近來,DeepSeek 這類中國 AI 模型引發各國資安風險控管的關注,台灣企業更需要思考如何降低類似風險。行政院已宣布公務機關禁止使用 DeepSeek,但民間企業在導入 AI 服務時,應如何做好資安防護?ISO 27001:2022 第 4.2 條款強調,企業應理解關注方的需求與期望,這對於確保 AI 服務的安全性至關重要。
1. 誰是你的關注方?
ISO 27001:2022 要求企業識別資訊安全管理系統的關注方(4.2(a)),這包括政府監管機構、供應商、客戶及內部員工等。例如,政府可能要求符合資安法規,客戶則關心個資保護,而供應商則需確保其 AI 服務符合資訊安全標準。
2. 關注方對 AI 資安的要求
ISO 27001:2022 指出,企業需確定關注方的相關要求(4.2(b)),這可能包括法律法規、契約義務及行業標準。例如,DeepSeek 的 AI 服務引發隱私疑慮,若企業未審慎選擇 AI 供應商,可能違反個資保護法(GDPR、台灣個資法),甚至影響商譽。3. 如何透過 ISO 27001 因應 AI 風險?
企業應確保透過資訊安全管理系統(ISMS)來滿足關注方的要求(4.2(c))。例如,導入 AI 服務時,可透過 ISO 27001 的存取控制(A.5.15)確保數據安全,並透過供應鏈管理(A.5.21)要求 AI 供應商提供安全性證明。此外,企業也可建立 AI 風險監測機制(A.8.16),確保即時發現資安問題。
結論:建立信任的 AI 資安管理
AI 服務的崛起,讓台灣企業面臨新的資安挑戰。透過理解關注方的需求與期望,企業可以制定更精準的 AI 資安策略,並透過 ISO 27001:2022 的要求來確保 AI 服務的安全性。台灣企業若希望安全導入 AI,應從關注方需求出發,建立完整的資安管理機制。
參考文獻
- International Organization for Standardization. (2022). ISO/IEC 27001:2022 - Information security, cybersecurity and privacy protection – Information security management systems – Requirements.
- 徐立諺. (2025). 多國對 DeepSeek 採取風險控管. 自由時報. 取自 https://www.ltn.com.tw/
