الانتقال إلى المحتوى الرئيسي
أنت تضع نطاق نظام إدارة أمن المعلومات لديك حول وكيل ذكاء اصطناعي ويريد مدققك معرفة أي ضوابط الملحق A تستطيع التدليل عليها فعلاً على مسار الطلب. على بوابة مستضافة، الإجابة الصادقة ضيّقة وقابلة للتحقق: بنود الملحق A التي تُسقَط على ضابط يعمل على كل طلب يعبر البوابة — الوصول، والتشفير، وتسجيل الأحداث — إضافةً إلى البنود التنظيمية التي لا يستطيع وكيل فرضها أبداً ويجب الإفصاح عنها كثغرات. هذه الصفحة هي خطوة ISO 27001 للذكاء الاصطناعي التفصيلية: أي بنود الملحق A تغطّيها حزمة ISO/IEC 27001، والضوابط التي تجسّدها، وكيف تُوقَّع الأدلة. لتدفّق التثبيت وصيغة التقرير بعمق، اتبع الروابط في النهاية — هذه هي الخريطة الخاصة بـ 27001، لا مرجع الامتثال الكامل.

1. ما الذي تغطّيه حزمة ISO 27001 للذكاء الاصطناعي

تُسقِط حزمة ISO/IEC 27001 ضوابط الملحق A لعام 2022 على حواجز حماية تعمل على كل طلب يعبر البوابة. ثلاثة بنود تُسقَط على فرض حي؛ واثنان تنظيميان ويُفصَح عنهما كثغرات بدلاً من ادعائهما.
بند الملحق Aالمستوىالضابط
A.9 التحكم في الوصولحاجز حمايةإبقاء PII بعيداً عن مزود upstream، بما يتسق مع الحاجة للمعرفة
A.10 التشفيرحاجز حمايةحجب المفاتيح الخاصة والأسرار أثناء النقل
A.12.4 التسجيل والمراقبةحاجز حمايةتسجيل كل قرار حاجز حماية كدليل
A.5 الضوابط التنظيمية وA.6 ضوابط الأشخاص بندا حوكمة — ملكية السياسة، والفحص، وتوجيه الإدارة. لا يستطيع وكيل فرضها، فتُظهرها الحزمة كـثغرات مُفصَح عنها (أو صفوف مُقَرّة من المالك) على كل من وحدة التحكم والتقرير، لا أبداً كتغطية آلية. الثغرات الصادقة هي ما يجعل الصفوف المفروضة جديرة بالثقة. انظر مصفوفة الضوابط.
تعمل الضوابط الفارضة الثلاثة جميعاً على نفس آلية حواجز الحماية التي تضبطها يدوياً. الحزمة هي الإسقاط المؤلَّف الذي يقول أي حاجز حماية موجود يستوفي أي بند ملحق A — لا تشحن أي محرك تشغيل جديد. انظر محتويات الحزمة للتشريح الكامل.

2. ثبّت الحزمة — مثال ملموس واحد

التثبيت يجسّد الإسقاط في سياسات حاجز حماية حقيقية في مساحة عملك، كلٌّ موسوم بمنشأ الحزمة. تفعل هذا من وحدة التحكم، لا من مفتاح ترحيل: الامتثال ← الكتالوج ← ISO/IEC 27001 ← تثبيت ذاك إجراء مسؤول مساحة عمل على خطة مدفوعة، ويفرض الخادم كليهما. تحت الغطاء تستدعي جلسة وحدة التحكم لديك: 
POST /api/compliance/packs/iso_27001/install
لا تسلّم أبداً مفتاح ترحيل sk-orca-… لمسار ضبط. تستوثق مسارات /api/compliance/* بجلسة وحدة التحكم لديك، لا بمفتاح الترحيل — فقط استدعاءات نماذج /v1/* تستخدم sk-orca-…. تصفّح الكتالوج، والحزم المثبّتة، والجاهزية مجاني ومفتوح لكل عضو في مساحة العمل؛ التثبيت، والانتقال للإنتاج، والتقرير، والإقامة هي إجراءات المسؤول المحكومة.
بعد التثبيت، تتوقف صفوف الملحق A عن كونها نصاً:
قاعدة حاجز حماية pii_block حقيقية ترفض رفضاً صلباً الطلبات الحاملة بيانات شخصية (بريد، وأرقام هاتف، وSSN، وأرقام بطاقات، وIP) على مرحلة الطلب، فلا تصل أبداً إلى مزود upstream — بما يتسق مع الوصول بالحاجة للمعرفة. تستطيع فتحها، وقراءتها، وضبط مجموعة الكيانات مثل أي قاعدة أخرى.
قواعد regex تحجب مفاتيح PEM الخاصة ورموز السحابة، مطبّقة مع Secrets Blocker، فلا تعبر المادة التشفيرية أبداً البوابة في مطالبة.
قاعدة بإجراء flag تسجّل كل قرار حاجز حماية كدليل دون حجب حركة المرور — يصبح بند التسجيل-والمراقبة سطر سجل فعلياً لكل قرار.

3. راقب أولاً، ثم انتقل للإنتاج

تثبيت ISO/IEC 27001 لا يبدأ بحجب حركة المرور في اليوم الأول. تهبط عمليات التثبيت في وضع المراقبة: تُجبَر إجراءات حاجز الحماية الفارضة على flag، فتجمع أدلة “كان-سيُحجَب” مقابل حركة مرور حقيقية قبل أن يرفض أي شيء طلباً. عندما تبدو الأدلة صحيحة، يرقّي مسؤول مساحة العمل الحزمة للإنتاج، الذي يستعيد الإجراءات المُعلَنة — يبدأ ضابطا A.9 وA.10 بالفرض، ويبقى ضابط A.12.4 يسجّل — ويرقّي اختيارياً السياسة المُجسَّدة إلى افتراضي مساحة العمل. هذا هو نفس الانضباط الموصوف في المراقبة مقابل الفرض.
فرض مرحلة الطلب حي اليوم: يُرفَض طلب حامل PII قبل أن يراه النموذج، ويعلّم مسجّل A.12.4 كل قرار على الطلب. فحص الاستجابة / التدفّق الحي على خارطة الطريق، فعلى جانب المخرجات تكون أدلة مراقبة A.12.4 هي ما يقرأه مدقق على فترة التقرير.

4. أدلة موقّعة يستطيع مدققك التحقق منها

مغزى الحزمة هو التقرير. تُولَّد أدلة ISO/IEC 27001 كتقرير موقّع بـ Ed25519 بتجزئة محتوى SHA256، قابل للتصدير كـ CSV أو JSON أو PDF، وقابل للتحقق علناً — يفحص مدققك التوقيع دون تسجيل دخول OrcaRouter.
يحمل كل صف ملحق A حالته — covered أو observe أو gap أو attested — وكم مرة أُطلِق الضابط فعلاً على الفترة. ضابط A.9 أخفى آلاف الطلبات يُقرأ لمدقق مختلفاً عن واحد بصفر مطابقة، والتقرير يعرض الاثنين.
يسجّل كل ضابط مُجسَّد control_id خاصته (مثل iso27001.access)، والبند الحرفي (ISO/IEC 27001 A.9 Access control)، والمستوى، ومعرّف السياسة الحي الذي يفرضه — فيمشي المدقق بند ← ضابط ← سياسة فارضة ← مطابقات دون خطوة مُستنتَجة.
اجلب مفتاح التوقيع العام عند GET /api/public/compliance/pubkey، وأرسل التقرير إلى POST /api/public/compliance/verify، أو افتح رابط مشاركة مدقق ضمن نطاق عند GET /api/public/compliance/share/:token. لا حاجة لحساب.
انظر التقرير الموقّع لتخطيط الغلاف-إلى-التذييل و التحقق من تقرير لخطوة التحقق التفصيلية.

5. اختم أدلة ISO 27001 خاصتك بالمنطقة

تُخزَّن تقارير ISO/IEC 27001 وتُقدَّم تحت منطقة إقامتك المُعلَنة — us / eu / uk / ap / cn / global — ولا يُقدَّم تقرير إلا تحت منطقة مطابقة؛ تُحجَب القراءات العابرة للمناطق. يضبطها مسؤول مساحة عمل عبر PUT /api/compliance/residency.
الإقامة هنا منطقة مُنتَج الأدلة — أين تعيش التقارير الموقّعة وتُقدَّم. إنها ليست تثبيتاً جغرافياً لبيانات الاستدلال. انظر إقامة البيانات و العابرة للمناطق للحدود.
تتخلف سجلات الطلبات إلى احتفاظ من 30 يوماً (مقيّد على الخادم بحد أقصى صارم من 180 يوماً)، ويشغّل حذف مستخدم نافذة مهلة من 30 يوماً ثم تنظيف PII — كلاهما ذو صلة عندما يستقصي مدقق موقف احتفاظ A.12.4 لديك. انظر الاحتفاظ و الحق في المحو.

6. إلى أين تذهب بعد ذلك

ISO/IEC 42001

رفيق نظام إدارة الذكاء الاصطناعي — اقرن نطاق ISMS لـ 27001 بضوابط AIMS لـ 42001.

محتويات الحزمة

التشريح الكامل لحزمة — المستوى، والحالات، والمنشأ.

تثبيت حزمة

تدفّق التثبيت من طرف إلى طرف، ووضع المراقبة، والانتقال للإنتاج.

التقرير الموقّع

ما الذي يحتويه تقرير الأدلة الموقّع بـ Ed25519.

حواجز الحماية

مستوى المحتوى الذي تكتب إليه حزمة 27001 — PII، والأسرار، والتسجيل.

أطر العمل

الكتالوج الكامل — SOC 2، وHIPAA، وGDPR، وEU AI Act، والمزيد.
ISO/IEC 27001 على بوابة مستضافة هو انضباط الدقة: أسقِط ضوابط الملحق A التي يستطيع وكيل فرضها على حواجز حماية حية، وأفصِح عن التنظيمية التي لا يستطيع، ووقّع الأدلة حتى يصمد الخط بين الاثنين أمام التدقيق.