2026年7月14日 星期二

[新知] AI Foundation Framework:用 7 個模組逐步建立可信賴的 AI 治理

最近在講授 ISO/IEC 42001 課程時,有學員提到組織的最高管理階層要求必須做好 AI 治理,但是大家卻不知道該從哪個方向開始著手?也有學員認為,ISO/IEC 42001 在 AI 系統開發生命週期中,要求必須做好 AI 資料管理與效能的監控,也要考量 AI 系統面臨的資安風險與隱私保護,這些都要同時兼顧實在是很大的挑戰,是否有比較容易實施的方案?

針對以上這些問題,有一個比喻是如果 AI 是一棟房子的話,那麼我們要做的,首先就是從打好地基開始,再逐一建立各個重要的支柱,逐步讓這棟房子可以穩固而不容易被動搖。

為什麼組織需要 AI 治理框架?

AI 的變化速度一日千里,從一開始可以跟人類透過自然語言的對答 (Chat),到目前已經進化長出手腳可以完成我們指定的工作 (AI agent)。對於許多組織而言,如果能夠好好利用 AI 這把神兵利器,就可以大幅強化業務發展與運作的效率,同時也能提供更多創新的服務。但是,組織是否能夠在利害關係人期望、法規與標準之下,順利地駕馭它,並且以負責任的方式來開發、提供或使用 AI 系統,這就需要建立一個穩固的基礎,才能夠在這條路上循序前進。

基於個人的觀察,台灣的組織在 AI 治理最常見的起步困難是什麼?其實主要有兩個問題,一個是對於治理的權責不清,另一個則是不清楚風險在哪裡。在權責不清的情況下,組織內使用 AI 的業務部門,認為管理責任是資訊單位和資安單位的事,而資訊單位和資安單位,在業務部門決定使用外部提供的 AI 服務時,完全未被諮詢或參與決策的過程。一旦開始使用 AI 的服務,高層下達要求重視 AI 的治理,各部門也不清楚治理的目的,以及可能面臨的風險議題。

以上種種,都是因為缺乏一個可被信賴的基礎框架,可以幫助組織來因應 AI 所帶來的風險,以及對於組織、個人、群體和社會應該負起的責任。

AIFF 是什麼 — 7 個模組總覽

面對 AI 帶來的種種挑戰,組織需要一套彈性且模組化的框架,因應 AI 所帶來的風險和責任。BSI 的人工智慧可信賴治理框架 (AI Foundation Framework, AIFF) 就是為此而生,它參考了國際公認的標準,以模組化的架構協助組織打好基礎,以更穩健的方式推動 AI 各項應用的發展。不管您的組織規模大小與業務型態,以及在 AI 生態系所扮演的角色,都可以依照自身的需求和特定的風險議題,靈活地進行調整。

人工智慧可信賴治理框架一共包含七大模組,包括了 AI 治理、AI 管理、AI 資安管理、AI 隱私管理、AI 資料管理共 5 個管理類模組,以及 AI 韌性測試和 AI 效能評估的 2 個測試類模組。

文章內容
圖1 AIFF 七大模組總覽

以成熟度評分設定目標、持續改善

在 5 個管理類模組中,組織可以循序透過四個步驟來建立能力:首先參與教育訓練課程,瞭解各個模組的標準、領域與控制要點;接著使用自我評估工具,依照自己的步調進行現況評估,並且可以重複執行;再依自身的能力和資源建立目標,最終透過第三方獨立驗證,取得驗證報告和成熟度評估結果,以及 AI 信賴標誌 (AI Mark of Trust)。

有別於 ISO 標準取證的通過或不通過兩種結果,人工智慧可信賴治理框架採用六階段成熟度模型,從「尚未建置」到「持續優化」,以 L0~L5 的方式進行成熟度評分,讓組織可以依照自己的步調來提升等級,最終達成全面穩固的成果。

對組織來說,以模組化的評估方式,可以自主地決定針對最重要的治理領域來「設定目標成熟度」,不必一次追求全面且達成最高階段,而是透過自我評估工具的重複使用,制定明確的方向與目標,達成持續改善的循環。

因此,這套人工智慧可信賴治理框架能夠幫助組織鑑別以下重要議題:

•    治理缺口:組織是否在盲目地部署 AI 而沒有監督機制?

•    風險透明度:管理層是否清楚知道 AI 的限制與風險?

•    持續改善路徑:組織目前是在「救火式」地處理 AI 問題 (L1),還是已經建立了「自動化監控與持續優化」的體系 (L5)?

成熟度模型最大的核心價值,在於衡量一個流程是否能從「依賴個人的偶然成功」,進而轉化為「組織體系的必然穩定」。組織如果能夠理解並掌握了成熟度等級的邏輯,在執行各項工作時就具備了一套專業語言。當執行人員向高層報告的時候,不再只是說「我們的 AI 治理做得差強人意」,而是可以具體的說明「目前組織在 AI 治理模組整體處於 L2,雖然具備了專案等級的管控方法,但是缺乏了組織層級的標準化過程。我們的目標是要在一年內提升到 L3,建立可以被持續審查和改善的框架。」如果執行人員能夠提出這種基於成熟度的對話,管理階層才能滿足利害關係人的期望和要求,以負責任的方式達成 AI 治理的有效性。這也回應了一開始提到的,許多組織「不知從何開始」的痛點,找到一個可以持續前進的方向。

文章內容
圖2 六階段成熟度與四步驟推進路徑

該從哪個模組開始?

面對人工智慧可信賴治理框架的 7 個模組,組織的第一步該怎麼走?BSI 的建議是可以把實施「AI 治理」模組作為起點,它可以先幫組織建立一個職責分明,獲得高層支持的 AI 治理推動小組,協助組織識別所面臨的主要 AI 風險,再以此來判斷後續需要導入哪些其他模組,作為強化 AI 治理的基礎。

也就是說,組織不必一開始就同時兼顧所有的治理面向,而是可以依照風險的優先順序來分批導入。舉例來說,如果組織在風險評估後,發現隱私是最需要處理的風險,就可以優先導入 AI 隱私管理模組來降低相關風險;如果最擔心的是 AI 系統遭受攻擊或資料汙染 (Data Poisoning),則可以優先選擇 AI 資安管理模組。這正好回應了開頭學員的提問:與其想要一次到位,不如選擇一條比較容易實施、又能逐步累積的路徑。

如果您的組織以導入 ISO/IEC 42001 為目標,或是未來有取得 ISO/IEC 42001 證書的需求,要特別說明的是,完成人工智慧可信賴治理框架的模組驗證,並不等於通過 ISO/IEC 42001 的管理系統驗證,但是它可以大幅降低導入實施 ISO 標準的門檻,尤其是 AI 管理模組的控制措施,直接呼應了 ISO/IEC 42001 的要求事項,也能作為正式驗證稽核時的客觀佐證。

結語

回到開頭那棟房子的比喻,AI 治理的地基與支柱,不必也不可能在一天之內就蓋好。如果您的組織剛被高層要求開始做 AI 治理,卻還不知道從何著手,建議從「AI 治理」模組的教育訓練與自我評估開始;如果您的組織已經在開發或整合 AI 系統,最擔心資安與隱私的議題,可以優先導入「AI 資安管理」與「AI 隱私管理」模組;如果您的組織以取得 ISO/IEC 42001 驗證為目標,則可以把人工智慧可信賴治理框架中的「AI 管理」模組當作準備期的能力建構工具。無論從哪裡開始,先評估現況、設定目標成熟度,就是讓這棟房子穩固成形的第一步。

備註:本文內容由個人產出,文章段落有請 AI 進行文字校對和編輯。

Source:

・BSI, AI Foundation Framework – Your guide to building trusted AI adoption, 2026.

・BSI 台灣官網:建立可信賴 AI 實踐路徑 (AIFF)

沒有留言: