• 登入
  • 註冊網站會員
CIO Taiwan
  • 活動
  • 影音
  • 趨勢分析
  • CIO 雜誌
  • CISO精選
  • 電子報
  • 下載
  • 聯繫我們
沒有結果
查看所有結果
CIO Taiwan
沒有結果
查看所有結果
首頁 CISO精選

AI 治理轉折年 啟動風險矩陣 × 國際標準工作流

2026-04-16
分類 : CISO精選, 科技解碼
0
A A
0
AI 治理轉折年 啟動風險矩陣 × 國際標準工作流

國際 AI 風險治理 政策趨勢與展望(三)

相較於既有的資安治理、風險管理、內控與合規體系,AI 的風險型態更複雜,影響範圍跨越 IT、法務、人資、品牌與供應鏈。若缺乏一套可執行的治理架構,導入速度越快,後續的修補成本就越高。

資料提供/何全德 採訪/鄭宜芬‧刊期/2026.5


AI 能力以近乎指數的速度進化,工具的門檻降低,應用的擴散速度卻越來越快。對企業而言,2026 年是決定能否取得競爭優勢的關鍵點。

國家資通安全研究院董事長辦公室資深顧問何全德以《西遊記》為比喻:孫悟空象徵具備「超能力」且能自我成長、遞迴迭代的 AI 技術;而唐三藏則代表負責「治理」的人類倫理與制度價值。為了防止 AI 失控,必須以「緊箍咒」——即治理框架與法律規範。

[ 加入 CIO Taiwan 官方 LINE與 Facebook,與全球 CIO 同步獲取精華見解 ]

啟動 AI 風險評估:3×7 核心矩陣

面對碎片化與失衡的風險治理現況,企業在進行 AI 風險評估時,可採用「3×7 核心矩陣」交叉定位風險,跨維度精準鎖定 AI 安全威脅,並透過行列交會(例如無意間造成的資料外洩)精確編號與管理風險。

◤何全德提供。

在縱向的因果分類上,矩陣可從「實體、意圖、時間點」三個方向追溯風險源頭:第一是實體,即責任歸屬是人類還是 AI;第二是意圖,到底是蓄意或意外;第三是時間點,風險在何時發生,例如部署前的人類偏見或部署後的濫用行為。

橫向的七大風險領域包括:歧視(AI 產生偏見或有害語言)、隱私(數據外洩與監控風險)、誤導(傳播假消息與誤導性內容)、濫用(利用 AI 進行攻擊或詐欺)、人機互動(過度依賴、情感操控與溝通問題)、社經危害(就業流失、不平等與碳足跡增加),以及系統失效(技術故障、意外後果與功能邊界)。

MIT 四層次治理框架 將風險變成制度

完成風險盤點後,麻省理工學院(MIT)提出一套治理框架。何全德表示,MIT 的資料庫並非要取代現有框架,而是扮演補足內容空白的角色。該資料庫可為 NIST 的流程提供更詳盡的風險列表,也能為歐盟 AI 法案的原則提供更具體的技術細節。

他以具象的方式比喻這套層次化結構:治理與監督如同「地基與結構設計」,技術與安全是「消防與保全系統」,操作流程則類似「定期安全演練」,透明度與問責則是「緊急出口標示」。

• 治理與監督:建立組織層面的管控流程。

• 技術與安全:進行模型與代碼防護,強化系統本身的防禦力。

• 透明度與問責:以信任與外部審查,確保 AI 決策的可追溯性。

• 營運流程控制:透過全生命週期管理,規範日常運作的風險管理。

◤何全德提供。

從「政策原則」到「工程設計」的整合治理系統

全球 AI 治理框架快速擴張,如何從眾多標準與倡議中辨識出適合的治理路徑,成為各國與企業共同面臨的挑戰。國際組織與技術標準正在形成一套可串接的整合治理系統,從「政策原則」延伸到「工程設計」,讓治理能轉化為具體流程、制度與技術落實。這套系統,是臺灣從「Ad Hoc」邁向「Optimized」治理成熟度的完整藍圖。

◤何全德提供。

一、政策原則層(Policy Principles)

