ISO/IEC TR 24028/29

ISO/IEC TR 24028與24029是國際標準化組織（ISO）與國際電工委員會（IEC）聯合發布的人工智慧技術報告，旨在為AI系統的信任度與穩健性提供指導。ISO/IEC TR 24028:2020《人工智慧—信任度》提供了一個全面的概念框架，涵蓋了AI系統的倫理、透明度、可解釋性、隱私、安全性、可靠性與韌性等關鍵信任面向。而ISO/IEC TR 24029系列（如TR 24029-1:2021《人工智慧—類神經網路穩健性評估》與TR 24029-2:2023《人工智慧—機器學習模型穩健性評估》）則專注於評估AI模型在面對惡意攻擊或異常輸入時的穩健性。這些報告作為ISO/IEC JTC 1/SC 42（人工智慧）工作組的成果，為後續AI標準制定奠定基礎，並與ISO 27000系列資訊安全標準互補，協助組織理解並管理AI相關風險，但其本身並非強制性標準。

台灣企業可將ISO/IEC TR 24028/29整合至現有風險管理體系，以應對AI帶來的挑戰。首先，**風險評估**：依據TR 24028的信任度框架，識別AI系統在倫理、安全、隱私（如符合台灣個資法第16條個人資料利用原則）、可靠性等方面的潛在風險，並結合TR 24029評估AI模型的穩健性，例如進行對抗性攻擊測試。其次，**控制措施設計**：參考TR 24028的建議，設計並實施如資料匿名化、模型可解釋性機制、安全測試與監控流程。例如，某金融科技公司導入TR 24028/29後，將AI信用評分模型的穩健性評估納入開發流程，透過對抗性樣本測試，將模型在特定攻擊下的錯誤率從15%降低至5%，顯著提升了模型的可靠性。最後，**治理框架建立**：將AI風險管理整合至企業風險管理體系（如ISO 31000），明確責任歸屬，建立AI倫理委員會或專責小組。透過此應用，企業可望提升AI合規率10-15%（符合如歐盟AI法案要求），減少AI相關風險事件20%，並提高審計通過率。

台灣企業導入ISO/IEC TR 24028/29面臨多重挑戰。首先是**法規認知與轉化**：台灣目前尚無專屬AI法規，企業對國際標準（如EU AI Act）的理解不足，難以將TR的指導轉化為本土實踐。其次是**技術與人才差距**：缺乏具備AI倫理、穩健性評估及安全測試專業知識的人才，且相關工具與技術導入成本高昂。第三是**組織文化與資源限制**：中小企業普遍資源有限，難以投入大量資金與人力進行AI治理與風險管理，且內部對AI風險意識不足。為克服這些挑戰，企業應採取以下對策：**加強法規研究與培訓**，積極參與國際AI法規研討會，並透過外部顧問協助，將TR 24028/29與台灣現有法規（如個資法、資通安全管理法）進行對應分析，制定符合本土情境的實施指南。**引進外部專業與合作**，與學術機構或專業顧問公司合作，引進AI倫理與安全專家，或投資於自動化AI風險評估工具，降低技術門檻。**分階段導入與高層支持**，從高風險AI應用場景開始試點導入，逐步擴展，並爭取高層對AI治理的承諾與資源支持，將AI風險管理納入企業ESG策略。預計初期評估與規劃需3-6個月，試點導入與優化需6-12個月，全面推廣則需1-2年。

積穗科研股份有限公司專注台灣企業ISO/IEC TR 24028/29相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact