메인 콘텐츠로 건너뛰기
ISMS 범위를 AI 에이전트 주변에 두고 있고 감사인이 요청 경로에서 실제로 어떤 Annex A 컨트롤을 증거로 제시할 수 있는지 알고 싶어 합니다. 호스팅된 게이트웨이에서 정직한 답은 좁고 검증 가능합니다: 모든 게이트웨이 가로지르는 요청에서 실행되는 컨트롤에 매핑되는 Annex A 조항 — 접근, 암호화, 이벤트 로깅 — 더하기 프록시가 결코 강제할 수 없어 갭으로 공개해야 하는 조직적 조항. 이 페이지는 ISO 27001 AI 워크스루입니다: ISO/IEC 27001 팩이 어떤 Annex A 조항을 커버하는지, 그것이 구체화하는 컨트롤, 그리고 증거가 어떻게 서명되는지. 설치 흐름과 보고서 형식 심층은 끝의 링크를 따라가세요 — 이것은 전체 Compliance 레퍼런스가 아니라 27001 특화 지도입니다.

1. ISO 27001 AI 팩이 커버하는 것

ISO/IEC 27001 팩은 2022 Annex A 컨트롤을 모든 게이트웨이 가로지르는 요청에서 실행되는 guardrail에 매핑합니다. 세 조항이 라이브 강제에 매핑됩니다; 두 개는 조직적이며 주장되는 대신 갭으로 공개됩니다.
Annex A 조항평면컨트롤
A.9 접근 통제guardrailneed-to-know와 일치하게 PII를 업스트림 프로바이더에서 차단
A.10 암호화guardrail전송 중 프라이빗 키와 시크릿 차단
A.12.4 로깅 및 모니터링guardrail모든 guardrail 결정을 증거로 기록
A.5 조직적 컨트롤과 A.6 인력 컨트롤은 거버넌스 조항입니다 — 정책 소유권, 선별, 그리고 관리 방향. 프록시는 그것들을 강제할 수 없으므로, 팩은 그것들을 콘솔과 보고서 양쪽에서 공개된 (또는 소유자 증명 행)으로 표면화합니다, 결코 자동화된 커버리지로가 아닙니다. 정직한 갭이 강제된 행을 신뢰할 수 있게 만드는 것입니다. 컨트롤 매트릭스를 참조하세요.
세 강제 컨트롤 모두 당신이 손으로 구성하는 동일한 Guardrails 기계 장치에서 실행됩니다. 팩은 어떤 기존 guardrail이 어떤 Annex A 조항을 충족하는지 말하는 작성된 매핑입니다 — 그것은 새로운 런타임 엔진을 출하하지 않습니다. 전체 해부는 팩 내용을 참조하세요.

2. 팩 설치 — 하나의 구체적 예시

설치는 매핑을 워크스페이스의 실제 guardrail 정책으로 구체화하며, 각각 팩의 출처로 태그됩니다. 릴레이 키가 아니라 콘솔에서 이것을 합니다: Compliance → Catalog → ISO/IEC 27001 → Install 그것은 유료 플랜의 워크스페이스-Admin 액션이며, 서버가 둘 다 강제합니다. 내부적으로 당신의 콘솔 세션이 호출합니다: 
POST /api/compliance/packs/iso_27001/install
구성 라우트에 릴레이 sk-orca-… 키를 결코 건네지 마세요. /api/compliance/* 라우트는 릴레이 키가 아니라 당신의 콘솔 세션으로 인증합니다 — /v1/* 모델 호출만 sk-orca-…를 사용합니다. 카탈로그, 설치된 팩, 준비 상태 탐색은 무료이며 모든 워크스페이스 멤버에게 열려 있습니다; 설치, 라이브 전환, 보고서, 레지던시는 게이트된 Admin 액션입니다.
설치 후, Annex A 행은 산문이기를 멈춥니다:
실제 pii_block guardrail 규칙이 개인 데이터(이메일, 전화번호, SSN, 카드 번호, IP)를 담은 요청을 요청 단계에서 하드 거부하므로, 그것이 결코 업스트림 프로바이더에 도달하지 않습니다 — need-to-know 접근과 일치. 다른 어떤 규칙처럼 그것을 열고, 읽고, 엔티티 세트를 튜닝할 수 있습니다.
PEM 프라이빗 키와 클라우드 토큰을 차단하는 regex 규칙, Secrets Blocker와 계층화됨, 그래서 암호화 자료가 프롬프트에서 결코 게이트웨이를 통과하지 않습니다.
flag 액션 규칙이 트래픽을 차단하지 않고 각 guardrail 결정을 증거로 기록합니다 — 로깅-및-모니터링 조항이 결정당 실제 로그 라인이 됩니다.

3. 먼저 관찰하고, 그다음 라이브 전환

ISO/IEC 27001 설치는 첫날에 트래픽을 차단하기 시작하지 않습니다. 설치는 관찰 모드로 도착합니다: 강제 guardrail 액션이 flag로 강제되므로, 어떤 것이 요청을 거부하기 전에 실제 트래픽에 대해 “차단되었을” 증거를 수집합니다. 증거가 맞아 보이면, 워크스페이스 Admin이 팩을 라이브 전환으로 프로모트하며, 이는 선언된 액션을 복원합니다 — A.9와 A.10 컨트롤이 강제를 시작하고, A.12.4 컨트롤이 기록을 계속함 — 그리고 선택적으로 구체화된 정책을 워크스페이스 기본값으로 프로모트합니다. 이는 관찰 vs 강제에 설명된 동일한 규율입니다.
요청 단계 강제는 오늘 라이브입니다: PII를 담은 요청은 모델이 보기 전에 거부되고, A.12.4 로거가 요청의 모든 결정을 플래그합니다. 라이브 응답 / 스트리밍 스캐닝은 로드맵에 있으므로, 출력 측에서는 A.12.4 모니터링 증거가 감사인이 보고 기간 동안 읽는 것입니다.

4. 감사인이 검증할 수 있는 서명된 증거

팩의 요점은 보고서입니다. ISO/IEC 27001 증거는 SHA256 콘텐츠 해시를 가진 Ed25519 서명 보고서로 생성되며, CSV, JSON, 또는 PDF로 내보낼 수 있고 공개적으로 검증 가능합니다 — 감사인이 OrcaRouter 로그인 없이 서명을 확인합니다.
각 Annex A 행은 그 상태 — covered, observe, gap, 또는 attested — 와 컨트롤이 기간 동안 실제로 몇 번 발동했는지를 담습니다. 수천 건의 요청을 마스킹한 A.9 컨트롤은 매치가 0인 것과 감사인에게 다르게 읽히며, 보고서는 둘 다 보여줍니다.
모든 구체화된 컨트롤은 그 control_id(예: iso27001.access), 축어적 조항(ISO/IEC 27001 A.9 Access control), 평면, 그리고 그것을 강제하는 라이브 정책의 id를 기록합니다 — 그래서 감사인이 조항 → 컨트롤 → 강제하는 정책 → 매치를 걷습니다, 추론된 단계 없이.
GET /api/public/compliance/pubkey에서 서명 공개 키를 가져오고, 보고서를 POST /api/public/compliance/verify에 제출하거나, 범위 지정된 감사인 공유 링크를 GET /api/public/compliance/share/:token에서 여세요. 계정 불필요.
표지-에서-푸터 레이아웃은 서명된 보고서를, 검증 워크스루는 보고서 검증을 참조하세요.

5. ISO 27001 증거를 리전 스탬프

ISO/IEC 27001 보고서는 당신의 선언된 레지던시 리전 — us / eu / uk / ap / cn / global — 하에서 저장되고 제공되며, 보고서는 일치하는 리전 하에서만 제공됩니다; 크로스 리전 읽기는 보류됩니다. 워크스페이스 Admin이 PUT /api/compliance/residency로 설정합니다.
여기의 레지던시는 증거 아티팩트 리전입니다 — 서명된 보고서가 살고 제공되는 곳. 그것은 추론 데이터 지리적 고정이 아닙니다. 데이터 레지던시크로스 리전에서 경계를 참조하세요.
요청 로그는 기본 30일 보존(180일 하드 최댓값으로 서버 클램프)으로 설정되며, 사용자 삭제는 30일 유예 기간 그다음 PII 스크럽을 실행합니다 — 감사인이 당신의 A.12.4 보존 자세를 조사할 때 둘 다 관련됩니다. 보존삭제권을 참조하세요.

6. 다음으로 갈 곳

ISO/IEC 42001

AI 관리 시스템 동반자 — 27001의 ISMS 범위를 42001의 AIMS 컨트롤과 짝지으세요.

팩 내용

팩의 전체 해부 — 평면, 상태, 그리고 출처.

팩 설치

처음부터 끝까지 설치 흐름, 관찰 모드, 그리고 라이브 전환.

서명된 보고서

Ed25519 서명 증거 보고서가 무엇을 담는지.

Guardrails

27001 팩이 쓰는 콘텐츠 평면 — PII, 시크릿, 그리고 로깅.

프레임워크

전체 카탈로그 — SOC 2, HIPAA, GDPR, EU AI Act, 그리고 더 많이.
호스팅된 게이트웨이에서의 ISO/IEC 27001은 정확함의 규율입니다: 프록시가 강제할 수 있는 Annex A 컨트롤을 라이브 guardrail에 매핑하고, 할 수 없는 조직적인 것은 공개하며, 둘 사이의 선이 감사를 견디도록 증거를 서명합니다.