Framework: 10 oblastí, 80 kontrol
Náš proprietárny framework mapuje požiadavky AI Actu, ISO 42001 a NIST AI RMF do konkrétnych, auditovateľných kontrol.
- 10
- domén
- 5
- kritických pre pripravenosť
- 80
- kontrol spolu
- ~38
- mandatórnych
GOVGovernance & Accountability
Definovať roly, zodpovednosti a rozhodovacie procesy pre AI vo firme.
★ Kritická
Governance & Accountability
Definovať roly, zodpovednosti a rozhodovacie procesy pre AI vo firme.
Covers
- •Owner pre AI governance
- •Schvaľovacie procesy pre nové AI nástroje
- •Eskalačné postupy a board reporting
Why it matters
Bez jasnej zodpovednosti žiadna governance nefunguje.
Example controls
- GOV-01 Formálne pridelený AI governance owner
- GOV-02 Definovaný tool approval proces
- GOV-05 Eskalačný postup pre rizikové AI use cases
INVAI Inventory & Visibility
Vedieť, aké AI nástroje, systémy a modely sa vo firme používajú.
★ Kritická
AI Inventory & Visibility
Vedieť, aké AI nástroje, systémy a modely sa vo firme používajú.
Covers
- •AI Bill of Materials (AI-BOM)
- •Rozlíšenie schválených a neschválených nástrojov
- •Monitoring shadow AI
Why it matters
Nemôžete riadiť to, o čom neviete.
Example controls
- INV-01 Aktuálny AI-BOM naprieč firmou
- INV-04 Zoznam approved vs. unapproved tools
- INV-06 Proces detekcie shadow AI
DATData Governance for AI
Chrániť vstupy a výstupy AI — osobné údaje, obchodné tajomstvá a duševné vlastníctvo.
★ Kritická
Data Governance for AI
Chrániť vstupy a výstupy AI — osobné údaje, obchodné tajomstvá a duševné vlastníctvo.
Covers
- •Data classification pre AI
- •Pravidlá pre AI prompty
- •Lokalizácia vendora a DPA
Why it matters
Väčšina reálnych incidentov vzniká cez únik dát do AI.
Example controls
- DAT-02 Politika pre AI input data
- DAT-04 Detekcia osobných údajov v promptoch
- DAT-05 DPA a lokalizácia dát u AI vendorov
SECSecurity & Access Control
Zabezpečiť, aby boli AI nástroje integrované bezpečne a s kontrolou prístupov.
★ Kritická
Security & Access Control
Zabezpečiť, aby boli AI nástroje integrované bezpečne a s kontrolou prístupov.
Covers
- •Enterprise verzie so SSO
- •Offboarding a revokácia prístupov
- •Administrátorské kontroly a audit logy
Why it matters
Osobné ChatGPT účty nerozlišujú medzi vami a bývalým zamestnancom.
Example controls
- SEC-01 Používanie enterprise verzií s firemným IDP
- SEC-03 Administrátorská kontrola nad hlavnými nástrojmi
- SEC-04 Revokácia AI prístupu pri odchode
USEResponsible Use & Human Oversight
Definovať, ako môžu a nemôžu ľudia používať AI v práci.
★ Kritická
Responsible Use & Human Oversight
Definovať, ako môžu a nemôžu ľudia používať AI v práci.
Covers
- •Acceptable Use Policy pre AI
- •Human-in-the-loop pri dôležitých výstupoch
- •Zákazy a obmedzenia
Why it matters
AI Act explicitne požaduje human oversight pri high-risk systémoch.
Example controls
- USE-01 AI Acceptable Use Policy
- USE-02 Zoznam zakázaných použití
- USE-03 Human review pre materiálne AI výstupy
RSKAI Risk Management
Hodnotiť a riadiť AI riziká systematicky, nie ad hoc.
AI Risk Management
Hodnotiť a riadiť AI riziká systematicky, nie ad hoc.
Covers
- •AI risk register
- •Klasifikácia rizika use case podľa AI Actu
- •Risk review cyklus
Why it matters
AI Act vyžaduje proporcionálne kontroly podľa rizika daného use case.
Example controls
- RSK-01 AI risk register s vlastníkmi
- RSK-02 Klasifikácia podľa kategórií AI Actu
- RSK-04 Kvartálny risk review
VENVendor & Third-Party AI
Kontrolovať AI, ktoré prichádza cez vendorov — platformy, SaaS a wrappre.
Vendor & Third-Party AI
Kontrolovať AI, ktoré prichádza cez vendorov — platformy, SaaS a wrappre.
Covers
- •Vendor AI questionnaire
- •Kontrola subprocessorov
- •Zladenie zmluvných podmienok
Why it matters
Dnešný SaaS je zajtrajší AI stack — a za dáta stále zodpovedáte vy.
Example controls
- VEN-01 AI addendum v zmluvách
- VEN-03 Zoznam AI subprocessorov
- VEN-05 Pravidelný review AI features u vendorov
TRNTraining & Awareness
Zabezpečiť, aby ľudia vedeli, čo smú a nesmú s AI robiť.
Training & Awareness
Zabezpečiť, aby ľudia vedeli, čo smú a nesmú s AI robiť.
Covers
- •AI literacy školenia (požiadavka AI Actu)
- •Role-based training
- •Prvok onboardingu
Why it matters
AI Act, článok 4 — povinná AI literacy od februára 2025.
Example controls
- TRN-01 Ročné AI literacy školenie pre zamestnancov
- TRN-02 Role-based training pre AI developerov
- TRN-04 AI Acceptable Use v onboardingu
INCIncident Response for AI
Vedieť reagovať na AI incidenty — halucinácie, únik dát či compliance zlyhanie.
Incident Response for AI
Vedieť reagovať na AI incidenty — halucinácie, únik dát či compliance zlyhanie.
Covers
- •AI incident playbook
- •Notifikačné povinnosti
- •Post-incident review
Why it matters
Keď dôjde k AI data leaku, počítajú sa hodiny — nie dni.
Example controls
- INC-01 Playbook pre AI incidenty
- INC-03 Notifikácia dotknutých osôb
- INC-05 Register lessons learned
DOCDocumentation & Evidence
Udržiavať evidenciu, ktorú môžete kedykoľvek ukázať audítorovi.
Documentation & Evidence
Udržiavať evidenciu, ktorú môžete kedykoľvek ukázať audítorovi.
Covers
- •Policy register
- •Version-controlled evidence
- •Audit trail
Why it matters
Audítor nepočúva príbehy, chce dokumenty.
Example controls
- DOC-01 Centrálny policy register
- DOC-03 História verzií AI politík
- DOC-05 Evidence log pre mandátorne kontroly