阿摩線上測驗
17. 因應 AI 技術的成熟和普及,W 公司已安排乙供應商擇 一條產線進行新的 AOI(Automated Optical Inspection)自動光學檢測系統評估,用 以提升未來產線的 QA 能力,請問在導入 AI 技術時,下列何項為「非」優先考量的 AI 或資安治理合規標準?
(A) 行政院數位發展部「公部門人工智慧應用參考手冊(草案)」
(B) EU AI Act 歐盟 AI 法案
(C) ISO/IEC 27006 資訊安全管理系統稽核規範
(D) IEC 62443 系列工業通信網路-網路和系統的 IT 安全性標準
統計: A(3), B(2), C(5), D(2), E(0) #3871592
詳解 (共 1 筆)
這題的正確答案是 (C) ISO/IEC 27006 資訊安全管理系統稽核規範。
在評估 AOI(自動光學檢測)系統導入 AI 技術時,治理標準通常會圍繞「AI 倫理與應用」、「國際 AI 法律限制」以及「工業環境資安」這三大支柱。
選項分析與說明
| 選項 | 標準名稱 | 評價與原因 |
| (A) | 公部門人工智慧應用參考手冊 | 應考量。 雖然 W 公司可能為私人機構,但數發部發布的此手冊是目前台灣針對 AI 應用(如風險評估、透明度、安全性)最具指標性的本土框架,通常作為國內企業合規的首選參考。 |
| (B) | EU AI Act (歐盟 AI 法案) | 應考量。 這是全球首部具法律約束力的 AI 法令。若 W 公司的產品外銷歐盟,其產線使用的 AI 系統必須符合該法案對「高風險 AI 系統」的透明度、數據治理與監管要求。 |
| (C) | ISO/IEC 27006 | 非優先 (正確答案)。 這是一份專門給「認證機構 (Certification Bodies)」看的規範,規範的是如何稽核 ISO 27001 的程序(即針對稽核員與顧問公司的規定),而非針對 AI 系統本身或受稽核單位的技術安全規範。 |
| (D) | IEC 62443 系列標準 | 應考量。 產線(OT 環境)與辦公室 IT 環境不同。AOI 系統屬於工業控制系統的一部分,IEC 62443 是針對工業自動化與控制系統 (IACS) 專門制定的資安標準,對於產線安全性至關重要。 |
為什麼 (C) 是最不適切的優先考量?
在資安與 AI 治理中,我們需要區分「技術規範」與「認證作業準則」:
-
ISO/IEC 27001 是給企業看的(如何建立資安制度)。
-
ISO/IEC 27006 是給負責發證書的機構(如 BSI, SGS)看的,內容涉及的是「稽核天數如何計算」、「稽核員需具備什麼資格」。對 W 公司在評估 AOI 系統的「AI 技術合規」上,幾乎沒有直接的指導價值。
補充:AOI 導入 AI 的合規重點
在產線導入 AI AOI 時,應優先關注以下兩個維度:
-
AI 技術治理:
-
ISO/IEC 42001 (人工智慧管理體系):這才是目前國際間針對 AI 治理最權威的 ISO 標準。
-
可解釋性 (Explainability):確保 AI 判定瑕疵的原因是可以被理解與覆核的。
-
-
工業資安 (OT Security):
-
IEC 62443-4-2:針對工業設備的安全要求。
-
隔離與傳輸:AI 模型訓練與影像回傳時,是否會造成 NHI VPN 或其他醫療/工業關鍵基礎設施的網路斷點。
-