T/CFEII 0020-2024 人工智能融合应用安全可信度评估规范（系统版）

ICS 35.240
CCS L 77
团体标准
T/CFEII 0020—2024
人工智能融合应用安全可信度评估规范（系统版）
Assessment specification for security and trustworthiness ofartificial intelligence integrated applications（System edition）
2024 - 07 – 22 发布2024 - 07 – 22 实施
中国电子信息行业联合会 发布

目次
前言................................................................... III
引言.................................................................... IV
1 范围....................................................................... 1
2 规范性引用文件............................................................. 1
3 术语和定义................................................................. 1
4 评估框架................................................................... 2
4.1 模型构成................................................................. 3
4.2 评估等级................................................................. 3
5 评价方法................................................................... 4
6 评估内容................................................................... 4
6.1 数据..................................................................... 4
6.1.1 准确性............................................................... 4
6.1.2 无偏性............................................................... 4
6.1.3 代表性............................................................... 4
6.1.4 可追溯............................................................... 4
6.1.5 合规性............................................................... 5
6.2 模型......................................................................5
6.2.1 解释性............................................................... 5
6.2.2 鲁棒性............................................................... 5
6.2.3 公平性............................................................... 5
6.2.4 可追溯............................................................... 6
6.2.5 向善性............................................................... 6
6.3 性能..................................................................... 6
6.3.1 精准性............................................................... 6
T/CFEII 0020-2024
II
6.3.2 可靠性............................................................... 6
6.3.3 无害性............................................................... 7
6.4 防御..................................................................... 7
6.4.1 风险管理............................................................. 7
6.4.2 可信环境............................................................. 7
6.4.3 攻击防范............................................................. 7
6.4.4 控制机制............................................................. 7
6.4.5 应急计划............................................................. 8
6.5 沟通..................................................................... 8
6.5.1 规范使用............................................................. 8
6.5.2 交互反馈............................................................. 8
6.6 责任..................................................................... 9
6.6.1 职责确立............................................................. 9
6.6.2 人员培训............................................................. 9
附录A 人工智能融合应用安全可信度评估分级方法................................10
A.1 概述.....................................................................10
A.2 评估指标体系构建........................................................ 10
A.2.1 构建原则............................................................ 10
A.2.2 构建步骤............................................................ 10
A.3 加权评分方法............................................................ 10
A.3.1 权重设置............................................................ 10
A.3.2 加权评分............................................................ 10
A.4 分级判定参考............................................................ 11
A.4.1 人工智能融合应用安全可信度一级...................................... 11
A.4.2 人工智能融合应用安全可信度二级...................................... 11
A.4.3 人工智能融合应用安全可信度三级...................................... 11
A.4.4 人工智能融合应用安全可信度四级...................................... 11
A.4.5 人工智能融合应用安全可信度五级...................................... 12
T/CFEII 0020-2024
III
前言
本标准按照GB/T 1.1—2020 《标准化工作导则第1 部分：标准化文件的结构和起草规
则》的规定起草。
本标准由中国电子信息行业联合会提出并归口。
请注意本标准的某些内容可能涉及专利，本标准的发布机构不承担识别专利的责任。
本标准起草单位：国家工业信息安全发展研究中心、西安交通大学、清华大学公共管理
学院、北京格灵深瞳信息技术股份有限公司、北京工业大学、北京北信源软件股份有限公司、
北京奇虎科技有限公司、商汤集团有限公司、蚂蚁科技集团股份有限公司、北京百度网讯科
技有限公司、北京昇腾人工智能生态创新中心、北京晴数智慧科技有限公司、北京神州绿盟
科技有限公司、北京中科睿鉴科技有限公司、广州广电信息安全科技有限公司、北京中银（深
圳）律师事务所。
本标准主要起草人：邱惠君、张瑶、王淼、刘永东、李卫、李天舒、张若丹、沈超、蔺
琛皓、赵静、陈天博、胡俊、张建标、高曦、夏林聪、邹权臣、张德岳、胡正坤、林冠辰、
郭建领、王瑞平、罗磊、王星凯、陈漫兰、张原、梁添才、潘良。
T/CFEII 0020-2024
IV
引言
人工智能作为数字化转型的重要赋能技术之一，正在与金融、医疗、工业、交通等领域
融合发展。近年来，人工智能应用范围加速拓展，行业渗透率迅速提升。与此同时，人工智
能存在算法、数据、攻防、应用、管理等方面的风险，已暴露出信息泄露、数据滥用、偏见
歧视、实施诈骗等安全风险，引发了社会各界对人工智能安全问题的广泛关注。
本项目在充分研究分析国内外人工智能安全风险治理原则、政策、标准等文件的基础上，
面向人工智能系统提出人工智能融合应用安全可信度评估框架、方法和内容，为开展人工智
能安全可信度自评估和第三方评估提供依据，也可以为监管部门提供参考。
对标准中的具体事项，法律法规另有规定的，需遵照其规定执行。
T/CFEII 0020-2024
1
人工智能融合应用安全可信度评估规范（系统版）
1 范围
本标准规定了评估人工智能系统安全可信度的评估框架与评估内容，并提供了评估规则。
本标准适用于指导人工智能系统开发者、使用者、第三方评估机构等对人工智能系统的
安全可信度进行评估。
2 规范性引用文件
文件没有规范性引用文件。
3 术语和定义
下列术语和定义适用于本文件。
3.1
人工智能artificial intelligence
<学科>人工智能系统相关机制和应用的研究与开发。
[来源：GB/T 41867-2022,3.1.2]
3.2
人工智能系统artificial intelligence system
针对人类定义的给定目标，产生诸如内容、预测、推荐或决策等输出的一类工程系统。
3.3
人工智能风险artificial intelligence risk
人工智能的不确定性对任务和目标的影响。
[来源：ISO/IEC 22989:2022,3.5.11，有修改]
3.4
算法algorithm
<人工智能>用于求解分类、推理、预测等问题，明确界定的有限且有序的规则集合。
[来源：T/CESA 1193-2022,3.1.8，有修改]
3.5
模型model
<人工智能>针对特定问题或任务，基于输入数据,生成推理或预测的计算结构。
注：一个人工智能模型是基于人工智能算法训练的结果。
[来源：T/CESA 1193-2022,3.1.9，有修改]
3.6
安全性security
<人工智能>系统免受恶意攻击、保护数据或阻止未经授权访问的能力。
[来源：ISO/IEC TR 24028:2020,3.35，有修改]
3.7
可信性trustworthiness
T/CFEII 0020-2024
2
<人工智能>系统以可验证的方式，满足利益相关者期望的能力。
注1：根据背景或行业以及具体产品或服务、数据和使用的技术，适用不同的特征，需
要通过客观证据证明，以确保满足利益相关者的期望。
注2：可信的特征包括可靠性、可用性、弹性、安全、隐私性、可问责、透明性、完整
性、真实性、质量等。
注3：可信是一种属性，可应用于服务、产品、技术、数据和信息，在治理背景下也可
应用于组织。
[来源：ISO/IEC TR 24028:2020,3.42，有修改]
3.8
人工智能生命周期artificial intelligence lifecycle
人工智能系统从设计到下线的过程，包括设计开发、验证测试、部署上线、运行维护、
退役下线等阶段。
[来源：ISO/IEC 22989:2022，有修改]
3.9
偏见bias
<人工智能可信赖>对待特定对象、人或群体时，相较于其他对象出现系统性差别的特性。
注：“对待”指任何一种行动，包括感知、观察、表征、预测或决定。
[来源：GB/T 41867-2022,3.4.10，有修改]
3.10
伦理ethics
<人工智能>开展人工智能技术基础研究和应用实践时遵循的道德规范和准则。
[来源：GB/T 41867-2022,3.4.8]
3.11
公平性fairness
<人工智能>尊重既定事实、社会规范和信仰，且不受偏袒或不公正歧视影响的对待、行
为或结果。
注1：对公平性的考虑是与环境高度相关的，并且因文化、代际、地理和政治观点而异。
注2：公平不等于没有偏见。偏见并不总是导致不公平，不公平可能是由于偏见以外的
因素引起的。
[来源：GB/T 41867-2022,3.4.1]
3.12
可解释性interpretability
<人工智能>系统以人能理解的方式，表达影响其（执行）结果的重要因素的能力。
注：可解释性理解为对“原因”的表达，而不是尝试以“实现必要的优势特性”做出争
辩。
[来源：GB/T 41867-2022,3.4.3]
3.13
鲁棒性robustness
<人工智能>系统在任何情况下都保持其性能水平的特性。
[来源：GB/T 41867-2022,3.4.9]
4 评估框架
T/CFEII 0020-2024
3
4.1 模型构成
人工智能融合应用安全可信度评估模型（系统版）包括数据、模型、性能、防御、沟通、
责任六个维度。
图1 人工智能融合应用安全可信度评估模型（系统版）六大维度
序号一级指标编号二级指标
1 数据
1.1 准确性
1.2 无偏性
1.3 代表性
1.4 可追溯
1.5 合规性
2 模型
2.1 解释性
2.2 鲁棒性
2.3 公平性
2.4 可追溯
2.5 向善性
3 性能
3.1 精准性
3.2 可靠性
3.3 无害性
4 防御
4.1 风险管理
4.2 可信环境
4.3 攻击防范
4.4 控制机制
4.5 应急计划
5 沟通
5.1 规范使用
5.2 交互反馈
6 责任
6.1 职责确定
6.2 人员培训
4.2 评估等级
人工智能融合应用安全可信度等级（系统版）体现了人工智能系统设计、开发、运行等
全生命周期中的安全风险管理水平和应对能力，评估等级由低到高可分为五个等级，更高的
等级代表人工智能系统具有更好的安全可信度。
一级（一般）：人工智能安全风险管理意识一般，对人工智能系统开展了零散、被动的
安全可信管理工作。
二级（较好）：具有一定人工智能安全风险管理意识，对人工智能系统开展了一定安全
可信管理工作，主要依据经验进行管理，覆盖人工智能系统涉及的部分环节，初步具备一定
的主动应对能力。
三级（良好）：具有较高的人工智能安全风险管理意识，对人工智能系统开展了较多的
安全可信管理工作，对管理规则和方法进行了一定主动设计，覆盖了人工智能系统涉及的多
个环节，能够较好地实现对风险的应对处理。
四级（优秀）：具有很高的人工智能安全风险管理意识，对人工智能系统开展了足够的
安全可信管理工作，积累了较多成熟的实践经验和管理规则，覆盖了人工智能系统的关键环
节，具有固化的管理流程和较为实用的工具方法，能够很好地实现对风险的应对处理。
五级（卓越）：高度重视人工智能安全风险管理，对人工智能系统开展全面、高效的安
全可信管理工作，形成了成熟、完善、能够引领行业的管理规范和实践经验，覆盖了人工智
能系统的所有环节，具有标准化的管理流程和工具方法，能够很好地预判和应对可能存在的
风险。
T/CFEII 0020-2024
4
5 评价方法
a) 查阅文件材料：查阅自评估报告、第三方评估报告、审计报告、测试报告、设计开
发文档、用户沟通文档、系统使用说明书、组织的战略计划、实施计划、制度文件等相关材
料。
b) 访谈相关人员：与组织中的管理人员、系统开发人员、测试人员，以及组织外部的
专家、目标用户等利益相关者进行交流。
c) 查看算法文档：查看算法的源代码、配套说明文档等。
d) 查看系统配置：查看系统日志、配置文件、参数设置、版本记录等。
e) 算法运行测试：运行算法模型，检查其输出结果是否符合预期。
f) 采用测试工具：使用检测工具对人工智能系统的性能和安全性，以及数据集的准确
性、无偏性等进行测试。
g) 进行模拟攻击：模拟相关攻击方法，对人工智能系统进行攻击并分析攻击结果。
6 评估内容
6.1 数据
数据维度主要评估数据集及在数据处理全生命周期，是否考虑并采取措施，保持了数据
的准确性、无偏性、代表性、可追溯性和合规性。
6.1.1 准确性
应评估系统使用的数据集是否具有一定的时效性和真实性，数据标注是否具有较高的准
确性。可重点评估：
a) 是否对数据集进行预处理，去除重复、无效、错误数据。
b) 是否对数据集进行定期审查和更新，以确保数据的时效性、准确性等。
c) 是否制定数据标注规则，明确准确性要求和操作规定，以降低标注错误和不一致性
的风险。
d) 是否对数据标注的质量进行验证和检查，内容不准确或不符合质量要求时，是否进
行重新标注。
e) 是否在使用数据集前进行准确性检查，确保不存在事实性错误、恶意数据等。
6.1.2 无偏性
应评估系统所使用的数据集及数据处理过程中是否存在潜在的偏见、不平等和其他社会
问题。可重点评估：
a) 是否根据系统目标考虑可能存在的数据偏见风险，并采取针对性措施。
b) 是否对数据采集、标注、管理等人员进行了无偏见培训和审查。
c) 是否通过自我评估或第三方评估的形式对数据集进行了无偏性审查，以避免歧视和
不公正等问题。
d) 是否对系统更新使用的数据集的无偏性，进行持续监测和改进。
6.1.3 代表性
应评估系统所使用的数据集是否能够完整地代表使用系统的群体。可重点评估：
a) 在确定所需的数据集时，是否较为全面地考虑了系统目标特性及所有预期应用场景
的需求。
b) 是否对数据集与系统目标的一致性进行检查，确保数据偏差在可接受的范围内。
c) 是否对数据集进行预处理，去除不相关数据。
d) 是否对数据的代表性进行分析和评估，确保数据集中包含特定对象的代表性样本，
并符合一定的统计属性。
e) 验证数据集和测试数据集是否与训练数据集具有一致的特征。
6.1.4 可追溯
T/CFEII 0020-2024
5
应评估系统所使用的数据的来源是否可追溯，是否对数据的来源和操作进行记录。可重
点评估：
a) 是否对系统采用的所有数据来源进行完整和明确的记录。
b) 是否对从第三方获取的数据集进行潜在风险分析并记录。
c) 是否对每次数据标注、审核等行为进行详细记录，包括时间、人员、内容和结果。
d) 是否对数据的过滤、编辑、提取、转换等操作进行记录。
e) 是否对数据操作目的、方法、参数设定和结果等进行记录。
f) 是否能够实现对数据集潜在的错误来源的追踪溯源。
6.1.5 合规性
应评估数据采集和使用过程中是否符合数据安全、个人隐私保护、知识产权保护等相关
法律法规。可重点评估：
a) 在采集和使用个人数据之前，是否能够确保数据主体了解其数据将被如何使用，明
确获得授权同意，并在请求数据删除时可进行正确的删除。
b) 是否对包含个人信息的数据进行脱敏处理，确保个人信息不被泄露。
c) 是否根据系统目标和技术需要，确定数据种类和数量的最低需求量，只采集必须范
围内的数据，不采集无关数据。
d) 若系统收集用户的输入数据用于模型训练，是否进行事先告知并获取同意。
e) 是否对数据集的访问实施了严格的访问控制和权限管理。
f) 是否采取加密存储、定期备份等数据安全措施，防止数据泄露、篡改或丢失。
g) 是否定期对数据集开展了监控审计和合规审查，确保数据集始终符合相关法律法规
的要求。
h) 系统使用的第三方数据集是否包含清晰的版权声明和许可协议，知识产权归属和使
用条件是否明确。
6.2 模型
模型维度主要评估系统是否具有可解释性和鲁棒性，不存在偏见歧视问题，能够实现全
流程可追溯，系统目标与增进人类福祉、促进可持续发展等理念一致。
6.2.1 解释性
应评估人工智能算法的运行和决策原理是否可解释。可重点评估：
a) 在系统开发过程中，是否优先选择具有较高可解释性的算法和模型架构，平衡了模
型性能和解释性，并根据应用场景做出合理选择。
b) 是否通过特征重要性分析、可视化技术、模型解释性工具等工具方法分析影响决策
的关键特征和因素，提升模型可解释性。
c) 是否在模型部署前对模型的可解释性进行检查和评估，确保模型具备较高的可解释
性程度。
d) 是否对模型的目标设计、基本原理、风险评估和权衡过程等进行详细记录。
6.2.2 鲁棒性
应评估算法是否在系统运行环境发生变化时，仍可以按照预期保持一致的性能水平，保
障算法在各类部署环境下的表现符合鲁棒性要求。可重点评估：
a) 是否对系统的鲁棒性需求进行分析。
b) 是否采用数据增强、对抗性训练等方式对模型进行鲁棒性训练，以提升模型鲁棒性。
c) 是否采用对抗样本测试、噪声测试、容错能力测试等方法对模型进行鲁棒性检测，
确保模型鲁棒性能够满足部署需要。
d) 是否通过适配多种深度学习框架、操作系统、硬件架构来保障系统的鲁棒性。
6.2.3 公平性
应评估系统是否不存在歧视、偏见，是否通过设立公平性目标等方式，有效降低可能存
T/CFEII 0020-2024
6
在的歧视和偏见风险。可重点评估：
a) 是否根据实际应用场景和需求明确设置公平性指标，如偏见、歧视。
b) 是否根据公平性目标构建包含不同特征的数据集，在训练过程中评估模型在不同群
体之间的表现并不断改进。
c) 是否在上线前对模型公平性进行测试（自我审查或第三方评估），确保模型在公平
性敏感领域的输出的差异性在可接受范围内。
d) 是否对模型开发、测试等人员进行了无偏见培训和审查。
e) 是否对系统全生命周期中公平性指标进行持续跟踪监测。
f) 是否制定相关处理机制，对模型运行中产生的公平性问题进行及时改进。
6.2.4 可追溯
应评估是否通过良好的版本管理，对模型不同版本的关键信息进行记录，提升系统开发
训练、测试、调优等全流程的可追溯性。可重点评估：
a) 是否对版本标识与命名规范、版本控制工具、关键信息记录、更新日志和注释与定
期备份和存档等做出详细规定。
b) 是否选择适合的版本控制工具，用于管理模型的源代码、配置文件和训练数据等，
确保有效跟踪和记录模型版本的变更历史。
c) 是否记录每个模型版本的关键信息，包括但不限于：版本标识和名称、模型训练时
间、模型架构、训练数据集、参数和超参数设置、训练过程、性能评估指标、更新记录、作
者和负责人等信息。
d) 是否对模型重要版本的源代码和关键信息等进行备份。
6.2.5 向善性
应评估模型是否进行了价值观对齐训练，与增进人类福祉、促进可持续发展的理念保持
一致，对未成年人、老年人等群体友好。可重点评估：
a) 是否构建或使用符合人类价值观的数据集，通过人类反馈强化学习等方法进行对齐
训练，以使得模型更符合人类的主流价值观。
b) 是否对人工智能可能对环境生态系统的可持续性产生的影响进行预先评估。
c) 是否针对老年人、未成年人等特殊群体进行优化设计，并按需求提供适老化模式、
无障碍模式、青少年模式等以方便特殊群体使用。
6.3 性能
性能维度主要评估系统功能实现的精准性、在各类不同环境中运行的可靠性、运行结果
的无害性。
6.3.1 精准性
应评估是否对系统性能的精准性进行自测或第三方测试，确保系统达到一定的质量要求。
可重点评估：
a) 是否在系统上线前采取自测或第三方评估对模型精准性进行测试。
b) 若测试不达标，是否采取措施进行改进，保障系统达到精准性目标。
c) 是否设置精度监测机制以发现系统使用过程中精度下降问题，并采取相关措施，以
保障系统精度稳定。
6.3.2 可靠性
应评估是否对系统的可靠性进行自测或第三方测试，确保系统达到一定的质量要求。可
重点评估：
a) 是否在系统上线前采用自测或第三方评估方式对系统可靠性进行测试，以保障系统
在各类环境下性能表现一致或接近。
b) 若测试不达标，是否采取措施进行改进，保障系统达到可靠性标准。
c) 当系统发生重大变化或重新训练模型时，是否对系统可靠性进行再次检测。
T/CFEII 0020-2024
7
6.3.3 无害性
应评估是否利用测试数据集对模型生成的内容安全性进行评测和审查，保障模型生成的
内容不存在敏感信息、虚假误导、违反伦理道德等现象。可重点评估：
a) 是否在系统上线前采用自有测试数据集或第三方测试数据集对模型生成内容的安全
性进行评测，测试内容包括但不限于敏感信息、虚假伪造、违反伦理道德等现象。
b) 若评测不达标，是否采取措施进行改进，保障系统生成内容达到无害性标准。
c) 当系统发生重大变化或重新训练模型时，是否对系统无害性进行再次评测。
6.4 防御
防御维度主要评估系统在软硬件环境方面的安全性，对于各类攻击的防范机制，对于系
统输入输出内容的审查过滤机制，以及在应急情况下的响应机制。
6.4.1 风险管理
应评估是否实施和落实了相关风险管理制度，在立项前、项目进行中以及上线后系统地
识别、分析和减轻风险，并进行持续监测、验证和修正。可重点评估：
a) 是否按照ISO/IEC 23894:2023(E)、ISO/IEC 31000:2018(E)及ISO/IEC 42001:2022(E)的要
求开展人工智能风险管理并获取相关认证。
b) 是否在立项前对潜在安全风险进行识别和分析，涵盖系统对个人、组织、社会、环
境等方面造成的影响，并采取预防措施。
c) 是否在项目进行中持续进行风险识别和分析，实施风险减轻措施，及时调整管理计
划。
d) 是否在系统上线前进行安全风险审查，确保系统符合法律法规、行业标准、道德伦
理等方面的要求。
e) 是否在系统上线后持续监测风险，修复漏洞并提升风险管理能力，保障安全运行。
6.4.2 可信环境
应评估系统采用的开源框架、开发环境、基础设施等软硬件是否进行安全检查和测试。
可重点评估：
a) 是否对系统开发的基础设施的物理安全、网络通信安全、计算环境安全、数据存储
安全等方面进行检查，确保具备全方位保障能力。
b) 是否对系统开发环境进行安全配置和检查，并实施访问权限控制。
c) 是否对所使用的开源框架进行漏洞审查，持续监控相关安全风险，并及时采取补救
措施。
d) 是否对系统的供应链安全性进行评估，保障系统运行的稳定性，如人工智能芯片、
服务器等。
6.4.3 攻击防范
应评估是否采取有效措施应对人工智能系统潜在风险和可能遭遇的攻击，包括对抗样本、
逆向还原、数据投毒、后门攻击等。可重点评估：
a) 是否对系统进行对抗性的训练和测试，研究和应用防御算法和技术，提升模型抵御
攻击的能力。
b) 是否建立了系统攻击监测机制，能够对系统攻击事件进行及时识别并记录。
c) 系统是否具备自防御能力，能够自动应对相关攻击或及时预警。
d) 是否及时了解最新的攻击技术和趋势，不断学习和分享防御实践和经验。
6.4.4 控制机制
应评估系统运行过程中是否受到人工监督并在必要情况下及时进行干预，是否对用户输
入内容和模型输出内容设置审查过滤机制，采取有效措施防止模型出现负面及错误内容。可
重点评估：
a) 人工智能系统决策全程或关键环节是否有人工参与，相关人员是否能够在必要时对
T/CFEII 0020-2024
8
系统进行控制。
b) 系统是否具备可控性设置，允许管理员调整模型参数以适应特定需求。
c) 是否对系统的关键决策设置人工审核和确认机制。
d) 是否对人工智能系统可能产生的错误设置补救机制。
e) 是否设置紧急停止功能以应对人工智能系统失控的情况。
f) 是否建立审查过滤机制，对用户输入内容进行审查，主动规避价值诱导性输入，避
免伦理风险。
g) 是否建立审查过滤机制，对模型输出进行审查，防止模型输出有悖道德伦理或与事
实不符的内容。
h) 是否建立用户反馈校准机制，在用户交互界面，设置反馈功能，及时处理违背道德
伦理、引起个人不适的内容。
6.4.5 应急计划
应评估是否实施和落实了风险监测机制和应急响应计划，包括异常情况出现时中断系统
以及避免负面影响的相应机制。可重点评估：
a) 是否建立异常状况监测预警机制，能够对系统运行状态、异常事件等进行实时监测、
预警和报告。
b) 是否对安全日志的记录内容和保留期限进行明确要求，以便对潜在的安全威胁进行
监控和分析。
c) 是否制定了应急响应计划，明确系统故障、数据泄露、网络攻击等应急情况的处理
步骤和分工。
d) 是否通过应急演练、人员培训等活动使项目团队成员熟悉应急响应流程，掌握必要
的技能。
e) 是否有专门的应急响应团队负责事件响应和处理，及时发现和应对安全威胁。
f) 是否制定数据备份和恢复机制，定期备份重要数据，并在异常情况发生时能够及时
恢复数据，保障系统迅速恢复正常运行。
6.5 沟通
沟通维度主要评估系统在运行过程中是否采取措施保障用户合理使用，并建立了良好的
信息披露和沟通反馈机制。
6.5.1 规范使用
应评估是否明确规定系统的用途和限制范围，采取相关措施保障用户合理使用。是否对
模型输出的内容添加数字水印或显著标识。可重点评估：
a) 是否明确系统的适用人群、用途与限制范围，并以显著方式公开，提醒用户在使用
时及第三方在开发时注意规范性。
b) 是否通过手机验证码等方式进行用户身份验证，确保只有授权用户才能访问和使用。
c) 是否对模型输出的内容添加水印或显著标识，防止恶意传播和使用。
d) 是否对用户提供使用人工智能系统的培训和宣传，增强规范使用的意识和能力。
6.5.2 交互反馈
应评估系统是否向披露了训练数据、算法模型的相关信息，并为利益相关者提供沟通、
反馈、投诉渠道。可重点评估：
a) 是否在系统设计、开发全生命周期过程中引入利益相关者参与，定期进行调查与沟
通，收集利益相关者对系统的看法、期望和改进建议。
b) 是否建立人工智能模型基本信息披露机制，以清晰、易懂、充分的方式，向用户提
供数据的基本属性、算法机制机理、系统运行逻辑、潜在风险情况等信息。
c) 是否建立人工智能模型评测信息披露机制，向用户披露模型的准确性、鲁棒性、安
全性、公平性、可解释性等相关维度的评估情况。
d) 是否设置提醒机制，向用户告知其正在与人工智能系统进行交互，并为用户提供便
T/CFEII 0020-2024
9
捷的退出选择机制。
e) 是否设置反馈机制，向用户提供便捷的反馈与投诉渠道，并及时处理相关问题。
6.6 责任
责任维度主要评估是否建立了明确的责任体系和追责机制，有效管理了各类风险，并定
期开展了相关教育培训以提升风险管理责任意识。
6.6.1 职责确立
应评估是否建立了明确的责任体系，明确定义了人工智能系统涉及的人员角色、职责、
分工；是否建立追责机制，以确保问责制度有效落实。可重点评估：
a) 是否对人工智能系统涉及的所有或相关核心岗位（包括但不限于高级管理人员、项
目管理人员、产品经理、设计人员、开发人员、数据管理人员等），设置人工智能安全风险
管理的岗位职责。
b) 高级管理人员是否确保组织对人工智能安全风险管理工作的支持，制定和推动全面
的安全策略，保障人工智能安全政策的执行。
c) 人工智能项目管理人员是否将人工智能安全纳入项目管理的范围，在项目进行过程
中对相关安全风险进行管理，保障项目的交付与运行中的安全可信。
d) 人工智能项目产品经理是否保障系统需求分析和功能设计满足安全要求，与团队合
作提升系统安全性，对产品功能进行安全性评估，并持续改进产品功能上的安全性。
e) 人工智能系统的设计人员是否在产品设计阶段充分考虑安全风险，将治理原则落实
到产品设计中，为系统设置合理、明确的、可持续的目标。
f) 人工智能系统的开发人员是否在系统开发阶段充分考虑安全风险，将治理原则落实
到产品开发中，对所采用模型、编写代码的安全性负责，及时应用安全更新，及时做好文档
和日志记录，积极响应安全事件。
g) 人工智能系统的数据管理人员是否在数据管理全流程中充分考虑安全风险，对数据
完整性、准确性等进行测试，准确记录相关数据操作，监督其他人员对数据的使用。
h) 是否设置专门的安全审查员，统筹系统设计、开发、运行等过程中的安全风险管理
工作，负责对系统安全性进行审查和评估。
i) 是否对相关岗位人员因未按规定履行职责产生安全风险时应负的责任作出规定。
