三年路线图与资源预算”等7-8个核心板块的报告框架。随后,将整合后的合规要求与AI安全实践,转化为未来三年(短期、中期、长期)的具体、可执行的行动项,填充到各个板块中。
  4. 撰写与可视化呈现:起草完整的汇报报告,确保语言精炼、视角商业化,重点突出信息安全建设如何支撑业务发展、保障公司顺利融资上市。同时,设计关键图表,如“安全成熟度模型现状与目标图”、“三年安全建设计划甘特图”和“预算投入分解饼图”,使汇报内容更直观、更具说服力。
搜索

Search

OWASP LLM 大型语言模型 十大安全风险 AI安全最佳实践
文件
文件
[PDF] UNDERSTANDING AND MITIGATING RISKS OF GENERATIVE AI IN FINANCIAL SERVICES
文件
文件
[PDF] Security Steerability is All You Need
极牛网
据预测,到2025年,全球77%的企业将部署生成式AI以提升生产力。然而,这一技术的广泛应用也带来了前所未有的安全风险。OWASP作为全球权威的安全组织,针对大模型发布了《2025年十大安全漏洞》报告,系统梳理了LLM领域的关键威胁。本文将深入解析这些漏洞的原理、影响及防护策略,为开发者和企业提供全面指导。一、OWASP LLM十大安全漏洞概览 OWASP<...
FreeBuf
FreeBuf
《OWASP大语言模型应用程序十大风险》报告,对大语言模型安全给出了详细指南,让我们逐条解读: 1、提示词注入 攻击者采用绕过 过滤器或构造提示词的方法,操控大语言模型(LLM),使其执行“注入”操作,进而导致数据泄漏或其他安全漏洞。防范措施 1)实施严格的输入验证,拒绝或净化恶意输入。2)使用上下文感知的过滤器,检测并阻止可疑提示词。3)定期更新LLM,增强其对恶意输入的识别能力。...
搜狐网
搜狐网
2025年度,开放式Web应用安全项目(OWASP)发布了大语言模型应用程序的十大风险报告,为开发者和企业提供了重要的安全参考,帮助用户了解在为其产品引入这些先进技术时可能面临的风险。大语言模型运用机器学习…
飞书
飞书
它是一份针对语言学习模型安全风险的清单,涵盖了从数据隐私泄露到模型被恶意利用等多个方面。这对于从事AI开发和应用的人员来说,是一份非常重要的指南。在数据隐私方面,LLM往往需要大量的数据进行训练。这些数据可能包含个人敏感信息,如果处理不当,就会导致隐私泄露。例如,在医疗领域使用LLM时,如果患者的病历数据被泄露,将会对患者造成极大的伤害。因此,开发人员需要采取严格的数据保护措施,确保数据在收集、存储和...
东方财富网
东方财富网
撰文:李信马 最近,DeepSeek火了,也带动大模型迎来了又一轮的热潮。但与此同时,随着大模型的应用日益广泛,其中蕴含的风险也引人担忧。 不久前,F5公司在北京举办了新春媒体见面会。会上,F5
genai.owasp.org
genai.owasp.org
该小组的目标包括探索传统漏洞如何在LLM内造成不同的风险或以新颖的方式被利用,以及开发人员. 如何必须针对利用LLM的应用程序调整传统的修复策略。 未来 ...
https://static-favicon.basemind.com/01JVCF76VF174VR81Q3RJ8STMF
https://static-favicon.basemind.com/01JV4DF6K1B6RXDG9D5BYNMBXM
https://static-favicon.basemind.com/01JVCF6G7K4ZM1MD0GEP2MCVW7
View all 14 sources

现在我需要搜索关于NIST AI风险管理框架的信息,以便将其纳入我的报告中。

搜索

Search

NIST AI风险管理框架 AI RMF 人工智能安全治理
文件
文件
[PDF] 挑战与应对:大型语言模型(ChatGPT)的多样态安全风险归因及协同治理研究
文件
文件
[PDF] Governing Ethical Gaps in Distributed AI Development
secrss.com
secrss.com
AI RMF 1.0框架包括六个章节和四篇附录,其中正文分为两个主要部分组成,第一部分——讨论组织如何构建与AI相关的风险框架(第一章)并描述了该框架的目标受众( ...
中国科学院
中国科学院
该框架主要内容分为两部分,第一部分探讨人工智能相关风险的梳理建构方法,并概述可信赖人工智能系统的特征。 · 第二部分介绍了AI RMF核心的四大功能,即治理( ...
数世咨询
美国国家标准与技术研究所(NIST)正在开发一个志愿性质的框架,以更好地管理人工智能相关的风险,称为人工智能风险管理框架(AI RMF)。该框架的目标是提高将可信度纳入AI的能力,包括AI的产品、服务、系统的设计、开发、使用和评估。该框架的初稿建立在2021年12月NIST发布的一份概念性文件上。NIST...
360doc个人图书馆
360doc个人图书馆
本概念文件描述了美国国家标准与技术研究院(NIST)人工智能风险管理框架(AI RMF或框架)提出的基本方法。AI RMF旨在供自愿使用,并解决AI产品,服务和系统的设计,开发,使用和评估中的风险。人工智能技术将算法方法和自动化扩展到新领域、新角色,包括为人们提供建议并在高风险决策中行动。将人工智能技术运用于推荐、判断、模式识别以...
Microsoft Learn
Microsoft Learn
它遵循 NIST 人工智能风险管理框架(AI RMF)和 NIST AI RMF Playbook。它还与 CAF 治理 中的框架相一致。本指南旨在帮助你将 AI 风险管理纳入更为广泛的风险管理策略之中。这种集成为统一的治理方法提供了对 AI、网络安全和隐私风险的更协调的处理。评估 AI 组织<...
tuvsud.cn
增强AI的可信度可以在一定程度上降低AI的负面风险,AI RMF提出了7个可信赖AI的特征,分别是:有效&可靠,安全,弹性,可解释,隐私保护,公平,可问责&透明。NIST希望可以通过AI RMF ...
https://s2.zimgs.cn/ims?kt=url&at=smstruct&key=aHR0cHM6Ly9ndy5hbGljZG4uY29tL0wxLzcyMy8xNTYyODEzMjI0L2I0LzExL2Y3L2I0MTFmN2ExMGZlNzgxYzNhNjMwYzYxYWU2NmE0ODY2LnBuZw==&sign=yx:VnmFtuBPyzBrSG70neamT35QLU4=&tv=400_400
https://static-favicon.basemind.com/01JV1M65Z33WWVD7KW7VEWM794
https://static-favicon.basemind.com/01JV1M65Z33WWVD7KW7VEWM794
View all 18 sources

现在我需要搜索关于ISO 27001/27701的具体要求,以便在报告中提供更详细的合规建议。

搜索

Search

ISO 27001 27701 信息安全管理体系 隐私信息管理体系 核心要求
文件
文件
[PDF] 隐私信息管理体系认证浅析
钛和集团
获得ISO 27701隐私信息管理体系认证有利于: 1、提高竞争优势:通过最高级别信息保护,彰显企业实力,超越竞争对手。2、提升数据安全:全面分析流程,降低隐私泄露风险,提升风险管理能力。3、降低风险:确保风险识别与控制,有效管理或降低潜在风险。4、增强信任:让客户和利益相关者对个人信息安全性更放心。5、利于全球发展:提供国际通用指导,助力全球业务拓展与供应商优选。6、提高信任基石:...
东方财富网
东方财富网
近期,思看科技获得方圆标志认证集团(CQM)颁发的信息安全管理体系标准ISO/IEC 27001和隐私信息管理体系标准ISO/IEC 27701双认证,此殊荣标志着思看科技在信息安全和隐私保护领域达到
dnv.com
该标准使组织能够有效管理并定期核查合规状态,通过持续改进机制确保保密性防护,及时应对潜在脆弱性。 ISO 27701 设计为ISO 27001 的扩展标准,可与ISO 27001 同步实施,也可 ...
sgsgroup.com.cn
对于计划将要获取ISO/IEC 27701隐私管理体系认证的企业而言,可以开始着手规划,例如:进行隐私管理相关的培训、梳理个人信息处理流程及相关控制措施、拟定 ...
知乎
知乎
是一项国际管理系统标准体系,为保护个人隐私提供指导,包括组织应如何管理个人信息,并协助证明遵守了世界各地的隐私法规。 如果需要办理ISO27001认证的, ...
顺企网
顺企网
ISO27701全称《安全技术—扩展ISO/IEC27001和ISO/IEC27002的隐私信息管理—要求与指南》,是对信息安全管理体系(ISMS)的隐私保护扩展。其核心要求涵盖个人信息全生命周期管理,确保组织在收集、使用、存储、传输等环节合法合规。具体认证要求如下: 1.收集...
东方财富网
东方财富网
近日,数美科技正式获得“全球首个隐私信息管理体系标准”ISO/IEC 27701:2019信息安全管理认证。该认证是对数美科技在用户信息安全和隐私信息管理及保护能力上的高度认可,表明数美科技在隐私信息
https://static-favicon.basemind.com/01JV3ZT698T3H8VNYGYWNCY0N4
https://static-favicon.basemind.com/01JVC7QCXTTN498DT3BFCWXK8V
https://s2.zimgs.cn/ims?kt=url&at=smstruct&key=aHR0cHM6Ly9ndy5hbGljZG4uY29tL0wxLzcyMy8xNTg0MzI5MTIyL2ZhLzdiL2QwL2ZhN2JkMGM2MTlhODM2NmIwNzNkNWM3ZWQ0ZWFhNWUwLmljbw==&sign=yx:C1HunXUgWw_Hnydsxo7hNSZ08AU=&tv=400_400
View all 17 sources

现在我需要搜索关于证监会对上市公司信息安全管理的具体要求,以便在报告中提供更详细的合规建议。

搜索

Search

证监会 上市公司 网络安全 信息安全 合规要求 条例
文件
文件
[PDF] 深信服:VIE架构拆除
csrc.gov.cn
csrc.gov.cn
为有效落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求,规范证券期货业网络和信息安全管理,防范化解 ...
gov.cn
证券期货业网络和信息安全管理办法》已经2023年1月17日中国证券监督管理委员会2023年第1次委务会议审议通过,现予公布,自2023年5月1日起施行。
glo.com.cn
而经营机构和信息技术系统服务机构违反《管理办法》的,证监会及其派出机构可以对机构采取责令改正、监管谈话、出具警示函、责令公开说明、责令定期报告、 ...
中国政府网
中国政府网
第一条 为了保障证券期货业网络和信息安全,保护投资者合法权益,促进证券期货业稳定健康发展,根据《中华人民共和国证券法》(以下简称《证券法》)、《中华人民共和国期货和衍生品法》(以下简称《期货和衍生品法》)、《中华人民共和国证券投资基金法》(以下简称《证券投资基金法》)、《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》(以下简称《个人...
安全内参
安全内参
为有效落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求,规范证券期货业网络和信息安全管理,防范化解行业网络和信息安全风险,维护资本市场安全平稳高效运行,证监会于2023年2月27日发布了《证券期货业网络和信息安...
中国上市公司协会
为有效落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求,规范证券期货业网络和信息安全管理,防范化解行业网络和信息安全风险,维护资本市场安全平稳高效运行,证监会制定并发布了《证券期货业网络和信息安全管理...
财联社
财联社
一是鼓励相关机构在依法合规的前提下,开展行业网络和信息安全技术应用,提升保障水平;二是核心机构、经营机构应在保障自身网络和信息系统安全的前提下,为行业统筹提供服务;三是建立金融科技创新机制,持续优化并增强网络安全监管专业支撑,核心机构可以申请开展行业网络和信息安全认证、检测、测试和风险评估等监管支持工作;四是加强行业网络和...
https://static-favicon.basemind.com/01JV1M65XV42H49ERQMK6MJQSE
https://s2.zimgs.cn/ims?kt=url&at=smstruct&key=aHR0cHM6Ly9jZG4uc20uY24vdGVtcC8yMDIzMTEwODE1MzU0Ny0wNXNxY2Q5OGowOTE0aW1oM3JjeGhzeTVveTk4aGZoci5qcGc=&sign=yx:cq4vpFN5FA3P9VM_m1Jqq7l5OTg=&tv=400_400
https://s2.zimgs.cn/ims?kt=url&at=smstruct&key=aHR0cHM6Ly9ndy5hbGljZG4uY29tL0wxLzcyMy8xNTg0NDM0MjA4Lzg4LzJkLzIyLzg4MmQyMjNjZDQwYTU0NTUzYWFhOWQ2MTk0MjkzYTkyLmljbw==&sign=yx:3DqV4OhRbkLh-tyg8wPgSAAnD-0=&tv=400_400
View all 17 sources

已掌握的信息

  1. 国际与国内标准框架:已掌握ISO 27001信息安全管理体系(ISMS)和ISO 27701隐私信息管理体系(PIMS)的核心要求,两者均基于风险评估和PDCA持续改进模型。同时,明确了网络安全等级保护2.0(等保2.0)“一个中心,三重防护”的架构,及其在技术和管理层面的具体要求,覆盖范围已从传统信息系统扩展至云计算、大数据等新领域。
  2. AI专项法规与风险:深入理解了国家网信办《生成式人工智能服务管理暂行办法》对训练数据、算法备案、内容安全、个人信息保护等方面的强制性规定。同时,掌握了OWASP发布的针对大型语言模型(LLM)的十大安全风险(如提示注入、数据投毒、敏感信息泄露等)和NIST AI风险管理框架(AI RMF)的四大核心职能(治理、映射、测量、管理),为构建AI原生安全体系提供了权威指引。
  3. 资本市场合规要求:明确了证监会《证券期货业网络和信息安全管理办法》对拟上市企业在网络安全、数据安全、投资者个人信息保护和应急处置方面的监管重点。特别是掌握超过100万用户个人信息的网络平台运营者赴国外上市前,必须申报网络安全审查,这是公司未来融资上市路径规划中不可忽视的关键节点。

下一步行动计划

  1. 构建整合性合规框架:综合分析ISO 27001/27701、等保2.0、网信办、证监会、OWASP及NIST的要求,识别其中的共性与差异,提炼并设计出一个统一的、适用于本公司的安全与隐私治理框架。该框架将作为报告的核心逻辑,确保所有建设活动都能映射到具体的合规条款或最佳实践,避免重复建设。
  2. 设计报告结构并填充规划:设计一份包含“战略愿景与目标”、“治理、风险与合规(GRC)”、“数据安全与隐私保护”、“AI模型与应用安全”、“基础设施与运营安全”、“安全运营与应急响应”、“三年实施路线图与资源预算”等七个核心板块的报告框架。随后,将整合后的合规要求与AI安全实践,转化为未来三年(短期:基础合规与体系建立;中期:体系认证与能力深化;长期:持续优化与支撑上市)的具体、可执行的行动项,填充到各个板块中。
  3. 撰写报告并强化商业视角:起草完整的汇报文稿,从CISO的专业视角出发,向CEO清晰阐述信息安全建设不仅是合规成本,更是保障业务连续性、建立客户信任、顺利推进融资上市进程的核心竞争力。重点突出各项投入的商业价值和风险规避作用。
  4. 创建关键可视化图表:为增强报告的可读性和说服力,计划创建一系列可视化图表,包括但不限于:
    • 合规要求映射矩阵图:直观展示公司需满足的多重合规要求与内部安全控制域的对应关系。
    • 三年安全建设路线图:以甘特图形式呈现未来三年的关键项目、里程碑和时间规划。
    • 安全成熟度模型:展示公司当前安全能力基线与未来三年的目标水平。
    • 资源投入预算分解图:以饼图或柱状图形式清晰说明在人员、技术、服务方面的预算分配。
可视化工具

可视化工具

现在我需要创建一个三年安全建设路线图,以便在报告中清晰展示未来三年的关键项目、里程碑和时间规划。

可视化工具

可视化工具

现在我需要创建一个安全成熟度模型图表,以展示公司当前安全能力基线与未来三年的目标水平。

可视化工具

可视化工具

最后,我需要创建一个资源投入预算分解图,以清晰展示三年IT与信息安全建设规划的资源分配情况。

可视化工具

可视化工具

已掌握的信息

  1. 核心合规框架要求:已全面梳理并掌握了公司作为一家AI创业公司,在未来发展特别是融资上市过程中必须满足的四大核心合规要求。这包括:国际通行的ISO 27001/27701信息安全与隐私保护管理体系框架;国内强制性的网络安全等级保护2.0制度;针对AI业务的网信办《生成式人工智能服务管理暂行办法》;以及面向资本市场的证监会关于网络安全、数据保护及投资者信息保护的审查规定。
  2. AI领域专属风险与治理:深入研究了AI技术,特别是大型语言模型(LLM)所面临的特有安全风险,并掌握了OWASP发布的LLM十大安全风险(如提示注入、模型投毒等)的原理与缓解措施。同时,也吸收了NIST AI风险管理框架(AI RMF)中关于治理、映射、测量和管理的核心理念,为构建与AI业务深度融合的安全体系提供了理论指导。
  3. 战略规划与可视化蓝图:基于上述研究,已成功将复杂的合规要求与安全建设任务,转化为一系列清晰、可执行的战略规划蓝图。具体成果包括:明确了各合规框架与公司安全控制域对应关系的合规映射矩阵;规划了未来三年具体行动项的甘特图路线图;设定了分阶段能力提升目标的安全成熟度模型;以及详细的分项与分年度预算分解图。这些成果为撰写最终汇报报告提供了坚实的数据和内容支撑。

下一步行动计划

  1. 构建并完善报告框架:基于已有的研究和可视化成果,设计一份逻辑严谨、层次分明的汇报报告框架。该框架将包含7-8个核心板块,如“执行摘要”、“战略愿景与安全目标”、“治理、风险与合规(GRC)体系”、“核心安全能力建设规划(含数据、AI模型、基础设施等)”、“三年实施路线图”、“资源投入与预算”、“预期成效与业务价值”等,确保全面覆盖CEO关心的所有方面。
  2. 撰写各章节详细内容:将已掌握的合规要点、AI安全风险分析、以及规划好的短中长期行动项,系统性地填充到报告框架的各个章节中。撰写时将采用商业化语言,重点阐述信息安全建设如何支撑业务创新、保障公司合规运营、提升市场竞争力,并最终为公司的融资和上市目标保驾护航。此过程将深度融合此前生成的可视化图表,使报告图文并茂,更具说服力。
  3. 审阅与精炼报告:完成初稿后,从CEO的视角对报告进行全面审阅。检查报告的逻辑连贯性、目标的明确性、计划的可行性以及资源需求的合理性。精炼语言,确保核心观点突出,能够清晰、有力地传达未来三年IT与信息安全建设的战略价值,最终形成一份能够直接用于高层决策的专业汇报材料。

AI创业公司三年IT与信息安全建设规划报告

一、执行摘要

尊敬的CEO:

作为公司的首席信息安全官(CISO),我很荣幸向您提交这份未来三年(2026-2028)的IT与信息安全建设规划报告。随着我们公司在AI领域的快速发展,信息安全已成为保障业务持续性、满足合规要求、赢得客户信任的关键因素。

本规划基于ISO 27001/27701、网络安全等级保护2.0、网信办《生成式人工智能服务管理暂行办法》和证监会相关要求等多维度合规框架极牛网,结合OWASP LLM Top 10风险和NIST AI风险管理框架,提出了一套全面、系统、可落地的安全建设方案。

规划期内,我们将通过分阶段实施的方式,逐步提升公司的安全成熟度,从当前的初始级水平提升至行业领先的优化级水平。总体投资预算为3,750万元,分三年实施,预期将有效支撑公司业务创新、满足监管合规要求,并为未来的融资上市奠定坚实基础。

二、战略愿景与安全目标

2.1 战略愿景

打造与AI业务深度融合的安全能力,建立"可信、可控、可管"的安全防护体系ncpssd.cn,确保公司在快速发展的同时,始终保持高水平的安全与合规状态,为客户提供可信赖的AI服务,为公司的持续创新和资本市场布局提供坚实保障。

2.2 安全目标

  1. 短期目标(2026年):建立基础安全框架和管理体系,完成等级保护定级备案和网信办算法备案,实现基本合规;
  2. 中期目标(2027年):获取ISO 27001认证,建立完善的数据安全与AI模型安全防护体系,提升安全运营能力;
  3. 长期目标(2028年):获取ISO 27701认证,建立行业领先的安全管理与技术防护体系,满足上市合规要求。

2.3 安全成熟度规划

我们规划了一条清晰的安全能力提升路径,将公司的安全成熟度从当前的初始级逐步提升至优化级。

资料来源: secrss.com中国科学院数世咨询360doc个人图书馆Microsoft Learn极牛网FreeBuf搜狐网东方财富网飞书csrc.gov.cngov.cnglo.com.cn中国政府网钛和集团东方财富网

如图所示,我们将在安全治理与合规方面实现最大提升,从1级提升至5级;在AI模型安全、应用安全和安全运营方面也将有显著提升,从1级提升至4级,确保公司核心竞争力得到全面安全保障。

三、合规框架与风险分析

3.1 合规要求映射

作为AI创业公司,我们面临多重合规要求。我们对各合规框架与安全控制域的关系进行了系统分析,确保规划的全面性。

资料来源: secrss.com中国科学院数世咨询360doc个人图书馆Microsoft Learn极牛网FreeBuf搜狐网东方财富网飞书csrc.gov.cngov.cnglo.com.cn中国政府网

从映射矩阵可以看出,ISO 27001/27701对安全治理、数据安全和基础设施安全有较高覆盖;网信办《生成式人工智能服务管理暂行办法》对数据安全和AI模型安全要求较高;而OWASP LLM Top 10则聚焦于AI模型安全和应用安全领域。通过整合这些框架,我们可以构建全面的安全体系。

3.2 风险分析

3.2.1 通用安全风险

  1. 数据泄露风险:作为AI公司,我们处理大量数据,一旦泄露将导致严重的声誉和经济损失;
  2. 合规违规风险:未能满足等保、网信办等监管要求可能导致业务中断或行政处罚;
  3. 供应链风险:第三方服务商或开源组件的安全漏洞可能影响我们的系统安全。

3.2.2 AI特有风险

  1. 提示注入攻击:攻击者通过精心设计的输入诱导模型执行非预期操作FreeBuf
  2. 训练数据投毒:攻击者在训练数据中混入误导性样本极牛网
  3. 模型幻觉:模型基于不完整数据生成看似合理但错误的内容极牛网
  4. 敏感信息泄露:训练数据中的隐私信息可能被泄露极牛网

四、治理、风险与合规(GRC)体系建设

4.1 安全组织架构

短期行动(2026年)

  • 建立信息安全委员会,由CEO担任主席,CISO担任常务副主席
  • 组建核心安全团队,包括安全架构、安全运营、数据安全和AI安全专家
  • 明确各部门安全责任人,建立矩阵式安全管理模式

中期行动(2027年)

  • 扩充安全团队规模,增设AI安全研究实验室
  • 建立安全专家顾问团,引入外部专业力量
  • 优化安全绩效考核机制,将安全指标纳入部门KPI

长期行动(2028年)

  • 建立安全创新中心,研发AI安全防护新技术
  • 实现安全管理流程自动化,提升管理效率
  • 建立行业安全联盟,共享威胁情报

4.2 安全策略与制度

短期行动(2026年)

  • 制定信息安全总体策略和管理手册
  • 建立数据分类分级和安全管理制度
  • 制定AI模型安全管理规范

中期行动(2027年)

  • 完善供应商安全管理制度
  • 建立安全合规性评估框架
  • 优化安全事件响应和业务连续性管理制度

长期行动(2028年)

  • 建立自适应安全策略管理机制
  • 实现制度与技术控制的自动化关联
  • 建立面向上市的安全合规体系

4.3 合规认证与评估

短期行动(2026年)

  • 完成网络安全等级保护定级备案和测评博客园
  • 进行网信办算法备案百度百科
  • 建立ISO 27001管理体系框架

中期行动(2027年)

  • 获取ISO 27001认证东方财富网
  • 建立ISO 27701隐私信息管理体系
  • 开展OWASP LLM Top 10安全评估

长期行动(2028年)

五、数据安全与隐私保护

5.1 数据治理

短期行动(2026年)

  • 建立数据资产清单和分类分级标准
  • 实施数据流转全生命周期管理
  • 建立数据安全责任制

中期行动(2027年)

  • 部署数据安全管理平台
  • 建立数据安全风险评估机制
  • 实施敏感数据发现与监控

长期行动(2028年)

  • 建立数据安全运营中心
  • 实现数据安全智能分析
  • 建立数据安全度量体系

5.2 隐私保护

短期行动(2026年)

  • 建立个人信息保护合规框架
  • 实施数据收集最小化原则
  • 建立用户同意管理机制顺企网

中期行动(2027年)

  • 部署数据脱敏与匿名化工具
  • 建立隐私影响评估(PIA)流程顺企网
  • 实施用户权利响应机制顺企网

长期行动(2028年)

  • 建立隐私增强技术(PET)研发能力
  • 实现隐私合规自动化审计
  • 建立隐私保护成熟度评估模型

5.3 跨境数据合规

短期行动(2026年)

  • 梳理数据跨境场景和需求
  • 建立跨境数据传输合规框架
  • 制定数据本地化存储策略

中期行动(2027年)

  • 完成跨境数据安全评估
  • 建立跨境数据传输安全机制
  • 实施区域性数据合规策略

长期行动(2028年)

  • 建立全球数据合规管理体系
  • 实现跨境数据流动自动化审计
  • 建立跨境数据应急响应机制

六、AI模型安全

6.1 训练数据安全

短期行动(2026年)

  • 建立训练数据来源合法性审核机制
  • 实施训练数据质量控制流程
  • 建立数据标注安全规范

中期行动(2027年)

  • 部署训练数据投毒检测工具
  • 建立训练数据安全验证框架
  • 实施训练数据隐私保护措施

长期行动(2028年)

  • 建立训练数据安全研究实验室
  • 开发自适应数据安全防护技术
  • 建立训练数据安全度量体系

6.2 模型安全防护

短期行动(2026年)

  • 建立AI模型安全评估框架
  • 实施模型访问控制和权限管理
  • 建立模型版本管理和安全审计

中期行动(2027年)

  • 部署提示注入防御系统FreeBuf
  • 实施模型投毒防护机制极牛网
  • 建立模型安全持续监测能力

长期行动(2028年)

