Haladás 0 / 22 kérdés megválaszolva

ISO/IEC 27001:2022 AI Extension Checklist

Értékeld az AI rendszered ISO 27001 megfelelőségét. 22 kérdés, 5 kategória.

Vezetsz naprakész leltárt a szervezeteden belül minden AI/ML rendszerről, modellről és adathalmazról?

ISO Control A.5.9: Inventory of information and other associated assets. Az AI rendszerek gyakran "shadow IT" formájában terjednek. Teljes körű eszközleltár nélkül nem tudod megvédeni azt, amiről nem is tudsz.

Nincs leltár Részleges leltár (néhány rendszer) Teljes, naprakész leltár minden AI rendszerről

Osztályoztad-e az AI rendszereidet kockázati szint és adatérzékenység szerint (pl. kritikus/magas/közepes/alacsony)?

ISO Control A.5.12: Classification of information. Nem minden AI rendszer egyformán kritikus. Az osztályozás határozza meg a szükséges kontrollokat.

Nincs osztályozás Alapvető osztályozás (magas/alacsony) Részletes osztályozás kockázat és adatérzékenység szerint

Rendeltél-e minden AI rendszerhez kijelölt felelőst (owner/DPO/data steward)?

ISO Control A.5.9: Asset ownership. ISO 27001 követelmény, hogy minden eszköznek (asset) legyen felelőse. AI esetében gyakran nem egyértelmű a felelősségi kör.

Nincs kijelölt felelős Néhány rendszerhez van felelős Minden rendszerhez kijelölt felelős RACI mátrixszal

Követed-e az AI modellek teljes életciklusát (development, staging, production, retirement)?

ISO Control A.5.37: Documented operating procedures. A modellek gyakran verziókezelés nélkül kerülnek éles üzembe (production), vagy elavult modellek futnak évekig.

Nincs életciklus-követés Éles (production) modellek követése Teljes életciklus-követés (dev-től a kivezetésig)

Rendelkezel minden AI rendszerhez naprakész technikai dokumentációval (model card, datasheet, architektúra diagram)?

ISO Control A.5.37: Documented operating procedures. ISO audit első kérdése: "Show me the documentation". AI esetében kritikus a modell céljának, korlátainak és működésének dokumentálása.

Nincs dokumentáció Alapszintű dokumentáció (README) Teljes körű dokumentáció (model card, datasheet, diagramok)

Értékeled-e a harmadik feles AI szolgáltatók (OpenAI, AWS, Google Cloud AI) biztonsági kockázatait szerződéskötés előtt?

ISO Control A.5.19: Information security in supplier relationships. Harmadik feles AI = harmadik feles kockázat. A szolgáltató (vendor) kiesése vagy egy adatszivárgás (data leak) a te felelősséged is.

Nincs szolgáltatói értékelés Alap biztonsági ellenőrzés (tanúsítványok) Alapos kockázatértékelés (SOC2, ISO27001, SLA)

A szerződéseid tartalmazzák-e az AI-specifikus biztonsági követelményeket (adatmegőrzés, modell tulajdonjoga, auditálási jogok)?

ISO Control A.5.20: Addressing information security within supplier agreements. Az alapértelmezett (default) szerződések nem fedik le: ki tulajdonolja a modellt? Van-e auditálási jogod?

Nincsenek AI-specifikus feltételek Alap DPA (adatfeldolgozási szerződés) van Teljes körű AI-specifikus szerződés (tulajdonjog, audit, adatmegőrzés)

Ellenőrzöd-e az AI modellekben használt open-source könyvtárak (library) és előre tanított (pretrained) modellek biztonsági sérülékenységeit?

ISO Control A.5.23: Information security for use of cloud services. HuggingFace-ről letöltött modell tartalmazhat hátsó kaput (backdoor), a könyvtárak (library) lehetnek sebezhető (vulnerable) verziójúak.

Nincs sebezhetőség-ellenőrzés Manuális ellenőrzések időnként Automatizált CVE monitorozás (Dependabot, Renovate)

Titkosítod az adatmozgást a harmadik feles AI szolgáltatók felé (TLS, VPN, private endpoint)?

ISO Control A.8.24: Use of cryptography. A titkosítatlan (plaintext) API hívás = man-in-the-middle kockázat. Minimum TLS 1.2 vagy privát végpontok (private endpoints) szükségesek.

Nincs titkosítás TLS 1.2+ használat Privát végpontok (Private endpoints) vagy VPN

Véded a tanító (training) adatokat a jogosulatlan hozzáféréstől (encryption at rest, access control, audit log)?

ISO Control A.8.10/A.8.11: A tanító adat (training data) gyakran tartalmaz PII-t. Ha kiszivárog, az GDPR-sértés (breach) és versenyhátrány. Inaktív adatok titkosítása (Encryption at rest, AES-256) és RBAC szükséges.

Nincs védelem Hozzáfér-szabályozás (Access control) van Titkosítás (at rest) + RBAC + audit naplózás

Alkalmazod-e az adattakarékosság (data minimization) elvét az AI tanításához (csak a szükséges mezőket használod)?

ISO Control A.8.11: Data masking. GDPR Article 5(1)(c) - adattakarékosság. Ha nem kell az e-mail cím, ne gyűjtsd be / ne használd.

Minden adatot használunk Néhány felesleges mezőt eltávolítunk Szigorú adattakarékosság, feature selection audit

Anonimizálod vagy álnevesíted (pseudonimizálod) a személyes adatokat AI tanítás (tréning) előtt?

ISO Control A.8.11: Data masking. GDPR Article 25 - beépített adatvédelem. Anonimizált adatokra nem vonatkozik a GDPR teljes szigora.

Nincs anonimizálás Álnevesítést (pseudonimizálás) alkalmazunk Teljes anonimizálás (k-anonymity, differential privacy)

Van-e definiált adatmegőrzési irányelved (policy) az AI tanító (training) adatokra és a modell kimenetekre (output)?

ISO Control A.8.10: Information deletion. GDPR Article 17 - törléshez való jog. Nem tárolhatsz adatot a szükségesnél tovább. Automatizált törlési irányelv (automated deletion policy) szükséges.

Nincs megőrzési irányelv Van irányelv, manuális törlés Automatizált megőrzési irányelv és törlés

Vannak-e DLP (Data Leakage Prevention) kontrolljaid, amik megakadályozzák az érzékeny (sensitive) adatok kiszivárgását az AI kimenetekből (output)?

ISO Control A.8.12: Data leakage prevention. Az LLM-ek "megjegyzik" a tanító adatokat (training data). Kimeneti szűrés (output filtering) és anomáliadetektálás (anomaly detection) szükséges.

Nincs DLP kontroll Alapszintű kimeneti szűrés (regex) Fejlett DLP (anomáliadetektálás, canary tokens)

Használsz-e verziókezelést az AI modellek és a tanító (training) scriptek számára (Git, DVC, MLflow)?

ISO Control A.8.32: Change management. Verziókezelés (version control) nélkül nincs auditálhatóság, nincs visszaállítási (rollback) képesség. Git (kód) + DVC (adat) + MLflow (modellek) ajánlott.

Nincs verziókezelés Csak a kód van Git-ben Teljes MLOps (Git + DVC + MLflow)

Van-e formális változáskezelési (change management) folyamatod az AI modellek éles üzembe (production) helyezésére (jóváhagyás, tesztelés, visszaállítási terv)?

ISO Control A.8.32: Change management. Az ad-hoc telepítés (deployment) = kiesési kockázat. Az ISO 27001 megköveteli a dokumentált változtatási folyamatot (documented change process) (CAB jóváhagyás, visszaállítási terv).

Nincs formális folyamat Alapszintű jóváhagyás van Teljes változáskezelés (CAB, tesztelés, visszaállítás)

Monitorozod-e az AI rendszerek működését valós időben (real-time) (modell drift, teljesítményromlás, biztonsági anomáliák)?

ISO Control A.8.16: Monitoring activities. Az AI modellek idővel "romlanak" (adat drift). A pontosság (accuracy) 95%-ról 70%-ra csökkenhet 6 hónap alatt. Ezt észre kell venned.

Nincs monitorozás Alapszintű teljesítménymutatók (metrikák) Teljes monitorozás (drift detektálás, riasztás)

Naplózod-e az AI rendszerek kritikus eseményeit (modell inferencia, tanítási (training) feladat indítása/leállítása, hozzáférési naplók)?

ISO Control A.8.15: Logging. Az incidensvizsgálat (incident investigation) lehetetlen naplók (logok) nélkül. Központi naplózás (ELK, Splunk) + min. 12 hónap megőrzés + manipulálhatatlan (tamper-proof) tárolás szükséges.

Nincs naplózás Alapszintű alkalmazásnaplók Központi, manipulálhatatlan naplózás (12+ hónap)

Van-e dedikált incidenskezelési terved (incident response plan) AI-specifikus eseményekre (modellmérgezés, adversarial támadás, adatszivárgás)?

ISO Control A.5.24: Incident management planning. Az általános (generic) IR terv nem fedi le az AI-specifikus incidenseket. Eljárásrend (playbook) + eszkalációs útvonal + utólagos elemzés (post-mortem) szükséges.

Nincs AI incidenskezelési terv Általános incidenskezelési terv van AI-specifikus eljárásrend (modellmérgezés, adversarial)

Rendszeresen teszteled-e az AI rendszereket biztonsági sérülékenységekre (prompt injection, adversarial támadások)?

ISO Control A.8.8: Management of technical vulnerabilities. A hagyományos (traditional) sebezhetőség-vizsgálók (scannerek) nem találják meg az AI-specifikus sebezhetőségeket. Prompt injection + adversarial tesztelés szükséges.

Nincs AI sebezhetőség-tesztelés Alkalmi manuális tesztek Rendszeres AI biztonsági tesztelés (prompt injection, adversarial)

Van-e folyamatod az AI könyvtárak (library) és keretrendszerek (framework) biztonsági frissítéseinek telepítésére (PyTorch, TensorFlow, transformers)?

ISO Control A.8.8: Management of technical vulnerabilities. Az AI könyvtárak kritikus sebezhetőségei (critical vulnerability) gyors hibajavítást (patch-elést) igényelnek. Automatizált függőségfrissítés + SLA: 7 nap szükséges.

Nincs hibajavítás-kezelés (patch management) Manuális hibajavítás havonta Automatizált hibajavítás-kezelés (Dependabot, 7 napos SLA)

Méred és riportálod az AI biztonsági mutatókat (metrikákat) (incidensek száma, hibajavítási idő, audit megállapítások)?

ISO Control A.5.28: Collection of evidence. ISO 27001 audit kérdés: "Mutasd a mutatókat (metrics)!" KPI dashboard + negyedéves felülvizsgálat + trendelemzés szükséges.

Nincsenek biztonsági mutatók Alapszintű incidenskövetés KPI dashboard + negyedéves felülvizsgálat + trendelemzés

Az AI Biztonsági Értékelésed

/100

📧 Kérem a részletes eredményeket emailben

Elküldjük a teljes riportot minden válasszal és javaslattal

Elfogadom a Felhasználási feltételeket.

Szeretnél mélyebb elemzést?

Szakértőink segítenek egy részletes AI Red Team audit elvégzésében

Ingyenes konzultáció foglalása →

Az ISO 27001 ISMS rendszered lefedi az AI kockázatokat?

Töltsd ki 3 perces ISO 27001 és AI Ellenőrző Listánkat! Az AI bevezetése új kockázatokat jelent az információbiztonsági irányítási rendszered (ISMS) számára. Ez a gyors audit segít felmérni, hogy a kontrolljaid (az ISO 27001:2022 alapján) megfelelően kezelik-e az AI-specifikus fenyegetéseket, például az adatminőséget és a modellbiztonságot.

Töltsd ki 3 perc alatt, és kapj egy azonnali értékelést! A javaslatokat e-mailben küldjük.

ISO/IEC 27001:2022 AI Extension Checklist

Az AI Biztonsági Értékelésed

📧 Kérem a részletes eredményeket emailben

Szeretnél mélyebb elemzést?

Az ISO 27001 ISMS rendszered lefedi az AI kockázatokat?

Kapcsolat