Arova Nexus Phase 0
Arova Nexus Phase 0
角色: 李維運(IT 維運主管)+ AI Copilot + Compliance Agent 場景: 金管會發布最新版資訊安全自律規範,李維運需要比對與內部規範的差異,找出需要更新的條款,並更新對應的 Policy Rules 橫跨模組: Knowledge → AI Copilot → Compliance Agent → Settings (Policy Rules)
泰國廠每季需要確認內部 IT 規範是否與最新政府法規一致。以往這個工作由 IT 主管手動完成——下載法規 PDF、逐條比對內部文件、標記差異、修訂內部規範——每次耗時 2-3 個工作天。
今天金管會發布了 2026 年第二季修訂版「資訊安全自律規範」,李維運決定用 Arova Nexus 的法規比對功能來加速這個流程。
李維運從金管會網站下載最新法規 PDF,進入知識庫的「外部法規」分區上傳。
┌─────────────────────────────────────────────────────────┐
│ 知識庫 > 外部法規 │
│ │
│ 📂 外部法規(5 份文件) │
│ │
│ 📄 金管會資訊安全自律規範 2026Q1.pdf v1 2026-01-15 │
│ 📄 金管會資訊安全自律規範 2026Q2.pdf v1 今天 ← 新上傳 │
│ 📄 央行電子支付機構資安標準.pdf v1 2025-12-01 │
│ 📄 ISO 27001:2022 控制措施.pdf v1 2025-06-01 │
│ 📄 個人資料保護法施行細則.pdf v1 2025-03-01 │
│ │
│ 處理狀態:2026Q2.pdf → ✅ 解析完成 · 分塊完成 · 嵌入完成 │
└─────────────────────────────────────────────────────────┘
同時,「內部規範」分區存有公司內部的 IT 規範文件:
│ 📂 內部規範(3 份文件) │
│ │
│ 📄 內部資安政策 v3.2.pdf 2026-01-20 │
│ 📄 網路安全管理辦法 v2.1.pdf 2025-11-15 │
│ 📄 VM 與雲端服務管理規範 v1.0.pdf 2025-09-01 │
使用者情緒: 🟢 上傳簡單,系統自動解析
涉及模組: Knowledge(KB-001 文件上傳、KB-002 分區管理)
李維運開啟 AI Copilot,輸入比對指令。
┌─────────────────────────────────────────────────────────┐
│ AI Copilot │
│ │
│ 👤 李維運: │
│ 比對「金管會資訊安全自律規範 2026Q2」與「內部資安政策 v3.2」│
│ 的差異,列出需要更新的條款 │
│ │
│ 🤖 Compliance Agent 分析中... │
│ │
│ ━━━━━━━━━━━━━━━━━━ 100% 完成 │
│ │
│ 🤖 比對完成。發現 3 處差異: │
│ │
│ ─── 差異報告 ─── │
│ │
│ 1️⃣ 新增條款(外部有、內部無) │
│ │
│ ┌─ §5.3 遠端存取安全 ─────────────────────────────────┐ │
│ │ 金管會新增: │ │
│ │ 「所有遠端存取 VPN 連線必須啟用多因素驗證(MFA), │ │
│ │ 不得僅以帳號密碼認證」 │ │
│ │ │ │
│ │ 內部規範現狀: │ │
│ │ 無對應條款。目前 VPN 僅使用帳號+憑證,未要求 MFA。 │ │
│ │ │ │
│ │ 💡 建議:在內部資安政策新增 §5.3 遠端存取 MFA 要求 │ │
│ │ 📎 來源:金管會 2026Q2 第 23 條 │ │
│ └─────────────────────────────────────────────────────┘ │
│ │
│ 2️⃣ 已符合(無需修改) │
│ │
│ ┌─ §3.1 密碼政策 ─────────────────────────────────────┐ │
│ │ 金管會更新:密碼最低長度從 8 碼改為 12 碼 │ │
│ │ 內部規範現狀:已要求 12 碼 ✅ 符合 │ │
│ └─────────────────────────────────────────────────────┘ │
│ │
│ 3️⃣ 新增條款(外部有、內部無) │
│ │
│ ┌─ §7.2 雲端服務限制 ─────────────────────────────────┐ │
│ │ 金管會新增: │ │
│ │ 「禁止使用公有雲端儲存服務處理客戶資料, │ │
│ │ 包括但不限於 Dropbox、Google Drive、OneDrive」 │ │
│ │ │ │
│ │ 內部規範現狀: │ │
│ │ 無明確禁止條款。部分員工使用 Google Drive 共享文件。 │ │
│ │ │ │
│ │ 💡 建議:新增公有雲端儲存禁止條款 + 建立 blacklist 規則│ │
│ │ 📎 來源:金管會 2026Q2 第 41 條 │ │
│ └─────────────────────────────────────────────────────┘ │
│ │
