首頁 AI 系統 SIQC 稽核 / 評鑑 AI 系統

稽核 × 評鑑 × 自動化

SIQC 稽核 / 評鑑 AI 系統

AI 驅動的合規稽核、ESG 評鑑、醫院評鑑文件交付平台

12
GitHub Actions Workflows
13
掃描管線
64
ISMS 文件自動修復
95 %+
AI 助理 QA 命中率

Applicable Audit Frameworks

適用稽核 / 評鑑類型

同一套自動化框架,可重新組態到多種稽核情境

資訊安全

ISO 27001 / SOC 2

ISMS 文件 + SAST/SBOM/CVE 掃描,對齊 OWASP ASVS、OWASP LLM Top 10。

永續報告

ESG · GRI / TCFD / SASB

指標蒐集、報告書生成、證據檔案管理,對應永續金管會與證交所要求。

醫療評鑑

醫策會 / JCI

醫院評鑑文件版控、條文對應、稽核包匯出;可串接醫院 HIS / EMR。

品質與管理

ISO 9001 / 14001 / GRC

品質、環境、風險管理框架,企業治理 GRC 整合,可重複稽核。

中小型軟體團隊要通過 ISO 27001 認證,通常面臨三個痛點:

  1. 1. 安全掃描散落各處 — SAST、弱點掃描、滲透測試、SBOM 各跑各的,結果無法統整
  2. 2. ISMS 文件維護成本高 — 60+ 份程序書、政策、表單需要人工維護版本與合規性
  3. 3. 稽核準備耗時 — 每次稽核要手動彙整文件、報告、證據

SIQC 把這三件事串成 一條自動化管線 ,用 12 個 GitHub Actions workflow 驅動, 配合 AI agent 自動修復文件缺陷、產出離線稽核助理 —— 全流程無人介入。

System Architecture

系統組成

7 個模組串成一條完整的合規生產線

Security Scans

掃描管線(13 項)

SAST、弱點掃描、滲透測試、SBOM、CVE 月報、源碼交付驗證、密碼學稽核、AI/LLM 安全(OWASP LLM Top 10)、AI 供應鏈、SEO、WordPress、連結檢查

Documents

ISMS 文件庫(64 份)

程序書 PRO · 政策 POL · 標準 STD · 指引 GDL · 表單 FRM · 計畫 PLN · 登錄冊 REG · 工作指引 WKI · 對照矩陣 MTX

Auto-Fix

文件自動修復

三條閉環:A(基礎設施缺漏)自動 commit · B(版本不同步)自動重產 · C(內容不合規)建 PR 人工審查

AI Assistant

AI 稽核助理

單一 HTML 離線應用(~3MB),內嵌全部 ISMS 文件與掃描報告,三層檢索 + Claude 推理,每月 QA 驗證命中率 ≥ 95%

Real-time CVE

CVE 即時情報

每 15 分鐘輪詢 OSV API,Critical / High 自動發送 email 告警

Runtime

運行時監控

每日治理態勢檢查、事件回應演練排程、每週紅隊演練(Purple Team Agent)

Audit Pack

稽核包發行

GitHub Release 打包(tag audit-YYYYMMDD),顧問解壓後開啟 index.html 即可離線審查

Automation Schedule

自動化排程

從每 15 分鐘到每月,全頻段覆蓋

每 15 分鐘
CVE 即時情報輪詢
每日 06:17
快速掃描(CVE + SAST + AI 安全)
每日 14:00
運行時監控 + 治理態勢
每日 16:00
事件回應演練排程檢查
每週一 11:00
紅隊演練(Purple Team Agent)
每月 1 日
全深度掃描 + CVE 月報 + QA 驗證報告
每月 15 日
ISMS 文件稽核
推送觸發
ISMS 文件渲染 + 稽核助理建置

Compliance Coverage

合規涵蓋

不只 ISO 27001,多個合規框架同步對照

🛡️

ISO 27001:2022 / CNS 27001

Annex A 93 項控制項完整對照

📋

SOC 2 TSC

交叉對照矩陣

🔒

OWASP ASVS

應用程式安全驗證標準

🤖

OWASP LLM Top 10 / NIST AI RMF

AI 安全專項

Live Projects

目前管理的專案

SIQC 同時為兩個產品線提供合規維運

yao.care / TwTxGNN

藥物再利用 AI 模型

每日 standard / 每月 deep
weiqi.kids / tax-ai

稅務 AI 助理(含 LLM endpoint)

每日 standard / 每月 deep

Tech Stack

技術棧

完全建構在 GitHub 生態系上,無需額外基礎設施

CI/CD
  • · GitHub Actions(12 個 workflow)
掃描工具
  • · Semgrep
  • · Trivy
  • · OWASP ZAP
  • · WPScan
  • · Nuclei
  • · Garak
文件管理
  • · Markdown → HTML 渲染
  • · _meta/ 驅動閉環修復
AI 助理
  • · 單頁 HTML 應用
  • · MiniSearch 全文索引
  • · Claude API 推理
後端服務
  • · AKORA App(token 管理、表單提交、AI 問答 proxy)
Runtime
  • · Node.js
  • · Shell scripts

想要這套合規自動化?

不論您是準備 ISO 27001 認證、想擺脫人工維護 ISMS 的痛苦,或是需要為 AI 系統做合規對照 —— 用 LINE 私訊您的需求,我們可以協助評估與導入。

想要這套?聊聊

Issue Tracking

SIQC 稽核 AI 議題追蹤

自動追蹤與本服務相關的最新議題,由 AI 蒐集公開新聞並對照本系統的設計觀點。

看全部議題追蹤
Google News · 5月19日

歐盟《網路韌性法案》今年9月施行,產品安全通報時限成法遵門檻,僅四分之一企業將SBOM驗證納入自動化 - iThome

歐盟《網路韌性法案》預計今年9月正式施行,要求製造商在發現主動利用漏洞後24小時內通報主管機關,並須維護完整的軟體物料清單(SBOM)。然而調查顯示,目前僅四分之一的企業已將SBOM驗證納入自動化流程,多數組織仍依賴人工作業,距法遵門檻存在明顯落差。

讀全文
Google News · 5月19日

東擎科技通過ISO/IEC 27001國際認證 強化企業資安治理能力 - iThome

東擎科技近日取得 ISO/IEC 27001 國際資安管理認證,正式建立符合國際標準的資訊安全管理系統。此舉顯示科技企業正積極將資安治理制度化,但取得認證背後涉及大量 ISMS 文件建立、掃描管線整合與持續稽核維護,對規模有限的技術團隊而言,投入成本相當可觀。

讀全文
Google News · 5月19日

東擎獲頒國際資訊安全管理ISO 27001認證 強化企業資安治理能力 - cnyes.com

工業電腦廠商東擎近日正式取得 ISO 27001 資訊安全管理國際認證,標誌其資安治理體系獲得第三方機構的正式認可。ISO 27001 要求企業建立並持續維護完整的 ISMS,涵蓋資產管理、存取控制、事件回應等大量政策文件,對多數企業而言,取證歷程往往耗時且文件負擔沉重。

讀全文
Google News · 5月17日

虎門科技通過 ISO 27001 國際驗證 - iThome

虎門科技近期取得 ISO 27001 國際資訊安全管理系統認證,顯示企業對資安合規的重視持續升溫。ISO 27001 驗證涵蓋風險評估、存取控制、事件回應等多個控制域,對申請企業而言,文件準備的完整性與持續維護能力往往是最高門檻所在。

讀全文
回 AI 系統