主要功能是奠定國家層級的價值共識。OECD AI 原則被視為全球 47 國的政策基石,2024 年新增「人類主導與監督」與「資訊完整性」兩項重點。UNESCO 的 AI 倫理建議則由全球 193 國通過,是目前最具包容性的國際倡議,並提供兩大實施工具,包括準備度評估(RAM)與倫理影響評估(EIA)。這些內容也為臺灣《AI 基本法》的七大原則提供了國際連結與最新詮釋。

二、風險管理層(Risk Management)

著重建立靈活且可迭代的評估流程。NIST AI RMF 作為美國發布的風險管理框架,涵蓋治理(govern)、映射(map)、測量(measure)與管理(manage)四大模組,其核心是一套自願性、非線性的循環流程,目標是管理可信賴 AI 的七大特徵,例如公平、透明與安全等。NIST 也發布「生成式 AI Profile」,呈現框架隨技術演進持續更新的能力。

三、組織治理層(Organizational Governance)

目標是協助企業接軌國際認證體系。ISO/IEC 42001 的獨特性在於是全球首個「可認證」的 AI 管理系統標準,採用 PDCA 循環,並提供 38 項具體控制措施(Annex A)。該標準具備明確的市場價值,能提升企業的國際競爭力,也能滿足全球供應鏈的合規要求,目前已有新加坡樟宜機場、日本 Godot Inc. 等案例。

四、工程設計層(Engineering Design)

重點在於將倫理要求內嵌於技術開發流程。IEEE 7000 透過價值萃取、倫理需求轉化與系統設計,目的彌補高階政策與實際開發之間的落差。透過建立「價值登錄簿」(Value Register),確保端到端的倫理可追溯性,並將價值具體落實到程式碼與系統設計中。

[ 推薦閱讀:AI 失控隱憂 風險治理關鍵期 ]

企業優先強化之 AI 治理措施

在多套國際框架逐步成形的背景下,2026 年可被視為「AI 治理元年」。何全德認為,企業若要在合規要求、供應鏈壓力與市場競爭中維持韌性,值得優先投入的以下幾項治理措施:

• 建立「識別風險」的動態機制

由於 AI 風險高度依賴使用情境,且多數問題發生在部署之後,治理重點不能只停留在上線前審查。企業可參考 MIT 的 AI 風險資料庫(收錄逾 1,700 項風險條目)與 NIST AI Risk Management Framework(AI RMF),建立內部風險清單,並以全生命週期方式持續審計與更新。針對不同風險等級與應用場景,也應同步制定相應的技術、流程與治理控制措施,讓緩解措施(mitigation)成為日常管理的一部分。

• 把 AI Agent 納入資安與內控範圍

其次,企業在導入 AI Agent 或大語言模型時,需強化倫理框架與「主權 AI」思維,確保 AI 系統符合臺灣的法律與倫理價值。在關鍵決策領域(如醫療、金融),企業應維持人類自主權,避免模型輸出直接影響重大決策,並建立偏見防制機制。在專業領域如法律、會計等,則應優先發展符合本地法規的垂直應用模型,降低誤用外國資料庫或不明訓練資料所帶來的法遵風險。

• 強化人類自主權與責任界線

AI 治理不只是制度與工具,更涉及組織文化。AI 的價值在於解決人類的「痛點」並提升效率,因此企業應建立人類智慧(HI)與 AI 合作的文化。成功的 AI 轉型應從解決員工最痛苦、最重複的工作任務(task)開始,而非直接以取代職位(job)為目標。同時,從董事會到第一線員工都需要具備 AI 素養,理解 AI 的能力邊界與潛在風險,將企業文化逐步轉向「負責任的 AI」。

• 供應鏈治理:第三方模型與工具的責任管理

隨著 AI 生態系擴大,供應鏈審查與第三方管理將成為企業治理的主戰場。企業除了要關注模型供應商、API 調用與外部資料來源,也必須評估第三方在資料標註、外包作業等環節可能衍生的治理風險。建議企業應建立更嚴格的供應鏈審查機制,確保供應商具備必要的透明度與安全能力,並能提供版本更新、風險變更與事件通報等可稽核資訊。

[ 推薦閱讀:合規分水嶺 AI 治理成熟度成市場門檻 ]

AI 治理工作流 NIST+ISO+資安框架

在實務操作上,透過 NIST AI RMF、ISO/IEC 42001 等國際框架進行組合應用,與既有資安框架互補,有利於與現有治理體系接軌。

• 廣度識別:Start with MIT

企業可先以 MIT 的方法進行領域掃描,識別潛在風險因子,並依業務情境排序優先級。

• 建立流程:Establish with NIST

導入 NIST RMF 架構,將識別出的風險納入治理(Govern)、對應(Map)、量測. (Measure)、管理(Manage)的循環。

• 技術加固:Harden with CISA

針對具體資產採用 CISA 指南進行威脅建模與安全防護。

• 確保合規:Verify with EU Act

對於跨國或面對供應鏈要求的企業,最後進行法規差距分析,確認符合歐盟 AI 法及國內AI基本法等相關監管要求。

[ 推薦閱讀:企業準備面對 CRA 的第一張考卷 ]

臺灣 AI 治理模式 降低合規成本、加速創新

臺灣作為全球半導體製造重心,依據「AI新十大建設推動方案」正致力成為 AI 應用大國。何全德表示,AI治理只有「先做國家」而沒有「先進國家」,因為 AI 治理並無前例可循,各國都在摸索學習,臺灣應依自身價值觀與國家戰略需求,建立及試行符合自已國情的治理模式,而非僅成為跟隨者。

他呼籲應重視人類智慧(HI)與 AI 的結合,善用 AI 提升台灣的國力、因應人口減少及增進民眾福祉等挑戰。更重要的是,風險治理不能憑空想像,必須採取循證決策(evidence-based decision-making),以數據與實證研究作為政策制定依據。

相較於歐盟的嚴格監管,臺灣的治理策略更傾向於「鼓勵創新」與「風險導向」並重,這為企業導入 AI 提供了具體的助力。

• 「分類」優於「分級」

在制度設計上,臺灣的《人工智慧基本法》採取與歐盟不同的思路,傾向由數發部制定「風險分類框架」,而非僵化的「分級監管」。這種模式將治理權限回歸到各目的事業主管機關,例如衛福部監管醫療、金管會監管金融,因為主管機關最了解該領域的應用需求與可能的專業風險。

企業不需要面對單一且沉重的全面性監管,而是遵循所屬產業的特定指引,這能避免「管過頭」阻礙創新。

• 推動「應用大國」戰略

臺灣作為AI製造強國,政府正致力於成為「應用大國」。政府透過預算獎勵、人才培育及 AI新十大建設推動方案等措施,協助政府及企業將 AI 應用於為民服務、製造、醫療與照顧、法律等各行各業。

這種「先做國家」的策略,不盲目追隨先進國家,而是根據自身需求及國家發展目標,讓臺灣企業能在相對開放的環境下開發符合本土法規的主權 AI,確保資料安全與法律適用性。

[ 推薦閱讀:資安成為供應鏈信任門檻 以 CSF 2.0 建立信任基石 ]

可修正、可持續 合規角色翻轉

面對全球 AI 治理加速成形,何全德指出,情勢已從過去將合規視為後勤支援,轉向視為企業策略要務。諮詢顧問公司 Coalfire 亦強調,合規不再只是成本或防禦,而是「信任、韌性與競爭優勢的策略要務」。2026 年不僅是多項法規生效的期限,更將成為區分市場領導者與落後者的關鍵轉捩點。

AI 的高速演進迫使決策者必須在「看不清楚未來」的當下做出選擇。過去以「AI 工具論」為核心的治理思維已不足以因應,必須轉向更系統化的治理方式。他指出,破解科林里奇困境(Collingridge dilemma)的關鍵,不在於追求預測未來的完美制度,而是建立「為修正而設計,而非為預測而設計」(Design for Correction, not Prediction)的治理架構。唯有保持治理的彈性與可逆性,才能在人們享受 AI 紅利的同時,仍保有踩煞車的權力。

◤何全德提供。

企業四大策略:投資、借鏡、內化與應對

企業若要建立可持續的 AI 治理能力,可從四個策略著手:

一、投資:驅動價值創造的 AI 原生安全與合規

利用 AI 驅動的工具分析海量數據、偵測異常行為和預測潛在風險,放大合規團隊的專業能力。實現從成本中心到價值驅動者,從被動應對到主動預防的轉型。

二、借鏡:參考 EU 人工智慧法經驗

EU人工智慧法是全球AI治理的先行者,其相關規範及執行經驗可作為各國的參考。在台灣AI基本法相關規範二年內尚未完備前,企業可參考EU相關規定,評估自身發展或應用AI系統的風險暴露程度,採取可以減少風險的對策,並先期籌備法遵所需的各項技術及治理相關文件。率先符合EU 人工智慧法的企業,深信可在贏得信任與國際市場准入方面佔據先機。

