甚麼是 ISO 42001?

Tball

ISO 42001 是第一個專為人工智能管理設計的國際標準。該標準為機構提供一套結構式方法來以負責任的方式開發、部署及運作人工智能系統。

為何機構需要通過 ISO 42001 認證

今日的機構都非常依賴人工智能來從事醫療診斷、詐騙偵測及客戶服務等核心運作。這樣的相依性不斷增加,為傳統管治帶來無法應對的新風險。

採用人工智能技術的機構都面臨著越來越嚴格的法規審查,以及持份者對負責任人工智能實務的期待。要將系統從開發轉移至生產環境,需要注意資訊保安與法規。採用新技術的意願與建立適當風險管理之間通常存在落差。模型必須遵守資料保護規則,同時確保資訊安全,並持續管控資料儲存和處理。

ISO 42001 涵蓋的範圍

該標準涵蓋了人工智能管治、管理、資料品質、透明度及人手監督等關鍵領域。它涵蓋了從開發初期到日常運作以及最終退役的整個生命週期。

ISO 42001 合規標準的關鍵領域包括:

  • 定義管理系統的情境與範圍
  • 領導層透過明確的政策資源來做出承諾 
  • 找出並管理技術相關的風險
  • 開發、部署及監控系統的運作管控
  • 透過持續監控來衡量效能
  • 持續改進的流程 

ISO 42001 與對應技術特定風險

標準網絡保安合規對一些針對性威脅的不足,例如資料中毒(破壞訓練資料)、模型倒置攻擊(竊取敏感資訊)及對抗性攻擊(令系統作出錯誤決策)。由於人工智能是科技演進不可或缺的一環,因此我們需要一套能解決這些最新風險的規範。 

符合 ISO 42001 規範提供了特殊的防護,例如持續學習的系統、無法預料的行為,以及牽涉到複雜持份者關係,這一切都是人工智能技術的特性。

ISO 42001 合規的效益

遵守合規標準可確保您的機構擁有適當的防護措施來隨時保持警戒,尤其是隨著人工智能技術的演進。採用 ISO 42001 的機構可看到以下具體優勢:

  • 降低風險:徹底的風險管理可降低資訊保安問題發生的機會並規範衝擊,進而節省數百萬的資訊保安成本和罰款。
  • 市場優勢:認證能協助機構脫穎而出,尤其是需要通過認證管治的受監管產業。
  • 支援創新:妥善的管治,既能安心部署,又能達成資訊保安與合規要求。
  • 持份者信任:展現對負責任實踐的承諾,建立客戶、合作夥伴及主管機關的信心。
  • 法規準備度:準備因應未來跨司法轄區的法規。
ISO 42001 合規效益示意圖。

如何實施

實施 ISO 42001 需要進階技術、持續監控及專業知識,而很多機構都缺乏這些知識。系統需要特殊的監控工具來偵測攻擊、確保資料質素,並維持透明度。此外,機構更必須具備專為現代化技術而設計的威脅偵測功能,而非傳統資訊保安工具。

這意味著人員、流程和技術方面投入大量心力,確保機構能應付技術複雜性、持續的合規維護,並且滿足資源需求。 

機構成功必須具備的技術能力

機構必須聘請管治專家、實施新的監控系統,並建立完整的文件記錄。有效的實施需要整合式技術功能:

  • 資產管理:自動搜尋及分類雲端資源、模型、應用程式及資料儲存。
  • 防護掃描: 檢查技術特定漏洞,包括大型語言模型和應用程式防護。
  • 風險評估: 預測系統攻擊路徑與量化風險分析。 
  • 開發防護:保護容器、程式碼及開發流程,保護整個創建及部署過程。
  • 威脅偵測:透過攻擊偵測與自動化回應來即時監控雲端環境。

託管式服務如何協助機構持續達成合規要求

許多機構都發現專業託管服務可以補強內部團隊。隨著持續演進,小型團隊幾乎不可能緊隨人工智能合規的要求,因此,有必要尋找能夠提供以下服務的託管式服務商:

  • 持續監控:透過全球資訊保安運作中心與通過認證的專業人員提供全天候 24 小時的資訊保安監控。
  • 策略諮詢: 客製化的評估、漏洞分析及排序建議。
  • 事件回應:專門處理資訊保安事件,包括專家分析與危機管理。 

ISO 42001 實施時間表範例

合規並非一夜之間就能達成的目標。事實上,機構通常需要大約 12 個月才達成合規,包括以下四個階段:

  • 第 1 期 (第 1-3 個月):透過資產發掘、初步風險評估與管治架構來建立基礎。
  • 第 2 期 (第 4-6 個月): 實施風險管理,配搭技術管控與系統衝擊評估。
  • 第 3 期 (第 7-9 個月):透過監控、內部稽核與事件回應測試來實現卓越運作。 
  • 第 4 期 (第 10-12 個月): 認證準備與持續改進的流程,以及外部稽核準備度。
ISO 42001 實施時間表範例。

將 ISO 42001 與現有架構整合

ISO 42001 的架構與其他管理標準相同,因此更容易與現有的資訊保安與品質管理整合。

機構可建立在目前的合規投資基礎上,並且增加技術方面的要求。如此可降低複雜性,讓現有管治工作發揮最大價值。

預期投資回報率

如同實施期一樣,投資回報率不會立即出現,但機構通常會在 12-18 個月內看到正面投資回報率,透過:

  • 避險成本: 防範資訊保安事件
  • 運作效率:自動化運作與簡化流程
  • 創新速度:加快創意面市時間
  • 進入市場:需要展現管治的新機會

機構如何開始

成功需要適當的技術、專業知識與策略指導。機構通常會因為與經驗豐富的供應商合作而受益,他們可提供整合式平台、託管式服務及專業的管治知識。

開始您的 ISO 42001 之旅:

  1. 領導教育: 協助高階主管了解管治要求與業務衝擊。
  2. 當前評估: 檢視現有的資訊保安與管治功能 
  3. 團隊建設: 建立具備明確角色的管治專案團隊
  4. 策略規劃: 制定實施藍圖,並設定優先次序和時間表

機構管治的需求很明顯。實施一套穩定管理系統的機構不僅能取得競爭優勢,還能降低風險並建立信任。ISO 42001 提供了一套框架,而正確的方法則提供了前進的途徑。

哪裡可以取得遵循 ISO 42001 的協助?

ISO 42001 要求機構在人工智能生命週期中實施系統化管理。Trend Vision One™ 可協助機構遵守 ISO 42001 合規,因為它是唯一採用人工智能的機構網絡資訊保安平台,能集中網絡風險曝險管理、保安運作及強大的多層式防護,為您的策略資訊保安計劃提供零信任與合規。保安領導有能力針對機構的資訊保安與風險狀況作基準評估,並有信心地向董事會、政府及法規機構展示持續改進範圍。

fernando

產品管理副總裁

筆

Fernando Cardoso 是趨勢科技產品管理副總裁,專長於不斷演進的人工智能與雲端世界。他的職業生涯由擔任網路與銷售工程師開始,並在數據中心、雲端、DevOps 及網絡資訊保安領域都具備優異技能,而他對這些領域依然煥發了無比熱情。

Fernando 在網絡資訊保安產業擁有超過 13 年經驗,曾帶領過多項雲端防護、DevSecOps 及人工智能防護計劃,並與全球客戶及策略合作夥伴密切合作,如 AWS、NVIDIA 和 Microsoft。此外,他還是全球知名意見領袖,經常擔任演講嘉賓,包括 AWS re:Invent 到 NVIDIA GTC 以及 Black Hat 的人工智能高峰會。

Fernando 帶領全球產品經理團隊,推動上市策略、進行市場研究,並提供創新技術來持續塑造安全、智慧雲端環境的未來。

常見問題

Expand all Hide all

ISO 42001 標準為何?

add

ISO 42001 標準是由國際標準化組織所開發的框架,用來引領人工智能系統的開發與使用。

ISO 42001 的原則為何?

add

ISO 42001 的重點是道德、透明度、責任、問責、安全、資訊保安、私隱保護及持份者參與的原則。

ISO 42001 與 ISO 27001 有何不同?

add

ISO 42001 標準專門針對人工智能系統的使用與開發提供指引。ISO 27001 涵蓋了更廣泛的資訊保安管理(ISMS)。

是否需要 ISO 42001?

add

否。ISO 42001 是一套自願性的國際標準框架,可協助機構在道德與負責任的狀況下開發、建構與使用人工智能系統。

ISO 42001 與 ISO 27001 之間有哪些關鍵重疊之處?

add

ISO 42001 和 ISO 27001 彼此在協助機構管理資訊保安與資訊科技系統開發或使用風險方面都存在著重疊之處。

ISO 42001 與 IEC 62443-4-1 有何不同?

add

IEC 62443-4-1 是安全開發工業自動化與控制系統的一項國際標準。ISO 42001 涵蓋人工智能的使用與開發。

ISO 42001 值得嗎?

add

採用 ISO 42001 標準,為機構提供了一套清晰的架構,讓機構在開發、使用或建構人工智能系統時能符合道德與安全規範。

ISO 42001 認證有何效益?

add

ISO 42001 認證提供了幾項重要效益,包括協助機構降低風險、建立與持份者的信任、維持合規,以及在業務競爭中脫穎而出。

ISO 42001 的費用是多少?

add

ISO 42001 認證的成本視不同因素而異,但大多數機構的支出可能從三千至二萬美元不等。

誰需要 ISO 42001?

add

任何開發、提供或使用人工智能系統的機構都能從 ISO 42001 認證中受益。包括人工智能開發人員、人工智能供應商及政府機關。