圖/本報資料庫
NIST AI RMF
2 hours ago

#NIST AI RMF
#人工智慧
#風險管理
#網路安全
#企業治理
圖/本報資料庫
圖/本報資料庫
商傳媒|何映辰/台北報導
摘要

為協助企業管理日益增長的AI導入風險,國家標準及技術研究所(NIST)的AI風險管理框架(AI RMF)正被整合進治理、風險與合規(GRC)稽核體系,透過統一風險評估、簡化合規流程,強化企業對AI系統的全面管控,確保AI部署的安全性與可靠性。

隨著人工智慧(AI)應用日益普及,企業在導入AI技術時面臨新的風險與挑戰。為了協助企業有效管理這些風險,美國國家標準及技術研究所(NIST)發布的AI風險管理框架(AI RMF)正被整合至現有的治理、風險與合規(GRC)稽核體系中,以確保AI部署的安全性與可靠性。

根據《Security Boulevard》報導,單獨部署的AI系統可能會產生傳統網路安全稽核難以察覺的漏洞。透過將AI RMF原則納入現有的 NIST SP 800-53 Rev. 5 評估中,企業將能全面掌握數據管線、模型訓練環境和自動化決策系統的運作狀況。這種整合帶來多重效益,包括建立統一的風險登錄機制,不僅涵蓋傳統IT控制措施,也將AI特有的偏見或漂移(drift)指標納入考量;同時能簡化支援多重框架的證據收集工作,並透過可量化的AI治理指標,強化董事會層級的報告品質。

AI RMF中的治理、繪製、衡量與管理等功能,與 NIST SP 800-53 Rev. 5 的存取控制(AC)、稽核與責任(AU)、配置管理(CM)、風險評估(RA)及系統與資訊完整性(SI)等控制族群直接對應。對於正尋求CMMC、ISO/IEC 27001、SOC 2、HIPAA及FedRAMP等認證的組織而言,將AI RMF視為現有框架的「疊加層」(overlay)而非獨立專案,能有效提升合規效率。

為此,企業高階主管應自2026年起,要求將AI治理指標納入所有企業風險報告中。同時,組織應編列預算,聘請同時理解 NIST SP 800-53 Rev. 5 技術控制與AI RMF社會技術考量的專業評估人員。此外,建立一個向負責CMMC與HIPAA合規的治理委員會報告的AI倫理審查委員會,亦是關鍵的建議措施。