AI Control Baseline
Die belastbare Baseline für Governance-Entscheidungen: Wer nutzt welche KI, wie ist sie klassifiziert, wer ist verantwortlich und wo bestehen Lücken?
Was die AI Control Baseline liefert
Paket A schafft die strukturierte Grundlage, auf der alle weiteren Governance-Maßnahmen aufbauen. Es entsteht ein belastbares System of Record für KI-Nutzung, Verantwortlichkeiten und Risiken, das für Freigabeentscheidungen, Audit-Vorbereitung und regulatorische Zuordnung verwendbar ist.
Ergebnisse im Überblick
- Priorisiertes AI-Inventar – Vollständige Erfassung aller relevanten KI-Use-Cases im M365-Umfeld mit Kontext, Datenart und Einsatzzweck.
- Owner und Verantwortlichkeiten – Klare Zuordnung von Fachverantwortung, technischer Verantwortung und Governance-Ownership je Use Case.
- Risikoklassifikation – Einordnung nach Einsatzkontext, Datensensitivität und regulatorischer Relevanz (EU AI Act, DORA, DSGVO).
- DORA-/Governance-Zuordnung – Mapping der KI-Use-Cases auf bestehende ICT-Risikostrukturen und Governance-Anforderungen.
- Gap-Analyse – Dokumentierte Lücken zwischen Ist-Zustand und Ziel-Governance mit priorisierten Handlungsfeldern.
- Management-Briefing – Zusammenfassung für Entscheider mit Handlungsempfehlung, Risikobewertung und empfohlenem nächsten Schritt.
Wie Paket A in den Governance-Pfad passt
Quick Scan (optional)
Liefert eine erste Orientierung und priorisiert die wichtigsten Risiken. Kann als Einstieg vor Paket A dienen, ist aber nicht zwingend.
Quick Scan ansehenAI Control Baseline
Schafft das strukturierte Fundament: Inventar, Owner, Klassifikation, Zuordnung und dokumentierte Gaps als Grundlage für Freigaben.
Governance Sprint
Setzt auf der Baseline auf und implementiert Controls, Evidence Pack und Operating Model im definierten Scope.
Paket B ansehenWas Paket A nicht umfasst
- Paket A klassifiziert und ordnet zu, implementiert aber noch keine technischen Controls. Purview-Policies, DLP-Regeln und Label-Konfigurationen sind Bestandteil von Paket B.
- Es liefert keine Rechtsberatung. Die regulatorische Einordnung dient als Arbeitsgrundlage, ersetzt aber keine juristische Bewertung durch Kanzleien oder interne Rechtsabteilungen.
- Es erstellt kein Evidence Pack. Nachweise und auditierbare Dokumentation werden erst im Governance Sprint aufgebaut.
- Es etabliert kein Operating Model. Review-Zyklen, Stage-Gates und laufende Governance-Prozesse sind Gegenstand von Paket B und Paket C.
Die Baseline bezieht sich auf den definierten Scope und den zum Analysezeitpunkt vorliegenden Zustand. Keine pauschalen Konformitätsversprechen.
Belastbare Grundlage
für Governance-Entscheidungen.
Bevor Controls implementiert werden, braucht es ein klares Bild: Welche KI wird genutzt, wie ist sie einzuordnen, wer trägt Verantwortung und wo bestehen Lücken?
Kurzes Gespräch. Klarer Scope. Kein generisches Verkaufsgespräch.