Tiếng Việt

Data Classification cho AI Access: 4-Tier Framework dành cho CIO

4-tier data classification framework cho các quyết định AI access, ánh xạ tier đến các danh mục AI tool được phê duyệt

Sự cố AI governance phổ biến nhất không phải là hallucination. Đó là nhân viên dán thông tin nhận dạng cá nhân (PII) của khách hàng, một hợp đồng bảo mật, hoặc dữ liệu tài chính nội bộ vào một AI tool công cộng. Việc này xảy ra hằng ngày tại các công ty không có data classification policy cho AI.

Không phải vì nhân viên bất cẩn. Mà vì không ai nói cho họ biết quy tắc. Những quy tắc họ đang áp dụng, data classification policy từ đợt SOC 2 audit, không được viết cho AI.

Bài viết này cung cấp 4-tier data classification framework AI-specific: dữ liệu nào có thể đưa vào tier AI tool nào, cách ánh xạ điều đó vào bức tranh vendor, mức sàn pháp lý theo GDPR Article 22, và cách thực thi mà không làm AI trở nên khó dùng. Đây là bài đọc kèm với Building Your AI Use Policy, nơi framework này được đưa vào vận hành thực tế.

Tại sao data classification policy hiện tại của bạn chưa đủ

Dữ Liệu Quan Trọng: AI Data Governance Gaps

  • 43% tổ chức xác định chất lượng và sự sẵn sàng của dữ liệu là trở ngại hàng đầu cho thành công AI, nhưng hầu hết data classification policy được viết trước khi AI system tồn tại và không đề cập đến ba con đường phơi lộ AI-specific (Informatica, 2025)
  • GDPR Article 22 áp dụng cho AI system ra quyết định tự động có hậu quả về cá nhân (tín dụng, tuyển dụng, tiếp cận dịch vụ), và vi phạm GDPR hiện bị xử phạt trung bình hàng chục triệu euro cho các vi phạm quy mô doanh nghiệp trên toàn EU (EU Data Protection Board, 2025)
  • AI tool cấp consumer (ChatGPT miễn phí, tài khoản Claude cá nhân) không có thỏa thuận xử lý dữ liệu chính thức, nghĩa là mọi dữ liệu dán vào đó không được bảo vệ hợp đồng khỏi việc dùng để huấn luyện mô hình; ước tính 78% nhân viên dùng các công cụ này cho công việc mà không biết điều khoản đó (Microsoft, 2024)

Hầu hết các công ty có mức độ trưởng thành governance nhất định đều đã có data classification policy. Nó đến từ đợt SOC 2 audit hoặc chứng nhận ISO 27001. Nó xác định các tier như Public, Internal, Confidential và Restricted. Nhân viên được kỳ vọng xử lý mỗi tier đúng cách.

Nhưng những policy đó được thiết kế cho một mô hình mối đe dọa khác. Chúng giả định dữ liệu nằm trong các system bạn kiểm soát, được chia sẻ với con người bên trong hoặc ngoài tổ chức, và được bảo vệ bởi access control cùng mã hóa.

AI system thay đổi mô hình mối đe dọa theo ba cách cụ thể mà hầu hết policy hiện tại không đề cập. NIST SP 800-60 là tiêu chuẩn liên bang để ánh xạ loại thông tin vào danh mục bảo mật, cung cấp framework nền tảng cho data classification, nhưng nó có trước AI hiện đại và cần được mở rộng để tính đến các con đường phơi lộ AI-specific.

Huấn luyện trên input. AI tool cấp consumer, và một số cấp enterprise với cài đặt mặc định, có thể dùng input của bạn để huấn luyện hoặc tinh chỉnh mô hình. Nếu nhân viên dán tài liệu chiến lược bảo mật vào tài khoản ChatGPT công cộng, nội dung đó có thể trở thành một phần dữ liệu huấn luyện của mô hình, tiếp cận được ở dạng phân mảnh với bất kỳ ai đặt câu hỏi đúng. Data classification truyền thống bảo vệ chống truy cập trái phép. AI huấn luyện trên input tạo ra dạng phơi lộ khác: dữ liệu của bạn trở thành một phần của mô hình. Đây cũng là lý do IP and copyright in AI outputs là mối lo ngại governance liền kề.

Lưu giữ và truy xuất prompt. Nhiều AI tool lưu lại lịch sử hội thoại. Một số cho phép truy cập với người dùng khác hoặc với vendor để xem xét chất lượng. Sales rep dán cuộc thảo luận ngân sách của khách hàng tiềm năng vào AI tool để soạn đề xuất có thể để lại cuộc trò chuyện đó trong hệ thống vendor vô thời hạn.

Định tuyến qua third-party model. Nhiều AI productivity tool không chạy mô hình của riêng họ. Họ định tuyến prompt của bạn đến OpenAI, Anthropic hoặc Google ở backend. Câu hỏi governance không chỉ là về AI tool bạn nhìn thấy, mà là về mọi model provider trong chuỗi.

Data classification policy hiện tại của bạn có thể nói "Dữ liệu Confidential phải được mã hóa khi lưu trữ và khi truyền." Đúng, nhưng chưa đủ. Nó không đề cập đến việc liệu dữ liệu Confidential có thể gửi cho third-party model provider có hoặc không có data processing agreement (DPA) hay không. AI-specific policy lấp đầy khoảng trống đó.

"Data classification policy hiện tại của bạn giả định dữ liệu nằm trong các system bạn kiểm soát. AI thay đổi giả định đó theo ba cách: tool có thể huấn luyện trên input của bạn, nó lưu lại lịch sử hội thoại, và nó có thể định tuyến prompt đến third-party model provider bạn chưa xem xét. Policy nói 'Dữ liệu Confidential phải được mã hóa khi lưu trữ và khi truyền' không đề cập đến bất kỳ rủi ro nào trong ba rủi ro đó." (Rework)

4-Tier AI Data Access Scheme

Một classification framework có cấu trúc được thiết kế đặc biệt cho các quyết định AI tool access, mở rộng data classification truyền thống để tính đến các con đường phơi lộ AI-specific (huấn luyện trên input, lưu giữ prompt, định tuyến qua third-party model). Tier 1 (Public): dữ liệu đã công khai, cho phép mọi tool được phê duyệt. Tier 2 (Internal): dữ liệu vận hành thông thường, cho phép enterprise AI tool có DPA đã ký và cam kết no-training. Tier 3 (Confidential): PII khách hàng, dữ liệu tài chính, hợp đồng và IP, chỉ cho phép triển khai AI private cloud hoặc on-premise. Tier 4 (Restricted): dữ liệu HIPAA, GLBA, biometric và litigation-hold, không có AI bên ngoài nếu không có phê duyệt pháp lý rõ ràng và cam kết hợp đồng bằng văn bản. Scheme này ánh xạ data tier vào tool category, giúp nhân viên ra quyết định AI access đúng mà không cần tra policy trong từng thao tác.

4-tier AI data classification framework

Framework này được thiết kế để trả lời một câu hỏi thực tế: dữ liệu này có thể đưa vào AI tool đó không?

Tier 1: Public

Định nghĩa: Dữ liệu đã công khai, hoặc nếu bị công khai cũng không gây tác động kinh doanh đáng kể.

Ví dụ:

  • Nội dung từ website, blog và tài liệu marketing công khai của công ty
  • Thông tin đối thủ cạnh tranh đã công bố (website, thông cáo báo chí, hồ sơ công khai)
  • Kiến thức kinh doanh và ngành chung không đặc thù cho công ty
  • Hướng dẫn pháp lý và tài liệu tiêu chuẩn công khai
  • Nội dung từ knowledge base công khai, Wikipedia, nghiên cứu công khai

Quyền AI tool: Bất kỳ AI tool được phê duyệt nào, kể cả tool cấp consumer và tool không có DPA chính thức, đều có thể xử lý dữ liệu Tier 1.

Chu kỳ audit: Không cần audit riêng. Dữ liệu Tier 1 theo định nghĩa không có độ nhạy cảm cần bảo vệ.

Lưu ý: Public không có nghĩa là "ít quan trọng với nhiệm vụ." Nhóm marketing dùng thông cáo báo chí của đối thủ làm input cho phân tích cạnh tranh đang dùng dữ liệu Tier 1 dù kết quả kinh doanh quan trọng. Phân loại là về dữ liệu input, không phải tầm quan trọng chiến lược của công việc.

Tier 2: Internal

Định nghĩa: Dữ liệu không công khai nhưng nếu bị tiết lộ cũng chỉ gây tác động kinh doanh hạn chế. Bao gồm hầu hết dữ liệu vận hành thông thường, tài liệu quy trình nội bộ và thông tin liên lạc kinh doanh không nhạy cảm.

Ví dụ:

  • Tài liệu quy trình nội bộ và quy trình vận hành tiêu chuẩn
  • Ghi chú cuộc họp nội bộ thông thường (không có nội dung chiến lược hoặc tài chính)
  • Thông tin liên lạc nhân viên không nhạy cảm
  • Dữ liệu quản lý dự án nội bộ không có nội dung tài chính hoặc chiến lược
  • Mô tả product roadmap chung không chứa chi tiết cạnh tranh nhạy cảm
  • Dữ liệu khách hàng tổng hợp, ẩn danh, không có số nhận dạng cá nhân

Quyền AI tool: Dữ liệu Tier 2 có thể xử lý bởi enterprise AI tool đáp ứng đủ:

  • Data Processing Agreement (DPA) đã ký với công ty
  • Cam kết no-training-on-input trong thỏa thuận enterprise
  • Chứng nhận SOC 2 Type II hoặc tương đương

Các tool đáp ứng tiêu chí này gồm có OpenAI Enterprise, Anthropic Claude for Business, Microsoft 365 Copilot (trong ranh giới tuân thủ M365), và Google Workspace với Gemini for Workspace.

Tool cấp consumer (ChatGPT miễn phí, tài khoản cá nhân Claude.ai, tài khoản Google Bard cá nhân) không được phê duyệt cho dữ liệu Tier 2.

Chu kỳ audit: Xem xét hàng quý các thỏa thuận enterprise tool để xác nhận điều khoản DPA còn hiệu lực và cam kết no-training vẫn còn áp dụng.

Tier 3: Confidential

Định nghĩa: Dữ liệu mà nếu bị phơi lộ sẽ gây thiệt hại kinh doanh, pháp lý hoặc danh tiếng đáng kể. Cần mức bảo vệ cao nhất cho hầu hết hoạt động kinh doanh.

Ví dụ:

  • PII khách hàng (tên, địa chỉ email, số điện thoại, địa chỉ) ở bất kỳ dạng có thể nhận dạng nào
  • Dữ liệu sử dụng, lịch sử giao dịch và chi tiết tài khoản khách hàng
  • Hợp đồng đã ký và thỏa thuận pháp lý
  • Dự báo tài chính, dự đoán và kết quả chưa công bố
  • Tài liệu M&A (danh sách mục tiêu, điều khoản giao dịch, due diligence)
  • Sở hữu trí tuệ, thuật toán độc quyền và source code chứa logic nhạy cảm
  • Dữ liệu cá nhân nhân viên (hồ sơ HR, đánh giá hiệu suất, thù lao)
  • Thông tin liên lạc đặc quyền luật sư-khách hàng
  • Tài liệu board và tài liệu chiến lược cấp board

Quyền AI tool: Dữ liệu Tier 3 yêu cầu một trong các phương án:

  • Triển khai AI private cloud với tổ chức là tenant duy nhất, dữ liệu không bao giờ rời khỏi môi trường của bạn
  • Triển khai AI on-premise trên hạ tầng của chính bạn
  • Enterprise AI tool với bảo đảm data residency rõ ràng, model serving air-gapped, và cam kết hợp đồng rằng dữ liệu không bao giờ dùng để huấn luyện hoặc tiếp cận được với nhân viên vendor

Năm 2026, hầu hết commercial enterprise AI tool (gồm OpenAI Enterprise, Anthropic Claude for Business và Microsoft Copilot) không phù hợp với dữ liệu Tier 3 theo cấu hình mặc định. Một số cung cấp tùy chọn triển khai private với chi phí bổ sung. Xác minh với cấu hình vendor cụ thể trước khi triển khai.

Chu kỳ audit: Xem xét hàng tháng về nhân viên nào đã xử lý dữ liệu Tier 3 qua bất kỳ AI workflow nào, với báo cáo ngoại lệ cho mọi dữ liệu Tier 3 đi vào tool được phê duyệt Tier 2.

Lưu ý GDPR: PII khách hàng ở Tier 3 phải tuân theo yêu cầu ra quyết định tự động của GDPR Article 22 khi AI ra quyết định có hậu quả về cá nhân. Xem phần Legal Floor bên dưới.

Tier 4: Restricted

Định nghĩa: Dữ liệu mà nếu bị phơi lộ sẽ tạo ra hậu quả pháp lý, tài chính hoặc an toàn nghiêm trọng. Cần xem xét pháp lý và bảo mật rõ ràng trước bất kỳ AI nào xử lý.

Ví dụ:

  • Dữ liệu y tế và sức khỏe được bảo vệ bởi HIPAA (hồ sơ bệnh nhân, lịch sử điều trị, dữ liệu lâm sàng)
  • Dữ liệu tài chính được quản lý bởi GLBA hoặc quy định ngân hàng (quyết định cho vay, dữ liệu tín dụng, hồ sơ tài chính cấp tài khoản chịu giám sát pháp lý)
  • Dữ liệu được bảo vệ bởi quy định theo lĩnh vực với hạn chế AI rõ ràng (dữ liệu trẻ em theo COPPA, hồ sơ giáo dục theo FERPA)
  • Bí mật nhà nước và dữ liệu liên quan an ninh quốc gia (dành cho nhà thầu chính phủ)
  • Dữ liệu đang được giữ để tranh tụng hoặc chịu lệnh tòa án
  • Số nhận dạng biometric (dấu vân tay, dữ liệu nhận dạng khuôn mặt, giọng nói)

Quyền AI tool: Không có AI tool bên ngoài nào, kể cả cấp enterprise, được xử lý dữ liệu Tier 4 nếu không có phê duyệt bằng văn bản từ CISO và cố vấn pháp lý, cam kết hợp đồng cụ thể từ vendor về xử lý dữ liệu, và tài liệu giải thích tại sao không có phương án thay thế khả thi.

Trong hầu hết trường hợp, phương án phù hợp cho dữ liệu Tier 4 là AI on-premise không truyền dữ liệu ra bên ngoài. Với các ngành được quản lý, hãy tham khảo cố vấn tuân thủ trước bất kỳ AI nào xử lý dữ liệu Tier 4.

Chu kỳ audit: Mọi AI nào xử lý Tier 4 đều cần xem xét và tài liệu hóa từng trường hợp. Không có AI workflow Tier 4 "thông thường" chạy theo lịch audit; mỗi trường hợp là một ngoại lệ.

Ánh xạ data tier vào bức tranh vendor

Bảng này ánh xạ data tier vào tool category. Dùng nó như cây quyết định trong AI use policy.

Tool Category Ví dụ Tier 1 Tier 2 Tier 3 Tier 4
Consumer AI (không có DPA) ChatGPT free, Claude.ai personal, Gemini personal Được phép Không được phép Không được phép Không được phép
Enterprise AI (DPA + SOC 2) OpenAI Enterprise, Anthropic Claude for Business, Google Workspace + Gemini, Microsoft 365 Copilot Được phép Được phép Không được phép (mặc định) Không được phép
Private cloud AI (single-tenant) Azure OpenAI Service (private deployment), AWS Bedrock (isolated), GCP Vertex AI (isolated) Được phép Được phép Được phép (cần config review) Xem xét từng trường hợp
On-premise AI Llama, Mistral triển khai cục bộ, hoặc fine-tuned model trên phần cứng công ty Được phép Được phép Được phép Được phép (cần xem xét pháp lý)

Tiêu đề cột là data tier. Giá trị ô cho biết tool category đó có được xử lý data tier đó không. Đọc bảng như: "Tool category này có dùng được cho dữ liệu ở tier này không?"

Lưu ý về cấu hình "private cloud". Một số enterprise AI vendor cung cấp tùy chọn triển khai private hoặc isolated trong đó dữ liệu của bạn nằm trong môi trường chuyên dụng, model call không bao giờ rời cloud region của bạn, và đội vận hành vendor không có quyền truy cập dữ liệu. Các cấu hình này đắt và phức tạp về mặt vận hành, nhưng chúng là cầu nối giữa enterprise-tier tool và triển khai on-premise cho dữ liệu Tier 3. Nếu vendor của bạn cung cấp điều này, hãy yêu cầu các cam kết hợp đồng cụ thể (data residency SLA, cam kết no-ops-access, quyền truy cập audit log) bằng văn bản trước khi coi nó là Tier 3-approved.

Nền pháp lý: GDPR Article 22 và AI

Với các công ty hoạt động tại hoặc phục vụ Liên minh châu Âu, GDPR Article 22 xác lập mức sàn pháp lý cho việc ra quyết định dựa trên AI liên quan đến dữ liệu cá nhân.

Article 22 nói gì. GDPR Article 22 trao cho chủ thể dữ liệu quyền không bị ảnh hưởng bởi quyết định dựa hoàn toàn trên xử lý tự động tạo ra hiệu ứng pháp lý hoặc tương tự đáng kể. "Hoàn toàn tự động" nghĩa là không có sự xem xét của con người có ý nghĩa. "Hiệu ứng pháp lý hoặc tương tự đáng kể" bao gồm quyết định tín dụng, quyết định tuyển dụng, tiếp cận dịch vụ, và các kết quả có hậu quả tương tự.

Ý nghĩa với AI workflow. Nếu AI của bạn ra quyết định có hậu quả về một người (điểm tín dụng, khuyến nghị tuyển dụng, phân công tier dịch vụ khách hàng, điểm lead xác định ai được liên hệ) mà không có sự xem xét của con người có ý nghĩa, bạn có vấn đề GDPR Article 22 với các chủ thể dữ liệu EU.

Tư thế tuân thủ thực tế. Bất kỳ AI Predict hoặc Execute workflow nào ra quyết định có hậu quả về cá nhân có thể nhận dạng đều cần:

  1. Một bước xem xét human-in-the-loop thực sự có ý nghĩa, không phải chỉ đóng dấu cao su
  2. Cơ sở được ghi lại cho việc xử lý (lợi ích hợp pháp hoặc đồng ý rõ ràng)
  3. Cơ chế để cá nhân yêu cầu xem xét của con người và phản đối kết quả

Đây không phải là yêu cầu riêng của AI. Nó áp dụng cho mọi quyết định tự động về người. Nhưng AI đã tăng đáng kể khối lượng và mức độ tinh vi của các quyết định tự động mà công ty đưa ra, nghĩa là tuân thủ GDPR Article 22 là mối lo ngại governance thường trực cho bất kỳ công ty nào làm việc AI đáng kể với dữ liệu khách hàng hoặc nhân viên.

CCPA (California). Đạo luật Quyền riêng tư người tiêu dùng California trao cho người tiêu dùng quyền đối với việc ra quyết định tự động liên quan đến thông tin cá nhân. Các công ty chịu CCPA nên đảm bảo AI workflow liên quan đến người tiêu dùng California có cơ chế tiết lộ và từ chối phù hợp, nhất quán với CCPA Regulations có hiệu lực tháng 3/2025.

HIPAA. Bất kỳ AI nào xử lý protected health information (PHI) đều cần Business Associate Agreement (BAA) với AI vendor. PHI là Tier 4 theo mặc định. Nếu vendor không thể ký BAA, PHI không được đưa vào tool của họ.

GLBA. Tổ chức tài chính chịu Gramm-Leach-Bliley Act phải đảm bảo AI tool xử lý thông tin tài chính khách hàng đáp ứng yêu cầu Safeguards Rule để bảo vệ dữ liệu khách hàng.

Thực thi thực tế: hoạt động được mà không gây đau đớn

Framework phân loại thất bại không phải vì thiết kế kém, mà vì không thể theo trong thực tế. Đây là cách làm cho framework này thực sự vận hành.

Gán nhãn dữ liệu tại nguồn. Tích hợp nhãn tier vào các system nơi dữ liệu tồn tại. SharePoint document library với sensitivity label. Trường CRM được gắn thẻ theo data tier. Hệ thống quản lý hợp đồng với metadata phân loại. Khi dữ liệu được gán nhãn ngay tại chỗ, nhân viên không cần nhớ quy tắc phân loại. Tool sẽ cho họ biết.

Prompt template thực thi phân loại. Với các nhóm dùng AI tool nhiều, cung cấp prompt template được phê duyệt để pre-classify input. Mẫu soạn đề xuất cho nhóm sales có nội dung "Chỉ chèn thông tin internal về công ty bạn ở đây" nhắc nhở người dùng về tier phù hợp mà không yêu cầu họ tra policy giữa lúc làm việc.

Đào tạo gắn với ví dụ thực tế. Đào tạo phân loại với các tình huống cụ thể từ công việc của nhân viên hiệu quả hơn các quy tắc trừu tượng nhiều. "Khi bạn dán hợp đồng khách hàng này vào công cụ soạn thảo, đó là dữ liệu Tier 3, nghĩa là AI tool hợp đồng phải là triển khai on-premise của chúng ta, không phải ChatGPT Enterprise." Cụ thể thắng trừu tượng.

Xem xét pattern sự cố. Hầu hết vi phạm phân loại không cố ý. Chúng xảy ra vì nhân viên không biết hoặc không nghĩ đến quy tắc vào đúng thời điểm. Xem xét pattern sự cố hàng quý: loại dữ liệu nào đang đi đâu, vi phạm tập trung ở đâu, nhóm hoặc tool nào có rủi ro cao hơn. Dùng pattern để cải thiện đào tạo, không chỉ để phân công trách nhiệm.

Xử lý ngoại lệ. Đôi khi một use case Tier 3 nổi lên với nhu cầu kinh doanh hợp lệ và có thể giải quyết bằng tùy chọn private deployment của vendor. Hãy xây dựng quy trình ngoại lệ: yêu cầu, CISO xem xét, xác minh cam kết hợp đồng cụ thể, phê duyệt có giới hạn thời gian. Có quy trình ngoại lệ chính thức ngăn các nhóm bị chặn hoặc tự ý làm theo cách riêng.

Kiểm toán tuân thủ

Ghi lại những gì đi vào. Enterprise AI tool có DPA nên cung cấp audit log về prompt input và nhân viên gửi. Bật tính năng này. Xem xét log hàng quý để phát hiện nội dung Tier 3 hoặc Tier 4 trong tool không được phê duyệt cho các tier đó.

Kiểm tra ngẫu nhiên các vai trò rủi ro cao. Các vai trò thường xuyên xử lý dữ liệu Tier 3 hoặc Tier 4 (tài chính, pháp lý, HR, sales với quyền truy cập hợp đồng lớn) cần giám sát chặt hơn. Kiểm tra ngẫu nhiên hàng quý, đối chiếu log sử dụng AI tool với quy tắc data tier.

Phân tích báo cáo sự cố. Mọi sự cố AI được báo cáo nên được đánh giá về tác động data classification. Sự cố có phải do dữ liệu Tier 3 trong tool Tier 2 không? Đó là khoảng trống thực thi phân loại. Có phải do dùng tool chưa được phê duyệt không? Đó là khoảng trống shadow AI. Phân loại sự cố để xác định vấn đề hệ thống so với lỗi đơn lẻ.

Xem xét đầy đủ hàng năm. Các loại dữ liệu thay đổi khi doanh nghiệp phát triển. Nguồn dữ liệu mới được thêm vào. Yêu cầu pháp lý thay đổi. Xem xét toàn bộ danh sách phân công tier hàng năm để đảm bảo phân loại vẫn khớp với dữ liệu kinh doanh hiện tại và yêu cầu pháp lý hiện hành.

Phân loại cho bạn biết dữ liệu nào có thể đi đâu. Nhưng bài toán khó hơn là biết phải làm gì khi AI workflow chạm đến dữ liệu được phân loại và có sự cố, đó là câu hỏi mà quy trình approval gate và vendor review phải trả lời trước.

Rework Analysis: Dựa trên pattern sự cố AI data governance, vi phạm phổ biến nhất là dữ liệu Tier 3 (PII khách hàng, hợp đồng, dự báo tài chính) được xử lý trong tool được phê duyệt Tier 2 (ChatGPT enterprise, Claude for Business), không phải trong tool cấp consumer. Điều này xảy ra vì nhân viên đúng đắn tránh tool consumer nhưng không biết tool enterprise cấp của họ không được phê duyệt cho dữ liệu Tier 3 trong cấu hình mặc định. Dữ liệu Tier 3 cần triển khai private cloud (với cam kết hợp đồng cụ thể) hoặc AI on-premise. Bảng vendor trong bài này được thiết kế đặc biệt để làm ranh giới Tier 2/Tier 3 rõ ràng, thay vì giả định nhân viên sẽ tự đọc chữ nhỏ trong thỏa thuận enterprise.

Nên đọc tiếp gì

Đọc: Building Your AI Use Policy để hiểu cấu trúc policy 6 phần đưa framework phân loại này vào vận hành.

Đọc: AI Approval Gates and Vendor Review để có checklist đánh giá vendor xác định tier tool mà một sản phẩm AI mới sẽ rơi vào.

Đọc: AI Risk Register: What to Track về cách vi phạm data classification phù hợp với AI risk tracking rộng hơn.

Đọc: The 7 Types of Data That Power Business AI để hiểu loại dữ liệu nào cung cấp cho AI capability và loại nào mang yêu cầu governance cao nhất.

Xem thêm: