15. 【題組 2】情境如附圖所示。資安長要求除了前述控制外，為了 強化 AI 治理，導入 ISO 42001 人工智慧管理系統(Artificial Intelligence Management System, AIMS)，請問在導入 AIMS 過程中，下列何項組合與 AI 治理較具關聯？
(A) (1)(5)
(B) (2)(3)
(C) (3)(4)
(D) (5)(6)

這題的正確答案是 (B) (2)(3)。

在導入 ISO 42001 人工智慧管理系統 (AIMS) 的情境下，核心目標是「負責任地開發、提供或使用 AI 系統」。因此，我們必須挑選與 AI 技術本身的應用 以及 AI 風險認知 最直接相關的選項。

以下是詳細解析：

為何 (B) (2)(3) 是最佳組合？

• 措施 (2) 企業導入影像辨識、聲音辨識或 AI 模組

  • 對應 ISO 42001 概念：AI 系統的獲取與部署 (Acquisition and Deployment)

  • 解析： 當企業決定引入 AI 工具來進行防禦（如用 AI 對抗 AI），這正是 AIMS 管理的核心對象。治理重點包括：確保這個 AI 模型的準確性、公平性、可解釋性，以及監控其是否持續有效。這是「使用 AI」的治理範疇。

• 措施 (3) 教育員工辨識深度偽造攻擊 (如假冒上司語音、影像等)

  • 對應 ISO 42001 概念：能力與意識 (Competence and Awareness)

  • 解析： AI 治理不僅僅是管機器，更要管「人」。ISO 42001 強調組織人員必須具備足夠的 AI 素養 (AI Literacy)，能夠理解 AI 的功能、限制以及潛在風險（如 Deepfake）。教育訓練是確保組織能有效應對 AI 特有風險（如社交工程變形）的關鍵治理手段。

為何其他選項較不相關？

這些選項雖然都是好的資安措施，但它們屬於「一般資訊安全 (ISO 27001)」或「內部控制」範疇，而非 AI 治理特有的重點：

• (A) (1)(5)：

  • (1) 阻擋網站：屬於一般的網路存取控制 (Access Control)。

  • (5) Email 加密：屬於資料保護技術 (Data Security)。

• (C) (3)(4)：

  • (4) 財務系統 MFA：屬於身分認證管理 (Identity Management)，與是否使用 AI 無關。

• (D) (5)(6)：

  • (6) 職務區隔 (SoD)：屬於財務內控與作業流程管理 (Process Control)。

總結

ISO 42001 的精神在於管理「AI 帶來的機會與風險」。

• 措施 (2) 是關於用 AI（機會/工具管理）。

• 措施 (3) 是關於懂 AI（風險/人員管理）。

  這兩者構成了 AI 治理中最基礎的技術與人員支柱。