安全和風險團隊通常依賴反映人工智慧系統數月前運作情況的文件和審計資料， ETSI 的基於持續審計的符合性評估規範 ( ETSI TS 104 008 ) 描述了一種不同的方法，該方法透過與即時系統行為相關的定期測量和自動化證據收集來評估符合性。

人工智慧持續審計

該規範旨在解決人工智慧監管中一個常見的挑戰。模型會透過重新訓練不斷演進，資料管道會發生變化，系統配置也會在運作過程中改變。基於定期審查的監管方法難以持續有效地追蹤這些變化。持續審計一致性評估（Continuous Auditing Based Conformity Assessment for AI-enabled systems，CABCA）將變更視為一種預期狀態，並圍繞此狀態建立評估流程。

將鑑證視為一項持續性活動

CABCA 將一致性評估定義為常規運作功能。評估以循環方式進行，貫穿人工智慧系統的整個生命週期。每個循環都會從系統工件（例如日誌、測試結果、模型參數和資料樣本）中收集證據。自動化分析會將這些證據與預先定義的要求和指標進行比較，從而產生更新後的一致性狀態。

評估週期由預設的觸發條件啟動。有些觸發條件遵循既定計劃，例如與時間間隔掛鉤的定期審查。其他觸發條件則響應模型更新、資料漂移或效能異常等事件。每個觸發條件都會啟動相同的核心步驟，從而形成從測量到報告的一致流程。

 

這種架構使評估活動與人工智慧系統在生產環境中的運作方式保持一致。監控、評估和報告與開發和營運工作流程同步進行，而不是獨立於這些工作流程之外。

從高層規則到可衡量的檢查

CABCA 的核心概念是實施化。組織首先要確定適用於特定人工智慧系統的要求。這些要求可能來自法律法規、標準、內部政策、客戶義務或行業規則。範圍界定過程將這些要求整合為單一的符合性規範。

實施過程將規範轉化為品質維度、風險、指標和測量方法。品質維度涵蓋準確性、避免偏差、隱私、問責制和網路安全等領域。每個維度都與已識別的風險相關聯，這些風險描述了系統可能偏離預期的情況。隨後，會推導出可衡量的要求和閾值，以便進行持續評估。

最終產生一組機器可讀的指標，評估工具可以自動追蹤這些指標，這在抽象的義務和可觀察的系統行為之間建立了直接聯繫。

持續的證據和報告

CABCA 下的證據收集是自動化且持續進行的。測量工作持續進行或依預設時間間隔進行，並將資料輸入評估引擎。此引擎根據運行階段設定的閾值評估結果，並產生與具體要求直接對應的評估結論。報告的節奏與評估的節奏一致。符合性狀態更新反映了目前的測量結果，並連結到支持性證據。報告會長期保存，形成一份記錄，顯示符合性狀態如何隨著系統的發展而改變。

後續行動也融入同一循環。當團隊採取糾正措施後，後續的評估循環會透過更新的測量數據來評估其效果。這就形成了一個回饋迴路，將補救措施與已驗證的結果連結起來。

評估路徑和外部審查

CABCA支援多種評估路徑。在自評估路徑中，人工智慧系統提供者會在內部審核評估結果並記錄符合性狀態。此路徑適用於擁有內部品質保證職能和完善治理結構的組織。第三方評估途徑允許外部審計人員存取評估報告和證據。該規範支援透過安全介面進行程式化訪問，從而實現外部系統自動審查和狀態更新。

該框架還支援認證應用場景。透過自我評估或第三方評估產生的持續證據流可以為認證流程提供資料支援。認證機構基於當前資料而非固定的審核視窗來評估符合性，從而支援能夠反映系統持續運作的憑證。

明確的角色和責任

該規範明確規定了評估過程中的各個角色。受審核方（通常是人工智慧系統提供者）負責評估週期的範圍界定、實施、基礎設施建設和執行。審核方則根據選定的評估路徑評估證據並確定符合性狀態。風險所有權資訊已記錄在評估資料中。每個人工智慧系統都指定了負責人，負責制定緩解決策和資源分配。所有權資訊與合規狀態資訊一同保存，從而支持可追溯性和問責性。

與監理義務保持一致

CABCA旨在支援需要對人工智慧系統進行持續監管的監管框架。該框架透過共享的證據基礎，將風險管理活動、技術文件、品質管理流程和上市後監測連結起來。技術文件和品質管理文件均採用與評估週期相同的測量方法。這確保了運行數據與正式合格聲明之間的一致性。運作過程中收集的證據既用於內部治理，也用於外部審核流程。

歐洲電信標準化協會（ETSI）技術委員會方法與測試規範（MTS AI）人工智能工作組主席於爾根·格羅斯曼表示：這項最新的技術規範建立在一個堅實的原則之上：只有通過切實可行、可審計、貫穿整個生命週期的合規性，才能實現值得信賴和負責任的人工智能，通過實際的法律差距為CETA制定了清晰的定義框架。

資料來源：https://www.helpnetsecurity.com/2026/01/28/etsi-ts-104-008-ai-continuous-auditing/