近期,DeepSeek AI引發的資訊安全風險議題,再次提醒企業與公部門,資訊安全管理不僅是政策遵循,更是組織穩定營運的重要基石。行政院與教育部對公務機關與公立學校發布的禁令,凸顯了供應鏈安全管理與資訊安全風險評鑑的重要性。對於台灣欲導入或持續維持ISO 27001的企業,此事件提供了寶貴的學習機會。
ISO 27001:2022強調供應鏈管理,尤其在A.5.19-A.5.22(供應商關係資訊安全管理)中,要求組織評估供應商的資安風險,並落實風險管控措施。DeepSeek AI的事件顯示,使用不當的AI工具可能帶來數據洩露或未授權存取的風險,企業應比照政府規範,建立供應鏈安全評估機制,避免使用不符合資安標準的第三方服務。
ISO 27001:2022在6.1.2(資訊安全風險評鑑)要求組織識別、分析並評估資安風險,制定適當的風險處理計畫。DeepSeek AI風險提醒企業,應定期檢視內部與外部資訊系統,對可能的資安風險進行量化評估,並設定風險接受標準,以確保符合組織策略目標。
ISO 27001:2022的5.2(政策)強調,組織應制定並落實適用的資安政策。DeepSeek AI事件顯示,未經過嚴謹審查的工具可能成為資安漏洞。因此,企業應明確規範內部IT工具的使用範圍,禁止未經驗證的AI或雲端服務進入組織的核心業務環境,並透過8(運作),確保資訊系統的存取與控制。
ISO 27001:2022的10.1(持續改善)要求組織定期審查資安狀況,以確保資訊安全管理系統(ISMS)能有效應對新興威脅。DeepSeek AI事件顯示,AI技術發展迅速,企業若無定期資安檢討與內部教育訓練,將難以即時應對風險。因此,企業應建立內部資安監控機制,結合A.8.16(監視活動),提升組織面對未知威脅的應變能力。
DeepSeek AI事件不只是政府部門的資安議題,更是企業應關注的重要風險管理案例。對於台灣希望導入ISO 27001的企業,此事件提供了實際案例,說明供應鏈安全、風險評鑑、資安政策與持續改善的重要性。企業應以此為借鏡,建立健全的資安管理架構,確保資訊安全無漏洞,提升市場競爭力。
International Organization for Standardization. (2022). ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection - Information security management systems - Requirements. ISO.