首頁 AI 系統 SIQC 稽核 / 評鑑 AI 系統

稽核 × 評鑑 × 自動化

SIQC 稽核 / 評鑑 AI 系統

AI 驅動的合規稽核、ESG 評鑑、醫院評鑑文件交付平台

12
GitHub Actions Workflows
13
掃描管線
64
ISMS 文件自動修復
95 %+
AI 助理 QA 命中率

Applicable Audit Frameworks

適用稽核 / 評鑑類型

同一套自動化框架,可重新組態到多種稽核情境

資訊安全

ISO 27001 / SOC 2

ISMS 文件 + SAST/SBOM/CVE 掃描,對齊 OWASP ASVS、OWASP LLM Top 10。

永續報告

ESG · GRI / TCFD / SASB

指標蒐集、報告書生成、證據檔案管理,對應永續金管會與證交所要求。

醫療評鑑

醫策會 / JCI

醫院評鑑文件版控、條文對應、稽核包匯出;可串接醫院 HIS / EMR。

品質與管理

ISO 9001 / 14001 / GRC

品質、環境、風險管理框架,企業治理 GRC 整合,可重複稽核。

中小型軟體團隊要通過 ISO 27001 認證,通常面臨三個痛點:

  1. 1. 安全掃描散落各處 — SAST、弱點掃描、滲透測試、SBOM 各跑各的,結果無法統整
  2. 2. ISMS 文件維護成本高 — 60+ 份程序書、政策、表單需要人工維護版本與合規性
  3. 3. 稽核準備耗時 — 每次稽核要手動彙整文件、報告、證據

SIQC 把這三件事串成 一條自動化管線 ,用 12 個 GitHub Actions workflow 驅動, 配合 AI agent 自動修復文件缺陷、產出離線稽核助理 —— 全流程無人介入。

System Architecture

系統組成

7 個模組串成一條完整的合規生產線

Security Scans

掃描管線(13 項)

SAST、弱點掃描、滲透測試、SBOM、CVE 月報、源碼交付驗證、密碼學稽核、AI/LLM 安全(OWASP LLM Top 10)、AI 供應鏈、SEO、WordPress、連結檢查

Documents

ISMS 文件庫(64 份)

程序書 PRO · 政策 POL · 標準 STD · 指引 GDL · 表單 FRM · 計畫 PLN · 登錄冊 REG · 工作指引 WKI · 對照矩陣 MTX

Auto-Fix

文件自動修復

三條閉環:A(基礎設施缺漏)自動 commit · B(版本不同步)自動重產 · C(內容不合規)建 PR 人工審查

AI Assistant

AI 稽核助理

單一 HTML 離線應用(~3MB),內嵌全部 ISMS 文件與掃描報告,三層檢索 + Claude 推理,每月 QA 驗證命中率 ≥ 95%

Real-time CVE

CVE 即時情報

每 15 分鐘輪詢 OSV API,Critical / High 自動發送 email 告警

Runtime

運行時監控

每日治理態勢檢查、事件回應演練排程、每週紅隊演練(Purple Team Agent)

Audit Pack

稽核包發行

GitHub Release 打包(tag audit-YYYYMMDD),顧問解壓後開啟 index.html 即可離線審查

Automation Schedule

自動化排程

從每 15 分鐘到每月,全頻段覆蓋

每 15 分鐘
CVE 即時情報輪詢
每日 06:17
快速掃描(CVE + SAST + AI 安全)
每日 14:00
運行時監控 + 治理態勢
每日 16:00
事件回應演練排程檢查
每週一 11:00
紅隊演練(Purple Team Agent)
每月 1 日
全深度掃描 + CVE 月報 + QA 驗證報告
每月 15 日
ISMS 文件稽核
推送觸發
ISMS 文件渲染 + 稽核助理建置

Compliance Coverage

合規涵蓋

不只 ISO 27001,多個合規框架同步對照

🛡️

ISO 27001:2022 / CNS 27001

Annex A 93 項控制項完整對照

📋

SOC 2 TSC

交叉對照矩陣

🔒

OWASP ASVS

應用程式安全驗證標準

🤖

OWASP LLM Top 10 / NIST AI RMF

AI 安全專項

Live Projects

目前管理的專案

SIQC 同時為兩個產品線提供合規維運

yao.care / TwTxGNN

藥物再利用 AI 模型

每日 standard / 每月 deep
weiqi.kids / tax-ai

稅務 AI 助理(含 LLM endpoint)

每日 standard / 每月 deep

Tech Stack

技術棧

完全建構在 GitHub 生態系上,無需額外基礎設施

CI/CD
  • · GitHub Actions(12 個 workflow)
掃描工具
  • · Semgrep
  • · Trivy
  • · OWASP ZAP
  • · WPScan
  • · Nuclei
  • · Garak
文件管理
  • · Markdown → HTML 渲染
  • · _meta/ 驅動閉環修復
AI 助理
  • · 單頁 HTML 應用
  • · MiniSearch 全文索引
  • · Claude API 推理
後端服務
  • · AKORA App(token 管理、表單提交、AI 問答 proxy)
Runtime
  • · Node.js
  • · Shell scripts

想要這套合規自動化?

不論您是準備 ISO 27001 認證、想擺脫人工維護 ISMS 的痛苦,或是需要為 AI 系統做合規對照 —— 用 LINE 私訊您的需求,我們可以協助評估與導入。

想要這套?聊聊

Issue Tracking

SIQC 稽核 AI 議題追蹤

自動追蹤與本服務相關的最新議題,由 AI 蒐集公開新聞並對照本系統的設計觀點。

看全部議題追蹤
回 AI 系統