Kapitel 8

Sicherheit und Compliance

Erstellen Sie ein Datenklassifizierungssystem, um die Vertraulichkeit von Finanz- und HR-Daten zu schützen, Compliance-Anforderungen sicherzustellen und eine sichere abteilungsübergreifende Zusammenarbeit zu ermöglichen.

Code-Sicherheit

Schützen Sie die Codesicherheit und verhindern Sie das Leaken vertraulicher Informationen.

Code-Upload-Strategie

  • Sensiblen Code nicht hochladen:Lokale Modelle verwenden, um sensiblen Code zu verarbeiten
  • Code-Anonymisierung: Entfernen Sie sensible Informationen wie API-Schlüssel, Passwörter und geheime Schlüssel
  • Code-Review-Mechanismus: KI-Unterstützung + menschliche Prüfung, um Sicherheit zu gewährleisten
  • Whitelist-Mechanismus:Klar festlegen, welcher Code hochgeladen werden kann

API-Key-Verwaltung

  • Einheitliches Schlüsselverwaltungstool: Verwenden Sie Tools wie 1Password, Vault usw.
  • Schlüsselrotationsmechanismus: API-Schlüssel regelmäßig rotieren
  • Schlüsselzugriffskontrolle:Zugriffsrechte festlegen und das Prinzip der geringsten Privilegien anwenden
  • Überwachung der Schlüsselnutzung: Die Nutzung aller Schlüssel aufzeichnen

Datenschutz und Privatsphäre

Ein Datenklassifizierungssystem aufbauen und je nach Sensibilität der Daten geeignete Werkzeuge und Verarbeitungsmethoden auswählen.

Datenklassifizierungssystem

Stufe 1: Öffentliche Daten

Öffentlich zugängliche Informationen ohne sensible Inhalte

Werkzeugauswahl:Sie können jedes Cloud-KI-Tool verwenden
Beispiel:Öffentliche technische Dokumentation、Blogbeitrag、Öffentliche API-Dokumentation
Stufe 2: interne Daten

Nur für den internen Gebrauch, nicht öffentlich zugänglich

Werkzeugauswahl:Unternehmensversion-Tools verwenden (mit Datenschutzvereinbarungen)
Beispiel:Interne technische Dokumentation、Projektdokumentation、Internes Wiki
Stufe 3: Sensible Daten

Enthält personenbezogene Daten und Geschäftsgeheimnisse

Werkzeugauswahl:Ein lokales Modell (Ollama) verwenden, nicht in die Cloud hochladen
Beispiel:Mitarbeiterinformationen、Kundendaten、Finanzdaten
Stufe 4: Vertrauliche Daten

Hochsensibel, gesetzlich geschützt

Werkzeugauswahl:Die Verwendung von KI-Tools ist verboten, oder es muss ein vollständig offline arbeitendes lokales Modell verwendet werden
Beispiel:Finanzdaten、Rechtsverträge、Medizinische Aufzeichnungen

Datenschutz für Finanzdaten

Klassifizierung von Finanzdaten
  • Öffentliche Finanzinformationen: Kann Cloud-Tools verwenden (z. B. öffentlich zugängliche Finanzberichte)
  • Interne Finanzdaten:Unternehmenswerkzeuge verwenden, mit Datenverarbeitungsvereinbarung
  • Vertrauliche Finanzdaten: ein lokales Modell (Ollama) verwenden, vollständig offline
  • Vertrauliche Finanzdaten: Die Verwendung von KI-Tools ist verboten
Richtlinien zur Verwendung von Finanzdaten
  • Datenanonymisierung: Finanzdaten müssen vor der Verwendung anonymisiert werden (Beträge, Kontonummern usw.)
  • Tool-Auswahl: Finanzdaten bevorzugt mit dem lokalen Modell verarbeiten
  • Genehmigungsworkflow:Die Verwendung von KI-Tools zur Verarbeitung von Finanzdaten erfordert eine Genehmigung
  • Prüfprotokolle:Die gesamte Nutzung von KI-Tools im Zusammenhang mit Finanzdaten aufzeichnen
Erstellung von Finanzberichten
  • • Verwenden Sie Fabric, um Berichtsvorlagen zu generieren (ohne tatsächliche Daten)
  • • Lokale Modelle zur Analyse von Finanzdaten verwenden
  • • Cursor verwenden, um Finanzdokumente zu erstellen (ohne sensible Daten)

Schutz der HR-Datendatenprivatsphäre

HR-Datenklassifizierung
  • Öffentliche Informationen:Stellenanzeigen, öffentlich zugängliche Schulungsmaterialien
  • Interne Informationen: Mitarbeiterhandbuch, Schulungsplan
  • Vertrauliche Informationen: persönliche Mitarbeiterdaten, Leistungsdaten, Gehaltsinformationen
  • Vertrauliche Informationen: Gesundheitsinformationen von Mitarbeitenden, Daten aus Hintergrundprüfungen
Richtlinien zur Nutzung von HR-Daten
  • Schutz personenbezogener Daten: Mitarbeiter-Personendaten werden nicht in die Cloud hochgeladen
  • Datenanalyse: Lokales Modell verwenden, um Mitarbeiterdaten zu analysieren
  • Berichtserstellung:Verwenden Sie Vorlagen, um Berichte zu erstellen, ohne personenbezogene Daten einzubeziehen
  • Compliance-Anforderungen: die DSGVO, das Gesetz zum Schutz personenbezogener Daten und andere Vorschriften einhalten
HR-KI-Anwendungsfälle
  • • Erzeugung von Recruiting-JD: Verwenden Sie Fabric, um Stellenbeschreibungen zu generieren (ohne sensible Informationen)
  • • Generierung von Interviewfragen: KI verwenden, um Vorlagen für Interviewfragen zu erzeugen
  • • Erstellung von Schulungsmaterialien: Mit Cursor Schulungsunterlagen verfassen
  • • Datenanalyse: Ein lokales Modell verwenden, um Mitarbeiterfeedback zu analysieren (nach Anonymisierung)

Datenanonymisierung

Regeln zur Anonymisierung
  • • Personenbezogene Daten: Name, Ausweisnummer, Mobilnummer → maskiert
  • • Finanzinformationen: Beträge, Kontonummern, Transaktionsaufzeichnungen → anonymisieren
  • • Geschäftsgeheimnisse: Kundeninformationen, Vertragsinhalte → anonymisieren
Anonymisierungstool
  • • Skript zur automatischen Anonymisierung
  • • Konfiguration von Anonymisierungsregeln
  • • Wirksamkeit der Anonymisierung überprüfen
Anonymisierungsprozess
  1. Datenklassifizierung: sensible Daten identifizieren
  2. Anonymisierung: Anonymisierungsregeln anwenden
  3. Wirksamkeitsprüfung: den Maskierungseffekt überprüfen
  4. KI-Tools verwenden: anonymisierte Daten verarbeiten

Compliance-Anforderungen

Die geltenden Gesetze und Vorschriften einhalten und Audit- sowie Protokollierungsmechanismen einrichten.

Einhaltung von Gesetzen und Vorschriften

Schutz personenbezogener Daten
  • • DSGVO (EU)
  • • Gesetz zum Schutz personenbezogener Informationen (China)
  • • Prinzip der Datenminimierung
  • • Grundsatz der Zweckbindung
Finanz-Compliance
  • • Schutz von Finanzdaten
  • • Prüfungsanforderungen
  • • Compliance-Prüfungen
Branchenkonformität
  • • Medizinische Daten: HIPAA
  • • Finanzdaten: Finanzregulierung
  • • Bildungsdaten: FERPA

Prüfung und Protokollierung

Protokoll der Tool-Nutzung
  • • Die Nutzung aller KI-Tools protokollieren
  • • Den Status des Daten-Uploads protokollieren
  • • Den Modellauswahlstatus aufzeichnen
API-Aufrufprotokoll
  • • Zeitpunkt, Inhalt und Ergebnis von API-Aufrufen protokollieren
  • • Token-Nutzung aufzeichnen
  • • Kosteninformationen aufzeichnen
Protokolle zum Zugriff auf sensible Daten
  • • Zugriffe auf sensible Daten protokollieren
  • • Den Anonymisierungsstatus der Daten protokollieren
  • • Den Genehmigungsprozess aufzeichnen

Compliance-Prüfung

Regelmäßige Compliance-Prüfungen
  • • Monatliche Prüfung: Konformität bei der Werkzeugnutzung
  • • Vierteljährliche Prüfung: Datenschutz-Compliance
  • • Jährliche Prüfung: umfassendes Compliance-Audit
Behebung von Compliance-Problemen
  • • Probleme erkennen → sofort beheben
  • • Korrekturmaßnahmen → Ablage der Aufzeichnungen
  • • Verbesserungseffekt → Verifizierungsbestätigung
Compliance-Bericht
  • • Monatlicher Compliance-Bericht
  • • Vierteljährlicher Compliance-Bericht
  • • Jährlicher Prüfbericht

Abteilungsübergreifende Zusammenarbeit zum Datenschutz

Abteilungsübergreifende Kooperationsstandards einführen, um die Datensicherheit zu gewährleisten.

Zusammenarbeit zwischen HR und Finanzen

  • Standards für den Datenaustausch: Klar definieren, welche Daten geteilt werden dürfen
  • Tool-Auswahl: Werkzeuge anhand der Datensensibilität auswählen
  • Genehmigungsworkflow: Die abteilungsübergreifende Datennutzung erfordert eine Genehmigung

Zusammenarbeit von Rechts- und Finanzabteilung

  • Vertragsprüfung:ein lokales Modell verwenden, um vertragsbezogene Finanzdokumente zu prüfen
  • Compliance-Prüfung: KI-Tools verwenden, um die finanzielle Compliance zu prüfen
  • Dokumentenerstellung: Vorlagen verwenden, um Finanz- und Rechtsdokumente zu erstellen

Praxisübung

Übungsvorschlag:

  • 1Ein Datenklassifizierungssystem festlegen (Definitionen und Nutzungsvorgaben für Level 1–4)
  • 2Entwerfen Sie ein Schutzkonzept für Finanzdaten (Datenklassifizierung, Nutzungsrichtlinien, Genehmigungsablauf)
  • 3Prozesse zum Schutz der Privatsphäre von HR-Daten einrichten (Datenklassifizierung, Nutzungsrichtlinien, Compliance-Anforderungen)
  • 4Bereichsübergreifende Kooperationsrichtlinien erstellen (Datenaustausch, Tool-Auswahl, Freigabeprozess)
  • 5Design-Compliance-Prüfprozess (regelmäßige Prüfungen, Fehlerbehebung, Compliance-Bericht)

Lernergebnisse

Nach Abschluss dieses Kapitels werden Sie:

  • 1Datenklassifizierungs- und Schutzmethoden beherrschen (Datenklassifizierungssystem Level 1-4)
  • 2Kann die Vertraulichkeit von Finanz- und HR-Daten schützen (Datenklassifizierung, Nutzungsrichtlinien, Genehmigungsprozess)
  • 3Compliance-Anforderungen verstehen (Einhaltung von Gesetzen und Vorschriften, Prüfprotokolle, Compliance-Prüfungen)
  • 4Methoden der abteilungsübergreifenden Zusammenarbeit zum Datenschutz beherrschen (Koordinationsrichtlinien für HR-, Finanz- und Rechtsabteilungen)