[发明专利]利用和训练用于控件标识的人工智能模型

说明书

提供了用于相对于目标标准的目标规范来利用AI模型的计算机系统、程序代码和方法。AI模型被配置用于标识与对应标准相关的至少一个候选控件。对映射进行遍历以标识映射中的候选控件。利用映射的源和目的地控件来标识与目标标准相关联的至少一个映射的控件。选择性地利用映射的控件和目标标准对AI模型进行训练。

技术领域

本实施例涉及用于利用人工智能(AI)模型来标识控件(诸如安全和隐私控件)并训练AI模型来提高其技术有效性的系统、计算机程序产品和方法。

背景技术

安全合规和隐私合规是确保满足足够水平的安全相关和隐私相关要求的过程。此类要求通常在法规中规定，尽管这些要求可能存在于其他来源，如法律、行政命令、指令、政策、指南、标准等。这样的要求一般在法规中规定，尽管这些要求可能见于诸如法律、行政命令、指令、政策、指南、标准等的其他来源。在典型的(但非穷尽的)场景中，法规或其他法律要求由通常是行政机构或(联邦或州)立法机构的政府部门发布，其规定涉及诸如保护公共部门和私营部门组织运营和资产(例如数据)免受安全和隐私风险等事项的要求(例如技术要求)。此类安全和隐私风险可能起因于例如试图利用信息技术系统和产品漏洞的威胁性行为者、自然灾害、电力故障、诸如人为错误的被动威胁、以及外部和内部的其他威胁。遵守此类法律要求是审慎的、成本预防性的，并且在许多情况下是强制性的，以避免违反法律和其他法定要求。

信息和安全和隐私标准通常由公认的私营部门或公共部门标准机构或组织批准。网络安全标准例如规定保护数据和实施信息安全的技术规范。遵守此类标准的规范对于行业准入是很有必要、甚至强制性的。标准通常是特定于组织的(例如NIST、HIPPA等)。标准的示例包括例如美国国家标准和技术研究所(NIST)标准、健康保险可移植性和责任法案(HIPAA)标准、支付卡行业数据安全标准(PCI-DSS)、国际标准化组织(ISO)标准、通用数据保护条例(GDPR)等。

确保遵守可能适用于给定组织的各种安全相关和隐私相关要求，不但需要在实施充分保护方面进行尽职调查，而且需要在法规、法律等修订、重写、撤销和颁布时，以及在发现新的秘密攻击手段时，维护和更新此类保护。为了满足这些要求，私营部门和公共部门中的组织以及个人已经开发和实施了安全和隐私控件(下文中统称为“控件”)，用以保护信息技术和其他系统、计算平台、设备和产品。组织或个人为满足安全相关和隐私相关要求而选择和实施控件。

控件被描述为可以检测、防止、减轻和/或抵消安全风险(诸如例如威胁性行为者利用安全漏洞的能力)的技术、管理或物理保障和保护能力。例如，美国国家标准和技术研究所(NIST)通过其网站提供出版物《信息系统和组织的安全和隐私控件》(Security andPrivacy Controls for Information Systems and Organizations)，NIST SpecialPublication 800-53,Rev.5(Sep.2020))。该出版物公开了包括基本控件部分(规定要实现的安全和/或隐私能力)、讨论部分、相关控件部分、控件增强部分以及参考部分的控件结构。

可以将一个标准组织的标准映射到一个或多个其他标准组织的标准。控件直接映射到标准，因为控件测试被设计用于例如测量标准在实践中是如何实施标准的诸方面。控件检查是对一个或多个标准中的一个或多个控件的合规性进行验证。

通常，不同标准组织或机构开发多个与相同(或相似)安全或隐私要求相关的标准。因此，一个标准组织的给定标准的控件可能与另一标准组织的另一标准的一个或多个控件具有相似性。因此，提供促进利用人工智能(AI)模型来标识安全和隐私控件以及将标准映射纳入AI模型的训练中以推进和改进AI模型的技术有效性的系统、计算机程序产品和方法将是有利的。

发明内容