ISO/IEC TR 24028：人工智慧可信賴性概覽

ISO/IEC TR 24028是由國際標準化組織（ISO）與國際電工委員會（IEC）聯合發布的技術報告（Technical Report），旨在提供人工智慧（AI）「可信賴性」（Trustworthiness）的全面性概念框架。它並非一個可供驗證的正式標準，而是指導性文件，其核心目的在於建立一套共通語言，以描述與評估AI系統的複雜特性。報告中詳細闡述了可信賴性的多個關鍵構面，包括可靠性、韌性、可用性、安全性、隱私、問責性、透明度、可解釋性、公平性與偏見控制等。此報告為後續更具體的AI標準，如ISO/IEC 23894（AI風險管理）與可驗證的ISO/IEC 42001（AI管理系統）奠定了理論基礎。對企業而言，它是在歐盟AI法案等新興法規下，證明其已對AI風險進行盡職調查（Due Diligence）的關鍵參考依據。

企業可透過以下三步驟將ISO/IEC TR 24028框架應用於風險管理實務：第一步「建立共同語言與風險盤點」，利用報告中定義的可信賴性構面（如公平性、透明度、安全性）作為標準化清單，對組織內所有AI應用進行全面風險識別與評估，確保技術與業務團隊對風險有統一認知。第二步「整合至現有風險管理框架」，將盤點出的AI特有風險（如模型偏見導致的歧視風險）對應並整合至企業現有的ISO 31000風險管理體系中，將其歸類於營運、法律或聲譽風險，避免AI風險管理被孤立。第三步「設計控制措施與治理指標」，針對識別出的高風險項目設計具體控制措施，例如為解決透明度不足問題，導入可解釋AI（XAI）工具。一家台灣金融機構應用此框架評估其信貸模型，成功將模型公平性指標提升15%，並順利通過監管機構的年度審計，有效降低潛在的合規風險與財務損失。

台灣企業導入ISO/IEC TR 24028主要面臨三大挑戰： 1. 概念抽象，實作指引不足：此技術報告提供高階框架，但缺乏具體操作步驟。對策是將其與美國國家標準暨技術研究院的AI風險管理框架（NIST AI RMF）等更具實作性的指南結合，並選擇一個高風險AI應用作為試點專案，逐步建立內部實施方法論。 2. 跨部門協作困難：AI可信賴性涉及法務、合規、IT、數據科學等多個部門，組織壁壘常導致權責不清。對策是成立跨部門的「AI治理委員會」，由高階主管帶領，負責制定政策、監督風險評估並建立共享的AI風險登錄冊（Risk Register），優先於3個月內完成此項工作。 3. 專業人才與資源限制：多數企業，特別是中小企業，缺乏AI倫理或AI安全的專業人才與預算。對策是採取風險基礎方法，優先處理最高風險的AI系統，並尋求如積穗科研等外部顧問的協助進行初期建置與內部培訓，規劃6至12個月的時程逐步培養內部專家。

積穗科研股份有限公司專注台灣企業ISO/IEC TR 24028相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact