指南  ·  2026-07-16

CREST推出人工智能章程,为启用AI的网络安全服务制定九项原则

指南Medium 影响Global
2026年7月9日,CREST(国际会员组织,认证渗透测试、事件响应、威胁情报和SOC提供商,并运营政府认可的计划,如英国NCSC CHECK、CBEST和迪拜网络力量)推出了CREST人工智能章程,由来自17个以上国家的60-73家创始签署公司支持。该章程围绕网络安全服务交付中负责任的AI使用的九项原则构建:问责制和治理、使用透明度、文档和可审计性、边界和控制(人类监督)、数据处理/主权/客户控制、安全和保密性、AI工具的安全开发、供应链保证和复原力/业务连续性。这些原则最初在2026年3月进行了预览,随后在CREST技术工作组的投入和CRESTCon行业活动的验证后最终确定。CREST表示,作为章程的后续行动,它将开发正式的、可独立评估的AI安全标准,同时进行协作工作组和研究。
这是第一个跨境行业自律框架,专门规管网络安全服务提供商(拥有客户系统特权访问权限)如何在自己的服务交付中使用AI——与规管AI系统作为攻击目标的框架(如OWASP LLM Top 10、MITRE ATLAS)或作为待保护产品的AI框架(NIST AI RMF)不同。由于CREST认证支撑公认的国家计划(英国NCSC CHECK、英格兰银行CBEST、迪拜DESC网络力量、英国CAA ASSURE),CREST的AI原则可能成为监管机构和购买者在评估启用AI的渗透测试、红队演习和SOC服务时参考的事实上的基准——CREST本身表示正在寻求政府/监管机构认可,以减少未来的合规碎片化。
安全服务购买方应询问提供商是否为CREST人工智能章程签署方,并请求章程规定的透明度/文档制品(AI使用披露、人类监督控制、数据主权条款)。提供商应该现在就将内部AI工具实践与九项原则进行比对,为CREST计划的正式可审计标准做好准备。
CREST AI Charter (official)Infosecurity Magazine - New AI Security Charter Backed by Over 70 Cyber FirmsComputer Weekly - Cyber body Crest launches AI security charterCompare the Cloud - CREST AI Charter signs up 60 cybersecurity firms across 17 countries on launch day
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →