GB/T 46347-2025 人工智能 风险管理能力评估

　　ICS 35.240 CCS L 70

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 46347—2025

　　人工智能 风险管理能力评估

　　Artificialintelligence—Risk managementcapability assessment

　　2025-10-05发布 2025-10-05实施

　　国家市场监督管理总局国家标准化管理委员会

　　

　　发

　　

　　布

　　GB/T 46347—2025

　　目 次

　　前言 Ⅲ

　　引言 Ⅳ

　　1 范围 1

　　2 规范性引用文件 1

　　3 术语和定义 1

　　4 人工智能风险管理能力框架与分级 2

　　4. 1 人工智能风险管理能力框架 2

　　4. 2 人工智能风险管理过程 3

　　4. 3 人工智能风险管理能力等级 4

　　4. 4 人工智能风险管理能力等级划分 5

　　4. 5 人工智能风险管理能力项 6

　　5 人工智能风险管理能力评估 8

　　5. 1 人工智能风险管理策划能力评估 8

　　5. 2 人工智能风险沟通能力评估 12

　　5. 3 人工智能风险评估能力评估 13

　　5. 4 人工智能风险处理能力评估 17

　　5. 5 人工智能风险监控能力评估 18

　　5. 6 人工智能风险回顾能力评估 20

　　附录 A (资料性) 推荐权重设置 22

　　附录 B (资料性) 风险源 23

　　附录 C (资料性) 风险管理方法 、工具与技术 25

　　参考文献 27

　　Ⅰ

　　GB/T 46347—2025

　　前 言

　　本文件按照 GB/T 1. 1—2020《标准化工作导则 第 1部分 :标准化文件的结构和起草规则》的规定起草 。

　　请注意本文件的某些内容可能涉及专利 。本文件的发布机构不承担识别专利的责任 。

　　本文件由全国信息技术标准化技术委员会(SAC/TC28)提出并归 口 。

　　本文件起草单位 : 中国电子技术标准化研究院 、中国科学院软件研究所 、中科南京软件技术研究院 、上海商汤智能科技有限公司 、中建科技集团有限公司 、北京谋远咨询有限公司 、上海市人工智能行业协会 、杭州半个宇宙科技有限公司 、北京大学武汉人工智能研究院 、海信集团控股股份有限公司 、西门子 (中国)有限公司 、中电信数智科技有限公司 、同方知网数字出版技术股份有限公司 、上海计算机软件技术开发中心 、北京瑞莱智慧科技有限公司 、上海人工智能研究院 、北京航空航天大学 、科大讯飞股份有限公司 、浙江大华技术股份有限公司 、北京邮电大学 、中国民航信息网络股份有限公司 、中国航空工业集团沈阳飞机设计研究所 、浪潮云信息技术股份公司 、重庆国科础智信息技术有限公司 、浪潮软件科技有限公司 、上海燧原科技股份有限公司 、中国船舶集团有限公司综合技术经济研究院 、电子科技大学 、北京航天自动控制研究所 、中国兵器工业信息中心 、郑州阿帕斯数云信息科技有限公司 。

　　本文件主要 起 草 人 : 范 科 峰 、刘 张 宇 、叶 珩 、董 建 、孟 令 中 、徐 洋 、马 骋 昊 、吴 庚 、曾 涛 、方 亮 、饶 雪 、赵春昊 、马珊珊 、吴年京 、辜凌云 、方静 、吴琪 、薛云志 、高卉 、高峰 、陈敏刚 、陈文捷 、刘畅 、胡嵩智 、赵玉霞 、陈曦 、宋海涛 、刘祥龙 、刘艾杉 、董乾 、杨光 、刘俊华 、程淼 、何召锋 、翁家良 、梅莹 、郑佳佳 、朱晓芳 、陈利明 、郝立强 、游 洪 峰 、王 士 宁 、杨 彤 晖 、温 晓 玲 、吴 立 金 、李 照 川 、王 金 超 、姜 梦 岑 、蒋 燕 、吴 惠 甲 、李 劲 松 、于明亮 、谢旻希 、樊则森 、傅文林 、邓赛 、陈贺 、于红云 、江维 、李想 、张天缘 、王栓奇 、张旭 。

　　Ⅲ

　　GB/T 46347—2025

　　引 言

　　“人工智能风险管理 ”是一个广泛的概念 ,它涵盖了与人工智能相关的所有风险的管理 ,包括但不限于技术风险(如算法偏差 、数据泄露等) 、伦理风险(如算法歧视 、意识形态侵蚀等) 、应用风险(如系统被黑客攻击 、算法被用于欺骗等)和法律风险(如算法合规 、知识侵权等) 。

　　本文件主要关注组织在应用人工智能系统时的风险管理能力 ,这些风险可能涉及系统的稳定性 、安全性 、性能以及与其他 系 统 的 兼 容 性 等 方 面 。人 工 智 能 系 统 的 风 险 管 理 是 为 了 确 保 系 统 能 按 预 期 运行 ,并避免由于系统故障或漏洞而导致的潜在问题 。

　　本文件确定的风险管理过程 ,主要是在 GB/T 24353—2022图 1展示的风险管理过程的基础上 ,充分吸收 ISO/IEC 23894对人工智能 风 险 管 理 过 程 的 描 述 , 考 虑《人 工 智 能 安 全 治 理 框 架》提 及 的 风 险点,对组织风险管理时应当进行的活动 , 以及应具备的能力做了进一步细化 。

　　Ⅳ

　　GB/T 46347—2025

　　人工智能 风险管理能力评估

　　1 范围

　　本文件规定了组织的人工智能风险管理能力的级别与要求 ,描述了组织的人工智能风险管理能力的评估方法 。

　　本文件适用于指导评估人员对组织的人工智能风险管理能力进行评估 。

　　2 规范性引用文件

　　本文件没有规范性引用文件 。

　　3 术语和定义

　　下列术语和定义适用于本文件 。

　　3. 1

　　人工智能 artificialintelligence

　　人工智能系统的机制和应用的研究与开发 。

　　[来源 :GB/T 41867—2022,3. 1. 2] 3.2

　　人工智能系统 artificialintelligencesystem

　　针对人类定义的给定目标 ,产生诸如内容 、预测 、推荐或决策等输出的一类工程系统 。

　　注 1: 该工程系统使用人工智能相关的多种技术和方法 ,开发表征数据 、知识 、过程等的模型 ,用于执行任务 。

　　注 2: 人工智能系统具备不同的 自动化级别 。

　　[来源 :GB/T 41867—2022,3. 1. 8] 3.3

　　风险 risk

　　不确定性对目标的影响 。

　　[来源 :GB/T 23694—2024,3. 1. 1] 3.4

　　风险管理 risk management

　　在风险方面指导和控制组织的协调活动 。

　　[来源 :GB/T 23694—2024,3. 2. 1] 3.5

　　风险源 risk resource

　　单独或组合有可能产生风险的元素 。

　　[来源 :GB/T 23694—2024,3. 3. 10] 3.6

　　能力域 capabilitydomain

　　风险管理过程框架中相关过程的集合 。

　　1

　　GB/T 46347—2025

　　3.7

　　能力子域 capability sub-domain

　　能力域中相关风险管理活动的集合 。

　　3. 8

　　能力项 capabilityitem

　　能力子域中构成能力模型的若干特性指标单项 。

　　3.9

　　能力项权重 factorofcapabilityitem

　　对应能力项在所述能力子域评估中的权重因子 。

　　4 人工智能风险管理能力框架与分级

　　4. 1 人工智能风险管理能力框架

　　人工智能风险管理能力框架包括风险管理策划 、风险沟通 、风险评估 、风险处理 、风险监控以及风险回顾 6个能力域 。各能力域由若干能力子域与能力项按照衡量相关能力所需维度进行规定 ,见表 1。

　　表 1 风险管理能力框架

　　能力域

　　能力子域

　　能力项

　　风险管理策划

　　确定领导作用

　　确定组织方针

　　确定人工智能风险管理目标

　　进行资源协调

　　指派职责

　　制定风险政策

　　定义人工智能风险管理活动范围

　　定义风险参数

　　定义风险准则

　　确定风险管理策略

　　确定风险储备

　　风险沟通

　　沟通与咨询

　　风险沟通

　　风险咨询

　　风险评估

　　风险识别

　　选择风险识别工具/技术/方法

　　识别人工智能风险源

　　识别风险后果

　　风险分析

　　进行人工智能风险分类

　　进行风险概率分析

　　进行风险影响分析

　　风险评价

　　建立风险概率影响矩阵

　　确定风险优先级

　　2

　　GB/T 46347—2025

　　表 1 风险管理能力框架 (续)

　　能力域

　　能力子域

　　能力项

　　风险处理

　　风险应对

　　选择风险应对方案

　　制定和实施风险处理计划

　　风险监控

　　监督与检查

　　风险监督

　　风险检查

　　风险回顾

　　记录与报告

　　风险记录

　　风险报告

　　4.2 人工智能风险管理过程

　　人工智能风险管理包括风险管理策划 、风险沟通 、风险评估 、风险处理 、风险监控 、风险回顾 6 个过程域 ,见图 1。其中 :

　　— 风险管理策划 ,是风险管理的起始环节 ,涉及确定风险管理的范围 、环境和准则 , 旨在有针对性地设计风险管理过程 ,风险管理策划包括确定领导作用 、制定风险政策等过程 ;

　　— 风险沟通 ,贯穿于风险管理的全过程 ,涉及组织内部各级别之间以及组织与外部利益相关者之间的信息交流 ;

　　— 风险评估 ,是在风险管理策划的基础上进行 ,是对风险进行定性或量化分析的过程 , 旨在确定风险发生的可能性和影响程度 ,风险评估包括风险识别 、风险分析和风险评价 3 个步骤 , 为风险处理提供决策依据 ;

　　— 风险处理 ,是组织根据风险评估的结果 ,制定并执行风险应对策略和措施 。风险处理旨在降低风险发生的可能性或减轻风险造成的损失 ;

　　— 风险监控 ,是对风险管理活动进行持续跟踪和监测的过程 , 旨在及时发现并应对新的风险或原有风险的变化 ,风险监控贯穿于风险管理的全过程 ;

　　— 风险回顾 ,是对风险管理策划 、风险评估 、风险处理 、风险沟通与风险监控等其他 5个过程域的风险管理活动与结果进行传达 ,从而为组织提供决策信息 , 以改进其风险管理活动 。

　　3

　　GB/T 46347—2025

　　图 1 人工智能风险管理过程

　　4.3 人工智能风险管理能力等级

　　人工智能风险管理能力等级由低到高依次分为初始级 、受管理级 、稳健级 、量化管理级和优化级 ,见图 2。

　　4

　　GB/T 46347—2025

　　注 : 每个能力等级表明 人 工 智 能 风 险 管 理 能 力 所 达 到 的 水 平 。 较 高 的 能 力 等 级 涵 盖 了 低 于 其 能 力 等 级 的 全 部要求 。

　　图 2 人工智能风险管理能力等级

　　4.4 人工智能风险管理能力等级划分

　　组织的风险管理能力等级由其人工智能风险管理能力总得分确定 ,具体等级划分见表 2。 风险管理能力的总得分由各能力域得分加权计算获得 ,能力域权重设置见附录 A。

　　表 2 人工智能风险管理能力等级划分规则

　　等级

　　取值范围

　　等级说明

　　初始级

　　得分<1. 5

　　组织具备基本的人工智能风险管理能力 。组织会应用一 些 风 险 管 理 活 动 ,但 未 建立系统的人工智能风险管理机制 。风险管理往往以被动 和 临 时 的 方 式 进 行 , 风 险管理结果不可预测且难以复制 ,通常更多地依赖于组织中人员的能力

　　受管理级

　　1. 5≤得分<2. 5

　　组织具备可拓展的人工智 能 风 险 管 理 能 力 。组 织 意 识 到 人 工 智 能 风 险 管 理 的 重要性 ,建立了基本的风险 管 理 流 程 和 机 制 。 风 险 管 理 活 动 被 分 配 给 有 能 力 、职 责明确 、有足够资源的人员 ,但 多 数 风 险 管 理 活 动 还 是 基 于 过 去 经 验 的 重 复 而 缺 乏体系

　　稳健级

　　2. 5≤得分<3. 5

　　组织具备稳定的人工智能 风 险 管 理 能 力 。组 织 建 立 了 全 面 的 风 险 管 理 流 程 和 机制 ,风险管理活动可被标 准 化 、协 调 和 一 致 地 推 动 。组 织 将 人 工 智 能 风 险 管 理 视为组织运作的关 键 要 素 , 在 决 策 和 资 源 分 配 中 给 予 重 视 , 并 反 映 在 绩 效 管 理 流程中

　　量化管理级

　　3. 5≤得分<4. 5

　　组织具备优秀的人工智能 风 险 管 理 能 力 。组 织 建 立 了 完 备 的 风 险 管 理 流 程 和 机制 ,且持续根据内外环境 变 化 进 行 更 新 。组 织 应 用 定 量 和 统 计 方 法 来 管 理 、测 量和评估风险管理过程 ,风险 管 理 被 纳 入 到 组 织 的 战 略 规 划 和 业 绩 管 理 活 动 , 风 险偏好和政策得到了明确的阐述

　　优化级

　　4. 5≤得分 ≤5

　　组织具备卓越的人工智能风险管理能力 。组织建立了先 进 的 、完 备 的 风 险 管 理 流程和机制 ,且持续根据内 外 环 境 变 化 进 行 更 新 。 在 识 别 、监 测 和 应 对 风 险 过 程 中使用先进的技术工具 ,风险管理完全嵌入到组织的管理 流 程 中 。组 织 的 风 险 管 理能力已成为行业标杆 ,可在整个行业内分享最佳实践的先进经验

　　注 : 风险管理能力等级是对组织的风险管理策划能力 、风险沟通能力 、风险评估能力 、风险处理能力 、风险监控能力以及风险回顾能力等各种人工智能风险管理能力的分级评估结果 。

　　5

　　GB/T 46347—2025

　　4.5 人工智能风险管理能力项

　　4.5. 1 风险管理策划能力

　　4.5. 1. 1 确定领导作用

　　确定领导作用能力包括下列内容 :

　　a) 确定组织方针 :组织了解其内部和外部环境 ,包括其在人工智能系统中的角色 , 以及这些角色如何影响其实现人工智能管理体系目标的能力 ,确定风险管理框架的设计原则 ;

　　b) 确定人工智能风险管理目标 :组织确定人工智能风险管理目标 ,确保风险管理目标与组织的战略目标一致 ;

　　c) 进行资源协调 :领导确保提供所需的资源 ,建立并维护过程所需的组织机构和岗位的职责 ,包括人力 、技能 、经验和能 力 , 以 及 风 险 管 理 所 需 的 过 程 、方 法 和 工 具 , 支 撑 风 险 管 理 的 实 施 与改进 ;

　　d) 指派职责 :领导确保负责风险管理的相关角色的权力 、责任 、决策流程和问责机制 ,确保风险管理的有效实施和持续改进 。

　　4.5. 1.2 制定风险政策

　　制定风险政策能力包括下列内容 :

　　a) 定义人工智能风险管理活动范围 :组织确定其风险管理活动的范围 ,与组织的战略目标和运营需求相一致 ;

　　b) 定义风险参数 :定义用于风险管理的参数 ,包括用于风险分析 、分类和排序的参数 , 以及用于控制和管理风险的参数 ,如 :风险发生的可能性 、风险发生的时间段 、影响程度等度量参数 ;

　　c) 定义风险准则 :组织规定其可能承担或不承担的风险的数量和类型 , 以及评估风险重要性和支持决策过程的标准 ;

　　d) 确定风险管理策略 :确定人工智能风险管理活动的时机 、方法和管理要求 ;

　　e) 确定风险储备 :确定人工智能相关风险的应急储备和管理储备 。

　　4.5.2 风险沟通能力

　　沟通与咨询能力包括下列内容 。

　　a) 风险沟通 :

　　1) 透明沟通 :确保与人工智能相关的决策过程 、风险评估结果和风险管理策略对内外部利益相关者保持透明 ,包括清晰地传达人工智能系统的预期用途 、潜在风险 、已采取的缓解措施以及在发生风险时的应对计划 ;

　　2) 及时沟通 :信息在风险管理过程的关键时刻及时传达 , 以确保利益相关者能做出基于最新信息的决策 ;

　　3) 全面沟通 :确保向利益相关者传达信息同时收集和整合利益相关者的反馈和意见 ,沟通内容包括风险识别 、评估 、处理策略和结果 , 以及任何更新或变更 。

　　b) 风险咨询 :

　　1) 利益相关方识别 :识别所有可能受人工智能系统影响的内外部利益相关方 ,确保这些利益相关方的观点和利益在后续的风险管理流程中得到考虑 ;

　　2) 反馈机制 : 确 保 具 备 系 统 化 的 反 馈 流 程 , 能 收 集 利 益 相 关 者 的 意 见 及 其 对 风 险 管 理 的建议 ;

　　3) 多元化视角 :确保咨询过程中包含多样化的观点,增加风险管理的深度和广度 ,组织能从

　　6

　　GB/T 46347—2025

　　多角度审视风险 。

　　4.5.3 风险评估能力

　　4.5.3. 1 风险识别

　　风险识别能力包括下列内容 :

　　a) 选择风险识别工具/技术/方法 :组织根据人工智能系统的特点和组织管理需求 ,建立风险识别的工具/技术/方法库 ,选择适合的工具/技术/方法来识别风险 ;

　　b) 识别人工智能风险源 :组织识别与人工智能的开发或使用相关的风险源 ;

　　c) 识别风险后果 :组织识别风险可能带来的直接和间接后果 ,评估这些后果对组织 目标 、利益相关者以及社会环境的潜在影响 。

　　4.5.3.2 风险分析

　　风险分析能力包括下列内容 :

　　a) 进行人工智能风险分类 :组织根据不同维度明确风险分类准则 ,并进行分类 ,如 :按内部/外部分类 ,按技术 、资源 、管理等方面分类 ;

　　b) 进行风险概率分析 :基于定性或定量方法 ,进行风险概率分析 ,如 :使用历史数据 、专家判断 、模拟等手段 ;

　　c) 进行风险影响分析 :基于定性或定量方法 ,进行风险影响分析 ,如 : 财务 、声誉 、运营等方面的影响 。

　　4.5.3.3 风险评价

　　风险评价能力包括下列内容 :

　　a) 建立风险概率影响矩阵 :根据风险概率分析和风险影响分析的结果 ,基于定性或定量方法 ,建立风险概率影响矩阵 ;

　　b) 确定风险优先级 :根据风险参数划分等级(如高 、中 、低)并根据参数进行风险排序 。

　　4.5.4 风险处理能力

　　风险应对能力包括下列内容 。

　　a) 选择风险应对方案 :基于风险评估结果和风险管理目标 ,根据风险优先等级 ,选择适合的风险应对方案 ,如避免 、转移 、缓解 、接受等 。

　　b) 制定和实施风险处理计划 :

　　1) 制定风险处理计划 :计划内容包括风险应对方案的理由 、预期收益 、涉及的实施及批准人员 、具体活动 、所需资源(包括财务预算和人力资源) 、绩效指标 、时间限制 、监控和审查机制等 ;

　　2) 实施风险处理计划 :按照风险处理计划执行风险应对措施 ,确保计划的实施与组织 目标和风险管理策略一致 ,定期监控风险处理措施的效果 ,评估是否达到 预 期 的 降 低 风 险 的 目标 。基于监控结果和业务环境的变化 ,定期审查 ,在必要时调整风险处理计划 。

　　4.5.5 风险监控能力

　　风险监督与检查能力包括下列内容 :

　　a) 风险监督 :收集风险管理信息 、监督风险处理措施的实施情况 、记录监督过程中发生的问题和结果 ,并提供有利于促进风险管理过程持续改进的反馈 ;

　　7

　　GB/T 46347—2025

　　b) 风险检查 :对风险管理效果进行检查 ,将检查结果纳入整个组织的绩效管理中 。

　　4.5.6 风险回顾能力

　　风险记录与报告能力包括下列内容 :

　　a) 风险记录 :确定风险记录的信息需求 、要求 、方法 、频率 ,为风险管理决策提供信息 ;

　　b) 风险报告 :确定报告的方法 、成本 、频率和及时性 ,传达整个组织的风险管理活动和结果 ,从而改进风险管理活动 。

　　5 人工智能风险管理能力评估

　　5. 1 人工智能风险管理策划能力评估

　　5. 1. 1 确定领导作用

　　开展确定领导作用能力子域的能力项评估时 ,应使用表 3 中规定的取值规则 。

　　表 3 确定领导作用能力子域取值规则

　　能力项

　　赋值依据

　　赋值区间

　　确定组织方针

　　高级别能力包括以下内容 :

　　组织将人工智能风险管理作为整体业务发展战略的一部分 ,能牵头或参与人工智能风险管理相关的国际标 准 、国 家 标 准 及 行 业 标 准 的 制 定 , 能 评 估 现 有 人 工智能风险管理策略方针和管理制度的适用性 ,对人工智能系统全生命周期制定完整的风险管理策略和风险应对方案 ,并明确组织的最高管理者对风险管理的承诺

　　3 分 ~ 5 分

　　中级别能力包括以下内容 :

　　组织将人工智能风险管理纳入到组织整体风险管理领域 ,建立较规范的人工智能风险管理框架与流程

　　1 分 ~ 3 分

　　低级别能力包括以下内容 :

　　组织仅将人工智能风险管理纳入组织整体风险管理领域 ,建立基本的人工智能风险管理框架与流程

　　0 分 ~ 1 分

　　确定人工智能风险管理目标

　　高级别能力包括以下内容 :

　　具备卓越的风 险 管 理 能 力 , 能 对 新 型 风 险 进 行 识 别 , 建 立 完 善 的 风 险 应 对 措施 ,确保组织战略目标达成

　　3 分 ~ 5 分

　　中级别能力包括以下内容 :

　　具备发展的风 险 管 理 能 力 , 能 对 关 键 的 、常 见 的 人 工 智 能 风 险 进 行 识 别 和 应对 ,确保风险管理正常运行

　　1 分 ~ 3 分

　　低级别能力包括以下内容 :

　　具备基本的风险管理能力 ,能 识 别 和 应 对 重 大 风 险 , 以 符 合 相 关 法 律 法 规 的 要求 、避免业务运营中止等

　　0 分 ~ 1 分

　　进行资源协调

　　高级别能力包括以下内容 :

　　a) 人员 :设置具备丰富风 险 管 理 经 验 的 专 职 中 高 层 风 险 管 理 人 员 , 能 实 现 实时 、动态的风险管理 ,建立人工智能相关人才激励 政 策 ,将 人 工 智 能 风 险 管理与考核机制结合 ;

　　b) 工具 :使用专用软件系统工具实现完善的智能化管理

　　3 分 ~ 5 分

　　8

　　GB/T 46347—2025

　　表 3 确定领导作用能力子域取值规则 (续)

　　能力项

　　赋值依据

　　赋值区间

　　进行资源协调

　　中级别能力包括以下内容 :

　　a) 人员 :设置具备一般风 险 管 理 能 力 的 专 职 风 险 管 理 人 员 , 能 实 现 基 本 的 风险管理 ;

　　b) 工具 :使用通用软件系统工具支持基本的风险管理活动

　　1 分 ~ 3 分

　　低级别能力包括以下内容 :

　　a) 人员 :未设专职风险管理人员 , 由其他职能的人员兼职管 理 , 能 完 成 最 低 限度的风险管理活动 ;

　　b) 工具 :使用通用软件系统工具支持最低限度的风险管理活动

　　0 分 ~ 1 分

　　指派职责

　　高级别能力包括以下内容 :

　　a) 组织建立专门的风险管理委员会 ,定期向组织高级管理层汇报 人 工 智 能 发展与风险管理情况 ,确保人工智能风险管理活动具有高优先级 ;

　　b) 组织设置至少 2 名具备独立性的专职风险管理人员 , 明 确 其 权 力 、责 任 、决策流程 、问责与奖励机制 , 以保障人工智能风险管 理 活 动 的 全 面 、有 效 开 展和持续改进

　　3 分 ~ 5 分

　　中级别能力包括以下内容 :

　　组织设置至少 1 名具备独立性的专职风险管理人员 , 明确其权力 、责任 、决 策 流程与问责机制 , 以保障人工智能风险管理活动的开展

　　1 分 ~ 3 分

　　低级别能力包括以下内容 :

　　组织未设置专职风险管理人员 ,一般由不具备独立性的兼职人员承担人工智能风险管理职责 ,其权力 、责任 、决策流程或问责机制未明确

　　0 分 ~ 1 分

　　注 : 未达到以上能力最低评分要求或完全不具备该能力项功能的 ,评为 0 分 。

　　5. 1.2 制定风险政策

　　开展制定风险政策能力子域的能力项评估时 ,应使用表 4 中规定的取值规则 。

　　表 4 制定风险政策能力子域取值规则

　　能力项

　　赋值依据

　　赋值区间

　　定义人工智能风险管理活动范围

　　高级别能力包括以下内容 :

　　a) 领导参与 :在定义人工 智 能 风 险 管 理 活 动 范 围 时 , 包 含 高 层 管 理 者 的 全 程参与和决策支持 , 以确保所有活动所需资源 ;

　　b) 一致性 :在定义风险管 理 活 动 时 , 充 分 考 虑 了 各 项 活 动 与 组 织 风 险 管 理 目标以及组织战略目标的一致性 ;

　　c) 全面性 :充分考虑到风 险 管 理 活 动 需 要 贯 穿 组 织 的 各 个 层 面 和 部 门 , 充 分考虑到所有相关部门的协作和配合 ,确保全面覆盖和有效应对 ;

　　d) 目标与结果 : 明确风险管理活动的 目标与预期结果

　　3 分 ~ 5 分

　　9

　　GB/T 46347—2025

　　表 4 制定风险政策能力子域取值规则 (续)

　　能力项

　　赋值依据

　　赋值区间

　　定义人工智能风险管理活动范围

　　中级别能力包括以下内容 :

　　a) 领导参与 :在定义人工智能风险管理活动范围时 , 由 中层 管 理 者 负 责 , 能 保障重要活动所需资源 ;

　　b) 一致性 :在定义风险管 理 活 动 时 , 大 多 数 活 动 与 组 织 风 险 管 理 目 标 以 及 组织战略目标的一致性基本符合 ,少量活动的一致性存在偏离 ;

　　c) 全面性 :考虑了部分重 要 相 关 部 门 之 间 的 协 作 和 配 合 , 确 保 重 点 覆 盖 和 有效应对 ;

　　d) 目标与结果 :基本明确风险管理活动的 目标与预期结果

　　1 分 ~ 3 分

　　低级别能力包括以下内容 :

　　a) 领导参与 :在定义人工 智 能 风 险 管 理 活 动 范 围 时 , 仅 由 项 目 经 理 及 项 目 团队负责 ,缺乏重要活动所需资源的支持 ;

　　b) 一致性 :在定义风险管 理 活 动 时 , 忽 略 了 各 项 活 动 与 组 织 战 略 目 标 以 及 风险管理目标的一致性 ,甚至一致性存在显著偏离 ;

　　c) 全面性 :仅在 部 门内 部 进 行 , 未 考 虑 跨 部 门 的 协 作 和 配 合 , 未 做 到 全 面 覆盖 ,无法有效应对 ;

　　d) 目标与结果 :未明确或无法明确风险管理活动的 目标或预期结果

　　0 分 ~ 1 分

　　定义风险参数

　　高级别能力包括以下内容 :

　　a) 风险参数类别 :风险参数涵盖技术 、财务 、人力 、设 备 、环 境 等 5 个 及 以 上 的维度 ;

　　b) 风险参数边界划分 :风险参数边界划分清晰 ;

　　c) 风险参数可用性 :风险参数从技术和经济上来说 ,完全能获得和可用 ;

　　d) 定义了共同且一致的准则 ,用以比较需要管理的各种风险

　　3 分 ~ 5 分

　　中级别能力包括以下内容 :

　　a) 风险参数类别 :风险参数涵盖 3 分 ~ 5 分(含)种维度 ;

　　b) 风险参数边界划分 :风险参数边界划分基本清晰 ;

　　c) 风险参数可用性 :风险参数从技术和经济上来说 ,基本能获得和可用 ;

　　d) 准则定义部分一致 ,可比较需要管理的部分风险

　　1 分 ~ 3 分

　　低级别能力包括以下内容 :

　　a) 风险参数类别 :风险参数仅涵盖 1 种 ~ 2 种维度 ;

　　b) 风险参数边界划分 :风险参数边界划分不清晰 ;

　　c) 风险参数可用性 :风险参数从技术和经济上来说 ,难以获得或可用 ;

　　d) 无准则或准则定义完全不一致 ,无法比较需要管理的不同风险

　　0 分 ~ 1 分

　　定义风险准则

　　高级别能力包括以下内容 :

　　a) 风险数量与类型 : 明确 组 织 能 接 受 或 不 可 接 受 的 风 险 的 数 量 与 类 型 , 见 附录 B,并给出清晰的风险定义与阈值范围 ;

　　b) 风险组合 :能考虑到多种风险的组合 、关联以及顺序 ;

　　c) 明确风险评估 :清晰地确定了评估风险重要性和支持决策过程的标准 ;

　　d) 定义风险准则的频度 :在完成初始化之后 ,能按需 、动态地 进 行 风 险 准 则 的审查与修订

　　3 分 ~ 5 分

　　10

　　GB/T 46347—2025

　　表 4 制定风险政策能力子域取值规则 (续)

　　能力项

　　赋值依据

　　赋值区间

　　定义风险准则

　　中级别能力包括以下内容 :

　　a) 风险 数 量 与 类 型 : 基 本 明 确 组 织 能 接 受 或 不 可 接 受 的 风 险 的 数 量 与 类型 ,见附录 B,能给出部分风险定义与阈值范围 ;

　　b) 风险组合 :能考虑到少数重要风险的组合 、关联以及顺序 ;

　　c) 明确风险评估 :部分确定了评估风险重要性和支持决策过程的标准 ;

　　d) 定义风险准则的频度 :在完成初始化之后 ,定期进行风险准则的审查与修订

　　1 分 ~ 3 分

　　低级别能力包括以下内容 :

　　a) 风险数量与类型 :未明 确 组 织 能 接 受 或 不 可 接 受 的 风 险 的 数 量 与 类 型 , 见附录 B,风险定义与阈值范围不清晰或无法给出 ;

　　b) 风险组合 :未考虑到多种风险的组合 、关联以及顺序 ;

　　c) 明确风险评估 :未确定评估风险重要性和支持决策过程的标准 ;

　　d) 定义风险准则的频度 : 在 完 成 初 始 化 之 后 , 无 法 定 期 进 行 风 险 准 则 的 审 查与修订

　　0 分 ~ 1 分

　　确定风险管理策略

　　高级别能力包括以下内容 :

　　a) 风险管理的主动性 :倾 向 于 主 动 预 测 和 管 理 风 险 , 而 不 是 仅 当 风 险 发 生 时才采取行动 ;主动定义 不 可 接 受 的 风 险 阈 值 , 并 制 定 风 险 接 近 阈 值 的 相 应应对措施 ;

　　b) 风险管理全面性 :考虑 组 织 整 体 的 风 险 状 况 , 覆 盖 所 有 关 键 业 务 领 域 和 潜在风险源 ;

　　c) 风险管理的深度 :对于每种风险 ,都进行深入的分析和评 估 , 以 确 定 其 潜 在影响 、可能性 、紧急性和阈值 ;

　　d) 风险管理的演进性 :对 风 险 管 理 工 具 、技 术 与 方 法 不 断 演 进 、创 新 ,从 而 不断提升组织的风险管理能力等级

　　3 分 ~ 5 分

　　中级别能力包括以下内容 :

　　a) 风险管理的主动性 : 当风险发生或接近阈值时 ,能迅速做 出 反 应 ,并 采 取 相应的措施来减轻风险的影响 ;

　　b) 风险管理全面性 :针对组织内的重要业务领域和主要风险源 ;

　　c) 风险管理的深度 :对风险进行适度的分析和评估 , 以确定 其 潜 在 影 响 、可 能性和阈值 ;

　　d) 风险管理的演进性 :能适应一定程度的环境变化 ,并调整 风 险 管 理 工 具 、技术与方法 , 以适应新的风险状况

　　1 分 ~ 3 分

　　低级别能力包括以下内容 :

　　a) 风险管理的主动性 :仅 在 风 险 发 生 后 才 采 取 行 动 , 而 不 是 主 动 预 测 和 管 理风险 ;

　　b) 风险管理全面性 :仅关注组织内的某些局部领域或特定风险源 ;

　　c) 风险管理的深度 :对风险进行基本的分析和评估 ,但不够深入 ;

　　d) 风险管理的演进性 :采 用 相 对 稳 定 的 风 险 管 理 策 略 , 应 用 固 定 的 风 险 管 理工具 、技术与方法 ,不进行相应的调整

　　0 分 ~ 1 分

　　11

　　GB/T 46347—2025

　　表 4 制定风险政策能力子域取值规则 (续)

　　能力项

　　赋值依据

　　赋值区间

　　确定风险储备

　　高级别能力包括以下内容 :

　　对于人工智能可能造成的风险 ,在关注度和资源上付出与其可能造成的影响相称的投入 ,或具备项目总额占比 3%以上的风险储备预算

　　3 分 ~ 5 分

　　中级别能力包括以下内容 :

　　具备项目总额占比 1% ~ 3%(含)的风险储备预算

　　1 分 ~ 3 分

　　低级别能力包括以下内容 :

　　风险储备预算不为 0,但占比低于项目总额的 1%

　　0 分 ~ 1 分

　　注 : 未达到以上能力最低评分要求或完全不具备该能力项功能的 ,评为 0 分 。

　　5.2 人工智能风险沟通能力评估

　　开展沟通与咨询能力子域的能力项评估时 ,应使用表 5 中规定的取值规则 。

　　表 5 沟通与咨询能力子域取值规则

　　能力项

　　赋值依据

　　赋值区间

　　风险沟通

　　高级别能力包括以下内容 :

　　确保所有相关方及时 、准确 地 理 解 人 工 智 能 相 关 风 险 信 息 。包 括 使 用 清 晰 、易懂的语言 ,根据不同受众的理解水平和需求 ,采用适当的沟通方式和工具(如 会议 、报告 、在线平台)进行沟 通 等 。 在 传 递 过 程 中 , 能 有 效 地 传 达 风 险 的 重 要 性和紧迫性 、风险管理措施的成果

　　3 分 ~ 5 分

　　中级别能力包括以下内容 :

　　具备基本沟通能力 ,能向相关方提供大部分必要的风险信息 。在沟通内容 的 精准度和深度上存在一定的限制

　　1 分 ~ 3 分

　　低级别能力包括以下内容 :

　　沟通能力较弱 ,难以有效地向 利 益 相 关 者 传 达 人 工 智 能 相 关 风 险 信 息 , 可 能 导致信息不完整 、不准确

　　0 分 ~ 1 分

　　风险咨询

　　高级别能力包括以下内容 :

　　能整合来自内外部利益相关 方 的 反 馈 和 建 议 为 组 织 和 项 目 团 队 提 供 全 面 的 人工智能风险管理建议和解决方案 。能通过深入分析和评估 , 为决策者提供 具 体的战略建议 ,帮助他们理解和应对人工智能系统可能面临的各类风险

　　3 分 ~ 5 分

　　中级别能力包括以下内容 :

　　具备基本的咨询能力 ,能为组织和项 目 团队提供一般性的人工智能风险管理建议 。能识别并联系一些关键的内外部利益相关方 ,但在整合多样性观点和 反 馈方面可能存在局限 ,咨询过程不够系统和全面

　　1 分 ~ 3 分

　　低级别能力包括以下内容 :

　　咨询能力有限 ,很少或没有主 动 征 求 内 外 部 利 益 相 关 方 意 见 , 仅 能 就 人 工 智 能风险的基本问题提供简单的建议 ,可能无法满足复杂决策者的需求

　　0 分 ~ 1 分

　　注 : 未达到以上能力最低评分要求或完全不具备该能力项功能的 ,评为 0 分 。

　　12

　　GB/T 46347—2025

　　5.3 人工智能风险评估能力评估

　　5.3. 1 风险识别

　　开展风险识别能力子域的能力项评估时 ,应使用表 6 中规定的取值规则 。

　　表 6 风险识别能力子域取值规则

　　能力项

　　赋值依据

　　赋值区间

　　选择风险识别工具/技术/方法

　　高级别能力包括以下内容 :

　　a) 工具清单 :拥有 完 备 且 前 沿 的 人 工 智 能 风 险 识 别 工 具/技 术/方 法 清 单 , 见附录 C, 以确保涵盖所有相关领域 ;能在现有工具/技术/方法的基础上进行整合与创新 ,提出新的风险识别方法 ;

　　b) 运用能力 : 能 根 据 实 际 场 景 , 运 用 已 经 掌 握 的 人 工 智 能 风 险 识 别 工 具/技术/方法 ,对每种风险提出 2套或者以上的完整解决方案 ;

　　c) 匹配度和有 效 性 :选 择 的 工 具/技 术/方 法 准 确 、适 用 , 能 高 效 地 识 别 项 目 、产品或过程中的潜在风险

　　3 分 ~ 5 分

　　中级别能力包括以下内容 :

　　a) 工具清单 :拥有较完备的人工智能风险识别工具/技术/方法清单 ;

　　b) 运用能力 :能在 实 际 场 景 中 , 运 用 已 有 的 人 工 智 能 风 险 识 别 工 具/技 术/方法 ,对每种风险提出至少 1套完整的解决方案 ;

　　c) 匹配度和有 效 性 :选 择 的 工 具/技 术/方 法 部 分 准 确 、适 用 , 能 识 别 项 目 、产品或过程中的主要潜在风险

　　1 分 ~ 3 分

　　低级别能力包括以下内容 :

　　a) 工具清单 :拥有初步的人工智能风险识别工具/技术/方法清单 ,或无清单 ;

　　b) 运用能力 :能简单了解人工智能风险识别工具/技术/方法并进行运用 ;

　　c) 匹配度和有效 性 : 选 择 的 工 具/技 术/方 法 不 准 确 或 不 适 用 , 能 识 别 一 些 常见风险 ,但可能忽略一些潜在风险

　　0 分 ~ 1 分

　　识别人工智能风险源

　　高级别能力包括以下内容 :

　　对人工智能系统 、人工智能技 术 原 理 、应 用 场 景 以 及 潜 在 风 险 源 有 深 入 的 理 解和广泛的知识 ,能识别出各种风险源 ,并且能动态更新和完善风险源列表 ,见 附录 B

　　3 分 ~ 5 分

　　中级别能力包括以下内容 :

　　对人工智能系统及其风险源 比 较 熟 悉 , 能 识 别 出 常 见 的 风 险 源 , 能 定 期 更 新 重要风险源

　　1 分 ~ 3 分

　　低级别能力包括以下内容 :

　　对人工智能系统及其风险源 有 初 步 的 认 识 和 了 解 , 但 缺 乏 深 入 的 理 解 , 无 法 全面识别人工智能风险源

　　0 分 ~ 1 分

　　识别风险后果

　　高级别能力包括以下内容 :

　　a) 风险后果影响对象 :能全面识别风险对系统 、业务 、个 人 、组 织 、社 会 等 利 益相关方的后果影响 ;

　　b) 风险后果影响维度 :能 全 面 识 别 风 险 的 财 务 影 响(组 织 财 务 状 况 的 潜 在 影响) 、运营影响(组织 日常运 营 的 影 响) 、法 务 影 响(是 否 可 能 导 致 组 织 违 反 法 律法规或面临法律诉讼) 、声誉影响(对组织声誉和品牌形象的潜在影响) 、其他 影响(社会影响 、伦理影响)等

　　3 分 ~ 5 分

　　13

　　GB/T 46347—2025

　　表 6 风险识别能力子域取值规则 (续)

　　能力项

　　赋值依据

　　赋值区间

　　识别风险后果

　　中级别能力包括以下内容 :

　　a) 风险后果影响对象 :能基本识别风险对系统 、业务 、组织等 重 要 利 益 相 关 方的后果影响 ;

　　b) 风险后果影响维度 :能 重 点 识 别 风 险 的 财 务 影 响(组 织 财 务 状 况 的 潜 在 影响) 、运营影响(组织 日常运 营 的 影 响) 、法 务 影 响(是 否 可 能 导 致 组 织 违 反 法 律法规或面临法律诉讼)等

　　1 分 ~ 3 分

　　低级别能力包括以下内容 :

　　a) 风险后果影响对象 :仅能识别风险对系统 、业务的后果影响 ;

　　b) 风险后果影响维度 :能 基 本 识 别 风 险 的 财 务 影 响(组 织 财 务 状 况 的 潜 在 影响) 、运营影响(组织 日常运营的影响)等

　　0 分 ~ 1 分

　　注 : 未达到以上能力最低评分要求或完全不具备该能力项功能的 ,评为 0 分 。

　　5.3.2 风险分析

　　开展风险分析能力子域的能力项评估时 ,应使用表 7 中规定的取值规则 。

　　表 7 风险分析能力子域取值规则

　　能力项

　　赋值依据

　　赋值区间

　　进行人工智能风险分类

　　高级别能力包括以下内容 :

　　出众的分类能力 : 能 将 面 临 的 风 险 进 行 详 细 的 分 类 , 类 别 达 到 5 个 维 度 及 以上 ,包括与传统软件系统相近的风险 、人工智能系统数据相关风险 、人工智 能 系统硬件相关风险 、人工智能系统框架相关风险 、人工智能特性相关风险等 ,分 类结果能明确风险源和具体风险类型 ,直观准确

　　3 分 ~ 5 分

　　中级别能力包括以下内容 :

　　一般的分类能 力 : 能 将 面 临 的 风 险 进 行 基 本 的 分 类 , 类 别 达 到 3 个 ~ 4 个 维度 ,包括与传统软件系统相近的风险 、人工智能系统相关风险 、环境复杂性 相 关风险等 ,分类结果能明确风险源 ,但缺乏对具体风险类型的分类能力

　　1 分 ~ 3 分

　　低级别能力包括以下内容 :

　　有限的分类能 力 : 能 将 面 临 的 风 险 进 行 大 致 的 分 类 , 类 别 达 到 1 个 ~ 2 个 维度 ,包括人工智能系统相关风险 、非人工智能系统相关风险等 ,分类结果不 足 以详细区分不同的风险源或类型 ,且在风险多样性和准确性方面表现不足

　　0 分 ~ 1 分

　　14

　　GB/T 46347—2025

　　表 7 风险分析能力子域取值规则 (续)

　　能力项

　　赋值依据

　　赋值区间

　　进行风险概率分析

　　高级别能力包括以下内容 :

　　a) 分析方法 : 以定量分析为主 ,能在复杂数据环境下基于大 量 数 据 ,熟 练 运 用先进的统计方法和数 据 分 析 算 法 , 对 风 险 概 率 进 行 量 化 , 对 于 不 可 量 化 的不确定性 , 即使缺乏精 确 的 数 据 或 统 计 方 法 , 也 能 运 用 定 性 分 析 和 专 家 判断 ,对潜在的风险概率进行综合评估和分析 ,从而为决策提供依据 ;

　　b) 分析因素 :能深入分析 单 个 风 险 因 素 , 同 时 理 解 多 个 风 险 源 之 间 的 相 互 关联和影响 , 进 行 多 因 素 综 合 分 析 , 增 强 概 率 预 测 的 全 面 性 、准 确 性 和 可靠性 ;

　　c) 分析结果 :得到量化的 风 险 事 件 概 率 , 并 且 具 有 基 于 最 新 数 据 和 环 境 变 化进行风险概率动态更 新 的 能 力 , 能 及 时 调 整 预 测 模 型 , 确 保 概 率 预 测 始 终基于当前的条件和最新的信息

　　3 分 ~ 5 分

　　中级别能力包括以下内容 :

　　a) 分析方法 :定性与定量 方 法 相 结 合 , 能 通 过 定 性 分 析 评 估 风 险 事 件 的 可 能性 ,并结合定量数据进行简单的概率估计 ;

　　b) 分析因素 :能理解并分析关键 、重要的风险因素 ,并针对单 一 风 险 源 进 行 有针对性的分析 ;

　　c) 分析结果 :能将风险事件的概率分类为高 、中 、低三个等级

　　1 分 ~ 3 分

　　低级别能力包括以下内容 :

　　a) 分析方法 :能进行基本 的 定 性 分 析(直 观 判 断 或 非 结 构 化 的 方 法) , 缺 乏 深入的数据支持和详细的量化分析 ;

　　b) 分析因素 :能对直接和 表 面 的 风 险 因 素 进 行 分 析 , 缺 乏 深 入 分 析 单 个 风 险因素或其相互作用的能力 ;

　　c) 分析结果 :仅能提供风 险 概 率 的 大 致 估 计 , 判 断 风 险 事 件 发 生 的 概 率 是 否高于或低于某个预设值

　　0 分 ~ 1 分

　　进行风险影响分析

　　高级别能力包括以下内容 :

　　a) 分析方 法 : 以 定 量 分 析 为 主 , 能 熟 练 运 用 先 进 的 统 计 方 法 和 数 据 分 析 算法 ,对风险事件可能带来的负面影响进行精确的 量 化 。对 于 不 可 量 化 的 风险影响 ,能运用定性分 析 和 专 家 判 断 , 对 潜 在 的 风 险 影 响 进 行 综 合 评 估 和分析 ,从而为决策提供依据 ;

　　b) 分析维度 :能 综 合 考 虑 财 务 、声 誉 、运 营 、法 律 、环 境 等 多 个 维 度 的 负 面 影响 ,能分析风险事件的 影 响 传 播 链 条 ,从 而 全 面 评 估 风 险 事 件 的 总 体 负 面影响 ;

　　c) 分析结果 :能得到量化的风险事件概率 ,全面 、准确地预测 风 险 对 组 织 和 系统的综合影响

　　3 分 ~ 5 分

　　中级别能力包括以下内容 :

　　a) 分析方法 :定性与定量方法相结合 ,能结合定性描述和定 量 数 据 分 析 ,对 风险影响进行初步评估 , 使 用 案 例 分 析 、专 家 意 见 和 历 史 数 据 来 进 行 风 险 的负面影响分析 ;

　　b) 分析维度 :能分析部分 影 响 维 度 , 大 致 估 计 风 险 事 件 可 能 影 响 的 业 务 和 相关职能 ,但在分析的维度 、层次 、精度方面有所欠缺 ;

　　c) 分析结果 :能将风险事件的影响分类为高 、中 、低三个等级

　　1 分 ~ 3 分

　　15

　　GB/T 46347—2025

　　表 7 风险分析能力子域取值规则 (续)

