ISO/IEC 22989:2022 人工智慧－概念與術語

ISO/IEC 22989:2022是由國際標準化組織（ISO）與國際電工委員會（IEC）的第一聯合技術委員會下的第42分會（JTC 1/SC 42）所制定的基礎性國際標準。其核心目的在於提供一套權威且統一的人工智慧（AI）領域通用詞彙與概念定義，內容涵蓋AI系統、機器學習、資料、可信賴性（Trustworthiness）等關鍵術語。在AI技術快速發展且定義紛雜的背景下，此標準旨在消除產業界、學術界與監管機構之間的溝通歧義。在風險管理體系中，它扮演著「羅塞塔石碑」的角色，是實施ISO/IEC 42001（AI管理體系）和ISO/IEC 23894（AI風險管理）等更具體標準的先決條件。透過確立共同語言，企業才能精準地識別、評估與溝通AI相關風險，並確保與全球供應鏈夥伴及監管單位（如歐盟AI法案的規範）的認知一致。

企業可透過以下三步驟將ISO/IEC 22989應用於風險管理實務： 1. **建立內部共通詞彙庫**：首先，組織應舉辦內部教育訓練，將此標準作為AI治理的官方詞典，確保法務、合規、研發及業務等跨部門團隊，對於「偏見（bias）」、「可解釋性（explainability）」、「穩健性（robustness）」等關鍵風險概念有著完全一致的理解，避免因定義不清導致風險被遺漏。 2. **精準化風險盤點與評估**：在執行AI系統風險評鑑時，使用標準中對「AI系統生命週期」的定義來界定風險盤點的完整範疇（從資料收集到模型退役）。例如，明確區分「驗證（verification）」與「確效（validation）」的差異，能讓模型測試的有效性評估更為嚴謹，確保技術風險被準確量化。 3. **標準化合約與合規文件**：在與供應商的合約、客戶服務條款及提交給監管機構的報告中，全面採用此標準的術語。這不僅能降低法律風險，更能具體向稽核員與合作夥伴展現企業AI治理的成熟度，已有跨國金融機構藉此將新AI應用的合規審查時間縮短約20%。

台灣企業導入此標準主要面臨三大挑戰： 1. **挑戰：從概念到實踐的差距**：此標準僅定義「是什麼」，未說明「怎麼做」，導致法務或合規人員難以轉化為具體控制措施。**對策**：應將其與NIST AI風險管理框架（AI RMF）或ISO/IEC 42001（AI管理體系）等實踐性框架結合。建議成立跨職能的「AI治理委員會」，由委員會主導，選擇一項低風險的AI應用作為試點，將標準術語對應到具體的風險情境與控制要求中，預計3個月內可完成初步對應。 2. **挑戰：缺乏跨領域整合人才**：AI治理需同時具備技術、法律與倫理知識，多數企業缺乏這類整合型專家。**對策**：除了成立跨部門工作小組外，應優先對法務與稽核人員進行AI技術基礎培訓，並與外部專業顧問（如積穗科研）合作，導入外部經驗以加速內部人才養成。初期可設定目標，在6個月內完成核心團隊的賦能。 3. **挑戰：與現有管理體系整合困難**：企業多已導入ISO 27001等資安管理體系，若另建一套AI治理流程將造成資源浪費。**對策**：利用ISO管理體系共通的高階架構（Annex SL），將ISO 22989的AI概念擴充至既有的ISO 27001風險評鑑流程中，例如，在資產盤點中增加「AI模型」與「訓練資料集」等新類別，即可無縫整合，避免疊床架屋。

積穗科研股份有限公司專注台灣企業ISO/IEC 22989:2022(E)相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact