DeepSeek AI 模型引發全球資安關注,各國紛紛採取風險控管措施。面對 AI 服務的安全挑戰,台灣企業若想降低資安風險,應從資訊安全認知與教育訓練(ISO 27001:2022標準 和 ISO 27002:2022 6.3指引)著手,確保內部員工與關注方能正確履行資安責任。
1. 資訊安全認知的重要性
資訊安全風險不僅來自外部攻擊,更可能來自內部人員的錯誤操作或疏忽。ISO 27002:2022 強調企業應建立資訊安全認知計畫,確保所有人員了解資安政策、合規要求及個人應負的責任。例如,若企業未建立 AI 服務的資安標準,可能導致資料外洩或違反個資法。2. 如何落實資訊安全教育訓練
根據 ISO 27001:2022標準 和ISO 27002:2022 6.3指引,資訊安全教育訓練應涵蓋多種層面:
- 職前教育:新進員工應了解企業的資安政策,如 AI 服務使用規範。
- 定期訓練:透過電子學習、工作坊或簡報,使員工持續更新資安知識。
- 實際測試:針對 AI 服務與資安事件,模擬演練資安應變流程,確保訓練成效。
3. 案例分析:從 AI 風險事件學習
DeepSeek AI 服務因思想審查及隱私疑慮受到各國關注,這顯示企業應更謹慎選擇 AI 供應商,並加強員工對 AI 風險的認知。例如,企業可導入ISO 27001:2022標準 和 ISO 27002:2022 指引,制定 AI 服務審查機制,確保資訊安全與法規遵循。
結論:資訊安全教育訓練的必要性
AI 技術的發展帶來挑戰與機會,企業若希望安全導入 AI,應透過 ISO 27001:2022標準 和ISO 27002:2022指引,建立完善的資訊安全認知與教育訓練機制,確保全員具備資安意識,降低潛在風險。
