所屬模組： Nexus Core（必備）— 跨模組能力 Wireframe： 開啟互動原型 → 側邊欄「設定」→「合規規則」/ 工單提交時自動顯示

解決什麼問題

金融業 IT 團隊面臨兩個高頻痛點：

1. 法規合規同步：政府法規（金管會、央行等）定期更新，IT 團隊需人工逐條比對內部規範，發現差異後再人工修訂。一次完整比對耗時 2-3 個工作天，且容易遺漏新增或修改的條款。

2. IT 請求合規檢查：員工提出 IT 請求（VM 申請、port 開放、軟體安裝等），IT 人員需人工查閱內部規範比對是否合規（例如 port 不在白名單、VM 規格超過上限），不合規時人工退件，來回耗時且缺乏一致性。

核心能力

三層合規體系

Policy Rules（合規規則）

管理員在「設定 > 合規規則」中管理結構化的精確規則：

每條規則包含：

• 名稱和分類：如「允許的網路端口」分類為 network
• 動作：block（攔截）或 warn（警告，Phase 2）
• 來源引用：對應的法規或內部規範條文（如「內部資安政策 §3.1」）
• 狀態：active / draft / disabled
• 建立方式：manual（管理員手動）或 ai（AI 自動提取，Phase 2）

Compliance Agent

第四個 AI Agent，加入現有 Agent 管理框架：

信任等級行為：

• L0 觀察：記錄合規檢查結果，不顯示給使用者，供管理員評估準確度
• L1 通知：檢查並顯示結果，精確規則攔截不合規項目，人工決定後續處理
• L2 輔助（Phase 2）：精確規則自動攔截 + AI 模糊規則自動警告標記

工單合規檢查

員工在 Service Desk 提交 IT 請求時，系統自動觸發合規檢查：

1. 提交前檢查：表單填寫完成後、提交前自動執行
2. Layer 1 精確比對：逐條比對 Policy Rules（毫秒級）
3. 結果顯示：
   • ❌ 攔截（紅色）：違反精確規則，阻擋提交，顯示違規原因和對應規則
   • ⚠️ 警告（黃色，Phase 2）：AI 模糊比對發現潛在不合規，允許提交但標記
   • ✅ 通過（綠色）：全部規則通過
4. 修正後重新檢查：員工修改申請內容後，重新觸發檢查

不合規時只顯示提示訊息（「不符合 XXX 規則」），不在 Arova 內建例外申請流程，由客戶組織內部自行管理例外。

法規差異比對

透過 AI Copilot 觸發外部法規與內部規範的差異比對：

1. 上傳外部法規：管理員將最新政府法規 PDF/Word 上傳到知識庫「外部法規」分區
2. 觸發比對：在 AI Copilot 中下指令「比對最新法規與內部規範的差異」
3. AI 分析：Compliance Agent 語意比對兩份文件，找出：
   • 新增條款（外部有、內部無）
   • 修改條款（外部更新、內部過時）
   • 刪除條款（外部移除、內部仍有）
4. 差異摘要：產出結構化報告，列出差異清單和建議更新項目
5. 人工修訂：管理員根據摘要修訂內部規範，並更新對應的 Policy Rules

合規檢查統計

合規檢查相關數據納入分析報表：

• 合規檢查總次數、通過率、攔截率
• 攔截原因 Top 5（哪些規則最常被觸發）
• 法規差異比對紀錄（比對日期、差異數、已處理/未處理）

使用者場景

IT 主管李維運收到金管會發布的最新資訊安全自律規範 PDF。 他上傳到知識庫「外部法規」分區，然後在 AI Copilot 輸入「比對最新金管會規範與內部資安政策的差異」。 30 秒後，Compliance Agent 回報：發現 3 處差異——

1. 金管會新增「遠端存取 VPN 必須使用 MFA」，內部規範尚無此條
2. 金管會將密碼最低長度從 8 碼改為 12 碼，內部規範已符合
3. 金管會新增「禁止使用公有雲端儲存服務」，內部規範尚無此條

李維運根據差異摘要，更新內部資安政策文件，並在 Policy Rules 新增 2 條規則。 下次員工申請未啟用 MFA 的 VPN 或使用 Dropbox 時，系統會自動攔截並提示原因。

版本規劃