שיעור 1בקרת גישה והרשאות מבוססות תפקיד, הרשאה מינימלית, ניטור גישה מורשיתחלק זה מסביר כיצד לתכנן בקרות גישה והרשאות מבוססות תפקיד למערכות AI, לאכוף הרשאה מינימלית, ולנטר גישה מורשית כך שנתונים רגישים ופונקציות ניהוליות יישארו בשליטה הדוקה.
Defining AI-specific roles and permissionsImplementing least privilege for AI adminsStrong authentication for privileged usersSession recording and just-in-time accessPeriodic access review and recertificationשיעור 2לוגינג, מסלולי ביקורת ולוגינג בלתי ניתן לשינוי לרישומי גישה לנתונים ושאילתות מודלחלק זה מכסה אסטרטגיות לוגינג למערכות AI, כולל מסלולי ביקורת מפורטים ולוגים בלתי ניתנים לשינוי לגישה לנתונים ושאילתות מודל, המאפשרים חקירות, אחריותיות וראיות לביקורות רגולטוריות או פנימיות.
Defining AI logging scope and granularityCapturing user, admin, and system actionsImmutable logging and tamper resistanceLog minimization and pseudonymizationLog review, alerting, and investigationsשיעור 3הקטנת נתונים ועיבוד מוקדם: טכניקות להפחתת PII לפני שליחה ל-LLMחלק זה מסביר טכניקות הקטנת נתונים ועיבוד מוקדם שמפחיתות נתונים אישיים לפני שליחה למודלי AI, באמצעות עריכה, אגרגציה ושינוי כדי להפחית סיכון תוך שמירה על תועלת למקרי שימוש עסקיים.
Identifying unnecessary personal data fieldsRedaction and masking of free-text inputsAggregation and generalization techniquesEdge preprocessing before API submissionBalancing utility with minimization dutiesשיעור 4סינון קלט והנדסת הנחיות: הסרת נתונים רגישים, ניקוי מבוסס דפוסים, מסווגים מבוססי NLPחלק זה מתמקד בסינון קלט והנדסת הנחיות להסרת נתונים רגישים לפני עיבוד, באמצעות ניקוי מבוסס דפוסים ומסווגי NLP לזיהוי תוכן מסוכן ואכיפת מדיניות ארגונית בגבול.
Pattern-based scrubbing of identifiersNLP classifiers for sensitive categoriesPrompt templates that avoid PII captureReal-time input validation and blockingUser guidance and consent at input timeשיעור 5ממשל: שילוב DPIA, הסכמי עיבוד נתונים (DPAs), עדכוני רישומים ובקרת שינוייםחלק זה מתאר מבני ממשל ל-AI, כולל שילוב DPIAs, ניהול הסכמי עיבוד נתונים, ושמירה על רישומים ובקרת שינויים כך ששינויים במערכת יישארו שקופים, מוערכים ותואמי חוק.
When and how to run AI-focused DPIAsKey DPA clauses for AI processingMaintaining records of processing for AIChange control for models and datasetsGovernance forums and approval workflowsשיעור 6גישות פסאודונימיזציה וטוקניזציה לנתוני טקסט חופשי ושדות מובניםחלק זה חוקר אסטרטגיות פסאודונימיזציה וטוקניזציה לטקסט חופשי ושדות מובנים, ומראה כיצד להחליף מזהים בטוקנים הפיכים או בלתי הפיכים תוך ניהול סיכוני זיהוי מחדש והפרדת מפתחות.
Pseudonymization versus anonymization limitsTokenization for structured identifiersHandling names and IDs in free-text dataKey and token vault management controlsRe-identification risk assessment methodsשיעור 7סינון פלט ועיבוד לאחר: זיהוי רגישות, זיהוי הזיות, ציון ביטחוןחלק זה מכסה מנגנונים שבודקים ומתאימים פלטי AI לזיהוי נתונים רגישים, זיהוי הזיות, ויישום ציון ביטחון כך שתגובות מסוכנות ייחסמו, יסומנו או יופנו לבדיקה לפני הגעה למשתמשי קצה.
Detecting personal and sensitive data in model outputsHallucination detection rules and model ensemblesDesigning confidence scores and thresholdsHuman review workflows for risky responsesUser feedback loops to refine output filtersשיעור 8מדיניות שמירה, מחיקה אוטומטית והתאמת שמירת גיבויים להגבלת מטרהחלק זה מסביר כיצד להגדיר לוחות זמנים לשמירת נתוני AI, להגדיר מחיקה אוטומטית, ולהתאים גיבויים להגבלת מטרה כך שנתוני אימון, לוגים והנחיות לא יאוחסנו זמן רב יותר מהנדרש או ישמשו באופן לא תואם.
Mapping data categories to retention periodsAutomated deletion of prompts and logsBackup retention and restore testingHandling legal holds and exceptionsDocumenting retention decisions for auditsשיעור 9סנדבוקסינג ומגבלות קצב שיחות API; חניקה, אימות בקשה ותוריםחלק זה מסביר כיצד לבודד שירותי AI, לשלוט בנפח תעבורה ולוודא בקשות נכנסות באמצעות סנדבוקסינג, מגבלות קצב, חניקה ותורים כך שמערכות יישארו יציבות, מאובטחות ועמידות בפני ניצול או שיתוק שירות.
Designing API rate limits and burst controlsSandbox environments for testing AI featuresRequest validation and schema enforcementQueueing strategies for high-volume workloadsAbuse detection and automated blocking rulesשיעור 10בדיקת נאותות ספקים: שאלוני אבטחה, דוחות SOC/ISO, דרישות בדיקות חדירהחלק זה מפרט כיצד להעריך ספקי AI באמצעות בדיקת נאותות מובנית, כולל שאלוני אבטחה, דוחות SOC ו-ISO, ודרישות בדיקות חדירה, כדי להבטיח שמעבדים עומדים בציפיות משפטיות, אבטחה ועמידות.
Building AI-specific security questionnairesReviewing SOC 2, ISO 27001, and similar reportsPenetration testing scope for AI integrationsAssessing data residency and subcontractorsOngoing vendor monitoring and reassessmentשיעור 11אמצעים תפעוליים: הדרכת צוותים, עיצוב לפי פרטיות, מדריכי תגובה לאירועים, נהלי הודעת פריצהחלק זה מתמקד באמצעי הגנה תפעוליים כמו הדרכת צוותים, עיצוב לפי פרטיות, מדריכי תגובה לאירועים ונהלי הודעת פריצה שמבטיחים פעולות AI נשארות תואמות חוק, עמידות ומותגות היטב.
AI-specific security and privacy trainingEmbedding privacy by design in AI projectsIncident detection and triage for AI systemsAI incident response and communication plansBreach notification timelines and contentשיעור 12הצפנה בהעברה ובמנוחה; ניהול מפתחות והצפנת מעטפה לקלט/פלט מודלחלק זה מכסה הצפנה בהעברה ובמנוחה לנתוני AI, כולל ניהול מפתחות והצפנת מעטפה לדפוסים שמגנים על הנחיות, פלטים ולוגים תוך תמיכה בבקרת גישה, סיבוב וציפיות רגולטוריות.
TLS configuration for AI APIs and servicesDisk, database, and object storage encryptionEnvelope encryption for prompts and outputsKey lifecycle, rotation, and segregationHSMs and cloud KMS integration options
