• 發布單位:TWCERT/CC
• 更新日期:2026-02-24
• 點閱次數:108

歐洲電信標準協會(ETSI)近日正式發布ETSI EN 304 223 標準，為人工智慧（AI）模型與系統建立全球通用的資安基準。該標準獲歐洲各國國家標準組織投票通過，具高度權威性與國際適用性，被視為AI資安治理的重要里程碑。

隨著 AI 技術廣泛導入關鍵服務與產業場域，傳統資安防護已不足以因應新型威脅。ETSI 指出，AI 系統的風險不僅源自程式本身，更涵蓋資料管線、模型行為與營運環境，例如資料毒化、模型混淆、間接提示注入，以及複雜訓練與部署流程所衍生的潛在弱點，皆對組織資安形成新挑戰。

ETSI EN 304 223 採全生命週期方法，於安全設計、開發、部署、維護及終止營運五大階段中，定義 13 項核心原則與要求，並與國際公認的 AI 生命週期模型對齊，確保與既有標準與指引的相容性與互通性，協助資安團隊在 AI 系統整體營運過程中落實防護。

值得注意的是，該標準適用於採用深度神經網路(如生成式AI)，且實際部署於營運環境的 AI 系統，並明確排除了僅供學術研究用途的系統。此外，標準明確劃分了 AI 供應鏈中各方利害關係人的資安責任，包含開發者（Developers）、系統營運商（System Operators）、資料保管者（Data Custodians）以及終端使用者（End-users），藉此作為供應商與系統整合商的共同依據，強化跨組織與跨產業的資安治理能力。

整體而言，ETSI EN 304 223 為 AI 系統安全奠定一致且嚴謹的基礎。在 AI 日益融入關鍵基礎設施與核心服務的趨勢下，該標準提供清晰且可落實的資安指引，有助於提升 AI 系統的韌性與可信度，落實「安全即設計」（secure by design），並成為未來 AI 資安治理與合規的重要參考。