DeepSeek 這類 AI 模型的資安風險讓各國紛紛採取應對措施,而台灣企業在導入 AI 服務時,如何確保資訊安全?ISO 27002:2022 提供了明確指引,其中 6.5 條款特別強調聘用終止與變更後的資訊安全責任,確保離職員工或供應商仍履行資訊保護義務。
1. 離職員工的資訊安全風險
當員工離職或調職,若未適當處理存取權限,可能導致企業資訊外洩。ISO 27002:2022(6.5)要求企業建立清楚的資安責任機制,包括撤銷存取權限、確保機密資訊不被帶走,以及讓新接手的人員順利承接資安職責。2. AI 供應鏈管理:外部人員的風險控管
企業不僅要關注內部人員變動,也需管理外部供應商的資訊安全責任。ISO 27002:2022 建議,在 AI 服務或 IT 外包契約終止後,供應商仍需遵守保密協議,確保不會擅自存取或使用企業數據。例如,若 AI 供應商如 DeepSeek 被限制使用,企業應立即調整供應鏈並檢查相關資安合約。3. 如何落實 ISO 27002:資訊安全責任的傳承
- 訂定離職或職務變更後的資訊安全責任條款。
- 確保撤銷所有存取權限,包括雲端服務與 AI 相關系統。
- 與供應商簽訂資訊安全協議,確保即使合作終止,仍有保密義務。
- 強化資安教育,確保所有員工理解職務變更後的資訊安全風險。
結論:建立安全的 AI 資安管理框架
AI 技術的快速發展帶來許多便利,但也產生新的資安挑戰。透過 ISO 27002:2022 6.5 條款的實踐,台灣企業可以更有效地控管離職與職務變更後的資安風險,確保 AI 服務的安全性,降低潛在風險。
參考文獻
- International Organization for Standardization. (2022). ISO/IEC 27002:2022 - Information security, cybersecurity and privacy protection – Information security controls.