Chuyển đến nội dung chính
Câu hỏi đầu tiên của một auditor không bao giờ là “bạn có một chính sách không?” — nó là “cho tôi xem, từng điều khoản một, control nào thỏa mãn nó, và chứng minh nó đã chạy.” Một ma trận control trả lời chính xác điều đó: một hàng mỗi điều khoản trong phạm vi, mặt phẳng nó ánh xạ tới, đối tượng chính sách trực tiếp thực thi nó, và liệu control đó là covered, vẫn ở observe, một gap được tiết lộ, hay được chủ-sở-hữu-attested. OrcaRouter xây ma trận này cho bạn từ các pack bạn cài đặt — cùng ánh xạ cấp năng lượng cho báo cáo có chữ ký, nên chế độ xem readiness và bằng chứng không bao giờ có thể lệch nhau. Trang này cho thấy cách đọc và lắp ráp ma trận control ai compliance cho workspace của bạn, với một điều khoản cụ thể đi qua từ đầu đến cuối. Về những gì một pack thực sự chứa, hãy theo các liên kết ở cuối.

1. Một ma trận control ai compliance ở đây là gì

Ma trận là hợp của hai danh sách mỗi framework:
  • các điều khoản mà một pack đã cài bao phủ — mỗi cái nối với chính sách guardrail hoặc firewall chính xác mà lần cài đặt đã hiện thực hóa;
  • các điều khoản không bao giờ có thể được gateway tự động hóa — đào tạo nhân lực, Business Associate Agreement, truy cập vật lý — được soạn như các gap trung thực để ma trận tiết lộ chúng thay vì ngụ ý 100% sai.
Ma trận là một chế độ xem, không phải một engine thứ hai. Mọi hàng covered trỏ tới một quy tắc guardrail hoặc chính sách firewall thực, có thể chỉnh sửa mà bạn đã sở hữu — mở nó, đọc nó, tinh chỉnh nó. Ma trận chỉ ghi lại cái nào trả lời điều khoản nào.
Mỗi điều khoản ánh xạ tới chính xác một trong hai mặt phẳng:

Mặt phẳng guardrail

Các điều khoản nội dung — PII bí mật, secret, các tiết lộ bắt buộc — ánh xạ tới một quy tắc guardrail với một hành động block, mask, hoặc flag.

Mặt phẳng firewall

Các điều khoản hành động — sự tự chủ quá mức, cuộc gọi tool nguy hiểm, egress — ánh xạ tới một quy tắc firewall với một verdict allow / audit / deny trên bề mặt inbound, response, mcp, hoặc egress.

2. Các trạng thái readiness mà một hàng có thể mang

Mọi hàng ma trận mang một trạng thái. Đây là các từ mà một auditor đọc, nên chúng nghĩa chính xác như chúng nói:
Trạng tháiNó nghĩa là gì
coveredMột control của pack đã cài và đang thực thi điều khoản.
observeĐã cài nhưng chỉ-ghi-log — đang thu thập bằng chứng would-have-blocked, chưa thực thi.
gapKhông có control đã cài nào bao phủ điều khoản (hoặc nó là tổ chức và không thể).
attestedMột điều khoản tổ chức mà một Admin đã chủ-sở-hữu-attest thay vì tự động hóa.
Một gap không phải là một thất bại — nó là sự trung thực. Một điều khoản tổ chức như đào tạo nhân lực HIPAA 45 CFR §164.308(a)(5) không bao giờ có thể được thực thi bởi một proxy, nên ma trận hiện nó như một gap được tiết lộ (hoặc, một khi một Admin xác nhận quyền sở hữu, như attested) thay vì giả vờ rằng gateway bao phủ nó.
Cũng có một lớp phủ drift: nếu ánh xạ của một pack đã cài tụt lại sau phiên bản catalog hiện tại, các hàng của nó render như drift để bạn biết phải cài đặt lại trước khi dựa vào bằng chứng.

3. Đọc ma trận (một cuộc gọi cụ thể)

Endpoint readiness trả về toàn bộ ma trận — phần trăm coverage mỗi framework, các rủi ro hàng đầu được xếp hạng trong cửa sổ, và một mục coverage_rows mỗi điều khoản. Duyệt readiness mở cho mọi Member workspace và miễn phí, nên các reviewer bảo mật và audit của bạn có thể theo dõi ma trận mà không cần quyền ghi. Console điều khiển route quản lý này dưới session của bạn — bạn không bao giờ trao một relay key sk-orca-… cho một route compliance: 
GET /api/compliance/readiness?window=30d
Authorization: Bearer <your console session>
Một hàng covered đơn lẻ trông như thế này — điều khoản, mặt phẳng, trạng thái, và policy id trực tiếp mà nó nối tới: 
{
  "framework": "soc2",
  "control_id": "soc2.confidentiality",
  "clause": "TSC CC6.1 Logical access controls",
  "reference": "https://www.aicpa-cima.com/resources/...",
  "plane": "guardrail",
  "state": "covered",
  "guardrail_id": 41,
  "observe_count": 0,
  "organizational": false
}
guardrail_id (hoặc firewall_policy_id trên mặt phẳng firewall) là trường chịu tải: nó buộc điều khoản thẳng tới một đối tượng bạn có thể mở trong console và chỉnh sửa như bất kỳ cái nào khác. Đó là phả hệ mà một auditor đi qua — điều khoản → control id → chính sách thực thi → các match nó tạo ra.
Đọc ma trận là một năng lực Member miễn phí. Xây nó — cài đặt một pack để các control của nó điền vào các hàng — là một hành động Admin workspace trên một gói trả phí, và server thực thi cả hai. Một viewer hoặc một workspace miễn phí không thể hiện thực hóa coverage bằng cách gọi API trực tiếp. Xem Phân tầng theo gói.

4. Lắp ráp ma trận cho các framework của bạn

Bạn xây ma trận bằng cách cài đặt các pack. Mỗi lần cài đặt hợp nhất các control của nó vào một guardrail và một chính sách firewall được gắn tag với nguồn gốc của pack, và các điều khoản của nó bắt đầu điền vào coverage_rows:
  1. Chọn các framework của bạn. Cài đặt chạy từ console dưới Compliance → Catalog, với tư cách Admin workspace. Catalog bao phủ các chế độ bảo mật và quản trị AI (soc2, iso_27001, iso_42001, nist_ai_rmf, eu_ai_act, owasp_llm), các chế độ theo ngành (hipaa, pci_dss, glba, nist_800_53), và một tập rộng các luật riêng tư theo khu vực (gdpr, uk_gdpr, ccpa, và nhiều nữa). Hãy duyệt tập trực tiếp trên Frameworks.
  2. Cài đặt ở observe trước. Một lần cài đặt mới đáp xuống chế độ observe — các hành động guardrail ép thành flag, chính sách firewall ở shadow — nên mỗi hàng mới bắt đầu như observe và tạo bằng chứng would-have-blocked trước khi nó thực thi.
  3. Theo dõi các hàng điền đầy. Lấy lại readiness trong một cửa sổ thực. Các hàng covered hiển thị observe_count của chúng; các gap vẫn được tiết lộ; các điều khoản tổ chức đợi attestation.
  4. Go-live. Khi các hàng đọc sạch, một Admin workspace go-live và các hàng observe lật sang thực thi covered.
OWASP Top 10 for LLM Applications có trong catalog như pack owasp_llm — các điều khoản của nó (ví dụ LLM05:2025 Supply Chain) đáp xuống ma trận cùng cách như mọi framework khác, ánh xạ tới các control trực tiếp hoặc được tiết lộ như các gap. Xem OWASP LLM Top 10.

5. Từ ma trận tới bằng chứng có chữ ký

Ma trận bạn đọc trong console là cùng dữ liệu coverage mà báo cáo serialize — nên khi bạn sinh bằng chứng, auditor thấy các trạng thái theo-từng-điều-khoản giống hệt, cộng số đếm enforcement mà mỗi control tạo ra trong kỳ. Một điều khoản đã block 4.000 request và một điều khoản với không match đọc rất khác nhau, và báo cáo hiển thị cả hai. Các báo cáo được hash SHA-256, ký Ed25519, và xác minh được công khai.
Chính xác các đối tượng guardrail và firewall mà một pack hiện thực hóa, và cách mỗi điều khoản nối tới chính sách thực thi của nó — xem Nội dung pack.
Vì sao mỗi hàng bắt đầu ở observe, nó ghi log gì, và go-live lật nó thế nào — xem Observe vs enforce.
Cách ma trận render cho một auditor, với các trạng thái theo-từng-điều-khoản và số đếm enforcement — xem Báo cáo có chữ ký.

6. Đi đâu tiếp theo

Cài đặt một pack

Toàn bộ luồng cài đặt điền vào ma trận — chọn control, chế độ observe, và go-live.

Tất cả framework

Catalog trực tiếp của các framework mà bạn có thể xây các điều khoản của chúng vào ma trận.

Guardrails vs Firewall

Hai mặt phẳng mà một hàng ma trận có thể ánh xạ tới, và cách resolver chạy chúng cùng nhau.

Trách nhiệm chia sẻ

Vì sao một số điều khoản gateway có thể thực thi và những cái khác vẫn thuộc về bạn — ranh giới mà mọi hàng gap phản ánh.
Một ma trận control là cây cầu giữa danh mục kiểm tra của một nhà quản lý và gateway đang chạy của bạn: một hàng mỗi điều khoản, nối với control trực tiếp thực thi nó, trung thực về những gì một proxy không thể bao phủ, và giống hệt bằng chứng có chữ ký bạn trao cho một auditor.