bsgon/ai-incident-response-playbook

GitHub: bsgon/ai-incident-response-playbook

一份基于 NIST AI RMF 和 ISO/IEC 42001 框架的生产级 AI 事件响应手册,为组织提供覆盖完整生命周期、可直接采用的运营规范与模板。

Stars: 0 | Forks: 0

# AI 事件响应手册 **一份基于框架的生产级 AI 系统事件响应手册** — 以 NIST AI RMF 和 ISO/IEC 42001 为锚点,并结合了真实信任与安全(Trust & Safety)事件工作的操作规范。 📄 **[阅读完整手册](AI-Incident-Response-Playbook.md)** · 另提供 [排版好的 Word 文档](AI-Incident-Response-Playbook.docx) 版本 ## 这是什么 这是一份为部署 AI 系统的组织提供的完整且可直接采用的事件响应手册,涵盖了完整的生命周期:检测与收集、分流与严重性分类、升级、遏制、根因分析、补救以及事件后审查 —— 包含 RACI 矩阵、SLA、可复用模板,以及与 NIST AI RMF 功能和 ISO/IEC 42001 控制措施的明确对照表。 本手册是为一家虚构的加密货币/金融科技 AI 部署方(**Meridian Digital Assets**,运行着一个欺诈/AML 模型、一个 LLM 支持助手以及供应商 KYC 验证系统)编写的,因此每一条规则都以具体示例为基础。虽然是虚构的组织,但其中的操作规范绝非虚构。 ## 为什么编写这份手册 我拥有 6 年以上在加密货币/金融科技领域管理信任与安全(Trust & Safety)事件运营的经验 —— 涵盖账户安全、交易监控、事件分流、升级、RCA 以及 SOP 设计。在转向 AI 治理领域之际,这份手册是我对一个反复思考的问题的实践回答:**来之不易的 T&S 操作规范中有多少能直接转化为 AI 事件的响应能力?**(答案是:大部分都可以 —— 但针对 AI 特性的调整才是最有趣的地方。) ## 值得探讨的设计决策 1. **生命周期优先,框架映射。** 文档的结构是根据响应人员在凌晨 2 点所需的操作组织的,而不是根据 NIST 的功能分类。框架的对齐体现在一份对照表(§2)中,方便审计人员追踪 —— 因为一份在事件发生时无法使用的手册只不过是走过场的合规表演。 2. **类别与严重性是正交的两个维度。** *哪种类型*的事件(C1–C7:有害输出、性能故障、数据/隐私、安全、偏见/公平性、滥用、第三方)决定了采用哪种遏制方案。*有多严重*(SEV-1–4)决定了响应速度和升级路径。将两者混淆要么会导致对琐碎小事过度升级,要么会导致对无声的灾难升级不足。 3. **“5 Whys” 在随机性系统面前行不通。** 模型故障很少只有单一的根因,因此这里的 RCA 是跨越五个层级的促成因素分析:数据、模型、提示词/配置、集成以及人工流程(§6.5)。 4. **自动化分流提供建议;由人工进行核准。** 手册定义了自动化检测/分流层在流程中的位置 —— 并明确规定问责机制绝不会转移给工具(§6.2)。人工覆盖会被记录下来,并成为校准数据。 5. **“侥幸免损”(Near-misses)是头等公民。** SEV-4-NM 事件需接受强制性的轻量级审查 —— 这是事件响应计划中成本最低的学习机会,却也是大多数计划最容易丢弃的部分。 ## 流程一览 ``` flowchart TD subgraph DETECT["Detection & Intake"] A1[Automated monitoring
& triage layer — Sentinel] --> B A2[User reports /
support signals] --> B A3[Internal red team /
employee reports] --> B A4[External: researchers,
vendors, regulators, media] --> B B[Single intake queue:
incident candidate] end B --> C{Triage:
AI system in causal chain?} C -- No --> C1[Standard IR / support
disposition: rejected, FP, duplicate] C -- Yes --> D[Assign Category C1–C7
+ Severity SEV-1–4] D --> E{Severity?} E -- SEV-1/2 --> F[Declare incident
Assign IC · escalate & notify] E -- SEV-3/4 --> G[Queue to category owner] F --> H[Containment
snapshot first · category playbook
SLA: initiated ≤30min for SEV-1] H --> I{Harm stopped?} I -- No --> H I -- Yes --> J[Root cause analysis
contributing factors:
data · model · config · integration · process] G --> J J --> K[Remediation
+ redeployment eval gate] K --> L[Post-incident review
blameless PIR] L --> M[Feedback loops:
risk register · eval suites ·
monitoring · model docs · policy] M -.-> A1 ``` ## 目录 | 章节 | 包含内容 | |---|---| | §0–1 | 文档控制、范围,以及边界问题:*什么才算作 AI 事件?* | | §2 | NIST AI RMF × ISO/IEC 42001 对照表 | | §3 | 角色、RACI 矩阵,以及精心设计的三方问责分离机制 | | §4–5 | 双维度分类法:7 个类别 × 4 个严重性等级,分类规则及实际案例 | | §6 | 完整生命周期,包含工作流图、SLA、升级矩阵、遏制阶梯以及适配 AI 的 RCA | | §7 | 计划指标(MTTD、复发率、侥幸免损比例、严重性重新评级率) | | 附录 A–C | 模板:事件报告、RCA、事件后审查 | | 附录 D | On-call 严重性快速参考卡 | | 附录 E | 工具参考(提供信息用)—— 自动化在流程中的应用位置 | ## 伴生项目:Sentinel 手册的检测与分流层(§6.1、附录 E)由 **Sentinel** 实现,这是一个作为独立项目构建的自动化 AI 事件分流工具。手册定义了流程;而 Sentinel 实现了该流程的前端。两者是有意解耦的 —— 只要保留所描述的功能特性,这份手册就能与任何工具配合使用。 ## 许可证 内容采用 [CC BY 4.0](LICENSE) 许可 —— 标明出处后,可将其改编以适用于您的组织。 *由 Bruno Gonçales 编写 —— 专注信任与安全(Trust & Safety)运营 → AI 治理。欢迎反馈,特别是来自在生产环境中从事 AI 事件响应工作的人员:这份手册有哪些不足之处?*
标签:AI安全, Chat Copilot, NIST标准, SOP规范, 人工智能治理, 合规与审计, 库, 应急响应, 防御加固