三、內化:將倫理治理與隱私設計原則化為核心能力

將責任與安全內建於AI系統及產品基因之中,而非事後補救。企業宜將 AI 倫理治理和「隱私設計」原則深度整合到 AI 系統的整個生命週期中,從概念設計到最終退役。

四、應對:打造具韌性的全球數據治理架構

在系統架構規劃初期,就必須前瞻地考慮美國、歐盟及台灣等國家的數位治理法規/標準/規範要求,建立一個能適應全球及國內數據流動新常態的彈性架構,避免違法受罰和服務中斷。

◤何全德提供。

面對 AI 技術大約每八個月翻倍的演進速度,技術不會等待政策,政府與企業的政策制定速度將決定變革的方向,必須建立「持續、基於證據的評估機制」,作為理解並管理 AI 風險的關鍵基礎。藉由彈性的風險治理框架,臺灣有望發展出具韌性且符合民主價值的 AI 典範,從跟隨者進一步升級為智慧、民主、可信賴 AI 的全球典範。


(本文授權非營利轉載,請註明出處:CIO Taiwan)

標籤: AI資安
上一篇文章

從開源碼檢測到供應鏈評級,叡揚落實資安治理

下一篇文章

金管會推保險資金導入五大信賴產業 權數機制牽動資產配置決策

相關文章

CRA 驅動信任根升級 FIDO:AI Agent 時代臺灣硬體供應鏈迎新挑戰
產業速報

CRA 驅動信任根升級 FIDO:AI Agent 時代臺灣硬體供應鏈迎新挑戰

2026-07-08
AI 重塑全球資安新戰局 我國布局 PQC 與自主防禦新策略
產業速報

AI 重塑全球資安新戰局 我國布局 PQC 與自主防禦新策略

2026-07-08
科技解碼

美國最新總統令:頂尖人工智慧必須先過安檢!

2026-07-08
下一篇文章
金管會推保險資金導入五大信賴產業 權數機制牽動資產配置決策

金管會推保險資金導入五大信賴產業 權數機制牽動資產配置決策

2026 Elite Vendor

追蹤我們的 Facebook

近期文章

  • SentinelOne AI 全棧式安全平臺邁向自動化 SOC
  • Dynatrace以確定性AI建立信任,驅動代理自主維運
  • Al Agent 治理 萬里雲以 Apigee 築起零信任防線
  • Confluent數據驅動AI落地 偉康成就金融智能樞紐
  • 突破預算枷鎖 萬里雲推 Self-Funding 戰略轉型

📈 CIO點閱文章週排行

  • 【醫療轉型】屏東義大攜手思科建構「數位免疫網」:打造智慧醫療新典範,讓醫學中心照護深入偏鄉

    【醫療轉型】屏東義大攜手思科建構「數位免疫網」:打造智慧醫療新典範,讓醫學中心照護深入偏鄉

    0 分享
    分享 0 Tweet 0
  • 群聯電子攜手新立資訊導入 SynxDB,打造高效能數據平台,加速良率分析與 AI 應用布局

    0 分享
    分享 0 Tweet 0
  • 醫療業:AI 眼鏡如何成為智慧醫院的關鍵基礎設施

    0 分享
    分享 0 Tweet 0
  • 【重點包】虛擬資產服務法三讀 穩定幣納管、VASP 全面監理

    0 分享
    分享 0 Tweet 0
  • InfoSec Taiwan 2026:重新定義 AI 時代的「信任邊界」

    0 分享
    分享 0 Tweet 0
  • 魏董事長說三星做夢 韓國人還關心台灣什麼事?

    0 分享
    分享 0 Tweet 0
  • 【專訪】振生半導體執行長張振豐

    0 分享
    分享 0 Tweet 0
  • AI 時代的新課題:企業如何建立 Token 治理?

    0 分享
    分享 0 Tweet 0
  • 三大電信開放 API 串聯金融業 TWCA 建構行動身分認證生態

    0 分享
    分享 0 Tweet 0
  • FDE 前線部署工程師,讓 AI 真正落地的角色

    0 分享
    分享 0 Tweet 0

數位及平面

  • CIO Taiwan 網站
  • CIO 雜誌紙本
  • CIO 雜誌 HYREAD 版
  • CIO 雜誌 Zinio 版

關注社群

  • Line 加入好友
  • Facebook 粉絲頁

合作夥伴

  • CIO 協進會

關於我們

  • 公司介紹及工作機會
  • 隱私權政策

旗訊科技股份有限公司|統編:84493719|台北市 100 中正區杭州南路一段 15-1 號 19 樓|TEL: 886-2-23214335
Copyright © Flag Information Co.,Ltd. All Rights Reserved.

CIO Taiwan 歡迎你回來!

可用 使用者名稱 或 Email 登入

忘記密碼 註冊

歡迎註冊 CIO Taiwan 網站會員

請設定 Email 及 使用者名稱(使用者名稱不接受中文、將來無法更改)

欄位皆為必填 登入

找回密碼

請輸入 使用者名稱 或 Email 以重設密碼

登入
  • 登入
  • 註冊
沒有結果
查看所有結果
  • 活動
  • 影音
  • 產業速報
  • 新聞速寫
  • 風雲人物
  • 產業瞭望
  • 專欄
  • 精選文章
  • 原生現場
  • 供應商視野
  • 線上調查
  • CIO 雜誌
  • 電子報
  • 下載
  • 聯繫我們

© 2020 CIO Taiwan 版權所有

7/28 活動延期通知

因高雄市政府於7/28早上宣布全日停班停課,因此「智慧醫療研討會高雄場」活動延期舉辦。主辦單位將另行公告研討會相關訊息,歡迎報名參加!

您已閒置超過 3 分鐘了,為您推薦其他文章!點擊空白處、ESC 鍵或關閉回到網頁

地緣政治進入供應鏈,企業無法迴避的現實

當地緣政治成為常態性的營運變數,資訊長所肩負的責任,已遠超過維持系統穩定運行。

LOINC 標準上路 衛福部完成 HIS、LIS 介接驗證

整理/鄭宜芬 為解決臺灣醫療院所長期以來檢驗資料格式不一、難以互通的困境,衛生福

從五層 AI 供應鏈到三層現實治理:CIO 如何讓 AI 真正創造價值

蛋糕已在烤,但誰來確認端上桌的那塊值得吃? 文/林華庭(聯新國際醫療集團總執辦策

邁向 AI 優先企業 Gartner:資料與分析成企業新關鍵競爭力

整理/鄭宜芬 Gartner預測,2030 年有逾十分之一企業轉型為 AI 優先

AI 與網安的強強聯手出擊!七大 AI 網安新創大直擊

就在駭客運用 AI 發掘各種新興攻擊手法與攻擊管道之際,許多網路安全專家不僅開始

從微支付到跨境結算,大廠布局 AI Agent 經濟基建

文/許加政(資策會數轉院資深研究員) AI 的快速發展與應用,其角色已從「回答問

量子軟體生態系 2028 年將成戰場

文╱黃光彩 量子運算正從「科學承諾」快速走向「系統交付」。一場由政府宣示、硬體路

【金融業】後量子密碼遷移 PQC 的落地實務

一場針對 PQC 當前落實程度進行深度研討的論壇,匯聚了產、官觀點,金融業在後量

數發部攜人事總處發布「AI公務人才認定指引」Beta版 四大核心亮點

整理/鄭宜芬 面對AI技術快速演進的浪潮,為使公務人員具備紮實的AI素養、以科技

文章分類

  • 產業速報
  • 專欄
  • 影音
  • 風雲人物
  • CXO分享
  • 產業瞭望
  • 原生現場
  • 精選文章
  • 趨勢分析
  • 供應商視野
  • 新聞速寫
  • 下載
  • Sponsors

熱門標籤

  • 最新文章
  • 雲端運算
  • 人工智慧
  • 數位轉型
  • 製造業
  • 物聯網
  • 資料與分析
  • 資安
  • 區塊鏈
  • 5G
  • 儲存
  • 基礎架構

活動

  • CIO價值學院 四堂課
  • 智慧醫療研討會 台北/高雄場
  • 金融科技高峰會 春季/秋季場
  • 製造業CIO論壇 台北/台中/高雄場
  • 商業服務科技論壇
  • 亞太CIO論壇
  • CISO資安學院 金融/醫療/新竹場
  • CIO Insight 調查

影音

  • 影音