事件经过
Cloud Security Alliance (CSA)于2026年5月19日发布了AI Security Maturity Model (AISMM)版本1.0,并于2026年5月20日发表了博客文章。AISMM是一个12类别、5级别的CMM对齐成熟度模型,旨在帮助企业安全项目衡量和改进其安全采用和保护AI的能力。它涵盖三个领域的十二个类别——包括AI资产可见性、AI身份和访问管理、AI供应链安全、提示和输出治理、模型风险管理以及智能体AI监督。与回答"给定AI项目应该实施哪些控制措施?"的CSA AI Controls Matrix (AICM)不同,AISMM回答的是"管理所有企业AI的安全项目在每个成熟度级别是什么样子?"它直接与AICM对齐,并纳入了针对自托管、PaaS和API/SaaS AI模式的部署类型字段。该框架发布时邀请公众对其控制目标提供反馈。
影响分析
AISMM填补了一个真正的空白:大多数组织在项目层面映射了AI安全控制措施,但缺乏项目级别的基准来评估其整体准备情况。5级别的CMM结构使其可直接用作董事会级别的成熟度评估,类似于NIST CSF服务于一般网络安全项目的方式。AICM对齐意味着已经投资于CSA的AI Controls Matrix的组织可以向上扩展而无需重复。顾问可以将此作为诊断框架,用于今天与企业客户进行AI安全成熟度评估。
建议行动
从cloudsecurityalliance.org下载AISMM工作簿,并对十二个类别进行初步自我评估。确定您的项目目前处于哪个成熟度级别,并向领导层提出差距最大的两到三个类别,作为结构化的AI安全改进路线图。将该框架用作与客户进行AI安全差距评估合作的提案结构。