1. ISO 27001 AI パックがカバーするもの
ISO/IEC 27001 パックは、2022 年版の附属書 A コントロールを、すべてのゲートウェイを 横切るリクエスト上で動作するガードレールにマッピングします。3 つの条項がライブ 強制にマッピングし;2 つは組織的で、主張ではなくギャップとして開示されます。| 附属書 A 条項 | プレーン | コントロール |
|---|---|---|
| A.9 アクセスコントロール | ガードレール | need-to-know に整合して、PII をアップストリームプロバイダから遠ざける |
| A.10 暗号 | ガードレール | 転送中の秘密鍵とシークレットをブロック |
| A.12.4 ログと監視 | ガードレール | すべてのガードレール決定をエビデンスとして記録 |
A.5 組織的コントロールと A.6 人的コントロールはガバナンス条項です — ポリシー所有権、
スクリーニング、経営の方向性。プロキシはそれらを強制できないため、パックはそれらを
コンソールとレポートの両方で開示されたギャップ(またはオーナーアテスト行)として
表面化し、決して自動カバレッジとしてではありません。正直なギャップが、強制される
行を信頼できるものにします。コントロールマトリクスを参照。
2. パックをインストールする — ひとつの具体例
インストールは、マッピングをワークスペース内の実在するガードレールポリシーに 実体化し、それぞれをパックの来歴でタグ付けします。これはリレーキーではなく、 コンソールから行います: Compliance → Catalog → ISO/IEC 27001 → Install それは有料プランのワークスペース管理者アクションで、サーバーが両方を 強制します。内部では、あなたのコンソールセッションが呼び出します:A.9 アクセスコントロール → PII ガードレール
A.9 アクセスコントロール → PII ガードレール
実在する
pii_block ガードレールルールが、個人データ(email、電話番号、SSN、
カード番号、IP)を運ぶリクエストをリクエストステージでハードリジェクトする
ため、それはアップストリームプロバイダに決して到達しません — need-to-know
アクセスに整合します。他のどのルールとも同様に、開いて読み、エンティティセットを
チューニングできます。A.10 暗号 → シークレットガードレール
A.10 暗号 → シークレットガードレール
PEM 秘密鍵とクラウドトークンをブロックする regex ルールで、Secrets Blocker と
重ねられているため、暗号材料がプロンプト内でゲートウェイを決して通過しません。
A.12.4 ログ → コンプライアンスロガー
A.12.4 ログ → コンプライアンスロガー
flag アクションルールが、トラフィックをブロックせずに各ガードレール決定を
エビデンスとして記録します — ログと監視の条項が、決定ごとの実際のログ行に
なります。3. まず観察、それからゴーライブ
ISO/IEC 27001 インストールは初日からトラフィックをブロックしません。インストール は観察モードで着地します:強制するガードレールアクションはflag に強制される
ため、何かがリクエストを拒否する前に、実トラフィックに対して「ブロックしたであろう」
エビデンスを収集します。
エビデンスが正しく見えたら、ワークスペース管理者がパックをゴーライブに昇格し、
宣言済みアクションを復元します — A.9 と A.10 のコントロールが強制し始め、A.12.4
コントロールが記録を続け — オプションで実体化されたポリシーをワークスペース
デフォルトに昇格します。これは
観察 vs 強制で説明されているのと
同じ規律です。
4. 監査人が検証できる署名付きエビデンス
パックの眼目はレポートです。ISO/IEC 27001 エビデンスは、SHA256 コンテンツハッシュを 持つ Ed25519 署名付きレポートとして生成され、CSV、JSON、PDF としてエクスポート可能で、 公的に検証可能です — あなたの監査人は OrcaRouter ログインなしに署名をチェック します。実際のカウント付きの条項ごとのカバレッジ
実際のカウント付きの条項ごとのカバレッジ
各附属書 A 行は、そのステータス —
covered、observe、gap、attested —
と、そのコントロールが期間にわたって実際に何回発火したかを運びます。数千件の
リクエストをマスクした A.9 コントロールは、マッチがゼロのものとは監査人に
異なって読まれ、レポートは両方を示します。来歴系統
来歴系統
すべての実体化されたコントロールは、その
control_id(例:
iso27001.access)、逐語的な条項(ISO/IEC 27001 A.9 Access control)、
プレーン、そしてそれを強制するライブなポリシーの id を記録します — そのため
監査人は、推測されたステップなしに、条項 → コントロール → 強制ポリシー →
マッチを歩きます。公開検証
公開検証
5. ISO 27001 エビデンスをリージョンスタンプする
ISO/IEC 27001 レポートは、宣言されたレジデンシーリージョン —us / eu / uk /
ap / cn / global — の下で保存され配信され、レポートは一致するリージョンの下
でのみ配信されます;クロスリージョン読み取りは保留されます。ワークスペース管理者が
PUT /api/compliance/residency 経由でそれを設定します。
リクエストログはデフォルトで 30 日保持され(180 日ハード最大値にサーバークランプ)、
ユーザー削除は 30 日猶予ウィンドウ、それから PII スクラブを実行します — どちらも
監査人があなたの A.12.4 保持姿勢を探るときに関連します。
保持と
消去権を参照。
6. 次に行く場所
ISO/IEC 42001
AI マネジメントシステムのコンパニオン — 27001 の ISMS スコープと 42001 の
AIMS コントロールを組み合わせます。
パックの中身
パックの完全な構造 — プレーン、ステータス、来歴。
パックをインストールする
端から端までのインストールフロー、観察モード、ゴーライブ。
署名付きレポート
Ed25519 署名付きエビデンスレポートが何を含むか。
ガードレール
27001 パックが書き込むコンテンツプレーン — PII、シークレット、ログ。
フレームワーク
完全なカタログ — SOC 2、HIPAA、GDPR、EU AI Act、その他。