수명주기 전반의 AI 거버넌스

AI 관리는 초기 수요 및 수용부터 배포, 모니터링, 가치 실현에 이르기까지 AI 자산의 전체 수명주기를 아우르는 지속적인 프로세스입니다. (AICT) 및 AI 위험 및 준수 (AIRC) 애플리케이션을 함께 사용하여 AI 컨트롤 타워 엔터프라이즈 AI 거버넌스에 대한 조정된 접근 방식을 지원할 수 있습니다.

AICT는 조직 전체의 AI 이니셔티브에 대한 중앙 집중식 가시성 및 수명주기 상태 관리를 제공합니다. AIRC는 조직이 AI 시스템이 책임감 있고 윤리적으로 개발 및 운영되는지 평가하는 데 도움이 되는 위험, 규제 및 윤리적 거버넌스 기능을 제공합니다.

새로운 AI 시스템이 도입되거나 기존 시스템이 크게 업데이트되고 거버넌스를 위해 등록되면 관리되는 수명주기에 들어갑니다. 이 수명주기는 접수, 평가, 빌드, 검토, 배포 및 모니터링에 걸쳐 있습니다. 이 수명주기에 걸친 거버넌스 활동은 조직이 위험을 이해하고, 적절한 통제를 적용하고, 정보에 입각한 배포 결정을 내리는 데 도움이 됩니다.

이 수명주기의 일부로 AI 시스템은 일반적으로 영향 및 위험 평가를 거쳐 규제 노출, 윤리적 고려 사항 및 운영 위험을 평가합니다. 평가 결과는 위험 분류, 필수 통제 및 라우팅 검토를 알립니다. 개발 과정에서 거버넌스는 위험 및 준수 관점에서 통제 증명, 문제 관리, 정책 예외 처리에 중점을 둡니다.

배포 전에 AI 시스템을 검토하여 필요한 평가가 완료되었는지 확인합니다. 미해결 문제 및 정책 예외를 해결하거나 공식적으로 수락해야 하며 시스템의 잔여 위험 태세를 이해해야 합니다. 이 검토에 따라 AI 시스템은 배포 승인되거나, 정정을 위해 반환되거나, 릴리스가 차단될 수 있습니다.

배포 후 AI 시스템은 운영 모니터링 단계로 넘어갑니다. 지속적인 거버넌스 모니터링은 새로운 위험, 사용량 변경 및 진화하는 규정 준수 요구 사항에 대한 가시성을 유지하는 데 도움이 됩니다. 중요한 변경 사항이나 인시던트가 발생하면 이전 수명주기 단계로 돌아가기 위한 거버넌스 활동이 필요할 수 있습니다.

AI 수명주기 전반에 걸쳐 일관된 거버넌스를 적용함으로써 조직은 AI 사용에 대한 가시성을 중앙 집중화하고 AI 이니셔티브를 비즈니스 전략에 맞출 수 있습니다. 또한 이 접근 방식은 조직이 사내 및 타사 AI에 대한 위험을 평가 및 관리하고 지속적인 감독을 통해 확장 가능한 배포를 지원하는 데 도움이 됩니다.

AICT와 AIRC를 조정된 거버넌스 프레임워크로 취급하면 요구에서 가치 실현 및 수명주기 종결에 이르기까지 모든 수명주기 프로세스에 걸쳐 일관된 감독이 가능합니다.

요약하면 각 애플리케이션을 다음과 같이 사용할 수 있습니다.

• AICT는 AI 수명주기를 관리하고 기록 시스템 역할을 합니다.

  자세한 내용은 AI Control Tower Home, AI asset lifecycle, Exploring AI Control Tower 문서를 참조하십시오.

• AIRC는 독립적인 위험, 규제 및 통제 거버넌스를 수행합니다.
• AICT의 수명주기 진행은 AIRC에서 이루어진 위험 및 규정 준수 결정에 따라 달라집니다.

  AICT에 이 정보가 표시되는 방식에 대한 자세한 내용은 다음 문서를 참조하십시오 Risk and compliance tab in AI Control Tower.

• 두 응용 프로그램 모두 다른 응용 프로그램을 대체하지 않습니다. 이 둘은 함께 조정된 거버넌스 프레임워크를 지원합니다.

AI 거버넌스 역할 및 책임

AI 거버넌스 수명주기에는 AICT와 AIRC 전반에 걸쳐 명확하게 분리된 책임이 있는 고유한 역할이 포함됩니다.

