近年來,AI技術發展迅猛,各大企業紛紛將AI應用於營運與服務。然而,AI帶來的便利也伴隨著資安風險。近期DeepSeek因雲端配置錯誤導致數百萬筆資料外洩,包括系統日誌、API金鑰與用戶聊天記錄等(KPMG, 2025)。這樣的事件提醒我們,導入AI應用的企業,應該如何利用CNS 27001:2023(等同ISO 27001:2022)來加強資安管理。
1. 雲端安全管理:強化存取控制與組態管理 DeepSeek事件顯示,雲端環境的錯誤配置容易成為資安漏洞。根據CNS 27001附錄A(ISO 27002:2022),企業應該建立存取權限管理(A.5.15, A.5.18)、組態管理(A.8.9)及資訊分類與標示(A.5.12, A.5.13),確保敏感資訊受到適當保護。
2. AI數據隱私:防止個資「明拒暗記」 AI在蒐集與處理數據時,常因學習機制而無意中記住使用者資訊,形成隱私風險。ISO 27001要求組織訂定明確的資料保護政策(A.5.34),並透過存取控制與資訊遮蔽(A.8.11)來降低風險。3. 防止提示注入攻擊(Prompt Injection) 語言模型容易受到提示注入攻擊,導致生成惡意內容。ISO 27001強調技術脆弱性管理(A.8.8)與應用程式安全設計(A.8.28),企業應定期測試AI系統的資安防禦能力,避免被「套路」導致資安事故。
AI時代,ISO 27001不可或缺
台灣企業在導入AI時,應從ISO 27001的風險評鑑(6.1.2)、存取控制(A.5.15,A.5.18)及技術管理(A.8.8, A.8.28)等方面,建立完整的資安防禦機制。唯有透過系統化的資安管理,才能在AI時代穩健發展。
參考文獻
CNS 27001:2023. (2023). 資訊安全、網宇安全及隱私保護-資訊安全管理系統-要求事項. 中華民國國家標準.
KPMG. (2025, February 5). DeepSeek資安黑洞 KPMG指這三點. 工商時報. https://www.ctee.com.tw/
