ISO/IEC FDIS 27090，预计将于2026年底之前正式发布。作为全球首个AI系统网络安全国际标准，ISO/IEC FDIS 27090标志着人工智能领域的关注重点从政策制定与应用推广（AI policy and adoption）转向了安全基础架构体系（AI security infrastructure）、运营控制（operational controls）以及董事会层面的监督治理（board-level oversight）。其核心目标是为组织提供针对AI系统安全威胁的识别、检测、缓解与响应指导，推动AI安全从“最佳实践”逐步走向标准化与体系化。

同时，ISO/IEC FDIS 27090也进一步补充了ISO/IEC 27001在AI场景下针对性不足的问题，并与ISO/IEC 42001以及ISO/IEC 23894形成协同体系，共同构建覆盖AI治理、风险管理与网络安全控制的完整框架。随着ISO/IEC 27090的推进，AI安全合规正在从单一技术防护转向体系化、全生命周期（AI Lifecycle）的治理与管理。标准强调企业需建立覆盖模型、数据、系统与运营全过程的安全能力。因此，如何提前构建符合国际标准要求的AI安全治理体系，正在成为企业提升合规能力与风险韧性的关键。组织可以重点围绕以下几个方面提前部署：

全面评估AI系统威胁通过资产盘点、威胁建模以及风险评估，识别并理解组织内AI系统面临的具体威胁，贯彻AI全生命周期安全管理。与现有ISMS体系融合通过差距分析、流程合规以及文档更新将27090 的要求无缝融入现有的信息安全管理体系（ISMS）中。全面实施零信任架构通过身份认证、权限管理以及持续验证，将零信任原则应用到AI系统的访问控制中，确保资源安全。全方位保护数据与模型安全通过数据加密、模型保护、数据脱敏以及访问控制，采取技术手段保护数据和模型的安全，构建坚固防线。建立持续测试与监控机制通过定期安全测试、实时监控部署以及日志持续分析，建立常态化的安全测试和监控机制，确保系统持续安全。提升团队AI安全能力通过安全培训、人才培养以及知识共享，培养团队的AI安全意识和技能，筑牢安全防线