  • 建立对抗样本防护体系
  • 开发模型安全自动化测试平台
  • 建立AI模型安全运营中心

6.3 AI治理与伦理

短期行动(2026年)

  • 建立AI伦理委员会
  • 制定AI伦理准则和使用规范
  • 建立AI系统透明度和可解释性机制

中期行动(2027年)

  • 实施AI系统公平性和无偏见评估
  • 建立AI决策审计和人工干预机制
  • 开发AI伦理风险评估工具

长期行动(2028年)

  • 建立AI治理成熟度评估模型
  • 实现AI伦理合规自动化审计
  • 建立AI伦理研究与创新中心

七、基础设施与应用安全

7.1 网络安全

短期行动(2026年)

  • 优化网络安全架构,实施网络分区和隔离
  • 部署新一代防火墙和入侵防御系统
  • 建立网络安全基线和合规检查机制

中期行动(2027年)

  • 实施零信任网络架构
  • 部署网络流量分析和异常检测系统
  • 建立网络安全自动化运维平台

长期行动(2028年)

  • 建立网络安全态势感知平台
  • 实现网络安全智能分析和自动响应
  • 建立网络安全度量和持续优化机制

7.2 云安全

短期行动(2026年)

  • 建立云安全管控框架
  • 实施云资源访问控制和权限管理
  • 建立云配置安全基线

中期行动(2027年)

  • 部署云安全态势管理平台
  • 实施容器安全管理
  • 建立云原生安全防护体系

长期行动(2028年)

  • 建立多云安全管理平台
  • 实现云安全自动化编排和响应
  • 建立云安全成熟度评估模型

7.3 应用安全

短期行动(2026年)

  • 建立安全开发生命周期(SDLC)
  • 实施代码安全审计和漏洞扫描
  • 建立应用安全测试规范

中期行动(2027年)

  • 部署应用安全测试自动化平台
  • 实施API安全管理
  • 建立微服务安全防护框架

长期行动(2028年)

  • 建立DevSecOps平台
  • 实现应用安全智能分析
  • 建立应用安全度量和持续优化机制

八、安全运营与应急响应

8.1 安全运营中心(SOC)

短期行动(2026年)

  • 建立基础安全监控平台
  • 实施日志集中管理和分析
  • 建立安全事件响应流程

中期行动(2027年)

  • 部署安全信息与事件管理(SIEM)系统
  • 实施威胁情报平台
  • 建立安全运营自动化能力

长期行动(2028年)

  • 建立安全编排自动化与响应(SOAR)平台
  • 实现安全运营智能分析
  • 建立安全运营成熟度评估模型

8.2 应急响应

短期行动(2026年)

  • 建立安全事件分类分级标准
  • 制定应急响应预案
  • 组建应急响应团队

中期行动(2027年)

  • 建立红蓝对抗演练体系
  • 实施安全事件溯源和取证
  • 建立应急响应知识库

长期行动(2028年)

  • 建立高级威胁检测与响应能力
  • 实现应急响应自动化
  • 建立应急响应成熟度评估模型

8.3 业务连续性

短期行动(2026年)

  • 建立业务影响分析(BIA)框架
  • 制定业务连续性计划
  • 建立灾难恢复策略

中期行动(2027年)

  • 建立业务连续性管理体系
  • 实施关键业务系统灾备建设
  • 开展业务连续性演练

长期行动(2028年)

  • 建立业务韧性评估模型
  • 实现业务连续性自动化管理
  • 建立业务连续性成熟度评估体系

九、三年实施路线图与资源规划

9.1 实施路线图

我们制定了详细的三年实施路线图,明确了各项工作的时间节点和优先级。

资料来源: secrss.com中国科学院数世咨询360doc个人图书馆Microsoft Learn极牛网FreeBuf搜狐网东方财富网飞书csrc.gov.cngov.cnglo.com.cn中国政府网钛和集团东方财富网

如路线图所示,我们将在2026年Q1-Q2重点建立安全管理组织架构和基础制度;2026年Q3-Q4完成等保测评与网信办算法备案;2027年Q1-Q2获取ISO 27001认证并加强AI模型安全;2027年Q3-Q4开始网络安全审查准备;2028年Q1-Q2获取ISO 27701认证并进行上市安全专项审计;2028年Q3-Q4完成上市安全保障方案。

9.2 资源投入预算

为确保规划顺利实施,我们制定了三年总计3,750万元的资源投入预算。

资料来源: secrss.com中国科学院数世咨询360doc个人图书馆Microsoft Learn极牛网FreeBuf搜狐网东方财富网飞书csrc.gov.cngov.cnglo.com.cn中国政府网钛和集团东方财富网

从预算趋势可以看出,AI模型安全的投入逐年增加,反映了我们对核心业务安全的高度重视;而基础设施安全投入则呈下降趋势,这是由于前期基础建设完成后,后续主要是维护和优化。

资料来源: secrss.com中国科学院数世咨询360doc个人图书馆Microsoft Learn极牛网FreeBuf搜狐网东方财富网飞书csrc.gov.cngov.cnglo.com.cn中国政府网钛和集团东方财富网

从各年度预算占比来看,2026年基础设施安全占比较高,2027年和2028年则更注重AI模型安全和数据安全与隐私保护,体现了我们从基础设施向业务安全的转变策略。

资料来源: secrss.com中国科学院数世咨询360doc个人图书馆Microsoft Learn极牛网FreeBuf搜狐网东方财富网飞书csrc.gov.cngov.cnglo.com.cn中国政府网钛和集团东方财富网

按资源类型划分,技术投入(软硬件采购)占总预算的40%,人力资源(团队建设与培训)占35%,外部服务(咨询、评估、审计)占20%,其他(应急响应准备金等)占5%,确保资源合理分配。

安全领域2026年(万元)2027年(万元)2028年(万元)三年总计(万元)
安全治理与合规120150180450
数据安全与隐私保护150200250600
AI模型安全180250320750
基础设施安全200180160540
应用安全100150200450
安全运营与应急响应150200250600
供应链安全100120140360
年度总计1,0001,2501,5003,750

9.3 预期成效与业务价值

通过三年的安全建设,预期将实现以下成效:

  1. 合规价值:满足ISO 27001/27701、等保2.0、网信办和证监会等监管要求,为业务合规运营和上市奠定基础;
  2. 业务价值:提升AI服务的安全性和可信度,增强客户信任,支持业务创新和拓展;
  3. 运营价值:降低安全事件发生率,减少因安全问题导致的业务中断和损失;
  4. 战略价值:建立安全竞争优势,支持公司长期战略目标的实现。

十、结论与建议

10.1 结论

本规划基于对公司业务特点和外部监管环境的深入分析,提出了全面、系统、可落地的安全建设方案。通过三年的持续投入和建设,我们将建立起与业务深度融合的安全能力,满足合规要求,支持业务创新,为公司的可持续发展和资本市场布局提供坚实保障。

10.2 建议

  1. 高层重视:建议公司高层持续关注信息安全建设,将安全作为公司战略的重要组成部分;
  2. 资源保障:确保安全建设所需的人力、财力和技术资源,避免因资源不足影响规划实施;
  3. 文化建设:培养全员安全意识,建立"安全是每个人的责任"的企业文化;
  4. 持续优化:定期评估安全建设成效,根据内外部环境变化及时调整规划。