j) 是否建立追责机制，确保在系统运行出现问题时能够追溯到相关责任人。
6.6.2 人员培训
应评估是否对相关人员进行人工智能安全风险管理意识教育和培训，使其能够按照相关
政策、程序和协议履行职责。可重点评估：
a) 系统设计、开发、训练、测试、部署，数据采集、标注、处理、管理等所有相关人
员是否参与人工智能安全风险种类与应对措施、岗位人工智能安全风险责任、相关法律法规
等方面的培训，具备人工智能安全风险管理意识。
b) 是否对系统开发人员进行安全培训，提高其人工智能安全技能水平。
c) 是否对数据标注人员进行专业培训，培训内容应包括标注指南、质量控制以及数据
隐私保护要求，保障标注的准确性和安全性。
T/CFEII 0020-2024
10
附录A 人工智能融合应用安全可信度评估分级方法
A.1 概述
本附录基于本标准的评估框架、评价方法及评估内容，进一步给出人工智能安全可信度
评估指标体系构建、加权评分方法和分级判定参考等，以便于本标准的应用和推广。评估指
标体系构建可按照评估内容展开，依据评估内容逐层细化并设立对应评估指标。基于指标体
系中底层指标所采集的评估数据，可采用加权评分方法对各级评估指标进行定量评分。分级
判定参考给出了人工智能系统各级安全可信度评价的总体参考标准。
A.2 评估指标体系构建
A.2.1 构建原则
按照本标准要求，评估指标体系构建应遵循以下原则：
a) 评估指标体系应与本标准评估内容的层次结构相对应，建议可按照三级指标构建。
本标准的一级评估内容：数据、模型、性能、防御、沟通、责任可作为指标体系的一级指标。
本标准的二级评估内容：如数据的代表性、准确性、无偏性等可作为指标体系相应的二级指
标。本标准二级评估内容下的具体内容可用于设计三级评估指标。
b) 评估指标体系一级和二级指标原则上与本标准的一、二级评估内容相对应，三级指
标建议基本按照本标准相应评估内容设定，可依据需求进行适度调整和补充。
c) 一般情况下，为提高可操作性，各主体最终确定并用于实际测评的评估指标体系应
在满足应用需求的前提下尽量简化。
A.2.2 构建步骤
按照本标准要求，评估指标体系构建可采用如下步骤：
a) 按照评估主体的特色，基于本标准的评估框架、评估方法与评估内容，选择、修订
各级评估内容，对部分评估内容进行必要调整、补充或细化。
b) 对照本标准各级评估内容的层次结构构建评估指标体系。
c) 结合评估主体的需求，参考专家知识和经验，对指标进行必要的调整；
d) 在必要情况下，重复上述步骤，构建完成评估指标体系。
A.3 加权评分方法
A.3.1 权重设置
评估指标体系中各级指标的权重设置应遵循或借鉴如下方面：
a) 面向不同主体开展评估时，各主体一级指标的权重原则上应保持一致，二级指标的
权重建议视不同类型主体（如生成式人工智能与非生成式人工智能）使用情况略作调整，三
级标权重可按照本主体的特色和需求分别进行设置。
b) 原则上总分为100 分制，建议数据维度25 分，模型维度20 分、性能维度20 分、防
御维度20 分、沟通维度5 分、责任维度10 分，六大一级指标满分加总为100 分。
c) 设置权重时需考虑指标对被评估主体开展人工智能安全可信管理工作的相对重要程
度。
d) 可采用德尔菲法（Delphi）、层次分析法（AHP）或网络分析法（ANP）等进行辅
助决策。
e) 应在一定时期内保持相对稳定。
A.3.2 加权评分
按照指标体系进行评分时应遵循或借鉴如下方面：
a）三级指标的评分可设置为若干独立的选项，不同选项代表不同分值，由专家确定各
选项分值，该指标得分即为所选选项分值。
b）在三级指标评分基础上，二级指标得分可通过加权求和计算得出。一级指标得分可
T/CFEII 0020-2024
11
由二级指标得分加权求和得出。最终总分可由各一级指标得分加权求和得出，满分为一百分。
c）总分60 分及以下或单项一级指标低于50 分建议为人工智能安全可信度一级，总分
61 分-70 分建议为人工智能安全可信度二级，总分71 分-80 分建议为人工智能安全可信度三
级，总分81 分-90 分建议为人工智能安全可信度四级，总分91 分-100 分建议为人工智能安
全可信度五级。
A.4 分级判定参考
A.4.1 人工智能融合应用安全可信度一级
人工智能安全风险管理意识一般，对人工智能系统开展了零散、被动的安全可信管理工
作。
a）人工智能安全风险尚未引起重视。
b）尚未开展主动的人工智能安全可信管理活动，仅在必要时进行被动响应。
A.4.2 人工智能融合应用安全可信度二级
具有一定人工智能安全风险管理意识，对人工智能系统开展了一定安全可信管理工作，
主要依据经验进行管理，覆盖人工智能系统涉及的部分环节，初步具备一定的主动应对能力。
a）考虑到了人工智能的安全风险问题，初步具有一定的管理意识。
b）基于相关工作人员的经验和技能开展了部分人工智能安全可信管理活动。
c）初步建立了一些人工智能安全可信管理规范和制度，覆盖了人工智能系统生命周期
的一些环节。
d）对数据、模型和系统面临的安全性问题进行了考虑和分析，有效管理了部分风险。
e）系统性能能够较好地满足使用需要。
A.4.3 人工智能融合应用安全可信度三级
具有较高的人工智能安全风险管理意识，对人工智能系统开展了较多的安全可信管理工
作，对管理规则和方法进行了一定主动设计，覆盖了人工智能系统涉及的多个环节，能够较
好地实现对风险的应对处理。
a）考虑到了人工智能的安全风险问题并给予了一定的重视，正在建立体系化认识。
b）主动开展了一定人工智能安全可信管理工作，在人工智能系统生命周期的多个环节
形成了一定实践经验，能够有效管理部分风险。
c）建立了一定的人工智能安全可信管理规范和制度，采用了一些安全检测工具，覆盖
了人工智能系统的多个环节。
d）制定了数据管理相关规范和制度，着重考虑了数据的代表性、准确性、无偏性等，
在一定程度上实现了有效的数据管理。
e）制定了模型开发相关规范和制度，着重考虑了模型的可解释性、鲁棒性、公平性等。
f）制定了一定的性能测试评估制度，对系统性能进行评估测试，保证系统具有较高的
性能水平。
g）制定了一定的安全防御制度，设置了审查过滤机制、可控运行机制、应急响应机制，
能够对相应安全风险进行监测。
h）建立了一定的责任体系和追责机制，制定了人工智能安全风险管理制度，对人工智
能系统的相关人员进行了宣贯培训。
A.4.4 人工智能融合应用安全可信度四级
具有很高的人工智能安全风险管理意识，对人工智能系统开展了足够的安全可信管理工
作，积累了较多成熟的实践经验和管理规则，覆盖了人工智能系统的关键环节，具有固化的
管理流程和较为实用的工具方法，能够很好地实现对风险的应对处理。
a）考虑到了人工智能的安全风险问题并给予很高的重视，初步具备体系化认识。
b）主动开展了较多人工智能安全可信管理工作，在人工智能系统生命周期的所有关键
环节均形成一定实践经验，能够有效管理绝大多数风险。
c）建立了较为全面的人工智能安全可信管理规范和制度，采用了较多标准化的管理、
T/CFEII 0020-2024
12
检测、评估工具，覆盖了人工智能系统的所有关键环节。
d）制定了数据管理相关规范和制度，采用了标准化的数据管理工具或测试评估工具。
进行了自测或第三方测试，保障数据在代表性、准确性、无偏性、可追溯性、合规性等方面
符合一定要求或达到一定标准。
e）制定了模型开发相关规范和制度，采用了标准化的模型管理工具或测试评估工具，
开展了一定的版本管理。进行了自测或第三方测试，保障模型在可解释性、鲁棒性、公平性、
可追溯性、向善性等方面符合一定要求或达到一定标准。
f）制定了性能测试评估制度，在系统上线前或发生重大变化时，对系统性能（包括但
不限于精准性、可靠性、无害性）进行自测或第三方测试，保障系统达到了一定的质量要求。
涉及生成式模型时，对生成式内容的安全性（包括但不限于偏见歧视、敏感信息、虚假伪造、
违反道德伦理等情况）进行了自测或第三方测试。
g）制定了安全防御制度，设置了应急响应、审查过滤等机制，采用标准化的工具对相
应安全风险进行实时监测。
h）制定了较为完善的规范和流程以提升系统运行过程中的可控性。向用户传达了系统
的适用范围、使用规范等。向用户披露了数据、模型等的必要的信息，设置了用户反馈渠道，
并能够较为及时地进行处理。设置了负责人以保障系统的运行能够受到必要的人工监督。
i）建立了较为完善的责任体系和追责机制，制定了人工智能安全风险管理制度。明确
了人工智能系统相关重要角色的风险管理职责，对相关人员进行了宣贯培训。通过标准化的
工具化手段实现对风险进行实时分析和及时处理。
A.4.5 人工智能融合应用安全可信度五级
高度重视人工智能安全风险管理，对人工智能系统开展全面、高效的安全可信管理工作，
形成了成熟、完善、能够引领行业的管理规范和实践经验，覆盖了人工智能系统的所有环节，
具有标准化的管理流程和工具方法，能够很好地预判和应对可能存在的风险。
a）充分考虑和全面分析了人工智能的安全风险问题，已经建立了体系化的认识并给予
高度重视。
b）全面开展了人工智能安全可信管理活动，在人工智能系统生命周期的全部环节都形
成了成熟经验，能够实现全面有效的风险管理。
c）建立了完善、全面的人工智能安全可信管理规范和制度，采用了成熟、系统的专业
工具，覆盖了人工智能系统的所有关键环节。
d）制定了完善的数据管理技术规范和管理制度，设置了规范的流程，采用了成熟、自
动化的数据管理工具和测试评估工具，明确了数据标注的规则和流程。进行了自测或第三方
测试，保障数据在代表性、准确性、无偏性、可追溯性、合规性等方面完全符合要求。
e）制定了完善的模型开发技术规范和管理制度，设置了规范的流程，采用了成熟、自
动化的模型管理工具、测试评估工具和安全加固工具，进行了全面、完善的版本管理。进行
了自测和权威的第三方测试，保障模型在可解释性、鲁棒性、公平性、可追溯性、向善性等
方面完全符合要求。
f）制定了完善的性能测试评估制度，在系统上线或发生重大变化时，由权威第三方评
估测试机构对性能（包括但不限于精准性、可靠性、无害性）进行评估测试，设置了专职人
员负责相关制度的落实，确保系统达到了一定的质量要求。涉及生成式模型时，由权威第三
方专业机构对生成式内容的安全性（包括但不限于偏见歧视、敏感信息、虚假伪造、违反道
德伦理等情况）进行了测试。
g）制定了完善的安全防御制度，设置了全面、规范的应急响应、审查过滤等机制，采
用了自动化的工具对系统的软硬件环境、遭遇的攻击等进行实时监测，设置专职人员负责落
实相关制度，能够实现前瞻性的风险防御部署和及时的风险情况处理。涉及生成式模型时，
制定和实施了完善、合理的价值对齐和审查过滤机制，最大程度避免系统可能产生的伦理道
德风险。
h）制定了系统、详细的规定和流程以保障系统运行的全过程可控。以明确并显著的方
式向用户传达系统的适用范围、使用规范等。向用户披露了有关系统数据、模型等的充分的
信息，设置畅通的用户反馈渠道，并设置专人保证反馈及时得到解决。确保系统的运行的全
T/CFEII 0020-2024
13
过程都受到人工监督，设置专人负责在必要情况下对系统进行人工干预。
i）建立了明确的责任体系和追责机制，制定了覆盖全流程的人工智能安全风险管理制
度。明确了人工智能系统各类相关角色的风险管理职责，并通过完善的人员培训宣贯制度确
保各类角色了解和落实了相关规定。通过工具化手段实现对全流程风险的持续跟踪、实时分
析、及时处理和前瞻预测。