Przejdź do głównej treści
Obejmujesz zakresem swojego ISMS agenta AI, a twój audytor chce wiedzieć, które kontrole z Załącznika A faktycznie możesz udowodnić na ścieżce żądania. W hostowanej bramie uczciwa odpowiedź jest wąska i weryfikowalna: klauzule Załącznika A, które mapują się na kontrolę działającą na każdym przekraczającym bramę żądaniu — dostęp, kryptografia i logowanie zdarzeń — plus klauzule organizacyjne, których proxy nigdy nie może egzekwować i musi ujawnić jako luki. Ta strona to przewodnik iso 27001 ai: które klauzule Załącznika A pokrywa pakiet ISO/IEC 27001, kontrole, które materializuje, i jak dowody są podpisywane. Co do przepływu instalacji i formatu raportu w głąb, podążaj za linkami na końcu — to specyficzna dla 27001 mapa, nie pełna referencja Zgodności.

1. Co pokrywa pakiet iso 27001 ai

Pakiet ISO/IEC 27001 mapuje kontrole z Załącznika A 2022 na guardrails, które działają na każdym przekraczającym bramę żądaniu. Trzy klauzule mapują się na egzekwowanie na żywo; dwie są organizacyjne i są ujawniane jako luki, zamiast twierdzone.
Klauzula Załącznika APłaszczyznaKontrola
A.9 Kontrola dostępuguardrailTrzymaj PII z dala od dostawcy nadrzędnego, zgodnie z need-to-know
A.10 KryptografiaguardrailBlokuj klucze prywatne i sekrety w tranzycie
A.12.4 Logowanie i monitorowanieguardrailRejestruj każdą decyzję guardrail jako dowód
A.5 Kontrole organizacyjne i A.6 Kontrole ludzi to klauzule zarządzania — własność polityki, weryfikacja i kierunek zarządzania. Proxy nie może ich egzekwować, więc pakiet wyświetla je jako ujawnione luki (lub wiersze poświadczone przez właściciela) zarówno w konsoli, jak i w raporcie, nigdy jako zautomatyzowane pokrycie. Uczciwe luki są tym, co czyni egzekwowane wiersze wiarygodnymi. Zobacz macierz kontroli.
Wszystkie trzy egzekwujące kontrole działają na tej samej maszynerii Guardrails, którą konfigurujesz ręcznie. Pakiet to autorowane mapowanie, które mówi, który istniejący guardrail spełnia którą klauzulę Załącznika A — nie dostarcza nowego silnika czasu wykonania. Zobacz Zawartość pakietu co do pełnej anatomii.

2. Zainstaluj pakiet — jeden konkretny przykład

Instalacja materializuje mapowanie w prawdziwe polityki guardrail w twojej przestrzeni roboczej, każdą oznaczoną proweniencją pakietu. Robisz to z konsoli, nie kluczem relay: Compliance → Catalog → ISO/IEC 27001 → Install To akcja Admina przestrzeni roboczej na płatnym planie, a serwer egzekwuje obie. Pod maską twoja sesja konsoli wywołuje: 
POST /api/compliance/packs/iso_27001/install
Nigdy nie wręczaj klucza relay sk-orca-… trasie konfiguracji. Trasy /api/compliance/* uwierzytelniają się twoją sesją konsoli, nie kluczem relay — tylko wywołania modelu /v1/* używają sk-orca-…. Przeglądanie katalogu, zainstalowanych pakietów i gotowości jest darmowe i otwarte dla każdego członka przestrzeni roboczej; instalacja, przejście na żywo, raport i rezydencja to bramkowane akcje Admina.
Po instalacji wiersze Załącznika A przestają być prozą:
Prawdziwa reguła guardrail pii_block twardo odrzuca żądania niosące dane osobowe (e-maile, numery telefonów, SSN, numery kart, IP) na etapie żądania, więc nigdy nie dociera do dostawcy nadrzędnego — zgodnie z dostępem need-to-know. Możesz ją otworzyć, odczytać i stroić zestaw encji jak każdą inną regułę.
Reguły regex, które blokują klucze prywatne PEM i tokeny chmurowe, warstwowane z Secrets Blocker, więc materiał kryptograficzny nigdy nie przechodzi przez bramę w promptcie.
Reguła z akcją flag rejestruje każdą decyzję guardrail jako dowód bez blokowania ruchu — klauzula logowania-i-monitorowania staje się rzeczywistą linią logu na decyzję.

3. Najpierw obserwuj, potem przejdź na żywo

Instalacja ISO/IEC 27001 nie zaczyna blokować ruchu pierwszego dnia. Instalacje lądują w trybie obserwacji: egzekwujące akcje guardrail są wymuszane na flag, więc zbierasz dowody „by-zablokowano” wobec prawdziwego ruchu, zanim cokolwiek odrzuci żądanie. Gdy dowody wyglądają dobrze, Admin przestrzeni roboczej promuje pakiet do przejścia na żywo, co przywraca zadeklarowane akcje — kontrole A.9 i A.10 zaczynają egzekwować, kontrola A.12.4 dalej rejestruje — i opcjonalnie promuje zmaterializowaną politykę na domyślną przestrzeni roboczej. To ta sama dyscyplina opisana w Obserwacja vs egzekwowanie.
Egzekwowanie na etapie żądania jest na żywo dzisiaj: żądanie niosące PII jest odrzucane, zanim model je zobaczy, a logger A.12.4 flaguje każdą decyzję na żądaniu. Skanowanie odpowiedzi / strumieniowania na żywo jest na mapie drogowej, więc po stronie wyjścia dowody monitorowania A.12.4 są tym, co audytor czyta w okresie raportu.

4. Podpisane dowody, które twój audytor może zweryfikować

Sensem pakietu jest raport. Dowody ISO/IEC 27001 są generowane jako podpisany Ed25519 raport ze skrótem treści SHA256, eksportowalny jako CSV, JSON lub PDF i publicznie weryfikowalny — twój audytor sprawdza podpis bez logowania do OrcaRouter.
Każdy wiersz Załącznika A niesie swój status — covered, observe, gap lub attested — oraz ile razy kontrola faktycznie odpaliła w okresie. Kontrola A.9, która zamaskowała tysiące żądań, czyta się inaczej dla audytora niż taka z zerowymi dopasowaniami, a raport pokazuje obie.
Każda zmaterializowana kontrola rejestruje swoje control_id (np. iso27001.access), dosłowną klauzulę (ISO/IEC 27001 A.9 Access control), płaszczyznę i id żywej polityki, która ją egzekwuje — więc audytor przechodzi klauzula → kontrola → egzekwująca polityka → dopasowania bez domniemanego kroku.
Pobierz klucz publiczny podpisujący pod GET /api/public/compliance/pubkey, prześlij raport do POST /api/public/compliance/verify lub otwórz ograniczony zakresem link udostępniania dla audytora pod GET /api/public/compliance/share/:token. Bez konta.
Zobacz podpisany raport co do układu od okładki do stopki oraz Zweryfikuj raport co do przewodnika weryfikacji.

5. Stempluj regionem swoje dowody ISO 27001

Raporty ISO/IEC 27001 są przechowywane i serwowane pod twoim zadeklarowanym regionem rezydencji — us / eu / uk / ap / cn / global — a raport jest serwowany tylko pod pasującym regionem; odczyty międzyregionalne są wstrzymywane. Admin przestrzeni roboczej ustawia go przez PUT /api/compliance/residency.
Rezydencja tutaj to region artefaktu dowodowego — gdzie żyją i są serwowane podpisane raporty. To nie geo-przypinanie danych inferencji. Zobacz Rezydencja danych oraz Międzyregionalne co do granicy.
Logi żądań domyślnie mają 30-dniową retencję (ograniczaną przez serwer do twardego maksimum 180 dni), a usunięcie użytkownika uruchamia 30-dniowe okno karencji, potem czyszczenie PII — oba istotne, gdy audytor bada twoją postawę retencji A.12.4. Zobacz Retencja oraz Prawo do usunięcia.

6. Gdzie iść dalej

ISO/IEC 42001

Towarzysz systemu zarządzania AI — sparuj zakres ISMS z 27001 z kontrolami AIMS z 42001.

Zawartość pakietu

Pełna anatomia pakietu — płaszczyzna, statusy i proweniencja.

Zainstaluj pakiet

Przepływ instalacji od początku do końca, tryb obserwacji i przejście na żywo.

Podpisany raport

Co zawiera podpisany Ed25519 raport dowodowy.

Guardrails

Płaszczyzna treści, na którą zapisuje pakiet 27001 — PII, sekrety i logowanie.

Frameworki

Pełny katalog — SOC 2, HIPAA, GDPR, EU AI Act i więcej.
ISO/IEC 27001 w hostowanej bramie to dyscyplina bycia precyzyjnym: zmapuj kontrole z Załącznika A, które proxy może egzekwować, na żywe guardrails, ujawnij organizacyjne, których nie może, i podpisz dowody, więc linia między nimi wytrzymuje audyt.