1. Ce que le pack ISO 27001 IA couvre
Le pack ISO/IEC 27001 fait correspondre les contrôles de l’Annexe A 2022 à des guardrails qui tournent sur chaque requête franchissant la passerelle. Trois clauses correspondent à une application en direct ; deux sont organisationnelles et sont divulguées comme des lacunes plutôt que revendiquées.| Clause de l’Annexe A | Plan | Contrôle |
|---|---|---|
| A.9 Contrôle d’accès | guardrail | Garder les PII hors du fournisseur amont, conformément au besoin d’en connaître |
| A.10 Cryptographie | guardrail | Bloquer les clés privées et secrets en transit |
| A.12.4 Journalisation et surveillance | guardrail | Enregistrer chaque décision de guardrail comme preuve |
A.5 Contrôles organisationnels et A.6 Contrôles relatifs aux personnes sont
des clauses de gouvernance — propriété des politiques, vérification, et
orientation de la direction. Un proxy ne peut pas les appliquer, donc le pack
les remonte comme des lacunes divulguées (ou des lignes attestées par le
propriétaire) à la fois sur la console et le rapport, jamais comme une
couverture automatisée. Les lacunes honnêtes sont ce qui rend les lignes
appliquées dignes de confiance. Voir
la matrice de contrôles.
2. Installer le pack — un exemple concret
Installer matérialise la correspondance en politiques guardrail réelles dans votre espace de travail, chacune taguée avec la provenance du pack. Vous faites ceci depuis la console, pas une clé de relais : Compliance → Catalog → ISO/IEC 27001 → Install C’est une action d’Admin de l’espace de travail sur un plan payant, et le serveur applique les deux. Sous le capot, votre session console appelle :A.9 Contrôle d'accès → guardrail PII
A.9 Contrôle d'accès → guardrail PII
Une vraie règle de guardrail
pii_block rejette en dur les requêtes
portant des données personnelles (emails, numéros de téléphone, SSN,
numéros de carte, IPs) sur le stage de requête, de sorte qu’elle
n’atteigne jamais le fournisseur amont — conformément à l’accès au besoin
d’en connaître. Vous pouvez l’ouvrir, la lire, et ajuster l’ensemble
d’entités comme n’importe quelle autre règle.A.10 Cryptographie → guardrail secrets
A.10 Cryptographie → guardrail secrets
Des règles regex qui bloquent les clés privées PEM et les tokens cloud,
superposées avec le Secrets Blocker, de sorte que le matériel
cryptographique ne transite jamais par la passerelle dans un prompt.
A.12.4 Journalisation → compliance logger
A.12.4 Journalisation → compliance logger
Une règle à action
flag enregistre chaque décision de guardrail comme
preuve sans bloquer le trafic — la clause de journalisation-et-surveillance
devient une ligne de log réelle par décision.3. Observez d’abord, puis passez en production
Une installation ISO/IEC 27001 ne commence pas à bloquer le trafic dès le premier jour. Les installations atterrissent en mode observe : les actions de guardrail appliquantes sont contraintes àflag, de sorte que vous collectez
des preuves « aurait bloqué » contre le trafic réel avant que quoi que ce soit
ne rejette une requête.
Lorsque les preuves ont l’air correctes, un Admin de l’espace de travail
promeut le pack au passage en production, qui restaure les actions déclarées —
les contrôles A.9 et A.10 commencent à appliquer, le contrôle A.12.4 continue
d’enregistrer — et promeut optionnellement la politique matérialisée en défaut
de l’espace de travail. C’est la même discipline décrite dans
Observer vs appliquer.
4. Des preuves signées que votre auditeur peut vérifier
Tout l’intérêt du pack est le rapport. Les preuves ISO/IEC 27001 sont générées comme un rapport signé Ed25519 avec un hash de contenu SHA256, exportable en CSV, JSON ou PDF, et publiquement vérifiable — votre auditeur vérifie la signature sans connexion OrcaRouter.Couverture par clause avec comptes réels
Couverture par clause avec comptes réels
Chaque ligne de l’Annexe A porte son statut —
covered, observe, gap
ou attested — et combien de fois le contrôle s’est réellement déclenché
sur la période. Un contrôle A.9 qui a masqué des milliers de requêtes se
lit différemment pour un auditeur qu’un avec zéro correspondance, et le
rapport montre les deux.Traçabilité de provenance
Traçabilité de provenance
Chaque contrôle matérialisé enregistre son
control_id (par ex.
iso27001.access), la clause verbatim (ISO/IEC 27001 A.9 Access control), le plan, et l’id de la politique vivante qui l’applique — de
sorte que l’auditeur parcourt clause → contrôle → politique appliquante →
correspondances, sans étape inférée.Vérification publique
Vérification publique
Récupérez la clé publique de signature à
GET /api/public/compliance/pubkey, soumettez le rapport à
POST /api/public/compliance/verify, ou ouvrez un lien de partage
auditeur à portée limitée à GET /api/public/compliance/share/:token.
Aucun compte requis.5. Estampillez vos preuves ISO 27001 par région
Les rapports ISO/IEC 27001 sont stockés et servis sous votre région de résidence déclarée —us / eu / uk / ap / cn / global — et un
rapport n’est servi que sous une région correspondante ; les lectures
inter-régions sont retenues. Un Admin de l’espace de travail la définit via
PUT /api/compliance/residency.
La résidence ici est la région de l’artefact de preuves — où les rapports
signés vivent et sont servis. Ce n’est pas un géo-épinglage des données
d’inférence. Voir
Résidence des données et
Inter-régions pour la frontière.
6. Où aller ensuite
ISO/IEC 42001
Le compagnon de système de management de l’IA — associez le périmètre ISMS
de 27001 aux contrôles AIMS de 42001.
Contenu du pack
L’anatomie complète d’un pack — plan, statuts, et provenance.
Installer un pack
Le flux d’installation de bout en bout, le mode observe, et le passage en
production.
Rapport signé
Ce que contient le rapport de preuves signé Ed25519.
Guardrails
Le plan de contenu dans lequel le pack 27001 écrit — PII, secrets, et
journalisation.
Frameworks
Le catalogue complet — SOC 2, HIPAA, GDPR, l’EU AI Act, et d’autres.