稽核 × 評鑑 × 自動化
SIQC 稽核 / 評鑑 AI 系統
AI 驅動的合規稽核、ESG 評鑑、醫院評鑑文件交付平台
不論要通過 ISO 27001、編製 ESG 永續報告, 還是準備 醫策會 / JCI 醫院評鑑,都會撞到同樣三件事: 制度文件散落各處、人工維護版本不可持續、每次稽核都要手動彙整證據。
SIQC 把這三件事串成 一條由 12 個 GitHub Actions workflow 驅動的自動化管線: 從安全掃描、ISMS 文件自動修復,到產出可離線審查的 AI 稽核助理與稽核包 —— 把「制度條文」變成「可自動檢核、可稽核、可交付」。
而且它不是 demo:我們自己就靠這套落實公司的 ISO 27001 資訊安全管理制度, 也用同一套框架幫醫療機構做 ESG —— 自用驗證過,也能協助你導入。
Applicable Scenarios
適用場景
同一套自動化框架,換一組文件與對照矩陣就能重新組態
ISO 27001 / SOC 2
ISMS 文件 + SAST / SBOM / CVE 掃描,Annex A 93 控制項對照,並對齊 SOC 2 TSC、OWASP ASVS、OWASP LLM Top 10、NIST AI RMF。
ESG · GRI / TCFD / SASB
指標蒐集、報告書生成、證據檔案管理,對應金管會與證交所永續揭露要求;已實際用於醫療機構碳盤查。
醫策會 / JCI
醫院評鑑文件版控、條文對應、稽核包匯出;可串接醫院 HIS / EMR。
ISO 9001 / 14001 / GRC
品質、環境、風險管理框架,企業治理 GRC 整合,制度文件可重複稽核。
How It Works
運作方式
四步把「掃描 → 修復 → 問答 → 交付」串成一條無人介入的合規生產線
自動掃描與盤點
12 個 GitHub Actions workflow 驅動 13 條掃描管線(SAST、弱點掃描、滲透測試、SBOM、CVE、AI/LLM 安全等),並每 15 分鐘輪詢 CVE,Critical / High 自動 email 告警。
文件自動修復與缺口分析
64+ 份 ISMS 文件框架;三條閉環自動維護——基礎設施缺漏自動補、版本不同步自動重產、內容不合規建 PR 交人工審查,缺口一目了然。
AI 稽核助理
單頁離線 HTML(~3MB)內嵌全部文件與掃描報告,三層檢索 + Claude 推理,每月 QA 命中率 ≥ 95%;可在地端 / 離線的受控環境運作,敏感文件不外流。
離線稽核包交付
以 GitHub Release 打包(tag audit-YYYYMMDD),稽核顧問解壓後開啟 index.html 即可離線審查,不必另建環境。
技術基礎:完全建構在 GitHub 生態(GitHub Actions + Release),無需額外伺服器即可導入。
Proof
實績 — 自家驗證,也對外落地
我們先用它管好自己,再把同一套能力延伸到客戶的合規與永續
我們自己就在用
藥提醒以 SIQC 落實公司自家的 ISO 27001 / CNS 27001 資訊安全管理制度(Annex A 93 控制項對照), 並自製 ISMS 知識助理,讓制度文件可查詢、可引用、可演練。它同時長期為我們自家多個產品線提供合規維運:
藥物再利用 AI 模型
每日 standard · 每月 deep稅務 AI 助理(含 LLM endpoint)
每日 standard · 每月 deepField Case · ESG · 與國際醫療減碳協會合作
協助醫療機構建置能源管理系統,落實 ESG Scope 3 盤點
與 國際醫療減碳協會 合作,協助醫療機構盤點、記錄與管理能源使用及碳排資料,並逐步支援價值鏈間接碳排(Scope 3)管理, 把制度性要求、資料盤點、跨單位蒐集與紀錄留存整合為可營運的資訊系統。
想了解這套怎麼幫你過稽核?
從 ISO 27001、ESG 永續報告到醫院評鑑 —— 我們自家驗證過這套流程,也能協助你評估與導入。用 LINE 私訊你的稽核情境,我們一起看怎麼落地。
想要這套?聊聊FAQ
常見問題
SIQC 是什麼?
AI 驅動的合規稽核 / 評鑑文件交付平台,以 12 個 GitHub Actions workflow 串成自動化管線,涵蓋 ISO 27001、ESG、醫院評鑑。
對齊哪些標準?
ISO 27001、SOC 2 TSC、OWASP ASVS、OWASP LLM Top 10,框架可重組為 ESG(GRI/TCFD/SASB)與醫院評鑑(醫策會 / JCI)。
稽核包怎麼交付?
以 GitHub Release 打包離線交付,並提供單頁離線 HTML 的 AI 稽核助理。
導入需要額外架基礎設施嗎?
不用。整套建構在 GitHub 生態(GitHub Actions + Release),無需額外伺服器;稽核顧問解壓稽核包、開啟 index.html 即可離線審查。
SIQC 也能做 ESG 永續嗎?
可以。同一套框架可重組為 ESG(GRI/TCFD/SASB),已與國際醫療減碳協會合作、協助 13 間醫院建置能源管理系統並落實 Scope 3 碳盤查。
敏感文件可以不上雲嗎?你們自己有在用嗎?
可以在地端/離線的受控環境運作,敏感文件不外流。我們自家也以 SIQC 落實公司 ISO 27001/CNS 27001 資訊安全管理制度(Annex A 93 控制項對照)並自製 ISMS 知識助理——自用驗證過。
Further Reading
延伸閱讀
與 SIQC 稽核 / 評鑑 AI 系統 相關的名詞解釋與情境指南