Generative AI Security Scoping Matrix 是一套由 AWS 提供的完整安全框架,幫助組織根據不同類型的生成式人工智慧(Generative AI)應用場景,評估並實施適當的安全控管措施。這套矩陣將生成式 AI 的使用範圍分為五個「Scope」,對應不同的擁有權與管控權限,並依此針對安全治理、隱私合規、風險管理等方面提供指引。
以下是五個主要 Scope 分類與說明:
- 安全維度涵蓋身份與存取管理、資料保護、隱私合規、應用安全、威脅建模等。
- 從購買(買現成服務)到自行建置(微調、自訓練),每個階段的安全需求與風險管理複雜度遞增。
- 建議組織先準確劃定自己使用的 AI 技術屬於哪個 Scope,再依據風險評估調整優先安全控管措施,並持續動態更新。
- Scope 1、2 多屬「買方視角」,重點是法律合規及資料治理;Scope 3~5 屬「打造者視角」,需要全面的威脅建模與技術安全控管。
此矩陣現已被多個業界案例應用,例如在醫療、汽車等產業的生成式 AI 部署中,成為明確、安全規劃的重要參考依據。
總結來說,Generative AI Security Scoping Matrix 提供組織一個系統化的思考框架,幫助企業合理分類並把握生成式 AI 的安全挑戰,制定符合自身應用情境的安全政策與控管措施,確保在快速發展的 AI 技術應用環境中維持資訊安全與合規性。
