ISO/IEC 27090 人工智慧安全與隱私控制指引

ISO/IEC 27090是一項制定中的國際標準，全名為「資訊安全、網路安全與隱私保護 — 人工智慧 — AI安全與隱私控制措施使用指引」。它隸屬於ISO 27000資訊安全管理系列標準，專門為應對人工智慧（AI）系統帶來的獨特安全與隱私挑戰而設計。此標準的核心目的，在於提供一套實務指引，協助組織如何選擇、實施並維護適用於AI生命週期的安全與隱私控制措施。它並非如ISO 27001般可供驗證的管理系統，而是一份支援性文件，旨在將ISO/IEC 23894（AI風險管理）等標準的抽象原則，轉化為具體行動。它將參照ISO/IEC 27002的控制措施，並針對資料中毒、模型竊取、對抗性攻擊等AI特有威脅提供防護建議，以協助企業符合歐盟AI法案等新興法規的要求。

企業可將ISO 27090作為連接AI風險評估與資安實務的橋樑。第一步，**風險識別與情境化**：依據NIST AI風險管理框架（AI RMF）或ISO/IEC 23894，盤點企業使用的AI模型（如預訓練模型），並識別如資料中毒、對抗性攻擊等AI特有威脅。第二步，**控制措施選擇與客製化**：參照ISO 27090的指引，從ISO/IEC 27002的控制項中，選擇並調整適用於AI生命週期的措施。例如，針對模型竊取風險，強化對模型檔案與API的存取控制。第三步，**整合與監控**：將這些控制措施嵌入MLOps流程，並建立持續監控機制。例如，一家金融科技公司導入後，其AI模型遭對抗性攻擊的成功率降低了30%，並成功通過歐盟AI法案的合規性預審，將潛在罰款風險降至最低。

台灣企業導入ISO 27090主要面臨三大挑戰。第一，**跨領域人才斷層**：同時精通AI演算法與資安攻防的專家稀少。對策是成立由資料科學家、IT安全與法務組成的跨職能AI治理小組，並尋求外部顧問協助。第二，**本地法規不明**：相較於歐盟AI法案，台灣AI專法仍在研議，企業缺乏合規的急迫性。對策是採取「超前部署」策略，參考國際最佳實踐，將ISO 27090作為內部治理標準，建立競爭優勢。第三，**中小企業資源限制**：認為AI安全投資過高。對策是採用風險基礎方法，優先保護涉及敏感個資或關鍵決策的高風險AI應用，並善用OWASP AI Exchange等開源安全工具。建議先進行為期一個月的差距分析，再選擇一個關鍵應用進行為期三個月的試點導入。

積穗科研股份有限公司專注台灣企業ISO 27090相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact