臺灣證券交易所 文刊中心

＜English version＞

全球資本市場正面臨前所未有的數位化挑戰，資訊安全事件的風險亦隨之提升，在證券商的日常營運中，資訊安全稽核扮演確保營運安全與符合法規的重要角色，但現行制度仍面臨多重結構性挑戰。首先，稽核缺失的改善仍以「形式補正」為主，企業常以補充流程文件、政策資料或截圖作為改善證據，但無法確實佐證控制程序如年度檢測、權限複核、供應商安全評估等是否真正落實，而監管單位近年更強調「實質治理」，使形式改善的風險逐年提高，若缺乏審核改善成效的制度化機制，企業將很難確保資安控制真正發揮效益。

其次，法規比對高度依賴人工是另一核心挑戰，證券商需同時符合《建立證券商資通安全檢查機制》、同業公會自律規範、ISO 27001、NIST CSF、個資法與內控制度等多種規範，各規範之間架構、語彙與控制層級皆不同，人工判讀需投入大量時間與人力，更重要的是，人工比對容易產生判斷差異，不同稽核人員對同一缺失可能會得出不同結論，造成企業改善的不一致性，也降低稽核品質的穩定性。

再者，稽核流程缺乏「結構化資料」與「可追溯性」，大多數企業仍依賴 Excel、Email、Word等紙本資料回覆進行追蹤，使得缺失的狀態、改善進度、佐證資料與溝通紀錄分散於不同系統，當主管或監管單位要求提供改善歷程時，往往難以立即取得完整的軌跡文件。此外，缺乏集中化的資料管理，也使企業無法進行長期改善成效分析，無法釐清哪些控制項最常失效、哪些部門改善效率較低，使治理策略難以深化。

最後，由於上述挑戰並存，稽核作業逐漸面臨「成本提高、效率下降、品質受限」三重壓力，缺乏科技支援，難以提升治理成熟度，也難以達到主管機關對資安強化的期待，因此引入 AI 以提升比對效率、結構化資料、強化追蹤透明度，成為改善制度性問題的必然方向。

AI 技術能協助突破傳統稽核效率低落、資料量大且分散、判斷標準不一致等問題，其核心價值來自 NLP（自然語言處理）、OCR、語意比對與自動化模型所具備的高處理量能、高準確度與可被標準化的能力，AI 能藉由 NLP 自動解析缺失描述，並對應至正確的法規條文，例如「年度行動應用程式檢測」的缺失，AI 可快速比對至檢查機制中關於年度檢測的條文，若缺失涉及委外安全措施，則可自動對應相關規範的要求，這項功能大幅降低人工逐條查找法規的負擔，並提高比對一致性，避免人工認知差異造成的不穩定性；其次，OCR 能將 PDF、掃描影像、截圖等非結構化資料自動辨識成文字，讓 AI 能確認佐證是否具備必備資訊，從中判斷檢測報告是否標示日期、範圍、簽核者、檢測項目是否齊備，甚至能檢查文件是否過期，此能力可節省大量人工查閱時間，也能提升佐證審查品質。

AI 不僅能提供最佳化建議，針對缺失自動產生改善建議、提醒可能的補強措施，甚至分析歷史資料推估改善時程，這使稽核更加標準化，也能協助稽核員快速掌握改善需求，同時AI 的資料分析能力能提升稽核透明度，透過演算法，自動計算缺失持續時間、延遲原因、風險排序、部門改善成效等，使管理層更容易掌握改善進度，綜合而言，AI 可使稽核流程從人工密集轉向資料化、標準化與可量化，提升治理成熟度，並協助企業面對日益複雜的資安環境。

在全球金融市場中，AI 已成為稽核與資安治理的重要工具，相較於台灣仍處於導入初期，歐美金融機構已建立專門的 AI 稽核平台與治理架構，為了解 AI 在資訊安全稽核中的成熟應用模式，選擇四項國際指標性工具AuditBoard、Microsoft Security Copilot、Lucinity 與 Vectra AI進行系統性分析，並探討其對台灣證券商的啟示。

AuditBoard ：被視為全球最成熟的稽核與內控管理平台之一，其 AI 模組具備控制框架映射、自動比對稽核項目、缺失分類、改善追蹤與工作底稿自動生成等功能，其核心價值在於「文件稽核標準化與可追溯化」，對缺失、控制項與依據法規進行語意比對，自動生成改善建議與追蹤條目，得以實現從稽核計畫、執行、追蹤、報告的全數位化流程，此平台已被美國許多上市公司、銀行與保險業採用，可視為 AI 稽核制度化的典範。

Microsoft Security Copilot ：一款以生成式 AI與威脅情報為核心的資安分析工具，被廣泛應用於大型銀行與金融機構中，其最大特色在於資訊安全治理與威脅資料轉換為稽核證據，能將數十萬筆 SIEM 日誌、威脅事件與弱點掃描資料自動匯整成稽核可讀的摘要，過去這些內容過去需資安團隊人工整理，如今 AI 可直接生成稽核用改善建議，讓稽核員能迅速掌握資安控制的有效性。

Lucinity：專注於金融業的AI Case Management，主要應用於反洗錢與風險案件管理，但其系統架構同樣適用於資訊安全稽核領域，該優勢在於其提供完整的案件生命週期（Case Lifecycle），將缺失或異常視為案件，並應用 AI 進行風險分類、優先排序、進度追蹤、佐證紀錄與交互審查，其設計特點是高度貼近監理科技的治理需求，可自動紀錄所有決策過程，使稽核過程具備完整審計軌跡。

Vectra AI：專注於行為分析（Behavior Analytics）與威脅偵測（Threat Detection），但其 AI 演算法同樣可支援稽核流程， 透過分析網路行為模式，找出異常活動，並自動產生風險等級排序，這對稽核極為重要，稽核員不需再手動閱讀大量日誌，而是透過 AI 呈現的風險摘要與優先順序，決定控制項的有效性是否需強化，也能將所有威脅事件進行自動分類，協助企業快速生成年度風險評估報告。

在臺灣的證券商稽核案例中，為驗證 AI 在資訊安全稽核中協助缺失追蹤與合規性判定的可行性，針對缺失內容、改善狀態、條文比對與佐證驗證進行 AI 與人工的交叉比較，結果顯示AI 在大量比對作業中具有明顯效率優勢，並能提高資訊透明度，但最終判斷仍需人工介入，以確保法規解讀、情境理解與控制效果判定的準確性。

首先，在「年度應檢測項目」的情境中，此屬《建立證券商資通安全檢查機制》中明文要求必須每年進行的控制項，人工稽核員在檢視缺失時，以文字內容進行人工比對，判斷此缺失確屬違反年度檢測要求，與AI 的分析結果顯示高度一致性，AI 自動解析缺失描述中的語意，如、「年度檢測」、「行動應用程式」，並比對檢查機制法條，自動連結至年度檢測相關條文，判定此缺失尚未改善完成，相較於人工所需的比對流程（查閱條文、確認年次、核對佐證、確認計畫進度），AI 能在極短時間完成，並提供預估改善完成度、事件持續天數與佐證資料完整性等指標，形成更量化的追蹤模式。

在另一案例中，年度稽核中共有八項缺失，其中五項屬於《建立證券商資通安全檢查機制》，三項屬於同業公會《中華民國證券商業同業公會證券商資通系統與服務供應鏈風險管理自律規範》，人工稽核員逐一比對法規，判斷改善佐證的充分性與合理性，例如，若缺失涉及「未建立供應商評選標準」，人工需審查證券商是否新增評選表單、簽核流程、年度複核紀錄等佐證；AI 在此階段同樣展現助力，AI OCR 先將所有佐證文件（PDF、截圖、稽核紀錄）轉換為文字，再利用語意比對工具分析佐證是否包含必要欄位，如日期、簽核人員、檢測範圍等，AI 亦能快速檢查改進流程是否填補原控制缺口。然而，AI 雖能準確找出「可能適用的條文」，但在「最適條文選擇」上仍不及人工判斷，稽核人員能依據企業流程判斷哪一條才是最核心的依據，AI 則尚無法完全取代。

AI 與人工在資訊安全稽核中扮演截然不同但互補的角色，要有效導入 AI，企業必須理解兩者的能力邊界，AI 擅長大量、重複、可規則化的工作，例如法規比對、OCR 辨識、佐證欄位核對、缺失分類與異常標示，其優勢在於速度快、不受疲勞影響、能處理大型資料集、判斷一致性高，因此能有效接手稽核中最耗時、最容易出錯的環節，大幅降低人力負擔；然而，人工仍是不可替代的，尤其在涉及風險判斷、情境理解、控制有效性評估與法規精神解讀時，舉例而言，AI 能辨識報告日期是否正確，但無法判斷「供應商是否真正執行安全措施」、「改善是否真的降低風險」、「控制是否足以支撐營運需求」等需要人類經驗的判斷，此外在面對例外情境如緊急程式變更，人工的思辨能力也無可取代。

在國內證券商的實務案例結果顯示：

• AI 在文件處理及條文配對方面效率大幅高於人工。
• AI 與人工的判斷方向一致，但人工仍需負責例外狀況的最終解讀。
• AI 的線性邏輯能提升透明度，但對情境問題仍需人工補強。
• AI 能協助進行缺失長期追蹤與改善預測，人工則負責策略判斷。
• AI 的正確率高，但其風險在於語意誤判，因此人工複核不可缺少。

因此最適模式為「AI 初判 + 人工複核」，AI 處理大量資料並提出初步結論，人工則負責確認、解讀與最終決策，此模式能兼具效率、正確性、透明度與監理接受度。

AI 要在國內資訊安全稽核體系中真正實施，不僅是一個技術問題，更是一套「資料治理制度」與「AI 應用框架」的建立過程，歸納國外與國內的實際結果，提出資料、制度、組織三個層面的落地建議，以協助從現有的傳統稽核流程走向 AI 驅動的智能稽核模式。

在資料面，AI 能否有效運作，完全取決於企業是否具備可運算、可結構化的資料來源，因此建立「資料湖（Data Lake）」與「資料倉儲（Data Warehouse）」的雙核心架構，是導入 AI 的前提條件，資料湖用於儲存大量非結構化資料，包括年度檢測報告、供應商契約、政策文件、稽核佐證、系統擷圖等；資料倉儲則負責存放結構化資料，如缺失紀錄、稽核追蹤台帳、版本控管、系統維運指標、稽核比對結果等，透過這樣的架構，AI 便能在相同資料池中同時進行 OCR 擷取、語意比對、規則判斷與追蹤分析，使稽核流程從高度依賴人工輸入轉為可自動化計算。

其次，證券商必須建置正式的 AI 治理制度，以確保 AI 在稽核流程中具備透明度、可解釋性與合規性，包含(1)法規文件與稽核資料需定期更新的資料品質管理、(2)LLM 與 AI 模型需定期驗證的模型偏差管理、(3)AI 判斷須能呈現其邏輯的可解釋性、(4)稽核使用的 AI 模型需明確紀錄版本的控管、(5)確保最終稽核判定由人工負責等五項核心要素，此制度可避免 AI 誤判所帶來的合規風險，也能符合金管會逐年強化的資訊安全與 AI 風險治理要求；最後，組織面需成立跨部門 AI 推動架構，AI 若僅由資訊部門推動，或僅由稽核部門單獨使用，將無法形成制度性效益，建議可設立以下組織：

• AI 治理部門：由稽核、資訊、法遵與管理部門共同參與，負責制定 AI 稽核策略、人工複核流程與資料使用規範。
• 資料與技術辦公室：負責資料湖、資料倉儲與 AI 模型維運。
• 稽核數位化小組：負責導入 AI 的具體操作流程，包括缺失標準化、佐證格式化、法規資料庫維護等。

此三層組織能確保 AI 在企業內部不僅是工具，而是一套「制度化、可持續」的治理流程。此外，AI 要有效輔助稽核，企業必須強化稽核資料標準化，目前許多證券商的文件資料不易結構化，AI 難以運算，為強化AI 使用效率應建立標準化制度，逐步走向自動化稽核與持續稽核。

綜上所述，AI 要落地於資訊安全稽核，企業必須同步建立資料基礎、制度治理架構與跨部門推動組織，並推進稽核資料格式化，才能使 AI 成為真正能提升治理成熟度的工具，達到AI並非只是一項新科技，而是重新塑造稽核流程與控制品質的關鍵基礎建設。