Haladás 0 / 22 kérdés megválaszolva

SOC 2 AI kiterjesztés ellenőrzőlista

Értékeld a szervezeted AI rendszereit a SOC 2 Megbízhatósági Szolgáltatási Kritériumai alapján. 22 kérdés, 5 kategória.

Biztonság (AI-specifikus)

Az AI rendszerek biztonsági kontrolljai, hozzáférés-kezelése és fenyegetések elleni védelme

Van többfaktoros hitelesítés (MFA) az AI modellekhez és a tanítási infrastruktúrához való hozzáféréshez?

Az MFA kritikus fontosságú az AI rendszerek jogosulatlan hozzáférés elleni védelméhez.

Igen, minden AI rendszerhez kötelező az MFA Csak az éles (production) AI modelleknél van MFA Jelszavas védelem van, de MFA nincs Nincs dedikált hozzáférés-védelem

Végzel rendszeresen behatolásvizsgálatot (penetration testing) és biztonsági auditot az AI rendszereken?

A rendszeres biztonsági tesztelés segít azonosítani a sebezhetőségeket.

Negyedévente vagy gyakrabban Évente egyszer Alkalomszerűen Nincs biztonsági tesztelés

Ellenőrzöd a harmadik féltől származó AI modellek és könyvtárak (pl. nyílt forráskódú modellek) biztonságát?

A szoftverellátási lánc (supply chain) biztonsága kritikus az AI rendszerek védelméhez.

Formális szoftverellátási lánc biztonsági folyamat van érvényben Manuálisan ellenőrizzük a főbb komponenseket Csak ismert forrásokat használunk Nincs ellenőrzés

Létezik automatikus modellverzió-kezelés (versioning) és visszaállítási (rollback) mechanizmus biztonsági incidensek esetére?

A visszaállítási (rollback) mechanizmus segít gyorsan visszaállítani a rendszert egy biztonságos állapotba.

Automatizált visszaállítás (rollback) éles környezetben (production) Manuális visszaállítási (rollback) lehetőség létezik Vannak biztonsági mentések (backup), de nincs visszaállítási (rollback) folyamat Nincs verziókezelés/visszaállítás

Véded az AI rendszereket rosszindulatú támadások (adversarial attacks) ellen (pl. modellmérgezés, kikerülés)?

A rosszindulatú támadások (adversarial attacks) elleni védelem kritikus az AI rendszer integritása szempontjából.

Proaktív védelem és monitorozás (adversarial defense) Van bemeneti adatok ellenőrzése (validation) és tisztítása (sanitization) Alapvető biztonsági intézkedések Nincs védelem a rosszindulatú támadások ellen

Rendelkezésre állás és teljesítmény

Az AI rendszer rendelkezésre állása (uptime), teljesítményének monitorozása és kapacitásmenedzsmentje

Létezik SLA (Szolgáltatási Szint Megállapodás) az AI rendszerek rendelkezésre állására (uptime)?

Az SLA garantálja a szolgáltatás elvárt minőségét.

Dokumentált és monitorozott formális SLA van érvényben Informális rendelkezésre állási célok vannak kitűzve Nincs SLA

Folyamatosan monitorozod az AI modellek következtetési (inference) idejét és áteresztőképességét (throughput)?

A teljesítmény monitorozása segít azonosítani a szűk keresztmetszeteket (bottleneck).

Valós idejű monitorozás és riport (dashboard) Napi/heti rendszerességű monitorozás Alkalomszerű ellenőrzés Nincs teljesítménymonitorozás

Végzel terheléses tesztelést (load testing) az AI rendszereken a kapacitástervezés (capacity planning) érdekében?

A terheléses tesztelés (load testing) biztosítja, hogy az AI rendszer képes kezelni a várt terhelést.

Rendszeres terheléses tesztelés és automatikus skálázás (auto-scaling) Alkalmi terheléses tesztelés Nincs terheléses tesztelés

Létezik AI-specifikus katasztrófa-helyreállítási (DR) terv, és végeztek rendszeres DR tesztelést?

A DR terv biztosítja az AI rendszer gyors helyreállítását hiba esetén.

Teljes körű DR terv, rendszeres teszteléssel Létezik DR terv, de ritkán teszteljük Csak biztonsági mentések (backup) vannak, DR terv nincs Nincs DR terv

Feldolgozási integritás (AI minőség)

AI modell pontossága, torzítás (bias) észlelése, adatminőség és validáció

Létezik automatikus kimenet-ellenőrzés (output validation) az AI válaszok minőségének biztosítására?

A kimenet ellenőrzése (output validation) biztosítja az AI válaszok elvárt minőségét.

Automatikus ellenőrzés (validation) minden kimenetre (output) Szúrópróbaszerű ellenőrzés (spot-checking) és mintavételezés (sampling) van Csak felhasználói visszajelzések (user feedback) alapján Nincs kimenet-ellenőrzés

Rendszeresen teszteled az AI modelleket torzítás (bias) és méltányosság (fairness) szempontjából?

A torzítás (bias) tesztelése kritikus fontosságú a méltányos AI működéshez.

Automatikus torzításészlelés (bias detection) minden telepítés (deployment) előtt Évenkénti manuális méltányossági (fairness) audit Alkalomszerű ellenőrzés Nincs torzítás (bias) tesztelés

Létezik „ground truth” adathalmaz (referencia adathalmaz) az AI modell pontosságának validálására?

A „ground truth” (referencia) adathalmaz segít mérni az AI modell pontosságát.

Rendszeresen frissített „ground truth” adathalmaz és validációs folyamat Statikus „ground truth” adathalmaz létezik Csak tanító- és tesztadathalmaz (training/test split) van Nincs „ground truth” validáció

Nyomon követed az AI tanítóadatok származását (data lineage)?

Az adatszármazás (data lineage) követése biztosítja az adatminőséget és a megfelelést (compliance).

Teljes körű adatszármazási (data lineage) dokumentáció Részleges nyomon követés Nincs adatszármazás-követés

Milyen gyakran frissíted vagy tanítod újra az AI modelleket a feldolgozási integritás fenntartása érdekében?

A rendszeres újratanítás (retraining) biztosítja az AI modell pontosságának fenntartását.

Folyamatos vagy havi újratanítás (retraining) Negyedéves újratanítás Éves újratanítás Nincs rendszeres újratanítás

Bizalmasság és adatvédelem (AI adatok)

Az AI tanítóadatok védelme, PII (személyazonosításra alkalmas adatok) kezelése és adatmegőrzés

Titkosítva vannak az AI tanítóadatok tárolt (at rest) és továbbított (in transit) állapotban is?

A titkosítás védi az érzékeny tanítóadatokat.

Teljes körű titkosítás (tárolt és továbbított állapotban is) Csak továbbítás közbeni (in transit) titkosítás Nincs titkosítás

Létezik automatikus PII (személyazonosításra alkalmas adatok) észlelése az AI tanítóadatokban?

A PII észlelése (detection) segít megvédeni a személyes adatokat.

Automatikus PII észlelés (detection) és kitakarás (redaction) Manuális PII ellenőrzés Nincs PII észlelés

Létezik dokumentált adatmegőrzési irányelv (data retention policy) az AI tanító- és következtetési (inference) adataira?

Az adatmegőrzési irányelv (data retention policy) biztosítja az adatok életciklusának megfelelő kezelését.

Teljes körű irányelv, automatizált törlési folyamatokkal Létezik irányelv, de a törlés manuális Nincs adatmegőrzési irányelv

Az AI következtetés (inference) során felhasznált felhasználói adatok védettek, és biztosan nem kerülnek vissza a tanítóadatok közé?

A felhasználói adatok szigorú szétválasztása (data separation) védi a felhasználók adatait.

Szigorú adatszétválasztás (separation) és izoláció (isolation) Csak hozzájárulás (opt-in) alapján gyűjtünk adatot tanításhoz Nincs szétválasztás, minden adat felhasználásra kerül tanításhoz

Monitorozás és incidenskezelés

AI-specifikus monitorozás, naplózás (logging), incidenskezelés és válaszadás

Minden AI rendszeresemény (pl. következtetés, predikció, tanítás) naplózva van auditálási (audit trail) célból?

A teljes körű naplózás (logging) biztosítja a visszakövethetőséget (audit trail).

Teljes körű naplózás központosított rendszerben Részleges naplózás Minimális naplózás

Létezik automatikus anomáliaészlelés (anomaly detection) az AI rendszer viselkedésében (pl. szokatlan következtetési minták)?

Az anomáliaészlelés (anomaly detection) segít felismerni a szokatlan viselkedési mintákat.

Valós idejű anomáliaészlelés, riasztásokkal (alerting) Manuális felülvizsgálat (review) létezik Nincs anomáliaészlelés

Létezik AI-specifikus incidenskezelési forgatókönyv (incident response playbook) (pl. modell drift, torzítási incidens)?

Az AI-specifikus incidenskezelési forgatókönyv (playbook) segít az incidensek gyors kezelésében.

Teljes körű, AI-specifikus incidenskezelési forgatókönyv (playbook) Általános IT incidenskezelési eljárás, AI-specifikus kiegészítésekkel Nincs AI-specifikus incidenskezelés

AI incidensek után készítesz utólagos elemzést (post-mortem analysis), és ez alapján javítod a rendszert?

Az utólagos elemzés (post-mortem analysis) segít megelőzni a hasonló incidensek megismétlődését.

Minden incidens után utólagos elemzés (post-mortem) és intézkedési terv (action items) Csak a jelentős (major) incidensek esetén van utólagos elemzés Nincs utólagos elemzési (post-mortem) folyamat

Az AI Biztonsági Értékelésed

/100

📧 Kérem a részletes eredményeket emailben

Elküldjük a teljes riportot minden válasszal és javaslattal

Elfogadom a Felhasználási feltételeket.

Szeretnél mélyebb elemzést?

Szakértőink segítenek egy részletes AI Red Team audit elvégzésében

Ingyenes konzultáció foglalása →

A SOC 2 riportod lefedi az AI kockázatokat?

Töltsd ki 3 perces SOC 2 AI Kiegészítés Ellenőrző Listánkat! Az ügyfelek bizalma kulcsfontosságú. Az új AI-specifikus Trust Services Criteria (TSC) kiterjeszti a SOC 2 hatókörét. Ez a lista felméri, hogy az AI modelljeid, adataid és folyamataid megfelelnek-e a biztonsági és rendelkezésre állási elvárásoknak. Töltsd ki 3 perc alatt, és azonosítsd a hiányosságokat a következő audit előtt!

Az eredményeket e-mailben küldjük.