ETSI發布EN 304 223標準，強化人工智慧模型與系統資安防護

📡 Source: TWCERT/CC

歐洲電信標準協會(ETSI)近日正式發布ETSI EN 304 223 標準，為人工智慧（AI）模型與系統建立全球通用的資安基準。 該標準獲歐洲各國國家標準組織投票通過，具高度權威性與國際適用性，被視為AI資安治理的重要里程碑。 隨著 AI 技術廣泛導入關鍵服務與產業場域，傳統資安防護已不足以因應新型威脅。 ETSI 指出，AI 系統的風險不僅源自程式本身，更涵蓋資料管線、模型行為與營運環境，例如資料毒化、模型混淆、間接提示注入，以及複雜訓練與部署流程所衍生的潛在弱點，皆對組織資安形成新挑戰。 ETSI EN 304 223 採全生命週期方法，於安全設計、開發、部署、維護及終止營運五大階段中，定義 13 項核心原則與要求，並與國際公認的 AI 生命週期模型對齊，確保與既有標準與指引的相容性與互通性，協助資安團隊在 AI 系統整體營運過程中落實防護。 值得注意的是，該標準適用於採用深度神經網路(如生成式AI)，且實際部署於營運環境的 AI 系統，並明確排除了僅供學術研究用途的系統。 此外，標準明確劃分了 AI 供應鏈中各方利害關係人的資安責任，包含開發者（Developers）、系統營運商（System Operators）、資料保管者（Data Custodians）以及終端使用者（End-users），藉此作為供應商與系統整合商的共同依據，強化跨組織與跨產業的資安治理能力。 整體而言，ETSI EN 304 223 為 AI 系統安全奠定一致且嚴謹的基礎。 在 AI 日益融入關鍵基礎設施與核心服務的趨勢下，該標準提供清晰且可落實的資安指引，有助於提升 AI 系統的韌性與可信度，落實「安全即設計」（secure by design），並成為未來 AI 資安治理與合規的重要參考。

🔗 Read full article: https://www.twcert.org.tw/tw/cp-104-10727-665e8-1.html