【Drata】:Agentic AI如何改變第三方風險管理?從Drata新能力看企業信任管理的未來
隨著企業面臨越來越頻繁的供應商安全審查、客戶資安問卷與合規要求,信任管理(Trust Management)已逐漸成為企業營運的重要環節。然而,許多組織仍仰賴人工蒐集證據、填寫問卷、整理報告與回覆客戶需求,導致流程耗時且難以擴展。
近期,Drata 宣布推出號稱業界首創(Industry-First)的 Agentic AI 能力,希望透過 AI Agent 協助企業執行信任管理工作流程,將信任管理從被動回應需求,進一步發展為主動、持續且可執行的管理模式。
本次更新聚焦於兩個企業最常見的場景:第三方風險管理(Third-Party Risk Management, TPRM)與客戶保證(Customer Assurance)。
信任管理為何成為企業新挑戰?
近年來,企業在採購SaaS服務、委外開發、雲端服務或建立合作夥伴關係時,經常需要進行供應商安全評估。
另一方面,企業本身也經常收到客戶要求提供:
- 資安問卷
- SOC 2 報告
- ISO 27001 證明文件
- 弱點管理流程
- 事件通報程序
- 個人資料保護措施
這些工作往往需要資安、法務、業務與技術團隊共同協作,不僅耗費大量時間,也容易因文件版本不同、證據過期或回答內容不一致而增加風險。
因此,企業開始尋求更有效率的方式管理信任流程,而Agentic AI正是Drata提出的解決方向。
Drata 推出的 Agentic AI 能力有哪些?
Agentic TPRM Assessment
第三方風險管理(TPRM)是企業評估供應商風險的重要流程。
Drata 推出的 Agentic TPRM Assessment 能夠協助企業:
- 自動建立評估準則
- 執行以控制項為基礎的風險評估
- 提供評估推理與分析結果
- 建立證據連結
- 產生後續追蹤事項
- 維護風險登錄表(Risk Register)
- 產出管理報告
此外,該功能可在供應商授權下直接引用Drata Trust Center中的即時信任資料與證據,降低企業對過時文件或靜態證據的依賴,提升供應商風險評估的即時性與可信度。
Agentic Questionnaire Response
資安問卷回覆一直是企業信任管理的重要工作。
Drata 推出的 Agentic Questionnaire Response 不僅協助回答資安問卷,更希望涵蓋整體問卷管理生命週期,包括資料來源管理、回覆流程與後續維護。
原廠特別強調,企業仍可決定 AI Agent 的自主程度,並保留人工審核(Human-in-the-Loop)機制,確保重要決策與對外承諾仍由人員負責。
AI Trust Center Setup
對許多企業而言,建立 Trust Center 的門檻往往來自文件整理與內容建置。
AI Trust Center Setup 可根據既有文件自動產生 Trust Center 預覽內容,協助企業更快速建立對外展示的信任資訊平台,降低建置成本與維護負擔。
從工具自動化走向流程協作
過去多數 GRC 工具的角色,是協助企業蒐集證據、管理稽核流程與維護合規文件。
然而,Drata 這次強調的不只是單點自動化,而是讓 Agent 直接參與整個信任工作流程(Trust Workflow)。
從供應商評估、資安問卷管理到信任資訊交付,AI Agent 開始協助執行原本需要大量人工處理的流程。這代表企業信任管理工具正逐漸從流程管理平台,演進為流程協作平台。
台灣企業導入 Agentic AI 應注意什麼?
對台灣企業而言,Agentic AI 的價值不只是節省時間,更重要的是建立可追溯、可重複使用且可稽核的信任資料流。
不過,企業在導入過程中仍應避免將 AI 視為完全自動化的決策者。
特別是在以下情境中,建議保留人工審核與核准機制:
- 供應商風險評分
- 客戶資安問卷回覆
- 合規聲明與承諾
- 個人資料處理說明
- 合約附件與法遵文件
若 AI 系統可能接觸供應商資料、客戶資料、控制證據或其他敏感資訊,企業也應確認資料來源、存取權限、保存方式與使用目的符合既有治理要求。
建議企業建立的治理基線
在導入 Agentic AI 協助 GRC 或第三方風險管理之前,建議先建立以下管理機制:
1. 建立可信資料來源清冊
明確定義哪些文件可供 AI 讀取、摘要與引用。
2. 保留人工審核流程
對資安問卷與對外回覆建立核准機制與版本管理流程。
3. 建立風險評估依據
保存評分標準、證據來源與例外核准紀錄。
4. 控制合規聲明風險
避免 AI 自動產生超出企業實際控制能力的承諾或保證。
5. 強化敏感資料管理
對涉及個人資料、客戶機密資訊或未公開稽核報告的資料建立更嚴格的權限控管。
盛合觀點
Drata 這次推出的 Agentic AI 能力,反映出企業信任管理正在進入新的階段。
過去企業透過 GRC 平台管理證據與流程;未來,AI Agent 將逐漸參與供應商風險評估、問卷管理與信任資訊交付等工作流程。企業獲得的不只是效率提升,更是更一致、更可追溯且更容易稽核的管理模式。
不過,AI 能夠加速流程,並不代表責任可以自動轉移。企業在追求效率的同時,仍應清楚界定核准權限、責任歸屬與治理機制,才能真正發揮 Agentic AI 在信任管理上的價值。