ICS35040

CCSL.80

團體標準

T/ISEAA006—2024

大模型系統(tǒng)安全測評要求

Securityevaluationrequirementsforlargemodelsystem

2024-04-30發(fā)布2024-06-01實施

中關村信息安全測評聯(lián)盟發(fā)布

中國標準出版社出版

T/ISEAA006—2024

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

概述

4………………………1

大模型系統(tǒng)架構(gòu)

4.1……………………1

安全測評方法

4.2………………………2

通用安全測評要求

5………………………3

物理環(huán)境

5.1……………3

網(wǎng)絡架構(gòu)

5.2……………3

邊界防護

5.3……………4

身份鑒別

5.4……………5

訪問控制

5.5……………6

安全審計

5.6……………7

入侵防范

5.7……………9

惡意代碼防范

5.8………………………10

集中管控

5.9……………10

供應鏈管理

5.10………………………11

個人信息保護

5.11……………………12

數(shù)據(jù)安全保護

5.12……………………14

備份恢復

5.13…………………………15

數(shù)據(jù)溯源

5.14…………………………15

設計開發(fā)安全測評要求

6…………………16

數(shù)據(jù)處理

6.1……………16

模型保護

6.2……………19

內(nèi)容安全

6.3……………21

測試安全測評要求

7………………………23

模型評估

7.1……………23

模型更新

7.2……………24

部署與運行安全測評要求

8………………25

模型部署

8.1……………25

攻擊檢測

8.2……………26

Ⅰ

T/ISEAA006—2024

運行監(jiān)測

8.3……………27

系統(tǒng)管理

8.4……………28

變更管理

8.5……………28

安全事件處置

8.6………………………29

應急預案管理

8.7………………………29

退役安全測評要求

9………………………30

模型退役

9.1……………30

數(shù)據(jù)刪除

9.2……………31

測評結(jié)論判定

10…………………………31

分類測評結(jié)果

10.1……………………31

風險分析和評價

10.2…………………31

測評結(jié)論判定

10.3……………………31

參考文獻

……………………32

Ⅱ

T/ISEAA006—2024

前言

本文件按照標準化工作導則第部分標準化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件由中關村信息安全測評聯(lián)盟提出并歸口

。

本文件起草單位公安部第三研究所北京百度網(wǎng)訊科技有限公司螞蟻科技集團股份有限公司

:、、、

浙江大學北京天融信網(wǎng)絡安全技術有限公司啟明星辰信息技術集團股份有限公司快手科技有限公

、、、

司上海商湯智能科技有限公司北京遠鑒信息技術有限公司深圳市網(wǎng)安計算機安全檢測技術有限公

、、、

司山東新潮信息技術有限公司金盾檢測技術股份有限公司上海市信息安全測評認證中心杭州中爾

、、、、

網(wǎng)絡科技有限公司華為技術有限公司阿里云計算有限公司深信服科技股份有限公司科大訊飛股份

、、、、

有限公司北京百川智能科技有限公司北京小桔科技有限公司優(yōu)刻得科技股份有限公司浙江君同智

、、、、

能科技有限責任公司

。

本文件主要起草人袁靜劉金鑫劉楠張國鵬文煜乾陸臻陳廣勇蘇艷芳劉繼順郭建領

:、、、、、、、、、、

唐佳偉李榮昌楊劍蔣發(fā)群谷晨徐浩鄭榕牛建紅劉智廣高亞敏朱熹銘王余王龑邵英杰

、、、、、、、、、、、、、、

孫鈺嬈張瑤嚴敏瑞孫勇葉潤國吳曉杰李建民樊玉杰馮明韓蒙林昶廷

、、、、、、、、、、。

Ⅲ

T/ISEAA006—2024

引言

為規(guī)范大模型系統(tǒng)安全測評工作的開展本文件對大模型系統(tǒng)進行安全測評的技術活動提出要

,

求為評價大模型系統(tǒng)是否符合大模型系統(tǒng)安全保護要求提供了獲取證據(jù)的途

,T/ISEAA005—2024《》

徑和方法用以指導測評人員對大模型系統(tǒng)進行測試評估

,。

Ⅳ

T/ISEAA006—2024

大模型系統(tǒng)安全測評要求

1范圍

本文件規(guī)定了大模型系統(tǒng)是否符合所進行的測試評估活動的要求

T/ISEAA005—2024。

本文件適用于指導網(wǎng)絡安全測評服務機構(gòu)大模型開發(fā)者大模型系統(tǒng)運營者對大模型及大模型系

、、

統(tǒng)安全保護狀況進行安全測試評估大模型安全監(jiān)管職能部門依法開展大模型安全保護監(jiān)督檢查參考

,

使用

。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術網(wǎng)絡安全等級保護基本要求

GB/T22239—2019

信息安全技術術語

GB/T25069

大模型系統(tǒng)安全保護要求

T/ISEAA005—2024

3術語和定義

界定的以及下列術語和定義適用于本文件

GB/T22239、GB/T25069。

31

.

大模型largemodel

基于大量數(shù)據(jù)集訓練得到的