《An Integrative Perspective on Algorithm Aversion and Appreciation in Decision-Making》探討人們在決策過程中對演算法的接受度或抗拒,揭示了演算法在信任建立與實用性上的挑戰。該研究指出,人們對演算法的偏好往往取決於對其準確性和透明度的認知,這與CNS 27001的資訊安全管理系統(ISMS)要求有相似之處,尤其在審查組織對風險管理和利益相關方需求的回應上。
CNS 27001第5.3條款指出,最高管理階層需確保資訊安全相關角色的責任與權限已明確指派並傳達,並由指定人員向最高管理階層報告管理系統的績效。這與演算法研究中透明度對於建立信任的重要性高度一致。
主導稽核員應確認組織是否清楚定義資訊安全相關角色的職責,並確保這些責任在內部傳達得當。對台灣中小企業而言,清楚的角色分工不僅能提高內部運作效率,還能讓員工理解資訊安全管理系統如何保障他們的工作環境,進而提升信任感。例如,企業可定期向員工解釋資訊安全策略與控制措施的邏輯與目標,讓員工了解自己的責任與系統如何運作。
此外,透過指定專責人員向最高管理階層報告系統的績效,能確保高層掌握最新的資訊安全狀況,並能迅速針對異常作出決策。對外部相關方而言,這種清晰且透明的組織架構能進一步增強他們對企業的信任。
因此,透過清晰的角色分工與責任傳達,組織能夠有效平衡內部管理與外部信任,並為建立穩健的資訊安全管理系統奠定基礎。
CNS 27001第6.1條款強調,組織應針對資訊安全風險進行全面評估,並制定適切的因應計畫,確保系統能夠穩定運作,達成預期成果並持續改善。這與演算法研究中的發現相呼應:當演算法能有效應對錯誤時,其接受度和信任度將顯著提高。
主導稽核員應檢查組織是否已建立完善的風險管理機制,包括風險評估準則的制定、風險分析結果的比較以及控制措施的實施與有效性評估。同樣,台灣中小企業在建立資訊安全管理系統時,可借鑑此原則,為演算法設計明確的錯誤處理流程。例如,當系統偵測到異常時,能快速定位問題並採取修正行動,進而減少對業務運作的影響。
此外,企業應保存風險管理過程的文件化資訊,確保所有行動和改進都有跡可循,這不僅提升內部員工的信任,也讓外部客戶感到安心。稽核員在審視時,應確認企業是否具備識別風險、分析後果、決定優先序以及制定風險處理計畫的能力,並持續評估這些計畫的效果,以達到真正的持續改進。
總之,穩定且有效的風險管理流程,是資訊安全與業務穩定運作的基石,對於在數位化轉型中努力提升競爭力的台灣中小企業而言,這更是一個不可忽視的成功關鍵。
CNS 27001第10.1條款強調,組織應不斷提升其資訊安全管理系統的合宜性、適切性與有效性,以適應不斷變化的內外部環境。這一點與演算法在應用過程中需要隨時調整和優化的特性相呼應。
主導稽核員在審核時應確認,企業是否有明確的改善機制,例如透過定期檢討資訊安全管理系統的表現,評估其是否仍符合業務需求及市場變化。對於台灣中小企業而言,持續改善不僅僅是符合法規的基本要求,更是確保長期競爭力的核心。例如,企業可定期評估資訊安全風險,適時更新控制措施,並提供員工相關培訓,讓其熟悉新技術及系統更新,從而提升整體的適應能力。
透過持續改善,企業可以在快速變化的數位環境中保持彈性,滿足客戶和合作夥伴的期望,進而鞏固市場地位,實現長期穩定發展。
從演算法的接受度研究可以看出,透明的資訊、穩定的錯誤處理能力以及持續改進是建立信任的三大核心,這些理念與CNS 27001的條文要求密切相關。主導稽核員可從中學習,幫助組織建立更具信任度和彈性的資訊安全管理系統,從而在快速變化的數位時代中脫穎而出。
Jussupow, E., Benbasat, I., & Heinzl, A. (2024). An integrative perspective on algorithm aversion and appreciation in decision-making. MIS Quarterly, 48(4), 1575–1590.