Przejdź do głównej treści
Stawiasz system zarządzania AI (AIMS), a twój asesor chce zobaczyć, że klauzule bezpieczeństwa, transparentności i monitorowania ISO/IEC 42001 są poparte kontrolami, które faktycznie działają — nie segregatorem intencji. W hostowanej bramie uczciwa odpowiedź brzmi, że klauzule cyklu życia mapują się na kontrole na ścieżce żądania, podczas gdy klauzule przywództwa i oceny wpływu pozostają organizacyjne i muszą być ujawnione jako luki. Ta strona to przewodnik iso 42001: które klauzule materializuje pakiet ISO/IEC 42001, kontrole, które zapisuje do twojej przestrzeni roboczej, i jak wynikowe dowody są podpisywane. Co do przepływu instalacji i formatu raportu w głąb, podążaj za linkami na końcu — to specyficzna dla ISO 42001 mapa, nie pełna referencja Zgodności.

1. Co kontroluje pakiet iso 42001

Pakiet ISO/IEC 42001 mapuje klauzule AIMS na kontrole, które działają na każdym przekraczającym bramę żądaniu. Trzy klauzule mapują się na egzekwowanie na żywo; dwie są organizacyjne i są ujawniane jako luki, zamiast twierdzone.
Klauzula AIMSPłaszczyznaKontrola
A.6 Cykl życia systemu AIguardrailblokuj próby jailbreaku wobec systemu AI
A.8 Informacje dla zainteresowanych stronguardrailflaguj definitywną poradę prawną/finansową w wyjściu
A.9 Użycie systemów AIguardrailrejestruj każdą decyzję guardrail jako dowód
Klauzula 5 Przywództwo i polityka AI oraz A.5 Ocena wpływu systemu AI to klauzule ludzie-i-procesy. Brama nie może ich egzekwować, więc pakiet wyświetla je jako ujawnione luki (lub wiersze poświadczone przez właściciela) zarówno w konsoli, jak i w raporcie — nigdy jako zautomatyzowane pokrycie. Ujawnienie tego, czego proxy nie może zrobić, jest tym, co czyni resztę dowodów wiarygodną. Zobacz macierz kontroli.
Wszystkie trzy żywe kontrole to zwykłe reguły Guardrails — ta sama maszyneria, którą autorujesz ręcznie. Pakiet to autorowane mapowanie, które mówi, która istniejąca kontrola spełnia którą klauzulę AIMS; nie dostarcza nowego silnika czasu wykonania. Zobacz Zawartość pakietu co do pełnej anatomii.

2. Zainstaluj pakiet iso 42001 — jeden konkretny przykład

Instalacja materializuje mapowanie w politykę guardrail w twojej przestrzeni roboczej, każdą kontrolę oznaczoną proweniencją pakietu. Robisz to z konsoli, nie kluczem relay: Compliance → Catalog → ISO/IEC 42001 → Install To akcja Admina przestrzeni roboczej na płatnym planie, a serwer egzekwuje obie. Pod maską twoja sesja konsoli wywołuje: 
POST /api/compliance/packs/iso_42001/install
Nigdy nie wręczaj klucza relay sk-orca-… trasie konfiguracji. Trasy /api/compliance/* uwierzytelniają się twoją sesją konsoli, nie kluczem relay — tylko wywołania modelu /v1/* używają sk-orca-…. Przeglądanie katalogu, zainstalowanych pakietów i gotowości jest darmowe i otwarte dla każdego członka przestrzeni roboczej; instalacja, przejście na żywo, raport i rezydencja to bramkowane akcje Admina.
Po instalacji klauzule AIMS przestają być prozą:
Reguła regex guardrail na żądaniu, która blokuje powszechne próby jailbreaku i odgrywania ról („do anything now”, „developer mode”, „ignore previous instructions”), zanim dotrą do modelu — dowód, że twój cykl życia systemu AI ma kontrolę bezpieczeństwa po stronie wejścia.
Reguła regex guardrail, która flaguje wyjście dające definitywną poradę prawną/finansową („przysługuje ci odszkodowanie”, „gwarantowany zwrot”). Oznacza, zamiast blokować, więc oflagowane wywołania trafiają do przeglądu zespołu — kontrola transparentności-wobec-użytkowników dla twoich zainteresowanych stron.
Reguła pii tylko-flag, która rejestruje każdą decyzję guardrail jako dowód systemu zarządzania bez blokowania lub modyfikowania ruchu — ślad monitorowania, który asesor czyta dla „użycia systemów AI”.
Każda z nich to prawdziwa reguła, którą możesz otworzyć, odczytać i stroić jak każdy inny guardrail. Żadna nie jest czarną skrzynką.

3. Najpierw obserwuj, potem przejdź na żywo

Instalacja ISO 42001 nie zaczyna blokować ruchu pierwszego dnia. Instalacje lądują w trybie obserwacji: egzekwujące akcje guardrail są wymuszane na flag, więc zbierasz dowody „by-zablokowano” wobec prawdziwego ruchu, zanim cokolwiek zacznie egzekwować. Kontrole A.8 i A.9 już są tylko-flag, więc ich zachowanie jest niezmienione; zabezpieczenie bezpieczeństwa A.6 jest tym, które trzyma swój werdykt blokady do przejścia na żywo. Gdy dowody wyglądają dobrze, Admin przestrzeni roboczej promuje pakiet do przejścia na żywo, co przywraca zadeklarowane akcje — zabezpieczenie jailbreaku A.6 zaczyna blokować — i opcjonalnie promuje zmaterializowaną politykę na domyślną przestrzeni roboczej. To ta sama dyscyplina opisana w Obserwacja vs egzekwowanie.
ISO 42001 to standard systemu zarządzania AI, więc dowody monitorowania mają znaczenie tak samo jak blokowanie. Uruchom pakiet w obserwacji przez okres przeglądu, obserwuj strumień dopasowań Guardrails, potem przejdź na żywo na powierzchniach, gdzie dowody to popierają.

4. Podpisane dowody dla twojego AIMS

Sensem pakietu jest raport. Dowody ISO 42001 są generowane jako podpisany Ed25519 raport ze skrótem treści SHA256, eksportowalny jako CSV, JSON lub PDF i publicznie weryfikowalny — twój asesor sprawdza podpis bez logowania do OrcaRouter.
Każdy wiersz AIMS niesie swój status — covered, observe, gap lub attested — oraz ile razy kontrola faktycznie odpaliła w okresie. Zabezpieczenie bezpieczeństwa A.6, które zablokowało prawdziwe próby jailbreaku, czyta się inaczej dla asesora niż takie z zerowymi dopasowaniami, a raport pokazuje obie.
Każda zmaterializowana kontrola rejestruje swoje control_id (np. iso42001.safety), dosłowną klauzulę (ISO/IEC 42001 A.6 AI system lifecycle), płaszczyznę i id żywego obiektu polityki, który ją egzekwuje — więc asesor przechodzi klauzula → kontrola → egzekwująca polityka → dopasowania, bez domniemanego kroku.
Pobierz klucz publiczny podpisujący pod GET /api/public/compliance/pubkey, prześlij raport do POST /api/public/compliance/verify lub otwórz ograniczony zakresem link udostępniania dla asesora pod GET /api/public/compliance/share/:token. Bez konta.
Zobacz podpisany raport co do pełnego układu oraz Zweryfikuj raport co do przewodnika weryfikacji.

5. Stempluj regionem swoje dowody ISO 42001

Raporty ISO 42001 są przechowywane i serwowane pod twoim zadeklarowanym regionem rezydencji — us / eu / uk / ap / cn / global — a raport jest serwowany tylko pod pasującym regionem; odczyty międzyregionalne są wstrzymywane. Admin przestrzeni roboczej ustawia go przez PUT /api/compliance/residency.
Rezydencja tutaj to region artefaktu dowodowego — gdzie żyją i są serwowane podpisane raporty. To nie geo-przypinanie danych inferencji. Zobacz Rezydencja danych oraz Międzyregionalne co do granicy.
Logi żądań domyślnie mają 30-dniową retencję (ograniczaną przez serwer do twardego maksimum 180 dni), a usunięcie użytkownika uruchamia 30-dniowe okno karencji, potem czyszczenie PII — oba istotne, gdy asesor pyta o twoją postawę retencji. Zobacz Retencja oraz Prawo do usunięcia.

6. Gdzie iść dalej

Zawartość pakietu

Pełna anatomia pakietu — płaszczyzny, statusy i proweniencja.

Zainstaluj pakiet

Przepływ instalacji od początku do końca, tryb obserwacji i przejście na żywo.

NIST AI RMF

Drugi framework zarządzania AI — GOVERN, MAP, MEASURE, MANAGE.

EU AI Act

Regulacyjny framework AI i jego warstwy ryzyka.

Frameworki

Pełny katalog — SOC 2, HIPAA, GDPR, ISO 27001 i więcej.

Guardrails

Referencja warstwy treści, na którą zapisują kontrole ISO 42001.
ISO 42001 w hostowanej bramie to dyscyplina systemu zarządzania AI w miniaturze: zmapuj klauzule cyklu życia, które brama może egzekwować, na żywe kontrole, ujawnij klauzule przywództwa i oceny wpływu, których nie może, i podpisz dowody, więc linia między nimi wytrzymuje ocenę.