我们相信,通过本规划的实施,公司将建立起与AI业务深度融合的安全能力,为业务创新和资本市场布局提供坚实保障,实现安全与业务的共同发展。

Source(136)
文件
[PDF] 基于ISO27001的企业信息安全保障体系的构建设想
文件
[PDF] 打造信息管理安全屏障破解计算机网络安全魔咒
搜狐网
ISO27001 是由国际标准化组织(ISO)制定的信息安全管理体系(ISMS)国际标准,旨在帮助组织建立、实施、维护和持续改进信息安全管理框架。该标准于 2022 年发布最新版本(ISO/IEC 27001:2022),咨询199-0343-9240通过系统化的方法管理敏感信息,确保数据的机密性、完整性和可用性...
搜狐网
ISO27001信息安全管理体系(ISMS)认证对于希望提升信息安全管理水平的企业至关重要。企业在申请ISO27001认证时,需要满足一系列关键条件以及理解标准核心内容。首先,企业必须是合法注册的法人实体,具备有效营业执照,且在过去一年内无重大信息安全违规记录。此外,企业需要拥有固定的办公场所,能够接受认证机构的现场审核。这些要求确保了企业在合法合规的框架内开展信息安全管理工作。其次...
搜狐网
ISO27001第二阶段审核内容 (1)与信息安全管理体系标准或其他规范性文件的所有要求的符合情况及证据;(2)依据信息安全管理体系关键绩效目标和指标,对绩效进行的监视、测量、报告和评审;(3)信息安全管理体系的能力以及在符合适用法律法规要求和合同要求方面的绩效;(4)受审核方过程的运作控制;(5)内部审核和管理评审;(6)证实管理
dnv.com
该标准使组织能够有效管理并定期核查合规状态,通过持续改进机制确保保密性防护,及时应对潜在脆弱性。 ISO 27701 设计为ISO 27001 的扩展标准,可与ISO 27001 同步实施,也可 ...
sgsgroup.com.cn
ISO/IEC 27701作为一个独立的标准,可以独立认证,不再需要以ISO/IEC 27001认证为基础,因此,在认证时相比较于现有的2019版标准而言,相对没有那么复杂。 未 ...
bsigroup.com
按照全球首套国际隐私信息管理体系标准来妥善管理个人信息,并证明您遵守隐私法规。 ISO/IEC 27701为负责处理PII的各个组织提供指南,并就建立、实施和维护隐私信息管理 ...
东方财富网
近期,思看科技获得方圆标志认证集团(CQM)颁发的信息安全管理体系标准ISO/IEC 27001和隐私信息管理体系标准ISO/IEC 27701双认证,此殊荣标志着思看科技在信息安全和隐私保护领域达到
m.fyss.com.cn
经过ISO27001信息安全管理体系认证的公司,一般来说都能够和贸易伙伴之间建立起一定的互相信任基础,而且随着组织间的电子交流以及信息安全管理的就可以看到信息安全管理明显的利益所在,从而为广大用户和服务提供商提供了一个基础的设备管理。也就是说,通过信息安全管理认证,能让企业和用户之间建立一个更加信任的桥梁和纽带,让彼此的信任值上升。3、提升竞争优势,得到国际承认拓展业务不是梦 ISO27001虽然不是...
搜狐网
ISO 27001 是建立企业信息安全管理体系的国际标准核心环节:ISMS建立:政策、范围、组织、资产管理信息安全风险评估:识别、分析、评估、控制控制措施落实:参考附录A、形成可操作体系持续改进与监督:PD…
顺企网
ISO27701全称《安全技术—扩展ISO/IEC27001和ISO/IEC27002的隐私信息管理—要求与指南》,是对信息安全管理体系(ISMS)的隐私保护扩展。其核心要求涵盖个人信息全生命周期管理,确保组织在收集、使用、存储、传输等环节合法合规。具体认证要求如下: 1.收集与处理* 明确处理...
TÜV Saarland Certification (Shanghai) Co., Ltd.
ISO 27001阐明了对信息安全管理体系(ISMS)的要求。而信息安全指的是对于信息的机密性、完整性和可访问性的保障。信息安全管理体系的重要任务包括 安全目标的表述 界定对组织具有价值的资产 风险评估 风险处理 ISMS持续优化 信息安全是保护公司价值的核心元素。对公司信息和对人员相关的客户信息的保护、员工的<...
tc260.org.cn
ISO/IEC 27701是第一部PIMS国际标准,为PII控制者和PII处理者如何做好PII保护和控制指明了方向,且可能会被用于证明包括《通用数据保护条例》(EU) 2016/679 ...
cti-cert.com
ISO/IEC27701隐私信息管理体系标准作为ISO/IEC27001与ISO/IEC27002在管理上的延伸标准,其目标是通过新增的要求来增强现有信息安全管理体系(ISMS),以便建立、实施、维护 ...
Zendesk
ISO/IEC 27701:2019 规定了建立、实施、维护和持续改进隐私信息管理系统(PIMS) 的要求和指南。它是对ISO/IEC 27001 和ISO/IEC 27002 的补充,适用于组织内 ...
文件
[PDF] 网信办等七部门发布《生成式人工智能服务管理暂行办法》8 月 15 日起实施
文件
[PDF] 生成式人工智能进入合规发展阶段
cac.gov.cn
第一条为了促进生成式人工智能健康发展和规范应用,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》、 ...
mps.gov.cn
关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护,基于等级保护提出的分等级的防护机制和管理手段提出关键信息基础设施的加强保护措施,确保等级保护标准和 ...
gov.cn
答:《办法》明确生成式人工智能服务提供者应当依法开展预训练、优化训练等训练数据处理活动,使用具有合法来源的数据和基础模型;涉及知识产权的,不得侵害 ...
澎湃新闻
近日,国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局公布《生成式人工智能服务管理暂行办法》(以下称《办法》),自2023年8月15日起施行。国家互联网信息办公室有关负责
科技频道·央广网
央广网北京7月13日消息 近日,国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局公布了《生成式人工智能服务管理暂行办法》。该文件全文如下: 生成式人工智能服务管理暂行办法 第一章 总则 第一条 为了促进生成式人工智能健康发展和规范应用,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息
百度百科
《生成式人工智能服务管理暂行办法》(以下称《办法》),是国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局七部门于2023年7月10日联合公布,自2023年8月15日起施行的办法。《办法》旨在促进生成式人工智能健康发展和规范应用,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。《...
中共中央网络安全和信息化委员会办公室
近日,国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局公布《生成式人工智能服务管理暂行办法》(以下称《办法》),自2023年8月15日起施行。国家互联网信息办公室有关负责人表示,出台《办法》,旨在促进生成式人工智能健康发展和规范应用,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。近年来,生成式人工智能...
澎湃
相比4月发布的《生成式人工智能服务管理办法(征求意见稿)》,新出台的《生成式人工智能服务管理暂行办法》在多处放宽了监管要求,并增加了鼓励人工智能技术发展的措施。《办法》提出,总体实行包容审慎和分类分级监管,坚持发展和安全并重、促进创新和依法治理相结合的原则,并明确生成式AI实施算法的“备案制”,这与此前预期的审核许可制不同。7月13日,国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部、国家广电总局公布《生成式...
手机光明网
在31日举行的2023年国家网络安全宣传周新闻发布会上,中央网信办网络安全协调局局长高林表示,出台《办法》旨在促进生成式人工智能健康发展和规范应用,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。2023年国家网络安全宣传周将于9月11日至17日,在全国范围内统一开展。活动期间,网络安全技术高峰论坛将于9月11日下...
东方财富网
网信中国官微消息,近日,国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局公布《生成式人工智能服务管理暂行办法》(以下称《办法》),自2023年8月15日起施行。国家互联网
中国江苏网
报告指出,当前,我国生成式人工智能技术取得重要突破,国产大模型迅速发展,不断赋能千行百业。网络执法紧跟新技术新应用发展,加强规范引导,督促有关企业健全技术安全保障措施,防范生成虚假有害信息内容。加强对违规“AI换脸拟声”等类型应用的处置处罚,清理违规产品的营销引流信息,防范人工智能技术滥用。国家网信办会同有关部门按照《生成式人工智能服务管理暂行办法》要求,持续开展并...
奇安信
《办法》第八条要求,在生成式人工智能技术研发过程中进行数据标注的,生成式人工智能服务提供者(以下称提供者)应当制定符合本办法要求的清晰、具体、可操作 ...
tc260.org.cn
本文件支撑《生成式人工智能服务管理暂行办法》,提出了服务提供者需遵循的安全基. 本要求。服务提供者在按照有关要求履行备案手续时,按照本文件第9章要求 ...
kwm.com
国家网信办等五部门于2023年4月联合发布的《关于调整网络安全专用产品安全管理有关事项的公告》的要求,提出了网络安全专用产品检测认证领域建立统一制度。
cac.gov.cn
第一条为了促进人工智能健康发展,规范人工智能生成合成内容标识,保护公民、法人和其他组织合法权益,维护社会公共利益,根据《中华人民共和国网络安全法》、 ...
昆明理工大学
▫ 21条规定:国家实行等级保护制度;. ▫ 31条规定:国家对关键信息基础设施,在网络. 安全等级保护制度的基础上,实行重点保护。 ▫ 等级保护对象不断扩充(云计算、工业控制、物 ...
文件
[PDF] 证券期货业网络和信息安全管理办法
文件
[PDF] 证券期货业网络和信息安全管理办法
东方财富网
证监会3月3日宣布,为有效落实《网络安全 法》《数据安全 法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求,规范 证券 期货业网络和信息安全管理,防范化解行业网络和信息安全风险,维护资本市场安全平稳高效运行,证监会制定并发布了《证券 期货业网络和...
csrc.gov.cn
为有效落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求,规范证券期货业网络和信息安全管理,防范化解 ...
glo.com.cn
《管理试行办法》第十六条规定,发行人应当在境外提交首次公开发行上市申请文件后3个工作日内,向中国证监会提交备案材料,包括国务院有关主管部门出具的安全 ...
zhonglun.com
2021年12月28日,修订后的《网络安全审查办法》(“《网安办法》")正式发布并于2022年2月15日起施行,其要求掌握超过100万用户个人信息的网络平台运营者赴国外 ...
东方律师网
为实现与《网络安全法》以及《关键信息基础设施安全保护条例》等上位法的有效衔接,新管理办法 新增了“关键信息基础设施安全保护”章节,对于构成证券期货业关键信息基础设施运营者的相关机构,规定了更为严格的合规要求,具体表现在以下方面: l 将关键信息基础设施安全保护情况纳入 负责人 网络和信息安全工作 的考核内容 l 为每个关键信息基础设施指定网络和信息安全管理责任人,并对专门安全管理机构负责人和关键岗位人...
中国上市公司协会
为有效落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求,规范证券期货业网络和信息安全管理,防范化解行业网络和信息安全风险,维护资本市场安全平稳高效运行,证监会制定并发布了《证券期货业网络和信息安全管理办法》(以下简称《...
东方财富网
为有效落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求,规范证券期货业网络和信息安全管理,防范化解行业网络和信息安全风险,维护资本市场安全平稳高效运行,证
今日头条
《规定》的修订旨在进一步加强境内企业境外发行上市相关保密和档案管理工作,明确上市公司信息安全责任,维护国家信息安全,减少不必要的涉密敏感信息进入工作底稿,提高跨境监管合作的效率,体现了统筹开放与安全的理念,将促进中国境内企业境外发行证券和上市活动有序开展。八,不会给企业带来过高的合规成本 证监会相关部门负责人表示,依法依规做好涉密敏感信息的管理,落实信息安全主体责任,是企业合规经营的重要内容。从实践情...
百度百科
《证券期货业网络和信息安全管理办法》是为有效落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求,规范证券期货业网络和信息安全管理,防范化解行业网络和信息安全风险,维护资本市场安全平稳高效运行,制定的办法。2023年2月27日,中国证券监督管理委员会令第218号予以印发,自2023年5月1日起施行。
搜狐网
此前,针对证券基金经营机构的网络与信息安全、数据安全等问题,中国证监会曾在2021年发布《证券基金经营机构信息技术管理办法》(以下简称“《信息技术管理办法》”),为证券基金公司保障网络安全、数据安全以及规范处理客户资料等工作提出明确且细致的基线。有关具体详细解读可参见我们此前发布的《证券基金公司网络安全<...
www.ahdhf.com
第三十八条 核心机构应当组织与本机构信息系统和网络通信设施相关联主体开展网络安全应急演练,每年至少开展一次,并于演练后 15 个工作日内将相关情况报告中国证监会。核心机构和经营机构应当定期开展网络安全应急演练,并形成应急演练报告存档备查。第三十九条 核心机构和经营机构应当建立应急处置机制,及时处置网络安全事件,尽快恢复信息系统正常运行,保护事件现场和相关证据,向中国证监会
allbrightlaw.com
(1)制定网络、数据安全制度 · 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和 ...
csrc.gov.cn
第九条境内企业境外发行上市活动,应当严格遵守外. 商投资、网络安全、数据安全等国家安全法律、行政法规和. 有关规定,切实履行维护国家安全的义务。涉及安全审查的,.
zhonglun.com
总体而言,2023年度交易所在审核问询境内上市申请或新三板挂牌申请过程中,延续了过往对于网络安全、数据合规、个人信息保护监管趋严的思路,并且可以预见的 ...
gov.cn
第十四条核心机构和经营机构应当落实网络安全等级保护制度,依法履行网络安全等级保护义务,按照国家和证券期货业网络安全等级保护相关要求,开展网络和信息系统定级备案、等 ...
secrss.com
为使企业切实担负信息安全的主体责任,修订后的《规定》将要求企业在境外发行上市过程中向中介机构及境外监管机构提供、披露资料时,需要遵守保密相关法律 ...
文件
[PDF] 新形势下地方院校网络安全管理探讨
文件
[PDF] 关于等保 2.0 在政务部门实践的有关思考
CSDN技术社区
网络安全等级保护2.0的核心是将安全保护等级划分为四个级别:第一级、第二级、第三级和第四级,每个级别对应不同级别的安全要求。以下是对这些要求的详细解释:一、技术要求:1.物理和环境安全:-基本要求包括选择合适的机房场地,确保防灾能力。第一级主要关注物理位置的选择。第二级增加了电子门禁系统,用于控制和记录人员进出。...
博客园
Refer:https://zhuanlan.zhihu.com/p/159164906 一、等保服务类型 等保测评服务 等保整改咨询 等保安全产品 二、等级保护分级 在网络安全等级保护2.0国家标准(等保2.0)中,信息安全等级保护分为五级,分别是第一级(自主保护级)、第二级(指导保护级)、第三级
CSDN技术社区
在这些文件中,我们可以深入了解到等保2.0的具体内容和要求,以及在实施过程中如何测评、设计和测试评估。首先,等保2.0是对之前等级保护标准的升级,它全称为《信息安全技术 网络安全等级保护基本要求》。这项标准明确了网络环境下的安全等级保护制度,将信息系统的安全保护等级
每日经济新闻
5月13日,网络安全等级保护2.0(简称等保2.0)核心标准(《信息安全技术? 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求
中华人民共和国公安部
针对网络边界提出的安全控制要求。主要对象为系统边界和区域边界等;涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全 ...
昆明理工大学
主要增加的内容包括“室外控制设备防护”、. “工业控制系统网络架构安全”、“拨号使用控. 制”、“无线使用控制” 和“控制设备安全”. 等方面,针对工业控制系统实时性要求高的特点.
深信服科技
等级保护制度的核心是对信息系统进行分级,每一级都有相应的安全保护要求和技术标准。这些要求涵盖了物理安全、网络安全、主机安全、应用安全、数据安全和安全管理等多个 ...
搜狐网
安企神软件作为一款专业的安全管理工具,深度契合网络安全等级保护2.0标准的要求,为企业提供了全方位的安全保障。在上网行为管理方面,安企神软件可以限制员工访问与工作无关的网站、恶意网站等,还能对网页发送的内容进行限制、文件进行备份等管控,避免员工因不当上网行为给企业带来安全风险。在文件操作监控方面,它能详细记录员工对文件的访问、创建、复制、移动、改名、删除、恢复以及文...
稀土掘金
### 基础介绍 - 网络安全等级保护2.0(简称“等保2.0”)是中国在网络安全领域的一项基本制度,它是在《中华人民共和国网络安全法》指导下,对原有的网络安全等级保护制度进行的重大升级。等保2.0
贵州省公安厅
关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护,基于等级保护提出的分等级的防护机制和管理手段提出关键信息基础设施的加强保护措施,确保等级保护标准和关键信息基础设施保护标准的顺利衔接也是等级保护2.0标准体系需要考虑的内容。等级保护2.0标准体系主要标准如下: 网络安全等级保护条例(总要求/上位文件) 计算机信息系统安全保护等级划分准则...
湖南省公安厅
网络安全等级保护测评过程指南(GB/T28449-2018) 关键信息基础设施标准体系框架如下: 关键信息基础设施保护条例(征求意见稿)(总要求/上位文件) 关键信息基础设施安全保护要求(征求意见稿) 关键信息基础设施安全控制要求(征求意见稿) 关键信息基础设施安全控制评估方法(征求意见稿) 主要标准的特点和变化 No.1...
zhonglun.com
本篇《网络安全等级保护制度2.0(下)——系列标准解读》将对本次生效的基本要求、测评要求、设计技术要求三个国标进行具体介绍。 一、《信息安全技术 ...
福建理工大学
网络安全等级保护2.0. 网络安全等级保护2.0. Page 8. 给出了具体的要求如安全保护措施和重大网络安全事件处置网络安. 全检查检测和风险评估供应链安全管理安全可控的产品和 ...
assets.kpmg.com
网络运营者应参. 照等级保护2.0相关标准的要求:1)梳理出定级对象并合. 理确定其安全保护等级、安全责任单位和具体责任人;2). 开展网络定级备案、安全建设 ...
edu.cn
等级保护2.0标准针对共性安全保护的安全通用要求,在1.0标准基础上进行优化的同时,为配合《网络安全法》的实施,针对云计算、物联网、移动互联网、工业控制 ...
广西壮族自治区人民政府门户网站
本标准规定了网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展. 要求。 本标准适用于指导分等级的非涉密对象的安全建设和监督管理。 注:第 ...
文件
[PDF] UNDERSTANDING AND MITIGATING RISKS OF GENERATIVE AI IN FINANCIAL SERVICES
文件
[PDF] Security Steerability is All You Need
极牛网
据预测,到2025年,全球77%的企业将部署生成式AI以提升生产力。然而,这一技术的广泛应用也带来了前所未有的安全风险。OWASP作为全球权威的安全组织,针对大模型发布了《2025年十大安全漏洞》报告,系统梳理了LLM领域的关键威胁。本文将深入解析这些漏洞的原理、影响及防护策略,为开发者和企业提供全面指导。一、OWASP LLM十大安全漏洞概览 OWASP<...
FreeBuf
《OWASP大语言模型应用程序十大风险》报告,对大语言模型安全给出了详细指南,让我们逐条解读: 1、提示词注入 攻击者采用绕过 过滤器或构造提示词的方法,操控大语言模型(LLM),使其执行“注入”操作,进而导致数据泄漏或其他安全漏洞。防范措施 1)实施严格的输入验证,拒绝或净化恶意输入。2)使用上下文感知的过滤器,检测并阻止可疑提示词。3)定期更新LLM,增强其对恶意输入的识别能力。...
搜狐网
2025年度,开放式Web应用安全项目(OWASP)发布了大语言模型应用程序的十大风险报告,为开发者和企业提供了重要的安全参考,帮助用户了解在为其产品引入这些先进技术时可能面临的风险。大语言模型运用机器学习…
飞书
它是一份针对语言学习模型安全风险的清单,涵盖了从数据隐私泄露到模型被恶意利用等多个方面。这对于从事AI开发和应用的人员来说,是一份非常重要的指南。在数据隐私方面,LLM往往需要大量的数据进行训练。这些数据可能包含个人敏感信息,如果处理不当,就会导致隐私泄露。例如,在医疗领域使用LLM时,如果患者的病历数据被泄露,将会对患者造成极大的伤害。因此,开发人员需要采取严格的数据保护措施,确保数据在收集、存储和...
东方财富网
撰文:李信马 最近,DeepSeek火了,也带动大模型迎来了又一轮的热潮。但与此同时,随着大模型的应用日益广泛,其中蕴含的风险也引人担忧。 不久前,F5公司在北京举办了新春媒体见面会。会上,F5
genai.owasp.org
该小组的目标包括探索传统漏洞如何在LLM内造成不同的风险或以新颖的方式被利用,以及开发人员. 如何必须针对利用LLM的应用程序调整传统的修复策略。 未来 ...
aws.amazon.com
建立安全的数据边界和安全的敏感数据存储。 加密LLM 应用程序使用的静态和传输中数据和信息。 了解并控制允许哪些用户、进程和角色向数据存储提供数据,以 ...
genai.owasp.org
此次更新提供了一个全面的资源,针对在生成式AI和大型语言模型应用程序的开发、部署和管理生命周期中的主要风险、漏洞和缓解措施进行了解决。无论您是处理基于RAG的应用 ...
tool.lu
1.大型语言模型(LLM)安全 风险、案例与防御策略 Prepared by ChaMD5 Security Team AI Group author@bayuncao|editor@qwrdxer 2025.04.12 Page 1 of 27 2.ChaMD5 安全团队 AI 组 这是 ChaMD5 安全团队 AI 组的第一篇关于大语言模型(<...
tool.lu
1.大型语言模型(LLM)安全 风险、案例与防御策略 Prepared by ChaMD5 Security Team AI Group author@bayuncao|editor@qwrdxer 2025.04.12 Page 1 of 27 2.ChaMD5 安全团队 AI 组 这是 ChaMD5 安全团队 AI 组的第一篇关于大语言模型(<...
tool.lu
1.大型语言模型(LLM)安全 风险、案例与防御策略 Prepared by ChaMD5 Security Team AI Group author@bayuncao|editor@qwrdxer 2025.04.12 Page 1 of 27 2.ChaMD5 安全团队 AI 组 这是 ChaMD5 安全团队 AI 组的第一篇关于大语言模型(<...
知乎
本文将全面解释LLM 安全性,涵盖OWASP 的LLM 的10 个安全风险以及缓解这些风险的顶级工具和技术。 什么是LLM安全保障(LLM security)? LLM 安全性或大语言 ...
文件
[PDF] 挑战与应对:大型语言模型(ChatGPT)的多样态安全风险归因及协同治理研究
文件
[PDF] Governing Ethical Gaps in Distributed AI Development
secrss.com
AI RMF 1.0框架包括六个章节和四篇附录,其中正文分为两个主要部分组成,第一部分——讨论组织如何构建与AI相关的风险框架(第一章)并描述了该框架的目标受众( ...
中国科学院
该框架主要内容分为两部分,第一部分探讨人工智能相关风险的梳理建构方法,并概述可信赖人工智能系统的特征。 · 第二部分介绍了AI RMF核心的四大功能,即治理( ...
数世咨询
美国国家标准与技术研究所(NIST)正在开发一个志愿性质的框架,以更好地管理人工智能相关的风险,称为人工智能风险管理框架(AI RMF)。该框架的目标是提高将可信度纳入AI的能力,包括AI的产品、服务、系统的设计、开发、使用和评估。该框架的初稿建立在2021年12月NIST发布的一份概念性文件上。NIST...
360doc个人图书馆
本概念文件描述了美国国家标准与技术研究院(NIST)人工智能风险管理框架(AI RMF或框架)提出的基本方法。AI RMF旨在供自愿使用,并解决AI产品,服务和系统的设计,开发,使用和评估中的风险。人工智能技术将算法方法和自动化扩展到新领域、新角色,包括为人们提供建议并在高风险决策中行动。将人工智能技术运用于推荐、判断、模式识别以...
Microsoft Learn
它遵循 NIST 人工智能风险管理框架(AI RMF)和 NIST AI RMF Playbook。它还与 CAF 治理 中的框架相一致。本指南旨在帮助你将 AI 风险管理纳入更为广泛的风险管理策略之中。这种集成为统一的治理方法提供了对 AI、网络安全和隐私风险的更协调的处理。评估 AI 组织<...
tuvsud.cn
增强AI的可信度可以在一定程度上降低AI的负面风险,AI RMF提出了7个可信赖AI的特征,分别是:有效&可靠,安全,弹性,可解释,隐私保护,公平,可问责&透明。NIST希望可以通过AI RMF ...
今日头条
2023年1月26日,美国国家标准与技术研究院(NIST)为加强对人工智能(AI)相关个人、组织和社会风险的管理,通过与私营和公共部门合作,制定《人工智能风险管理框架》。该框架将可信度考量纳入设计、开发、使用和评估AI产品、服务和系统中,并基于其他机构的AI风险管理工作,确保制定过程的公开、透明。1 研究背景 虽然有无数标准和实践可以帮助组织降低传...
东方财富网
人工智能是人类发展新领域,给世界带来巨大机遇,也带来了各类风险挑战。9月9日,全国网络安全标准化技术委员会制定的《人工智能安全治理框架》1.0版(以下简称《框架》),对外公开发布。《框架》将人工智能安
东方财富网
**9月9日消息,今日,全国网络安全标准化技术委员会发布《人工智能安全治理框架》1.0版。** 《框架》提出了包容审慎、确保安全,风险导向、敏捷治理,技管结合、协同应对,开放合作、共治共享等人工智能
世界互联网大会
美国国家标准与技术研究院(NIST)发布了《人工智能风险管理框架》(AI RMF 1.0)系列指南,为安全、可靠和可信的人工智能开发和使用提供技术方案。AIRMF 系列指南关注人工智能开发过程中的数据隐私保护、环境资源消耗等,提出治理人工智能被用于制作煽动仇恨、暴力、儿童色情等内容的风险。新加坡于 2024 年 5 月发布《生成式人工智能治...
搜狐网
人工智能技术的飞速发展正重塑网络安全格局,AI安全已从辅助工具演变为数字时代的安全基石。近年来,随着生成式AI、大模型技术的快速演进,AI安全领域正经历着前所未有的变革。根据Gartner 2025年网络安全趋势预测,生成式AI正在推动数据安全策略从保护结构化数据向保护非结构化数据倾斜,同时机器身份管理的重要性日益凸显 A...
知乎
与AI RMF 核心一致,手册首先涉及监管功能,它建议“培养并体现风险管理文化”,作为成功进行人工智能风险管理的首要步骤。这是AI RMF 核心的基本功能,没有它, ...
ibm.com
AI 风险管理专门侧重于识别和解决漏洞和威胁,以确保AI 系统安全,免受伤害。人工智能治理确立了指导AI 研究、开发和应用的框架、规则和标准,以确保安全、公平和尊重人权。
清华大学人工智能国际治理研究院
AI RMF还指出识别和管理人工智能风险和潜在影响(包括正面和负面影响)需要跨人工智能生命周期的广泛视角和参与者。其中提到的“人与地球(People and Planet) ...
北京市贸促会
本文将对美国《AI风险管理框架》(AI RMF 1.0)和七国集团(G7)《开发先进AI系统组织国际行为准则》的核心内容进行介绍,供企业和其他组织参考,用以完善AI领域 ...
飞书
... NIST). 《人工智能风险管理框架》(Artificial Intelligence Risk Management Framework,AI RMF 1.0). 该框架旨在帮助人工智能系统的开发者、用户和评估人员更好地管理 ...
文件
[PDF] 隐私信息管理体系认证浅析
钛和集团
获得ISO 27701隐私信息管理体系认证有利于: 1、提高竞争优势:通过最高级别信息保护,彰显企业实力,超越竞争对手。2、提升数据安全:全面分析流程,降低隐私泄露风险,提升风险管理能力。3、降低风险:确保风险识别与控制,有效管理或降低潜在风险。4、增强信任:让客户和利益相关者对个人信息安全性更放心。5、利于全球发展:提供国际通用指导,助力全球业务拓展与供应商优选。6、提高信任基石:...
东方财富网
近期,思看科技获得方圆标志认证集团(CQM)颁发的信息安全管理体系标准ISO/IEC 27001和隐私信息管理体系标准ISO/IEC 27701双认证,此殊荣标志着思看科技在信息安全和隐私保护领域达到
dnv.com
该标准使组织能够有效管理并定期核查合规状态,通过持续改进机制确保保密性防护,及时应对潜在脆弱性。 ISO 27701 设计为ISO 27001 的扩展标准,可与ISO 27001 同步实施,也可 ...
sgsgroup.com.cn
对于计划将要获取ISO/IEC 27701隐私管理体系认证的企业而言,可以开始着手规划,例如:进行隐私管理相关的培训、梳理个人信息处理流程及相关控制措施、拟定 ...
知乎
是一项国际管理系统标准体系,为保护个人隐私提供指导,包括组织应如何管理个人信息,并协助证明遵守了世界各地的隐私法规。 如果需要办理ISO27001认证的, ...
顺企网
ISO27701全称《安全技术—扩展ISO/IEC27001和ISO/IEC27002的隐私信息管理—要求与指南》,是对信息安全管理体系(ISMS)的隐私保护扩展。其核心要求涵盖个人信息全生命周期管理,确保组织在收集、使用、存储、传输等环节合法合规。具体认证要求如下: 1.收集...
东方财富网
近日,数美科技正式获得“全球首个隐私信息管理体系标准”ISO/IEC 27701:2019信息安全管理认证。该认证是对数美科技在用户信息安全和隐私信息管理及保护能力上的高度认可,表明数美科技在隐私信息
Intertek 天祥集团
ISO/IEC 27701:2019,即隐私信息管理体系(PIMS),是ISO/IEC 27001(信息安全管理体系,ISMS)和ISO/IEC 27002(信息安全控制实践指南)在隐私信息管理的一个扩展标准。With the introduction of the EU’s GDPR and comparable privacy data pro...
万泰认证
ISO 27701即隐私信息管理体系(PIMS),是 ISO/IEC 27001(信息安全管理体系ISMS)和ISO/IEC 27002(信息安全控制实践指南)在隐私信息管理的一个扩展标准。该标准可以提供通用数据保护法规(GDPR)要求的数据隐私和信息安全标准,填补了目前隐私信息管理体系的空白,将隐私保护的原则、理念和方法,融入到信息安全保护体系中...
安徽擎标信息技术服务有限公司
它不仅是ISO27001信息安全管理体系的重要扩展,更在全球范围内赢得了广泛的认可与权威地位。下面就让擎标带大家了解下27701该如何申请,企业需要准备的资料清单有哪些吧?一、ISO27701的适用对象与申请条件 适用对象:ISO27701标准适用于所有类型和规模的组织,无论其规模大小或所属领域,只要涉及信息领域服务的组织均可申请认证。申请条件:企业需持有工商行政管理部门颁发的相关营业执照或许可证,并...
搜狐网
ISO/IEC 27001:2022《信息安全、网络安全和隐私保护 信息安全管理体系要求》;ISO27001认证内容 (1)安全策略: 指定信息安全方针,为信息安全提供管理指引和支持,并定期评审。(2)信息安全的组织: 建立信息安全管理组织体系,在内部开展和控制信息安全的实施。(3)资产管理: 核查所有信息资产,做好信息分类,确保信息资产受到适当程度的保护。(4)人力资源安全: 确保所有员工,合同方和第三方了解信息安全威胁和相关事宜以及各自的责任,义务,...
bsigroup.com
该标准将隐私保护的原则、理念和方法,融入到信息安全保护体系中,给企业在隐私保护和信息安全方面给出了指导建议。 为获得基于该标准的认证,各组织需进行独立评估,包括严格 ...
cti-cert.com
ISO/IEC27701隐私信息管理体系标准作为ISO/IEC27001与ISO/IEC27002在管理上的延伸标准,其目标是通过新增的要求来增强现有信息安全管理体系(ISMS),以便建立、实施、维护 ...
Zendesk
ISO/IEC 27701:2019 规定了建立、实施、维护和持续改进隐私信息管理系统(PIMS) 的要求和指南。它是对ISO/IEC 27001 和ISO/IEC 27002 的补充,适用于组织内 ...
szlcsc.com
ISO 27001及ISO 27701通过定期评估风险和控制措施的有效性来保证体系的持续运行,对申请企业的安全信息体系提出了极高的要求标准以确保企业及客户信息安全 ...
tc260.org.cn
ISO/IEC 27701是第一部PIMS国际标准,为PII控制者和PII处理者如何做好PII保护和控制指明了方向,且可能会被用于证明包括《通用数据保护条例》(EU) 2016/679 ...
文件
[PDF] 深信服:VIE架构拆除
csrc.gov.cn
为有效落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求,规范证券期货业网络和信息安全管理,防范化解 ...
gov.cn
证券期货业网络和信息安全管理办法》已经2023年1月17日中国证券监督管理委员会2023年第1次委务会议审议通过,现予公布,自2023年5月1日起施行。
glo.com.cn
而经营机构和信息技术系统服务机构违反《管理办法》的,证监会及其派出机构可以对机构采取责令改正、监管谈话、出具警示函、责令公开说明、责令定期报告、 ...
中国政府网
第一条 为了保障证券期货业网络和信息安全,保护投资者合法权益,促进证券期货业稳定健康发展,根据《中华人民共和国证券法》(以下简称《证券法》)、《中华人民共和国期货和衍生品法》(以下简称《期货和衍生品法》)、《中华人民共和国证券投资基金法》(以下简称《证券投资基金法》)、《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》(以下简称《个人...
安全内参
为有效落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求,规范证券期货业网络和信息安全管理,防范化解行业网络和信息安全风险,维护资本市场安全平稳高效运行,证监会于2023年2月27日发布了《证券期货业网络和信息安...
中国上市公司协会
为有效落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求,规范证券期货业网络和信息安全管理,防范化解行业网络和信息安全风险,维护资本市场安全平稳高效运行,证监会制定并发布了《证券期货业网络和信息安全管理...
财联社
一是鼓励相关机构在依法合规的前提下,开展行业网络和信息安全技术应用,提升保障水平;二是核心机构、经营机构应在保障自身网络和信息系统安全的前提下,为行业统筹提供服务;三是建立金融科技创新机制,持续优化并增强网络安全监管专业支撑,核心机构可以申请开展行业网络和信息安全认证、检测、测试和风险评估等监管支持工作;四是加强行业网络和...
东方财富网
本报记者 昝秀丽 证监会3月3日消息,为有效落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求,规范证券期货业网络和信息安全管理,防范化解行业网络和信息安全风
锦天城律师事务所
根据国家互联网信息办公室发布的《网络数据安全管理条例(征求意见稿)》(以下简称“《网数条例(征求意见稿)》”),其第13条第2款、第3款分别对国外上市和境外上市做了规定:数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查:…(二)处理一百万人以上个人信息的数据处理者赴国外上市的;(三)数据处理者赴香港上市,影响或者可能...
东方财富网
证监会通报:罚款2.29亿 9月12日晚间沪深上市公司重大事项公告最新快递 苹果宣布iPhone Air在华发售延期 官方最新确认:三大运营商将提供eSIM支持 财政部披露化债半程“成绩单”:1年隐性债务减少近4万亿 超6成融资平台退出 国常会审议通过《生物医学新技术临床研究和临床转化应用管理条例(草案)》国常会部署进一步促进民间投资发展的若干措施 青山纸业9天6板!本周主力资金大幅抢筹3股 新型储能新政重磅发布:2500亿投资在望 市场机制逐步完善 二...
澎湃
此外,近年来网络安全法、数据安全法、个人信息保护法、《关键信息基础设施安全保护条例》及证券法等法律法规的密集发布实施,对于证券期货业网络和信息安全管理也提出了进一步要求。严守安全底线 出台《办法》,说到底是为了保障证券期货业网络和信息安全,保护投资者合法权益,促进证券期货业稳定健康发展。严守证券期货业安全底线,促进科技发展,是出台《办法》的出发点,也是终极目标。证监会有关负责人称,《办法》以保障安全为...
zhonglun.com
一、香港上市中网络安全审查的相关规定​ 中国证监会2023年2月17日公布的《境内企业境外发行证券和上市管理试行办法》(中国证监会公告[2023]43号)第7条规定 ...
csrc.gov.cn
为建立健全证券期货业网络和信息安全监管制度体系,. 防范化解行业网络和信息安全风险隐患,维护资本市场安全. 平稳高效运行,在充分衔接上位要求、总结监管实践的基础.
zhonglun.com
2021年11月发布的《数安条例(意见稿)》除对相关企业赴国外上市需要申报网络安全审查的情形进行了规定,也同时规定了数据处理者赴香港上市,影响或者可能影响 ...
allbrightlaw.com
(1)制定网络、数据安全制度 · 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和 ...
君合
第一,《数安条例草案》作为《网络安全法》、《数据安全法》和《个人信息保护法》三大法的实施条例,在三大法基础上明确了诸多落地细节,包括对企业处理个人 ...