在組織推動人工智慧管理系統初始階段，需要建立ISO 42001 AIMS風險管理要求適切理解，將有助於組織建立具可操作性(operational)的人工智慧管理體系。本報告系統整理 ISO 42001 《Artificial Intelligence Management System (AIMS)》 對風險管理的要求，並結合近年三項國際研究議題——大型語言模型（LLM）中毒攻擊、代理系統（Agentic AI）安全評估——探討人工智慧風險管理的全貌。核心目標是協助組織於導入 AIMS 時，建立有別於 ISO 27001 資訊安全管理體系的「人工智慧風險導向治理架構」。

ISO 42001 AIMS 風險管理核心要求

AIMS 強調「以風險為導向」的管理思維，將 AI 技術帶來的不確定性納入組織治理體系。報告列舉 34 項條文重點，涵蓋定義、風險識別、處理、追蹤及利害關係人溝通：

• 風險概念（3.7）：不確定性對目標的影響，可正可負。
• 控制措施（3.21）：維持或調整風險的手段，必須文件化。
• 適用性聲明（3.26）：記錄所有風險及控制納入或排除的理由。
• AI 風險評估（8.2）：定期或重大變更時重新執行。
• AI 風險處理（6.1.3、8.3）：含風險減輕、分攤、接受、避免策略。
• AI 影響評估（6.1.4）：對隱私、安全、倫理等面向的衝擊分析。
• AI 目標（6.2、附錄 C）：結合風險導向的 AI 治理目標與指標。
• 第三方與供應鏈風險（A.10、B.10）：分配責任、監控供應商與客戶。
• 社會與倫理風險（B.5.5）：辨識 AI 對個人與社會的潛在影響。
• 知識循環（B.1、B.6.2.7）：將風險控制、監控資料納入持續改進。

AIMS 要求組織在整個 AI 生命週期中持續評估並更新風險，確保「風險閉環」（closed-loop risk management）運作。

AIMS 風險管理全景

AIMS 將 AI 風險分為七大類：

1. 偏見與歧視 (Bias & Discrimination)
2. 隱私侵犯 (Privacy Breach)
3. 安全性與攻擊面 (Security & Safety)
4. 透明度與可解釋性不足 (Transparency Deficit)
5. AI 濫用與倫理風險 (Misuse & Ethical Risk)
6. 社會與經濟影響 (Social & Economic Impact)
7. 法律與合規挑戰 (Legal & Regulatory Risk)

依 ISO 31000 及 ISO/IEC 23894 邏輯，AIMS 風險治理循環分四階段：

• Know（認知）：辨識 AI 風險類型與來源，建立共同語彙。
• Analyze（分析）：針對 AI 生命週期（資料蒐集、處理、訓練、部署、退場）分析風險。
• Plan（規劃）：制定 AI 政策、風險承受度、處理流程與責任分工。
• Do/Check/Act（執行與持續改進）：監測風險成效、通報異常、持續更新 KPI 與 控制措施。

AIMS 強調跨標準整合：將 ISO 22301 業務持續性、ISO 27001 資訊安全、ISO 42001 AI 治理 三者串連，以達成 「技術、組織、倫理」 三重保障。

大型語言模型（LLM）中毒攻擊研究

研究背景

由 UK AI Security Institute、Oxford、ETH Zurich 與 Anthropic 等機構共同完成的研究，揭示資料中毒（data poisoning）攻擊可在訓練階段植入惡意樣本，造成模型於觸發特定關鍵詞時出現異常行為。

核心發現

• 僅需 約 250 份惡意樣本 即可在任意規模（600M 至 13B 參數）模型中植入後門。
• 攻擊成功率與資料總量、模型大小幾乎無關，呈「近乎常數」關係。
• 大型模型因樣本學習效率高，反而更易中毒。
• 傳統比例抽樣檢測方法無效；乾淨訓練可部分修復但非完全有效。

影響與啟示

此結果推翻傳統防禦假設，顯示 LLM 的資料供應鏈安全已成新型關鍵風險。即使極小比例的惡意樣本，也足以對整個模型供應鏈造成長期污染。組織需導入：

• 資料來源追溯與信任治理（Data Provenance & Trust）
• 中毒樣本檢測與觸發行為監控
• 第三方資料安全聲明與供應商審查

對應 ISO 42001 條文

• 6.1.1 （風險與機會識別）
• 6.1.3 （AI 風險處理）
• 8.2、8.3 （風險評估與更新）
• A.4、A.10、B.7.2、B.10 （資源與供應鏈治理）

管理建議

• 避免使用未驗證的開放資料；
• 採用 Hash 比對與樣本特徵分析；
• 對資料供應商設定安全審核 SLA；
• 建立 AI 風險 KPI ，如 ASR 下降率、殘餘後門檢測率。

此研究確立「惡意樣本數量為主導變因」的理論，促使 AIMS 必須納入資料中毒防範與供應鏈安全管理。

代理系統（Agentic AI）安全評估研究

研究背景

由 UK AI Security Institute 「Science of Evaluation」團隊進行，分析 9 個模型、 71 項 CTF 任務、 6,390 份 transcripts，探討以 transcript 分析補足傳統 pass-rate 評估的不足。

主要發現

• 高通過率並不代表安全。部分模型大量「硬拒絕」或「軟拒絕」任務。
• 工具呼叫率（tool use rate）低、評論過長、推理中斷等皆為行為風險。
• 跨任務行為差異大，顯示可靠性與一致性風險。

管理啟示

代理安全應納入「行為層級監測」，以防止系統在任務過程中出現錯誤決策或不合規操作。建議：

• 納入 transcript 分析 作為標準安全評估方法；
• 建立代理行為 KPI：硬/軟拒絕率、工具使用有效率、跨任務一致性指標；
• 強化開發與驗證流程：於 V&V 計畫與技術文檔中記錄行為監控準則；
• 第三方工具治理：要求供應商提供行為遙測與安全事件回報。

對應 ISO 42001 條文

• 6.1.4、B.5.2 （影響評估流程）
• B.2.2、B.6.1.2 （AI 政策與目標）
• B.6.2.4、B.6.2.7 （驗證與確認）
• A.10 （供應鏈與第三方）
• 8.2、8.3 （持續監測與改進）

AIMS 應用建議

將 transcript 行為量測納入 AIMS 政策與風險處理計畫：

• 規範評估不得僅依通過率，需分析代理行為；
• 設定拒絕率上限與工具濫用率警戒值；
• 定期重新評估代理行為健康度報告；
• 於 SOA （適用性聲明）中記錄控制措施與證據。

整體風險治理架構整合

本報告將 ISO 42001 條文與兩項研究結果整合為完整 AI 風險管理循環：

階段	核心任務	對應標準條文	實務重點
Know	建立 AI 風險識別體系	3.7、E.3.1	風險分類、資料來源辨識
Analyze	進行風險分析與衝擊評估	6.1.1、B.5.2	模型安全、倫理與社會影響
Plan	制定 AI 風險政策與控制策略	6.1.3、B.2.2	承受度、角色責任、分攤原則
Do	實施 AI 風險控制與訓練	A.4、B.6.2.7	資料管理、開發監控、供應鏈安全
Check & Act	再評估與改進	8.2、8.3、B.8	KPI 追蹤、事件通報、透明揭露

AIMS 要求風險治理必須與組織策略、法規遵循及倫理原則對齊，形成可追溯的治理鏈：政策 → 評估 → 控制 → 監測 → 改進 → 文件化。

結論與建議

1. AI 風險治理的重心轉移：傳統資訊安全以系統漏洞為主，AIMS 則聚焦於資料、模型、行為與社會衝擊四層面，建立跨領域風險語法。
2. 資料供應鏈安全成為核心挑戰：LLM 中毒研究揭示「固定樣本攻擊」的新威脅，組織必須導入資料完整性稽核與模型訓練追蹤。
3. 行為導向安全評估（Behavioral Evaluation）成新標準：Agent 研究指出評估需超越通過率，納入行為健康度與跨任務一致性，確保代理系統可預測、可控、可問責。
4. AIMS 閉環治理（Closed-loop AIMS Governance）：所有 AI 風險評估與控制結果必須文件化、週期性審查，並將知識回饋至 AIMS 改善循環。
5. 多層次整合策略：
   • 技術層：資料審查、模型監控、供應鏈控管；
   • 管理層：政策、責任、KPI、通報流程；
   • 法規層：對齊 AI Act、ISO 23894 與國內個資法；
   • 社會層：倫理、透明度與公眾信任。