AI 자산 소유자[sn_ai_asset_mgmt.ai_asset_owner](제품 소유자라고도 함)는 AI 시스템, 모델 및 데이터 세트에 대해 AI 자산으로서 책임을 집니다. 평가 중에 접수를 시작하고 비즈니스 컨텍스트를 제공합니다.

AI 자산 소유자는 배포 및 폐기 결정을 승인합니다. 이러한 결정은 해당 위험 및 준수 승인의 대상이 됩니다. AI 자산 소유자는 가치 실현 및 수명주기 종결과 같은 결과도 소유합니다.

AI 위험 및 준수 관리자[sn_grc_ai_gov.ai_risk_and_compliance_manager]는 독립적인 위험 및 규제 감독을 제공합니다. 영향 및 위험 평가를 시작 및 감독하고, 위험 분류를 결정하고, 통제 구현을 확인하고, 수명주기 진행을 승인하거나 차단합니다.

AI 위험 및 준수 비즈니스 사용자[sn_grc_ai_gov.ai_risk_and_compliance_business_user] 및 AI 스튜어드[sn_ai_governance_ai_steward]는 거버넌스 활동을 실행합니다. 이러한 역할은 평가 입력에 기여하고, 통제 증명과 같은 할당된 작업을 수행하고, 정정 및 문제 관리를 지원합니다. 또한 수명주기 전반에 걸쳐 인벤토리 기록을 정확하게 유지하는 데 도움이 됩니다.

필요에 따라 보안, 법무, 개인 정보 보호 또는 데이터 거버넌스 팀과 같은 다른 거버넌스 이해 관계자가 참여합니다. 이들은 평가, 검토, 조사 활동 중에 전문 지식을 제공합니다. 이러한 이해 관계자는 수명주기 결정을 소유하지 않습니다.

AICT 및 AIRC의 역할에 대한 자세한 내용은 및 AI Control Tower roles문서를 참조하십시오AI 위험 및 준수와 함께 설치되는 역할.

AI 거버넌스 수명주기 단계 및 프로세스

이러한 단계는 개념 수준에서 AI 거버넌스 활동을 설명하며 AICT 및 AIRC 내의 여러 워크플로우 단계에 걸쳐 있을 수 있습니다.

요구: 접수 또는 온보딩

수명주기는 거버넌스를 위해 새로운 AI 사용 사례, 개선 사항 및 아이디어가 제출되는 접수로 시작됩니다. 접수는 AI 시스템의 목적, 범위, 의도된 결과 및 사용 컨텍스트를 캡처하기 위해 중앙 집중식 엔트리포인트를 설정합니다. 이 단계에서는 AI 수요에 대한 조기 가시성을 제공하여 조직이 개발을 시작하기 전에 잠재적인 위험, 중복 또는 불일치를 식별할 수 있도록 합니다.

AI 자산 소유자, AI 스튜어드 또는 AIRC 비즈니스 역할이 있는 모든 팀 구성원은 다음을 직원 센터 사용하여 접수 요청과 함께 접수 관련 정보를 제출하여 의도, 범위 및 조직 정렬에 따라 AI 이니셔티브가 관리되는 수명주기에 들어가야 하는지 여부를 결정할 수 있습니다. AI 자산 소유자 또는 AI 스튜어드 역할이 있는 경우 을 통해 직원 센터제출된 접수 요청을 작업 공간으로 사용하여 AI 컨트롤 타워 검토하고 진행할 수 있습니다.

AIRC 및 AICT의 수용 요청에 대한 자세한 내용은 , , AI 사용 케이스 요청AI 모델 요청, 및 데이터 세트 요청를 참조하십시오접수 요청.

접수 중에 AI 수용 요청, 초기 AI 시스템 기록 및 AI 이니셔티브에 대한 비즈니스 컨텍스트가 생성되거나 필요합니다.

사내 및 외부 공급업체 AI 사용 케이스를 포함한 모든 AI 사용 케이스 접수는 애플리케이션에서 수명 주기로 관리됩니다 AI 컨트롤 타워 . AI 컨트롤 타워 는 관리되는 AI 수명주기에 들어가야 하는 AI 시스템 및 사용 케이스를 등록하는 데 필요하며 수명주기 추적 및 포트폴리오 가시성을 위한 기록 시스템 역할을 합니다.

AIRC는 AI 사용 사례 접수를 소유하지 않습니다. AIRC가 있는 경우 AI 사용 케이스가 AICT에 등록되면 영향 평가 및 규제 평가와 같은 위험 및 규정 준수 거버넌스 컨텍스트를 제공하여 접수 후 참여할 수 있습니다.

Create AI system assets 을 사용하여 직원 센터 검토를 위해 AI 사용 케이스를 요청하거나 AICT를 사용하여 이행자가 승인한 온보딩의 일부로 AI 자산을 직접 추가합니다. 자세한 내용은 , , Create an AI case in the AI Control Tower, Create AI model assetsCreate prompt assetsCreate dataset assets, 및 문서를 참조하십시오.

개선 요청, 아이디어, 피드백이 설치되어 있으면 전략적 포트폴리오 관리 제출하고 관리할 수 있습니다. 개선 요청, 아이디어 및 피드백은 AICT 또는 AIRC를 통해 AI 거버넌스 수명주기에 입력되지 않습니다. 전략적 포트폴리오 관리에 대한 자세한 내용은 Strategic Portfolio Management 문서를 참조하십시오.

주:

수용 요청은 AI 사용 케이스를 도입하거나 관리하기 위한 제안을 나타냅니다. 수용 요청을 제출해도 AI 자산은 생성되거나 배포되지 않습니다. 접수 검토 후 AI 시스템, 모델 및 데이터 세트는 승인된 온보딩 및 수명주기 시작의 일부로 AICT에 등록할 수 있습니다. 접수 중에 선택한 AI 시스템 또는 모델 범주(예: 에이전틱 또는 생성)는 설명 컨텍스트만 제공합니다. 수명주기 진행, 평가 요구 사항 및 거버넌스 결정은 범주 선택이 아닌 위험 분류, 평가 결과 및 구성된 거버넌스 규칙에 따라 결정됩니다.

AI 자산 인벤토리 및 검색은 요구 단계에서 시작하여 관리되는 AI 수명주기의 모든 스테이지에서 지속되는 수명주기 전반의 기능입니다. 수용 및 승인된 온보딩의 일환으로 AI 시스템, 모델, 데이터 세트, 프롬프트 및 관련 아티팩트가 중앙 집중식 AI 인벤토리에 등록 또는 검색되고 기록됩니다.

AI 자산 인벤토리는 내부적으로 개발된 AI와 타사 AI를 포함하여 기업 전반의 AI 자산에 대한 신뢰할 수 있는 뷰를 제공합니다. 인벤토리 기록은 수용부터 배포 및 폐기까지 지속되므로 수명주기 워크플로우에서 자산이 진행됨에 따라 추적성, 가시성 및 거버넌스를 사용할 수 있습니다.

AI 자산은 접수 및 온보딩 중 수동 등록을 통해, 그리고 지원되는 클라우드 및 외부 공급업체 플랫폼과의 구성된 통합을 사용한 자동 검색을 통해 인벤토리에 추가할 수 있습니다. 검색된 자산과 관계는 AI 자산 소유자와 AI 스튜어드가 검토 및 완료하여 인벤토리의 정확성과 거버넌스 준비 상태를 보장합니다.

AICT는 AI 자산 인벤토리를 소유 및 관리하며 AI 자산 기록, 관계 및 수명주기 상태에 대한 기록 시스템 역할을 합니다. AIRC는 영향 평가, 위험 분류, 통제 평가 및 규제 보고와 같은 다운스트림 거버넌스 활동을 위해 인벤토리 데이터를 사용하지만 인벤토리 기록을 생성하거나 소유하지는 않습니다.

주:

자동 검색을 사용하려면 지원되는 통합을 구성해야 합니다. 엔터프라이즈 AI 검색 및 자동화된 인벤토리 수집에 대한 자세한 내용은 해당 문서를 참조하십시오 AI connectionsAI connections setup.

빌드 및 확인: 평가

이 단계에서 거버넌스 활동은 수명주기 플레이북을 통해 실행됩니다. 플레이북은 AICT의 AI 자산 기록에 첨부되며 거버넌스 역할 전반에 걸쳐 필요한 평가 작업, 승인 및 핸드오프를 정의합니다. 수명주기 플레이북은 AICT 및 AIRC 애플리케이션 전반에서 필요한 작업과 핸드오프를 조정합니다.

수명주기 플레이북은 평가 프로세스를 통해 다음 역할을 안내합니다.

AI 스튜어드는 수명주기 검토를 시작하고, 플레이북 작업을 할당하고, AI 시스템 전반의 전반적인 수명주기 진행 상황을 모니터링하여 AICT에서 평가 단계를 시작하고 관리합니다.

AI 자산 소유자는 AICT에서 시스템 상세 정보 및 비즈니스 컨텍스트를 제공하고 AI 자산 인벤토리에서 캡처된 정보를 사용하여 필요한 평가(예: 영향 또는 위험 평가)를 완료합니다.

AIRC 분석가는 AIRC에서 거버넌스 평가를 수행합니다. 이러한 평가에는 규제 영향 평가, 위험 분류, AICT의 시스템 및 비즈니스 정보를 기반으로 한 필수 통제 식별이 포함됩니다.

AIRC 관리자는 AIRC의 평가 결과를 검토하고, 식별된 위험이 수용 가능한지 여부를 결정하고, AI 시스템이 수명주기에서 진행되기 전에 필요한 통제 또는 완화 조치를 승인합니다.

평가 단계 전반에 걸쳐 AICT는 AICT와 AIRC 간의 작업 실행, 승인 및 상태 전환을 조정하여 수명주기가 진행되기 전에 필요한 평가가 완료되었는지 여부에 대한 가시성을 제공합니다.

평가하는 동안 영향 평가 결과, 위험 분류, 식별된 위험 및 권장 통제가 생성되거나 업데이트됩니다. 이러한 결과는 AI 시스템이 다음 수명주기 단계를 진행할 수 있는지 여부를 결정합니다.

자세한 내용은 Playbooks, AI 사용 사례에 대한 영향 평가를 수행합니다., AI 시스템에 대한 위험 평가 수행 문서를 참조하십시오.

빌드 및 확인: 빌드 및 테스트

빌드 및 테스트 단계는 평가 중에 식별된 위험이 정의된 통제, 정정 활동 및 확인 단계를 통해 해결되도록 함으로써 개발 중에 거버넌스를 적용합니다.

플레이북은 빌드 및 테스트 중에 정정, 통제 증명 및 증거 수집 활동을 계속 안내하며, 수명주기 진행은 필수 거버넌스 작업의 완료에 따라 달라집니다.

AICT는 계속해서 수명주기 상태를 관리하고 거버넌스 진행률을 추적합니다. AIRC는 필요한 통제가 구현되었는지, 수명주기 동안 문제 또는 예외가 문서화 및 해결되는지 확인합니다.

AI 자산 소유자와 개발 팀은 필요한 통제 및 정정 활동을 구현합니다. AIRC 비즈니스 사용자와 분석가는 통제 증명을 검토하고 증거를 제출하여 필요한 통제가 의도한 대로 구현되고 작동하는지 확인합니다.

통제 증명은 평가, 빌드 및 확인, 등록 취소 등 수명주기의 여러 스테이지에서 발생할 수 있습니다. 통제 증명의 완료는 거버넌스 준비 상태에 기여하지만 자체적으로 배포를 승인하지는 않습니다.

AIRC 관리자는 필요한 통제 및 정정 작업이 구현되고 효과적인지 확인합니다.

확인하는 동안 통제 증명, 문제 기록, 정정 증거 및 예외 기록이 생성되거나 업데이트됩니다.

자세한 내용은 AI 위험 및 준수를 사용하여 통제 관리, AI 자산에 대한 통제 증명 생성, AI 위험 및 준수에서 문제 정정 문서를 참조하십시오.

빌드 및 확인: 배포 전 검토

배포 전에 AI 시스템은 배포 전 검토를 거쳐 필요한 평가가 완료되었는지, 우선순위가 높은 문제와 예외가 해결되었는지, 잔여 위험이 이해 및 문서화되었는지 확인합니다.

AICT는 배포 전 수명주기 게이트를 관리합니다. AIRC는 최종 거버넌스 검토를 수행하여 위험 태세, 통제 구현 및 잔여 위험을 기반으로 배포 준비 상태를 결정합니다.

배포 전 검토 중에 Playbook은 평가 완료, 통제 상태, 미해결 문제 및 문서화된 잔여 위험을 표시하여 거버넌스 준비 상태를 보여줍니다. 플레이북은 배포를 승인하지 않습니다. 승인 또는 거부 결정은 AIRC 관리자가 내리고 AICT에서 관리하는 수명주기 상태에 반영됩니다.

AIRC 관리자는 거버넌스 준비 상태 및 잔여 위험에 따라 배포를 승인하거나 차단합니다.

거버넌스 결정은 AIRC에서 이루어지며 수명주기 상태 변경 사항은 AICT에서 기록되고 적용됩니다.

자세한 내용은 Overview tab in AI Control Tower 및 위험 및 준수 탭 문서를 참조하십시오.

배포, 모니터링 및 가치 평가: 모니터링

배포 후 거버넌스 활동은 보고된 이벤트, 운영 변경 및 거버넌스 신호에 대한 AI 시스템을 모니터링합니다. 이러한 활동은 평가, 검토 및 규제 업데이트를 통해 효과적인 위험 관리와 새로운 위험에 대한 대응을 지원합니다. 지속적인 모니터링은 조직이 새로운 위험을 조기에 식별하고 배포 후 감사 가능한 거버넌스 태세를 유지하는 데 도움이 됩니다.

지속적인 모니터링은 조사 또는 공식적인 의사 결정이 필요한 거버넌스 이벤트를 생성할 수 있습니다. AI 케이스 관리는 수명주기 연속성을 손상시키지 않으면서 조사, 예외 처리, 문서화 및 재평가를 활성화하여 이러한 이벤트 기반 거버넌스 활동을 지원합니다.

AI 케이스 관리는 거버넌스 결정에서 필요로 하지 않는 한 AI 시스템의 수명주기 단계를 변경하지 않고도 조사, 예외 처리 및 규제 대응을 지원하는 AIRC의 교차 수명주기 기능입니다.

AICT는 수명주기 상태 및 운영 신호를 추적합니다. AIRC는 모니터링 출력을 사용하여 재평가, 통제 업데이트 또는 거버넌스 개입이 필요한 시기를 식별합니다.

AIRC 관리자는 운영 또는 거버넌스 신호에 따라 변경, 재심사 또는 개입이 필요한지 여부를 결정합니다. 케이스와 문의는 진행 중인 AI 거버넌스의 정상적인 부분이며 반드시 실패 또는 미준수를 나타내는 것은 아닙니다.

자세한 내용은 AI cases tab in AI Control Tower, AI 케이스 및 문의, 운영 탭 문서를 참조하십시오.

배포, 모니터링 및 평가 가치: 가치

가치 프로세스는 채택, 성과, 결과를 측정하여 AI 이니셔티브가 예상되는 비즈니스 가치와 전략적 영향을 제공하는지 여부를 이해하는 데 중점을 둡니다. 가치를 측정하면 조직이 위험 및 규정 준수 검토를 통해 AI 관련 위험에 대한 지속적인 노출이 실현된 비즈니스 결과에 의해 정당화되는지 여부를 결정하는 데 도움이 됩니다.

AICT는 가치, 채택 및 결과 메트릭을 캡처하고 수명주기 전반에 걸쳐 AI 시스템 및 사용 케이스와 연결합니다.

AI 자산 소유자는 측정된 결과와 비즈니스 가치를 기반으로 AI 시스템을 유지, 확장, 조정 또는 폐기할지 여부를 결정합니다. AIRC 관리자는 이 결정의 일환으로 진행 중인 위험이 여전히 수용 가능함을 확인합니다.

가치 측정은 지속적인 위험 수용에 대한 정보를 제공하고 AI 관련 위험에 대한 지속적인 노출을 정당화하는 데 도움이 됩니다.

AICT에서 캡처된 가치 결과를 사용하여 전략적 포트폴리오 관리 개별 AI 자산을 넘어 광범위한 포트폴리오 계획, 자금 조달 및 우선순위 지정 결정을 알릴 수 있습니다.

모니터링 중에 식별된 거버넌스 작업은 AICT를 통해 관리되는 재평가, 추가 통제 또는 수명주기 상태 업데이트로 이어질 수 있습니다.

자세한 내용은 Value tab in AI Control Tower, Adoption tab in AI Control Tower, AI 위험 히트맵 워크벤치 문서를 참조하십시오.

수명주기 종결: 폐기 및 등록 취소

AI 거버넌스에는 수명주기 종결이 포함됩니다. AI 시스템, 모델 및 데이터 세트는 더 이상 비즈니스 요구 사항을 충족하지 못하거나, 용납할 수 없는 위험을 초래하거나, 기대 가치를 제공하지 못하는 경우 폐기되거나 등록 취소될 수 있습니다. 수명주기 종결은 AI 자산이 공식적으로 폐기되고 문서화되며 더 이상 활성 거버넌스 의무가 적용되지 않도록 하여 잔여 위험을 줄입니다.

AICT는 수명주기 종결을 관리하고 AI 시스템 수명주기 상태를 업데이트합니다. AIRC는 최종 거버넌스 의무가 충족되었는지, 미해결 위험 또는 규정 준수 요구 사항이 남아 있지 않은지 확인합니다.

AI 자산 소유자는 AIRC 관리자의 확인을 받아 폐기 또는 등록 취소 결정을 승인합니다.

등록 취소 중에 업데이트된 수명주기 상태, 폐기 사유 및 최종 거버넌스 기록이 생성되거나 업데이트됩니다.

자세한 내용은 Complete AI asset lifecycle 및 AI 자산 검토 등록 취소 문서를 참조하십시오.