企劃摘要
募資目標
新台幣 xxx 萬元,9 個月內完成產品化與早期商業化,涵蓋開發、人員、顧問審查、部署、業務與法務。
現有基礎
已具備 FastAPI 後端、PostgreSQL、HTML/CSS/JS 前端、SoA 93 控制項、風險管理、佐證管理、KPI/KRI、稽核追蹤、Dashboard 與受控文件管理等原型功能。
目標里程碑
推進至可展示、可試用、可私有部署、可顧問交付、可支援付費 PoC 的 MVP 商業版本。
產品定位與市場痛點
定位為「輕量型 ISMS / PIMS / GRC 維運平台」,補足中小型組織在 ISO 27001 / PIMS 維運上的資料分散、佐證缺口、稽核追蹤與文件控管問題,而非取代大型 GRC。
10–50 人科技公司
缺乏專職資安團隊,需低成本集中管理 SoA / 風險 / 佐證
ISO / 資安顧問公司
客戶交付後難以維運,需標準化導入工具與年度維運收入
已取得 ISO 27001 中小企業
第二年維運資料分散,需稽核前總覽、缺口提醒、CAPA 追蹤
ISMS/PIMS Portal 市場分析與業務量預估報告
低單價訂閱與多驗證標準延伸版|版本 V1.1|2026-06-01
市場策略
SaaS 訂閱模式
多標準延伸
定價策略:三階方案設計
建議設計三階訂閱方案,降低採購阻力,同時保留多標準擴充與顧問版加值空間。低單價策略的關鍵在於透過較高客戶數、續約率與顧問通路複製,形成穩定 MRR/ARR。
多標準延伸市場
系統核心資料模型(文件、風險、控制項、佐證、稽核、CAPA、KPI/KRI、管理審查)為多數管理系統標準共用的維運骨架,可由 ISMS/PIMS 起步,逐步延伸為多標準管理系統維運平台。
ISO 27001 / CNS 27001
SoA、風險、控制項、佐證、稽核、CAPA;資安管理與客戶稽核應對
ISO 27701 / CNS 27701
PIMS 文件、個資處理、風險、佐證、稽核;個資治理與隱私管理延伸
ISO 9001 / 14001 / 45001
品質、環境、職安衛管理;共用文件、稽核、CAPA、管理審查模組
ISO 22301 / 20000 / 27017/27018
BCMS、ITSM 與雲端服務驗證延伸;共用文件、風險、控制、服務佐證
市場分層:TAM / SAM / SOM
依據經濟部 2024 年中小企業白皮書,2023 年臺灣中小企業突破 167.4 萬家,占全體企業 98% 以上,作為市場母體上限參考。
上述 SAM/SOM 為商業假設,需透過顧問通路訪談、PoC 轉換率與早期客戶數據逐季校正。
三年業務量與營收預估
低單價策略下,年度營收應以訂閱客戶數、平均月費、留存率估算。以下以平均月費 3,500–4,500 元作三種情境,基準情境第 3 年期末 ARR 約 3,840 萬元。
1,890萬
保守情境 ARR
450 家 × 3,500 元/月
3,840萬
基準情境 ARR
800 家 × 4,000 元/月
9,720萬
積極情境 ARR
1,800 家 × 4,500 元/月
業務漏斗與通路策略
低價策略需建立可複製的銷售漏斗,以顧問通路與標準套件化為主軸,先服務有驗證壓力的組織,再逐步擴展多標準維運。
顧問公司每年若可導入 5–20 家客戶,多個顧問通路疊加後可有效降低直銷成本。產品應支援顧問版、標準範本複製、客戶初始化精靈與報告輸出。
對產品開發路線的影響
定價降至 3,000–5,000 元後,產品不能依賴大量客製化,開發路線應改為標準化、範本化與自動化,以續約與加購為核心放大 Lifetime Value。
01
建立多標準資料模型
標準、條款/控制項、文件、佐證、稽核、CAPA、管理審查均可跨標準使用
02
建立標準套件
ISO 27001、PIMS、ISO 9001、ISO 14001、ISO 45001 逐步套件化
03
減少人工部署
支援安裝精靈、初始化資料、範本匯入,降低導入成本
04
顧問可複製交付
顧問可快速建立客戶工作區與範本,提高通路複製性
主要假設與風險
以下為本報告核心假設與對應風險,需持續以市場數據校正。
上述 SAM/SOM 均為商業假設,需透過早期客戶數據與顧問通路訪談逐季校正,切勿直接作為財務承諾依據。
結語:以訂閱規模驅動穩定成長
本報告核心建議:以低門檻訂閱定價取代高單價專案,透過多標準延伸將產品從「資安驗證工具」升級為「中小企業管理系統維運平台」,並以顧問通路複製放大市場觸及。
定價策略
3,000–5,000 元三階方案,降低採購阻力
多標準擴充
ISO 27001 起步,延伸至品質、環境、職安衛等六大標準
目標規模
基準情境第3年 800 家、ARR 3,840 萬元
成長引擎
顧問通路複製 + 續約留存 + 多標準加購放大 LTV
參考來源:ISO 官方頁面(ISO 27001、27701、9001、14001、45001)、ISO Survey、經濟部 2024 中小企業白皮書
目前產品模組基礎
Dashboard / KPI/KRI
維運儀表板、優先事項、八個預設指標、管理審查準備提醒
SoA 控制項管理
支援 ISO 27001:2022 附錄 A 93 控制項、適用性、狀態、佐證摘要
風險 / 佐證管理
風險新增、搜尋、等級、到期日;佐證上傳、審查狀態、控制項關聯
稽核追蹤 / CAPA
稽核方案、稽核發現、CAPA 改善追蹤;文件中心一至四階版本控制
投資必要性與產品化缺口
現有原型仍需補強安全、權限、一致性與商業部署能力。xxx 萬元資金目標是在 9 個月內補齊缺口,使產品達到可對外 Demo、可 PoC、可私有部署與可收費的基礎條件。
安全與權限
正式 session/token、全 API RBAC、tenant 隔離、audit trail
合規功能
SoA baseline、文件簽核發布、管理審查模組、稽核與 CAPA 閉環
商業部署
Release packaging 標準化、私有部署腳本、Demo 環境就緒
xxx 萬元資金用途規劃
最大投入:產品開發(36.5%)
Session/token、RBAC、tenant 隔離、audit trail 與合規模組補強為核心優先項目。
人員為第二大支出(27.5%)
涵蓋產品負責人、工程人員、專案管理與外包協作,確保 9 個月交付節奏。
預備金 2.5% 保留用於不可預期修正與緊急補強。
9 個月開發與商業化里程碑
1
M1|第 1–2 月
安全基礎重構
Session/token、全 API RBAC、tenant 隔離、audit trail
→ V0.94 Security Baseline
Session/token、全 API RBAC、tenant 隔離、audit trail
→ V0.94 Security Baseline
2
M2|第 3–5 月
合規維運功能
SoA baseline、管理審查、內稽、文件控制、CAPA 閉環
→ V0.95 Compliance Workflow
SoA baseline、管理審查、內稽、文件控制、CAPA 閉環
→ V0.95 Compliance Workflow
3
M3|第 6–7 月
商業 Demo 與 PoC
Demo 環境、顧問導入文件、操作手冊、報價方案
→ V0.96 Commercial Demo
Demo 環境、顧問導入文件、操作手冊、報價方案
→ V0.96 Commercial Demo
4
M4|第 8–9 月
早期客戶驗證
2–3 個 PoC、顧問通路洽談、價格方案驗證
→ V1.0 MVP Candidate
2–3 個 PoC、顧問通路洽談、價格方案驗證
→ V1.0 MVP Candidate
商業模式與投資條件
四大收入來源
私有部署授權
一次性授權費 + 年度維護費
顧問版授權
年度授權 + 每客戶啟用費
SaaS 版本
月費 / 年費(後期多租戶)
導入服務
導入包、範本包、年度維護
建議投資結構
可轉換投資 + 部分收益分潤保障
前 24 個月依授權費、導入費、維護費取得一定比例分潤;後續成立產品公司或下一輪募資時,依約定條件轉換為股權。
兼顧現金流回收可能性與未來股權成長空間。
風險與因應措施
產品範圍過大
堅持 10–50 人組織定位,先完成 MVP 核心閉環,避免開發期拉長與成本超支。
合規責任誤解
明確定位為維護輔助工具,不宜稱保證通過驗證,避免客戶誤認工具等同認證。
客戶資料安全疑慮
優先私有部署,強化 session、audit trail、備份與權限,降低採用顧慮。
競品大型 GRC 壓力
不與大型 GRC 正面競爭,聚焦輕量、顧問交付、快速導入的差異化定位。
預期成果與驗收指標
9 個月後以下四大類指標作為投資成果驗收依據,並形成下一輪募資或營收擴張所需的產品、財務與市場資料。
安全基礎
完成正式 session/token、全 API 權限、tenant 隔離、audit trail
合規維護
完成 SoA、風險、佐證、稽核、CAPA、文件、管理審查核心閉環
商業展示
完成 Demo 環境、投資簡報、產品簡報、操作手冊與報價方案
市場驗證
完成 1–3 個早期客戶 PoC 或顧問通路合作驗證
成功達標後,本企劃將成為下一輪募資或營收擴張的核心依據。