│ ─── 摘要 ─── │
│ 比對範圍:72 條 vs 68 條 │
│ 差異數:3(新增 2 · 已符合 1 · 修改 0 · 刪除 0) │
│ 需行動:2 項 │
│ │
└─────────────────────────────────────────────────────────┘
使用者情緒: 🟢 30 秒完成原本 2-3 天的工作,且有明確來源引用
涉及模組: AI Copilot(AIC-008 法規比對)、Compliance Agent、Knowledge(RAG 語意比對)
根據差異報告,李維運進入「設定 > 合規規則」新增 2 條規則。
┌─────────────────────────────────────────────────────────┐
│ 設定 > 合規規則 │
│ │
│ [+ 新增規則] │
│ │
│ 全部 (12) | network (5) | compute (3) | software (2) │
│ | access (2) │
│ │
│ ┌─────┬──────────┬─────────┬─────────┬──────┬────────┐ │
│ │ ID │ 名稱 │ 分類 │ 類型 │ 動作 │ 狀態 │ │
│ ├─────┼──────────┼─────────┼─────────┼──────┼────────┤ │
│ │PR-01│允許的端口 │network │whitelist│block │✅ 啟用 │ │
│ │PR-02│VM CPU 上限│compute │range │block │✅ 啟用 │ │
│ │ ... │ │ │ │ │ │ │
│ │PR-11│VPN MFA │access │require │block │✅ 啟用 │← 新增
│ │PR-12│禁止雲端儲存│software │blacklist│block │✅ 啟用 │← 新增
│ └─────┴──────────┴─────────┴─────────┴──────┴────────┘ │
│ │
│ ─── PR-12 詳情 ─── │
│ 名稱:禁止公有雲端儲存服務 │
│ 分類:software │
│ 類型:blacklist │
│ 欄位:software.name │
│ 值: [Dropbox, Google Drive, OneDrive, iCloud Drive] │
│ 動作:block │
│ 來源:金管會 2026Q2 §7.2 + 內部資安政策 §7.2(新增) │
│ 建立方式:manual │
│ 建立人:李維運 │
│ 建立時間:2026-04-09 │
└─────────────────────────────────────────────────────────┘
使用者情緒: 🟢 規則建立簡單,來源可追溯
涉及模組: Settings(Policy Rules 管理)
李維運請同事測試——嘗試提交一筆「使用 Dropbox 做專案共享」的 IT 請求。
┌─────────────────────────────────────────────────────────┐
│ 提交申請:軟體安裝 │
│ │
│ 軟體名稱: Dropbox │
│ 用途說明: 專案文件共享 │
│ 安裝數量: 5 台 │
│ │
│ ─── 合規檢查結果 ─── │
│ ┌─────────────────────────────────────────────────────┐ │
│ │ ❌ 不符合合規規則,無法提交 │ │
│ │ │ │
│ │ 1. 軟體 Dropbox 在禁止清單中 │ │
│ │ 規則:PR-12 禁止公有雲端儲存服務 │ │
│ │ 依據:金管會 2026Q2 §7.2 + 內部資安政策 §7.2 │ │
│ │ │ │
│ │ [修改申請] │ │
│ └─────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────┘
規則立即生效,從法規比對到規則建立到攔截,整個流程不到 10 分鐘。
使用者情緒: 🟢 以前發現員工用 Dropbox 都是事後才知道,現在 Day 1 就能攔截
涉及模組: Service Desk(工單合規檢查)、Compliance Agent(Layer 1 精確比對)
| 指標 | 之前(人工) | 之後(AI 輔助) |
|---|---|---|
| 法規比對時間 | 2-3 工作天 | 30 秒 |
| 遺漏風險 | 高(人工逐條比對) | 低(AI 語意全文比對) |
| 規則生效速度 | 需等下次稽核才發現 | 即時建立、即時生效 |
| 來源可追溯 | 不一定 | 每條規則標註法規來源 |
| 模組 | Stories | 說明 |
|---|---|---|
| Knowledge | KB-001, KB-002 | 法規文件上傳、外部法規/內部規範分區 |
| AI Copilot | AIC-008 | 法規差異比對指令 |
| Compliance Agent | CA-001 | 法規語意比對、差異摘要產出 |
| Settings | PR-MGMT | Policy Rules 新增/編輯 |
| Service Desk | SD-COMP | 工單合規檢查(驗證用) |