AI Governance

AI Governance корпоративного уровня

5-уровневая модель зрелости. Baseline из 12 контролей перед production. Тройной маппинг NIST AI RMF + ISO/IEC 42001 + EU AI Act. Стандарт, который реально применяют клиенты SLAtech — не теория.

Пройти оценку зрелости Скачать JSON dataset

Модель зрелости

5 уровней зрелости AI governance

Большинство организаций на уровне 1–2 при первой оценке. Уровень 4+ требует выделенной AI-платформы и регулярной команды.

1️⃣

Ad-hoc

Контроли существуют неформально. Документации нет. Владелец не ясен.

2️⃣

Documented

У каждого контроля есть письменная политика и владелец. Не измеряется последовательно.

3️⃣

Measured

Производительность контролей инструментирована. Метрики обозреваются ежемесячно. Пробелы отслеживаются.

4️⃣

Audited

Независимый обзор (внутренний или внешний) подтверждает контроли ежеквартально.

5️⃣

Continuous

Автоматическое enforcement. Метрики обратно в roadmap. Drift запускает re-baseline.

12-Control Baseline

Обязательные контроли перед production

Пересечение NIST AI RMF, ISO/IEC 42001 и EU AI Act — контроли, которые присутствуют во всех трёх frameworks. Полный JSON dataset (CC-BY-4.0) с per-control маппингом.

1. Model Registry

Инвентарь версий, владельцы, training data hash, статус одобрения.

2. Data Lineage

Полная provenance training data: источник, лицензия, трансформации, retention.

3. Evaluation Harness

Автоматические тесты quality/safety/fairness на версионированном golden set.

4. HITL для high-stakes

Случаи, когда AI-вывод не может быть применён без задокументированного human review.

5. Audit Log

Tamper-evident лог каждого inference: input hash, model version, output, confidence.

6. Incident Response

Runbook для AI-инцидентов: hallucination в масштабе, model degradation, abuse.

7. Prompt Versioning

Каждый production prompt template под version control с review.

8. RBAC

Inference APIs, fine-tuning jobs и model artifacts под least-privilege.

9. PII Filtering

Сканирование и редакция prompts и responses согласно политике.

10. Quality Monitoring

Sampling production-трафика с автоматическим и человеческим scoring, drift alerts.

11. Drift Detection

Статистическое обнаружение сдвига распределения input/output относительно baseline.

12. Rollback

Документированная и протестированная процедура возврата к предыдущей версии или non-AI fallback.

Frameworks

NIST AI RMF, ISO/IEC 42001, EU AI Act, 152-ФЗ — какой выбрать?

В зрелых организациях — все четыре, слоями. EU AI Act обязателен при работе с ЕС. ISO/IEC 42001 — лучший management system для тех, кто уже в ISO 27001. NIST AI RMF — самая гибкая техническая baseline. 152-ФЗ — обязателен для российских персональных данных (data residency).

Зрелый стандарт: ISO/42001 как management system layer, NIST RMF как controls layer, EU AI Act как compliance overlay для high-risk систем, 152-ФЗ для российских данных. Каждый контроль в нашей baseline маппирован на 3 framework'a (см. JSON dataset).

Готовы оценить вашу зрелость?

12 вопросов, 5 минут, оценка 0–100 с приоритетными рекомендациями.

Пройти оценку Консультация