1. ISO 42001 팩이 제어하는 것
ISO/IEC 42001 팩은 AIMS 조항을 모든 게이트웨이 가로지르는 요청에서 실행되는 컨트롤에 매핑합니다. 세 조항이 라이브 강제에 매핑됩니다; 두 개는 조직적이며 주장되는 대신 갭으로 공개됩니다.| AIMS 조항 | 평면 | 컨트롤 |
|---|---|---|
| A.6 AI 시스템 수명 주기 | guardrail | AI 시스템에 대한 탈옥 시도 차단 |
| A.8 이해관계자를 위한 정보 | guardrail | 출력에서 확정적 법률/금융 자문 플래그 |
| A.9 AI 시스템 사용 | guardrail | 모든 guardrail 결정을 증거로 기록 |
Clause 5 Leadership & AI policy와 A.5 AI system impact assessment는
사람-과-프로세스 조항입니다. 게이트웨이는 그것들을 강제할 수 없으므로,
팩은 그것들을 콘솔과 보고서 양쪽에서 공개된 갭(또는 소유자 증명 행)으로
표면화합니다 — 결코 자동화된 커버리지로가 아닙니다. 프록시가 할 수 없는
것을 공개하는 것이 나머지 증거를 신뢰할 수 있게 만드는 것입니다.
컨트롤 매트릭스를 참조하세요.
2. ISO 42001 팩 설치 — 하나의 구체적 예시
설치는 매핑을 워크스페이스의 guardrail 정책으로 구체화하며, 각 컨트롤이 팩의 출처로 태그됩니다. 릴레이 키가 아니라 콘솔에서 이것을 합니다: Compliance → Catalog → ISO/IEC 42001 → Install 그것은 유료 플랜의 워크스페이스-Admin 액션이며, 서버가 둘 다 강제합니다. 내부적으로 당신의 콘솔 세션이 호출합니다:A.6 — AI 안전 가드
A.6 — AI 안전 가드
요청의 regex
guardrail 규칙이 일반적인 탈옥과 역할극 시도(“do
anything now”, “developer mode”, “ignore previous instructions”)를
모델에 도달하기 전에 차단합니다 — 당신의 AI 시스템 수명 주기가
입력 측에 안전 컨트롤을 가진다는 증거.A.8 — 이해관계자를 위한 정보
A.8 — 이해관계자를 위한 정보
확정적 법률/금융 자문(“you are entitled to damages”, “guaranteed
return”)을 주는 출력을 플래그하는 regex
guardrail 규칙. 차단하는
대신 주석을 달므로, 플래그된 호출이 팀 검토로 갑니다 — 당신의
이해관계자를 위한 사용자 대상 투명성 컨트롤.A.9 — 사용 & 모니터링
A.9 — 사용 & 모니터링
트래픽을 차단하거나 수정하지 않고 모든 guardrail 결정을 관리 시스템
증거로 기록하는
flag 전용 pii 규칙 — 평가자가 “use of AI
systems”를 위해 읽는 모니터링 추적.3. 먼저 관찰하고, 그다음 라이브 전환
ISO 42001 설치는 첫날에 트래픽을 차단하기 시작하지 않습니다. 설치는 관찰 모드로 도착합니다: 강제 guardrail 액션이flag로 강제되므로, 어떤
것이 강제하기 전에 실제 트래픽에 대해 “차단되었을” 증거를 수집합니다.
A.8과 A.9 컨트롤은 이미 flag 전용이므로, 그 동작은 변경되지 않습니다; A.6
안전 가드가 라이브 전환까지 그 차단 판정을 유지하는 것입니다.
증거가 맞아 보이면, 워크스페이스 Admin이 팩을 라이브 전환으로 프로모트하며,
이는 선언된 액션을 복원합니다 — A.6 탈옥 가드가 차단을 시작함 — 그리고
선택적으로 구체화된 정책을 워크스페이스 기본값으로 프로모트합니다. 이는
관찰 vs 강제에 설명된 동일한
규율입니다.
4. 당신의 AIMS를 위한 서명된 증거
팩의 요점은 보고서입니다. ISO 42001 증거는 SHA256 콘텐츠 해시를 가진 Ed25519 서명 보고서로 생성되며, CSV, JSON, 또는 PDF로 내보낼 수 있고 공개적으로 검증 가능합니다 — 평가자가 OrcaRouter 로그인 없이 서명을 확인합니다.실제 카운트가 있는 조항별 커버리지
실제 카운트가 있는 조항별 커버리지
각 AIMS 행은 그 상태 —
covered, observe, gap, 또는 attested —
와 컨트롤이 기간 동안 실제로 몇 번 발동했는지를 담습니다. 실제 탈옥
시도를 차단한 A.6 안전 가드는 매치가 0인 것과 평가자에게 다르게
읽히며, 보고서는 둘 다 보여줍니다.출처 계보
출처 계보
모든 구체화된 컨트롤은 그
control_id(예: iso42001.safety), 축어적
조항(ISO/IEC 42001 A.6 AI system lifecycle), 평면, 그리고 그것을
강제하는 라이브 정책 객체의 id를 기록합니다 — 그래서 평가자가 조항 →
컨트롤 → 강제하는 정책 → 매치를 걷습니다, 추론된 단계 없이.공개 검증
공개 검증
5. ISO 42001 증거를 리전 스탬프
ISO 42001 보고서는 당신의 선언된 레지던시 리전 —us / eu / uk / ap / cn / global — 하에서 저장되고 제공되며,
보고서는 일치하는 리전 하에서만 제공됩니다; 크로스 리전 읽기는 보류됩니다.
워크스페이스 Admin이 PUT /api/compliance/residency로 설정합니다.
요청 로그는 기본 30일 보존(180일 하드 최댓값으로 서버 클램프)으로
설정되며, 사용자 삭제는 30일 유예 기간 그다음 PII 스크럽을 실행합니다 —
평가자가 당신의 보존 자세에 대해 물을 때 둘 다 관련됩니다.
보존과
삭제권을 참조하세요.
6. 다음으로 갈 곳
팩 내용
팩의 전체 해부 — 평면, 상태, 그리고 출처.
팩 설치
처음부터 끝까지 설치 흐름, 관찰 모드, 그리고 라이브 전환.
NIST AI RMF
다른 AI 거버넌스 프레임워크 — GOVERN, MAP, MEASURE, MANAGE.
EU AI Act
규제 AI 프레임워크와 그 위험 티어.
프레임워크
전체 카탈로그 — SOC 2, HIPAA, GDPR, ISO 27001, 그리고 더 많이.
Guardrails
ISO 42001 컨트롤이 쓰는 콘텐츠 계층 레퍼런스.