打造AI認證機制 資安院拚今年底完成

資安議題逐漸受到重視，國家資通安全研究院長何全德今（29）日表示，面對資安問題，資安院的角色就是協助政府做分析，以及引進國際最新技術並研發技術，像是目前最夯的ChatGPT串接應用，資安院也正在打造AI框架，包括產品資安及演算法的檢測，預期今年下半年將與工研院啟動相關計畫。

何全德首先介紹資安院工作內容，包括檢測防禦、威脅分析、通報應變、前瞻研究籌獲、國際安全及資安治理、人才培力，以「資料」、「系統」及「人才」等三大面向，打造資安治理的布署。目前晉用約170人，整體規模可達220人。

至於跟資安署的分工，何全德說，資安署負責的部分主要針對政府機關、關鍵基礎設施訂定資安政策在推動執行，資安院則是主要負責資安技術服務、技術研究發展、資安專業諮詢、資安行政協助以及資安人才培力。

何全德表示，今年資安院重點業務，像是個資事件發生時，會進行行政檢查、鑑定並提供建議，資安院會提供前後一條龍服務。他強調，資安事件必須從源頭管理，就像身體平常就要做保健才能維持好健康，資安院在數位政府司、資安署指導下，會推動零信任機制，針對重點機關進行輔導，團隊進行為期三個月協助，再來是針對重要系統做資安測試。

何全德說，事實上，企業不能等發生「資安事件」才要處理，而是平常做好源頭管理、資訊保健，但是在資安部分，對於大企業來說是相對比較容易處理的，畢竟有著相對最多的資源與人力，但對於中小企業就是比較難以達成的，未來資安院也會給予中小企業在資安防護上的協助。

對於如何培育台灣資安人才，何全德說，資安院已與數位部資安署合作，政策指導將針對歐美政府對於人才定義分作12大類，讓KSA架構（Knowledge, Skills, and Abilities）規格化，或用建教合作等方式，協助每個企業培育第三方國際認證的「資安長」，實踐台灣的資安能量。

另外，針對目前大家所關注的AI議題，何全德則表示，日前國科會提到我們國家自己要做AI，而AI可不可以被信任，該議題國科會已經有AI演算法的研究指引，國際上也有一些標準，例如可不可信賴、資料是否客觀、個資保護問題，那這個部分相關檢測方法，資安院未來會做這樣的研究。

何全德說，國科會要做的AI不是像Chat GPT，而是針對特定領域。國科會有科研發展指引，包含八項：共榮、公平性、非歧視性、自主權、控制權、安全性、個人隱私、可解釋性等，其中可信任性的檢測方法，作為國家資安單位必須要處理。

至於要檢測什麼？何全德說，準確性、可靠性、客觀、安全防護、可解釋性，確保他的安全跟可信任性，現在還沒有檢測AI的先例，要把標準弄出來，因為AI將來會廣泛的應用到各個領域，我們必須把檢測標準和工具制訂出來，讓企業可以檢測看看自己使用的系統好不好，假設未來要發展這樣的產品，如果有個客觀標準去檢測，或有公信力的單位，就像有標準檢驗局一樣，這樣的制度標準規範，資安院要去研究，並制定出一套對應的機制。

何全德解釋，資安願並非公權力單位，是做研究，那國家將來要不要針對AI的產品有這樣的標準，那就是要由主管機關去訂，那主管機關怎麼訂，他有沒有這個技術專業，那就需要資安院先把制度規劃出來，標準希望年底之前出爐。