目前企業組織逐漸嘗試採用AI (人工智慧)工具進入組織內,這同時也衍生出企業對「數位信任」的機制建立該如何驗證數位內容可以明確在正確軌道上,此為重中之重的思考。
國際電腦稽核協會 ( ISACA ) 台灣分會在台灣超過10年時間,此國際組織ISACA對於數位信任的觀點、法律規範的角度對於AI的隱私保護框架、辨別AI的風險與建議AI安全計畫均有些明確的論述,針對透過 ISACA AI的工具進而具體落實AI安全稽核程序,中華民國電腦稽核協會秘書長黃淙澤於今年InfoSec Taiwan 2024活動演講做了些細部的說明,以下演講內容分享給大家。
AI的技術迅速且持續性發展之際,影響全球企業組織業務上的結合度愈來愈緊密時,黃秘書長表示當我們使用 AI稽核程序與評估技術時需有個準備,那就是「動態調整」的思維,如此才能與AI發展進度與時俱進,他也提醒企業高階人員,期待稽核人員單一遵循一套制定規則,不僅風險極高且對組織是不切實際的,因此企業組織內電腦稽核人員,身處AI新興技術領域內,要有效地進行風險控制,並且透過掌握AI生命週期多元面向,這些將有助於理解組織相關控制風險的細節。
國際電腦稽核協會 ( ISACA ) 今年六月推出 AI稽核工具,這個稽核工具源自法律框架的AI控制庫,黃秘書長表示 這個ISACA AI工具的查核方法與驗證理論規範,雷同2002年美國政府所通過的沙賓法案中相關內部控制查核規範,因此對於熟悉或是曾經接觸過沙賓法案的稽核人員而言,ISACA AI 稽核工具可以讓其快速理解,且工具呈現方式是Excel格式,這對電腦稽核人員還可更容易上手使用。
利用AI框架強化組織內控三道防線
AI稽核程序與評估技術會因為技術與環境變動,因此企業組織要注意 「可動態性調整」的彈性。企業組織除了首要確保遵守AI法規外,建立AI系統清單與設計風險分類流程,並將其與當前企業內部的流程進行整合,為首要之事。黃淙澤分享透過AI框架來強化企業組織內控的三道防線,第一道防線運用可交付成果或是文件,來增強目前流程或開發新流程,同步創建可識別、管理與處理AI系統所產生的風險流程。第二道防線是確保第一道防線所制定政策、程序和控制措施,企業可充分進行自我評估外,還可以深入了解如何利用技術政策、程序與指南方針,來實現預期目標。第三道防線則是將AI系統產生的風險,列入基於風險的內部稽核計畫執行的一部分,可以對相關控制的完整性與運作是否有效來進行測試。
黃秘書長進一步介紹ISACA AI稽核工具是提供使結構化的AI,具有合規性和評估控制的方法,讓 AI 開發人員與稽核人員有明確依循路徑,同時 ISACA AI稽核工具的包容性很大,企業可以使用當前現有的AI控制管理與ISACA AI延展出更具備企業需求的AI評估程式,同時這些控制項目也會被綜合歸納至不同的對照組,以確認評估範圍; 此外ISACA AI的控制系列和類別,會跨越不同領域,其中包含對抗性防禦和穩健性、AI資料隱私和權利、AI智慧模型治理,以及AI道德治理與問責等。黃秘書長說每個AI控制的設計目標是確保滿足可解釋性的AI,因此基本原則、責任、數據、公平、安全效能與影響,此六項準則具備所謂安全框架上所要求透明性的揭露標準。
ISACA AI安全稽核程序工具
ISACA AI安全稽核程序工具有一功能為AI導航地圖,此功能除了有控制系列、類別和名稱外,還有多樣的安全框架與標準參考,相對完善的安全框架與標準,包括NIST 800-53 和ISO 27001相結合、透過選定的AI特定指南(包括歐盟AI法案)進行解構和分析、新加坡的AI治理框架模型、MITRE (美國國防技術研究NGO)的 Atlas (對抗性機器學習威脅矩陣) 和 OWASP 機器學習十大安全風險等,這些也會在稽核工具的分類產出,示意圖如下。