七、ISO 42001 驗證與管理架構解析

在探討 AI 所帶來的威脅後，接下來必須面對的問題是如何進行管理。ISO 42001 人工智慧管理系統標準即為此而設計，其架構延續一般 ISO 標準的模式，從第 4 章到第 10 章分別為組織環境、領導責任、規劃、支援、運作、績效評估與改善。與其他標準不同的是，ISO 42001 在界定適用範圍時，明確要求組織須確認自身角色：是 AI 的使用者、AI 服務提供者，或其他角色。這項角色界定不僅影響管理方式，在未來驗證時也必須提供，並會顯示於證書上。目前對應的驗證標準為 ISO／IEC 42006 甫於 2025 年 7 月發布，驗證機構將依據此標準審查組織在申請時所提出的 AI 角色。

在規劃階段，ISO 42001 要求進行風險分析與因應，其方法與其他標準類似，此外還需進行「衝擊評鑑」。在第 8 章「運作」中，除了風險處理外，還需進行「衝擊評鑑」後的風險處置。監控量測、績效評估與改善等部分，則與一般 ISO 條文相近。整體架構類似 ISO 27001，從風險分析出發，透過控制措施進行管理。

本標準附有附錄 A 與附錄 B。附錄 A 列出九項控制措施，包括：A.2 人工智慧相關政策／A.3 內部組織／A.4 人工智慧系統的資源／A.5 評鑑人工智慧系統的衝擊 ／A.6 人工智慧系統生命週期／A.7 人工智慧系統的資料／A.8 人工智慧系統利害關係者資訊／A.9 人工智慧系統的使用／A.10 第三方及客戶關係。每一項控制措施均有具體要求。與 ISO 27001 需搭配 ISO 27002 指引不同，ISO 42001 將控制措施的執行指引直接寫入附錄 B 中，因此標準內容較為厚實。此設計讓組織無需另尋指引文件，即可了解各項控制措施的實務做法。

八、ISO 42001 風險與衝擊評鑑解析：目標達成與控制措施

在探討人工智慧（AI）的應用與潛在風險後，我們需要進一步理解如何通過系統化的管理來達成組織目標並降低風險。ISO 42001 標準不僅提供了詳細的風險管理框架，還特別強調了對個人和社會影響的評估，這與傳統標準如 ISO 27001 有所不同。根據 ISO 42001 附錄 C，該標準明確列出了 AI 管理系統需達成的目標，這些目標直接影響到組織是否能有效利用 AI 技術並確保其安全性和合規性。

一旦確定了目標，接下來就是評估哪些事件或情境可能會影響這些目標的實現，並將其視為風險。為此，組織需要實施適當的控制措施來管理和降低這些風險。ISO 42001 提供了具體的控制措施指南，幫助組織針對不同類型的風險制定有效的管理策略。ISO 42001 獨特之處在於它引入了「衝擊評鑑」的概念，這與歐盟的人工智慧法案中的規範相似。衝擊評鑑不僅考慮風險對組織本身的影響，還擴展至對個人和社會層面的影響。

這種雙重評估方法使得組織能夠全面了解 AI 應用的潛在影響，並據此調整其管理策略。ISO 42001 參考了 ISO 23894（風險管理）和 ISO 42005（AI 系統衝擊評鑑），前者專注於組織內部風險評鑑，後者則專注於 AI 系統對個人和社會的影響評估。這兩個標準共同構成了 ISO 42001 中完整的風險管理與衝擊評鑑框架。

一旦完成了風險評鑑和衝擊評鑑，組織可以根據結果決定是否需要調整目標或增強現有的控制措施。這樣一個循環的風險管理流程 — 從風險來源到目標達成，再到反饋調整 — 形成了 ISO 42001 的完整管理制度設計與方法論。

九、AI 生命週期與風險管理的對應

AI 的影響會隨著其生命週期而變化。因此，ISO 42001 要求在 AI 的每一個生命週期階段，都應有對應的風險管理流程。以初始階段為例，這是決定是否要使用 AI，或是否要開發 AI 的階段。由於 ISO 42001 適用於 AI 使用者（User）、開發者（Developer）與服務提供者（Service Provider），因此在初始階段就必須先定義自身角色，因為不同角色在後續管理上的定義與責任不同。

與 ISO 27001 僅針對資訊安全進行一次性的風險管理不同，ISO 42001 強調必須考量 AI 整個生命週期中，各階段所面對的風險與管理需求。因此，風險管理必須與 AI 生命週期各階段對應。

此對應關係也反映在標準主條文中：在第 4 章「組織環境」中，需定義角色；在「規劃」階段，需進行風險分析與衝擊評鑑；在「控制措施」部分，包含人工智慧系統生命週期的管理；風險與控制措施之間需有對應，這即是風險管理與人工智慧生命週期的關聯性。

治理層面需關注的事項

在 AI 治理上，管理者應注意以下面向：

● 決策：包含決策能力、決策過程與決策監督，並確保有足夠資源、能力、設計過程與監督機制。

● 資料使用：資料是 AI 使用的一大挑戰，需管理資料的採集、準備、量測、可用性、品質、數量、適用性，以及資料差距與缺點。同時需進行資料使用的監督與量測（此處以 ISO 27001 為例，但需針對資料使用建立專案管理）。

● 文化價值：不同環境有不同文化與價值觀，使用 AI 時需留意。

● 遵循性：各國對標準與法規的遵循要求不同。

● 風險：需關注風險來源、對目標的影響，以及所採取的控制措施。

這些是在 AI 應用與管理過程中需注意的事項。

▲ 使用人工智慧的治理影響。

十、人工智慧國際標準未來趨勢與企業應對策略

AI 治理的發展起源自經濟合作暨發展組織（OECD）。OECD 於 2019 年提出 AI 管理倡議，強調應推動負責任、可信任的 AI。其提出的原則包括包容、尊重、透明、穩健與問責，這些理念成為後續各國制定法規與國際標準的重要基礎。各國根據 OECD 原則，逐步發展出各自的 AI 治理架構：

● 美國：目前尚未有專門針對 AI 的法律，主要以倡議性法案為主。AI 監管分散於多個主管機關，尚無統一的專責機構。

● 歐盟：已於 2024 年 3 月推動人工智慧法案，建立明確的法律框架。ISO 42001 與 ISO 42005 等標準多參照歐盟 AI 法案的要求。目前各國正逐步設立監督機關，未來可能整合現有的個人資料保護機制進行監管。

● 中國：在大型模型與運算技術上快速發展，已逐步追上國際水平。相關法規正處於規劃與制定階段，未來將加強對 AI 應用的監管。

● 日本：目前無嚴格的 AI 專法，多由企業自主管理，法規方向偏向大眾化與自律性規範。

● 印度：雖尚無專門 AI 法律，但正發展《數位印度法案》，未來將納入對 AI 的監管措施。

企業在面對各國不同法規環境時，應參考國際標準如 ISO 42001，並依自身角色（使用者、開發者或服務提供者）建立對應的治理機制，以因應全球趨勢與合規要求。

十一、臺灣人工智慧法令與實踐現狀

目前，臺灣正在積極推動人工智慧相關的法律框架與指導原則，特別是在詐欺防治、醫療以及金融等領域。以下為幾個關鍵點：

1. 人工智慧基本法草案：臺灣行政院已制定了一個關於生成式 AI 使用的參考指引，雖然這僅為指導性文件而非法律，但對於防範利用 AI 進行詐騙行為提供了初步規範。此外，針對合成圖像的應用及可能的詐騙行為也有所規定。

2. 金融業的 AI 應用：在金融業，臺灣已有較為完整的法規與指引，包括：金融業運用人工智慧（AI）指引：這些原則主要在確保 AI 技術的安全性和可靠性。測評指引：提供給金融機構和期貨商的評估指南，以確保其 AI 產品和系統符合標準。其中，《人工智慧產品與系統評測參考指引》仍處於草案階段。

3. 校園中的 AI 應用：臺灣的校園也是 AI 應用的重要場景之一，尤其是在深層學習領域，許多學校正積極探索如何利用 AI 提升教學質量和效率。

4. 衛生福利部的智慧醫療專案：衛福部於 2025 年初發布了智慧醫療三大中心計劃，涵蓋：負責任 AI 執行中心：負責確保 AI 系統的可信任度與合規性，類似於國際標準中提到的衝擊評鑑（Impact Assessment）。

臨床 AI 取證中心：設定了具體規則來保障臨床應用中的責任歸屬。AI 影響性研究中心：專注於研究 AI 對醫療服務的影響。參與此計劃的醫院已經開始進行衝擊評鑑，確保 AI 輔助醫療工作的安全性和有效性。

目前，臺灣在 AI 應用上的實質性文件主要集中在上述幾個領域。這些文件不僅提供了具體的操作指南，還包含了詳細的衝擊評鑑方法，對於希望深入了解 AI 風險管理和治理的個人或組織來說，是非常有價值的參考資源。總結來說，臺灣在 AI 應用上已經有了顯著進展，特別是在金融業和醫療領域，並通過各種指引和專案推動 AI 技術的安全、可靠使用。

隨著相關法律框架的進一步完善，預計未來將有更多的行業受益於這些創新技術。此外，AI 也逐漸與 ESG（環境、社會、治理）永續發展議題連結，探討其在推動永續目標上的潛力。目前臺灣的 AI 基本法正加速推行，但現行草案內容多屬原則性規範，與歐盟《人工智慧法案》相比，尚未明確列出禁止事項或高風險系統的申報要求，細節規範仍待補強。

十二、ISO 42001：整合多項國際標準的 AI 管理系統框架

ISO 42001 為人工智慧管理系統標準，引用超過 30 項國際標準，形成完整治理框架，主要包含：

● ISO／IEC 38507：2022：治理框架，為 AI 管理提供指導。

● ISO／IEC 42006：2025：對人工智慧管理系統審核和認證機構的要求。

● ISO／IEC AWI 42007：評估方法，提供 AI 系統性能評估的指南。

● ISO／IEC 22989：2022：AI 概念與術語，建議初學者先閱讀此標準以建立基礎知識。

● ISO／IEC 23894：2023：組織風險管理，針對組織內部風險進行評估。

● ISO／IEC 42005：2025：人工智慧系統影響評估，補充傳統風險評估，關注更廣泛的社會層面。

● ISO／IEC 23503：2022：機器學習，提供機器學習模型開發與部署的指導。

● ISO／IEC CD 42105：監督標準，確保 AI 系統持續符合要求。

● ISO／IEC 24668：2022：資料管理，特別適用於大數據分析。

● ISO／IEC CD 27090：AI 安全與威脅防護，提供安全指南。

● ISO／IEC FDIS 1279：透明度，目前也在 FDIS 版，強調 AI 決策過程的透明性。

ISO 42001 整合上述標準，構成複雜但完整的 AI 管理體系，協助組織系統化管理 AI 風險與應用。

▲ AI 國際標準（ISO）。

十三、結論

綜合上述內容，AI 技術的快速發展帶來了效率提升與創新契機，但也伴隨著風險與挑戰，從對抗性攻擊導致 AI 誤判，到訓練資料偏差所引發的決策錯誤，相關的議題是否會影響組織、個人及社會，這些威脅凸顯了系統化管理的必要性。

ISO 42001 人工智慧管理系統標準，正是回應此需求而生，它不僅延續 ISO 通用高階架構，更特別強調在導入之初即明確定義組織角色 — 是 AI 使用者、開發者或服務提供者。

此一界定，為後續管理奠定基礎，有別於傳統標準如 ISO 27001 僅針對特定風險進行一次性評估，ISO 42001 要求將風險管理嵌入 AI 的整個生命週期，從初始決策、設計開發、驗證和確認、部署、運作與監控，到持續確認、重新評估到除役或更換，每個階段都需有對應的風險分析、衝擊評鑑與控制措施，確保風險持續受控。

同時，治理層面亦不可忽視，決策機制、資料使用、文化價值、法規遵循，以及風險評估，都是 AI 治理的重要組成，尤其在金融、會計、行銷、客服與供應鏈等應用比例較高的領域，更需建立完整的管理框架。面對 AI 帶來的變革，企業應以 ISO 42001 為指引，結合國際趨勢與自身角色，建構兼具安全性、透明度與問責性的 AI 管理系統，方能在創新與風險之間取得平衡，實現可信任的 AI 應用。

延伸閱讀：

>> 人工智慧風險管控必備！ISO／IEC 42001 AI 國際標準（上）