　　能力项

　　赋值依据

　　赋值区间

　　进行风险影响分析

　　低级别能力包括以下内容 :

　　a) 分析方法 :能依赖基本 的 定 性 分 析(直 观 判 断 或 非 结 构 化 的 方 法) , 将 风 险事件的负面影响分类为高 、中 、低三个等级 ,缺乏深 入 的 数 据 支 持 和 详 细 的量化分析 ;

　　b) 分析维度 :能分析有限 的 影 响 维 度 , 对 风 险 事 件 的 负 面 影 响 的 理 解 通 常 局限于最直接和显著的影响 ,缺乏对可能发生的连锁反应 或 更 深 层 次 影 响 的探讨 ,不能充分理解风险事件在不同业务和操作层面上的潜在后果 ;

　　c) 分析结果 :仅能关注最 显 而 易 见 的 风 险 影 响 , 判 断 风 险 事 件 发 生 的 概 率 是否高于或低于某个预设值

　　0 分 ~ 1 分

　　注 : 未达到以上能力最低评分要求或完全不具备该能力项功能的 ,评为 0 分 。

　　5.3.3 风险评价

　　开展风险评价能力子域的能力项评估时 ,应使用表 8 中规定的取值规则 。

　　表 8 风险评价能力子域取值规则

　　能力项

　　赋值依据

　　赋值区间

　　建立风险概率影响矩阵

　　高级别能力包括以下内容 :

　　a) 矩阵 :能建立二维 、9个 象 限 的 风 险 概 率 影 响 矩 阵 , 利 用 横 轴 与 纵 轴 的 标 识刻度在矩阵中定位各风险的对应位置 ,支持对风险概率影响的定量分析 ;

　　b) 更新 :能实时 、动态地更新风险概率影响矩阵 ,并根据新 的 评 估 结 果 调 整 风险应对策略

　　3 分 ~ 5 分

　　中级别能力包括以下内容 :

　　a) 矩阵 :能建立二维 、9个 象 限 的 风 险 概 率 影 响 矩 阵 , 能 对 风 险 概 率 影 响 进 行定性-定量相结合的分析 ;

　　b) 更新 :能按月/周的频度 ,对风险概率影响矩阵进行定期更新

　　1 分 ~ 3 分

　　低级别能力包括以下内容 :

　　a) 矩阵 :能建立二维 、4个 象 限 的 风 险 概 率 影 响 矩 阵 , 能 对 风 险 概 率 影 响 进 行基本的定性分析 ;

　　b) 更新 :在完成风险概率影响矩阵初始化后 ,不再定期更新

　　0 分 ~ 1 分

　　确定风险优先级

　　高级别能力包括以下内容 :

　　概率影响评估 : 同时具备定量 分 析 和 定 性 分 析 的 能 力 , 对 风 险 概 率 影 响 进 行 优先级排序

　　3 分 ~ 5 分

　　中级别能力包括以下内容 :

　　概率影响评估 :基于定性-定量分析 ,对风险概率影响进行优先级排序

　　1 分 ~ 3 分

　　低级别能力包括以下内容 :

　　概率影响评估 :基于定性分析 ,对风险概率影响进行优先级排序

　　0 分 ~ 1 分

　　注 : 未达到以上能力最低评分要求或完全不具备该能力项功能的 ,评为 0 分 。

　　16

　　GB/T 46347—2025

　　5.4 人工智能风险处理能力评估

　　开展风险应对能力子域的能力项评估时 ,应使用表 9 中规定的取值规则 。

　　表 9 风险应对能力子域取值规则

　　能力项

　　赋值依据

　　赋值区间

　　选择风险应对方案

　　高级别能力包括以下内容 :

　　a) 多样化且 主 动 的 应 对 方 案 : 针 对 高 风 险 , 能 提 出 3 种 及 以 上 风 险 应 对 方案 ,包 括 风 险 规 避 、风 险 减 轻 、风 险 转 移 和 风 险 接 受 等 , 主 动 预 测 和 管 理 风险的方案明确 、具体 ,能根据实际情况灵活选择 ,并 考 虑 了 应 对 方 案 失 败 后的措施 ;

　　b) 成本效益分析 :在选 择 应 对 方 案 时 ,会 综 合 考 虑 成 本 、时 间 和 资 源 投 入 , 以及预期收益和潜在风险 ,确保选择的方案在符合风险管 理 策 略 的 前 提 下 具有最佳的成本效益 ;

　　c) 决策质量 :决策过程 严 谨 、科 学 、透 明 、可 追 溯 , 能 避 免 重 大 遗 漏 或 误 判 , 确保决策符合法律法规 和 组 织 的 价 值 观 , 在 符 合 法 律 和 社 会 规 范 下 , 决 策 结果符合组织的长远利益最大化原则

　　3 分 ~ 5 分

　　中级别能力包括以下内容 :

　　a) 基本的应对方案 :针对高风险 ,能提出 2 种应对方案 ,方案基本明确 、具体 ;

　　b) 基本成本效益分析 :在选择应对方案时 ,会考虑基本的成 本 效 益 因 素 ,但 可能缺乏深入的分析和比较 ;

　　c) 决策质量 :决策过程基本合理 ,但可能存在一些遗漏或误 判 ,决 策 结 果 基 本符合组织的利益

　　1 分 ~ 3 分

　　低级别能力包括以下内容 :

　　a) 有限的应对方案 :针对高风险 ,没有应对方案 ,或只能提 出 1 种 风 险 应 对 方案 ,但缺乏多样性和灵活性 ,方案不明确 、具体 ;

　　b) 成本效益分析 :在选择应对方案时 ,较少考虑成本效益因 素 , 可 能 导 致 显 著的资源浪费或收益不足 ;

　　c) 决策质量 :决策过程可 能 存 在 较 多 遗 漏 或 误 判 , 决 策 结 果 可 能 不 符 合 组 织的利益最大化原则

　　0 分 ~ 1 分

　　制定和实施风险处理计划

　　高级别能力包括以下内容 。

　　a) 制定风险处理计划 :

　　1) 明确了风险处理责任人和主要的备援人员 , 以及各 项 参 与 相 关 活 动 的利益相关者 ;

　　2) 明确了具体的时 间 节 点 、活 动 优 先 级 排 序 、活 动 依 赖 关 系 以 及 风 险 储备情况 ,能保障所有活动所需资源 。

　　b) 实施过程 :

　　1) 团队成员对风险处理计划有深入的理解和认识 ;

　　2) 执行流程清晰 、高效 ,监控机制完善 ,能及时发现和处理问题 ;

　　3) 应对措施能按时 、高效执行 ,并能在必要时进 行 灵 活 调 整 , 风 险 得 到 有效应对

　　3 分 ~ 5 分

　　17

　　GB/T 46347—2025

　　表 9 风险应对能力子域取值规则 (续)

　　能力项

　　赋值依据

　　赋值区间

　　制定和实施风险处理计划

　　中级别能力包括以下内容 。

　　a) 制定风险处理计划 :

　　1) 明确了风险处理责任人 ;

　　2) 明确了风险处理的具体时间节点,能保障重要活动所需资源 。

　　b) 实施过程 :

　　1) 有部分团队成员对风险处理计划理解不够深入 ;

　　2) 有明确的执行流程 ,但执行中可能存在小范围的延误或不足 ;

　　3) 应对措施基本合理 ,能按计划执行并基本有效应对

　　1 分 ~ 3 分

　　低级别能力包括以下内容 。

　　a) 制定风险处理计划 :

　　1) 指定 了 各 项 参 与 相 关 活 动 的 利 益 相 关 者 , 但 无 明 确 的 风 险 处 理 责任人 ;

　　2) 确定了风险处理可接受的时间范围 。

　　b) 实施过程 :

　　1) 团队成员对风险处理计划缺乏基本理解 ,认知存在较大偏差 ;

　　2) 实施过程混乱 ,缺乏明确的执行流程 ;

　　3) 应对措施失效或执行不及时 ,导致风险未得到有效应对

　　0 分 ~ 1 分

　　注 : 未达到以上能力最低评分要求或完全不具备该能力项功能的 ,评为 0 分 。

　　5.5 人工智能风险监控能力评估

　　开展监督与检查能力子域的能力项评估时 ,应使用表 10 中规定的取值规则 。

　　表 10 监督与检查能力子域取值规则

　　能力项

　　赋值依据

　　赋值区间

　　风险监督

　　高级别能力包括以下内容 :

　　a) 监督主体 :有明确的责 任 机 制 , 有 专 职 部 门 或 多 名 专 职 人 员 负 责 持 续 监 控和应急响应 ;

　　b) 监督范 围 : 监 督 大 部 分 关 键 业 务 领 域 和 潜 在 风 险 点,能 涵 盖 已 有 清 单 上80%及 以 上 的 人 工 智 能 风 险 源 ,并 能 动 态 、实 时 地 扩 充 或 更 新 人 工 智 能 风险源清单 ;

　　c) 监督频度 :实时或准实时风险监督 ,确保对潜在风险变化的快速响应 ;

　　d) 监督工 具 : 建 立 符 合 法 律 法 规 的 监 控 系 统 , 监 督 风 险 处 理 措 施 的 实 施 情况 ,实 时 监 测 人 工 智 能 系 统 性 能 、可 用 性 和 安 全 状 况 , 以 及 对 输 入 、输 出 数据 、模型算法等进行异常检测 ,并自动告警 。监 督 工 具 定 期 维 护 和 升 级 , 能适应不断变化的风险环境和法规要求 ;

　　e) 响应速度 :设有快速响 应 机 制 , 能 在 发 现 风 险 后 迅 速 采 取 控 制 措 施(如 8 h内完成风险处理)

　　3 分 ~ 5 分

　　18

　　GB/T 46347—2025

　　表 10 监督与检查能力子域取值规则 (续)

　　能力项

　　赋值依据

　　赋值区间

　　风险监督

　　中级别能力包括以下内容 :

　　a) 监督主体 :有至少一名专职人员负责监控和应急响应 ;

　　b) 监 督 范 围 : 监 督 重 要 关 键 业 务 领 域 和 潜 在 风 险 点 , 能 涵 盖 已 有 清 单 上50% ~ 80%的人工智能风险源 ,能定期扩充或更新人工智能风险源清单 ;

　　c) 监督频度 :定期(如每 日 、每周)进行风险监督 ;

　　d) 监督工具 :使用分析工具和模型 ,见附录 C,进行半自动的风险监督 ,监督风险处理措施的实施情况 ,定期对监督模型进行审查和更新 ;

　　e) 响应速度 :设有一定的 响 应 机 制 , 能 在 发 现 风 险 后 采 取 相 应 措 施(如 8 h~ 24h之间)

　　1 分 ~ 3 分

　　低级别能力包括以下内容 :

　　a) 监督主体 :有兼职人员或无人员负责监控或应急响应 ;

　　b) 监督范围 :仅监督少量 关 键 业 务 领 域 和 有 限 的 风 险 点,仅 能 关 注 已 有 清 单50%以下的人工智能风险源 ;

　　c) 监督频度 :不定期或偶尔进行风险监督 ;

　　d) 监督工具 :使用基本的分析方法 ,见附录 C,进行全人工的风险监督 ,监督工具或模型更新不频繁 ,或仅在发现问题时进行调整 ;

　　e) 响应速度 :响应速度较慢 ,可能需要较长时间才能采取控制措施(如超过 24h)

　　0 分 ~ 1 分

　　风险检查

　　高级别能力包括以下内容 。

　　a) 风 险 检 查 的 覆 盖 范 围 : 检 查 深 入 、全 面 , 涵 盖 了 80%及 以 上 潜 在 的 风 险源 ,见附录 B, 以及所有风险管理过程或活动 。

　　b) 风险检查的及时性 :检查及时 ,能在风险应对后 24h 内完成 。

　　c) 风险检查的准确性 :检查结果准确 、可靠 ,基于充分的数据和分析 。

　　d) 风险检查的实用性 :检 查 结 果 对 风 险 管 理 和 控 制 有 显 著 的 贡 献 , 提 供 了 有价值的建议和改进措施 。

　　e) 风险检查的可靠性 ,检查结果基于以下 4项内容 :

　　1) 对人工智能系统使用的数据进行全面审计 ;

　　2) 对人工智能算法进行审查 ;

　　3) 对人工智能系统进行安全测试 ;

　　4) 评估人工智能系统在不同场景下的表现和风险 。

　　f) 风险检查绩效管理 :风 险 检 查 的 结 果 纳 入 中 高 层 领 导 、部 门 负 责 人 以 及 团队成员的绩效考核

　　3 分 ~ 5 分

　　中级别能力包括以下内容 。

　　a) 风险检查的覆盖范围 :检查较为全面 ,涵盖了 50% ~ 80%的潜在风险源 ,见附录 B, 以及关键风险管理过程或活动 。

　　b) 风险检查的及时性 :检查及时性尚可 ,能在风险应对后 24h~ 72 h 内完成 。

　　c) 风险检查的准确性 :检查结果基本准确 ,但可能存在一些误差或不足 。

　　d) 风险检查的实用性 :检 查 结 果 对 风 险 管 理 和 控 制 有 一 定 的 贡 献 , 提 供 了 一些建议和改进措施 。

　　e) 风险检查的可靠性 ,检查结果是基于以下任意 2项 ~ 3项 :

　　1) 对人工智能系统使用的数据进行全面审计 ;

　　2) 对人工智能算法进行审查 ;

　　3) 对人工智能系统进行安全测试 ;

　　4) 评估人工智能系统在不同场景下的表现和风险 。

　　f) 风险检查绩效管理 :风险检查的结果纳入部门负责人与团队成员的绩效考核

　　1 分 ~ 3 分

　　19

　　GB/T 46347—2025

　　表 10 监督与检查能力子域取值规则 (续)

　　能力项

　　赋值依据

　　赋值区间

　　风险检查

　　低级别能力包括以下内容 。

　　a) 风险检查的覆盖范围 :检查全面性一般 ,仅涵盖 50%以下的潜在风险源 ,见附录 B,及少量风险管理过程或活动 。

　　b) 风险检查的及时性 :检查及时性一般 ,通常在 72 h 以上完成 。

　　c) 风险检查的准确性 :检 查 结 果 可 能 存 在 较 大 的 误 差 或 不 足 , 无 法 准 确 反 映实际情况 。

　　d) 风险检查的实用性 :检 查 结 果 对 风 险 管 理 和 控 制 的 贡 献 有 限 , 缺 乏 有 价 值的建议和改进措施 。

　　e) 风险检查的可靠性 :检查结果是基于以下 0 分 ~ 1 分项 :

　　1) 对人工智能系统使用的数据进行全面审计 ;

　　2) 对人工智能算法进行审查 ;

　　3) 对人工智能系统进行安全测试 ;

　　4) 评估人工智能系统在不同场景下的表现和风险 。

　　f) 风险检查绩效管理 :风 险 检 查 的 结 果 仅 纳 入 团 队 成 员 的 绩 效 考 核 , 或 未 纳入绩效考核

　　0 分 ~ 1 分

　　注 : 未达到以上能力最低评分要求或完全不具备该能力项功能的 ,评为 0 分 。

　　5.6 人工智能风险回顾能力评估

　　开展记录与报告能力子域的能力项评估时 ,应使用表 11 中规定的取值规则 。

　　表 11 记录与报告能力子域取值规则

　　能力项

　　赋值依据

　　赋值区间

　　风险记录

　　高级别能力包括以下内容 :

　　a) 记录工具 :通过智能化项目管理系统建立、记录和维护一个风险清单或风险跟踪表 ,制定统一的风险记录格式 ,确保所有风险记录的一致性和可比性 ;

　　b) 记录内容 :包括并不限 于 所 分 析 人 工 智 能 系 统 的 预 期 用 途 说 明 、风 险 评 估组织 、风险评估人员 、风险描述 、风险识别过 程 、风 险 概 率 影 响 、风 险 应 对 预案等信息 ,能根据项目/产品的特点进行扩展 ,能 保 证 已 识 别 风 险 在 所 有 风险管理过程中的可追踪性 ;

　　c) 记录频度 :基于事件驱动 ,及时 、动态地记录风险

　　3 分 ~ 5 分

　　中级别能力包括以下内容 :

　　a) 记录工具 :通过基础的 项 目 管 理 工 具 建 立 、记 录 和 维 护 一 个 风 险 清 单 或 风险跟踪表 ;

　　b) 记录内容 :包括所分析人工智能系统的预期用途说明 、风 险 评 估 组 织 、风 险评估人员 、风险描述 、风险识别过程 、风险概率