1. Pack iso 27001 ai bao phủ gì
ISO/IEC 27001 pack ánh xạ các control Annex A 2022 tới các guardrail chạy trên mọi request đi-qua-gateway. Ba điều khoản ánh xạ tới thực thi trực tiếp; hai cái là tổ chức và được tiết lộ như các gap thay vì tuyên bố.| Điều khoản Annex A | Mặt phẳng | Control |
|---|---|---|
| A.9 Control truy cập | guardrail | Giữ PII khỏi provider thượng nguồn, nhất quán với need-to-know |
| A.10 Mật mã học | guardrail | Block khóa private và secret trong quá trình truyền |
| A.12.4 Ghi log và giám sát | guardrail | Ghi lại mọi quyết định guardrail như bằng chứng |
A.5 Control tổ chức và A.6 Control con người là các điều khoản quản trị — quyền
sở hữu chính sách, sàng lọc, và định hướng quản lý. Một proxy không thể thực thi
chúng, nên pack hiện chúng như các gap được tiết lộ (hoặc các hàng chủ-sở-
hữu-attest) trên cả console và báo cáo, không bao giờ như bao phủ tự động. Các
gap trung thực là cái khiến các hàng được thực thi đáng tin cậy. Xem
ma trận control.
2. Cài đặt pack — một ví dụ cụ thể
Cài đặt hiện thực hóa ánh xạ thành các chính sách guardrail thực trong workspace của bạn, mỗi cái được gắn tag với nguồn gốc của pack. Bạn làm điều này từ console, không phải một relay key: Compliance → Catalog → ISO/IEC 27001 → Install Đó là một hành động Admin workspace trên một gói trả phí, và server thực thi cả hai. Bên dưới, session console của bạn gọi:A.9 Control truy cập → guardrail PII
A.9 Control truy cập → guardrail PII
Một quy tắc guardrail
pii_block thực hard-reject các request mang dữ liệu
cá nhân (email, số điện thoại, SSN, số thẻ, IP) trên stage request, nên nó
không bao giờ đến được provider thượng nguồn — nhất quán với truy cập
need-to-know. Bạn có thể mở nó, đọc nó, và tinh chỉnh tập thực thể như bất
kỳ quy tắc nào khác.A.10 Mật mã học → guardrail secret
A.10 Mật mã học → guardrail secret
Các quy tắc regex block khóa private PEM và token cloud, xếp lớp với
Secrets Blocker, nên tài liệu mật mã không bao giờ truyền qua gateway trong
một prompt.
A.12.4 Ghi log → compliance logger
A.12.4 Ghi log → compliance logger
Một quy tắc hành-động-
flag ghi lại mỗi quyết định guardrail như bằng
chứng mà không block traffic — điều khoản ghi-log-và-giám-sát trở thành một
dòng log thực mỗi quyết định.3. Observe trước, rồi go-live
Một lần cài đặt ISO/IEC 27001 không bắt đầu block traffic ngày đầu tiên. Các lần cài đặt đáp xuống chế độ observe: các hành động guardrail thực thi bị ép thànhflag, nên bạn thu thập bằng chứng “would-have-blocked” đối với traffic
thực trước khi bất cứ thứ gì từ chối một request.
Khi bằng chứng trông đúng, một Admin workspace thăng cấp pack lên go-live, khôi
phục các hành động đã khai báo — các control A.9 và A.10 bắt đầu thực thi,
control A.12.4 tiếp tục ghi lại — và tùy chọn thăng cấp chính sách đã hiện thực
hóa lên làm mặc định workspace. Đây là cùng kỷ luật được mô tả trong
Observe vs enforce.
4. Bằng chứng có chữ ký mà auditor của bạn có thể xác minh
Điểm mấu chốt của pack là báo cáo. Bằng chứng ISO/IEC 27001 được sinh như một báo cáo ký Ed25519 với một hash nội dung SHA256, xuất được dưới dạng CSV, JSON, hoặc PDF, và xác minh được công khai — auditor của bạn kiểm tra chữ ký mà không cần đăng nhập OrcaRouter.Coverage theo từng điều khoản với số đếm thực
Coverage theo từng điều khoản với số đếm thực
Mỗi hàng Annex A mang trạng thái của nó —
covered, observe, gap, hoặc
attested — và control đã thực sự kích hoạt bao nhiêu lần trong kỳ. Một
control A.9 đã mask hàng nghìn request đọc khác với một cái có không match
đối với một auditor, và báo cáo hiển thị cả hai.Phả hệ nguồn gốc
Phả hệ nguồn gốc
Mọi control đã hiện thực hóa ghi lại
control_id của nó (vd:
iso27001.access), điều khoản nguyên văn (ISO/IEC 27001 A.9 Access control), mặt phẳng, và id của chính sách trực tiếp thực thi nó — nên
auditor đi qua điều khoản → control → chính sách thực thi → match không có
bước suy diễn.Xác minh công khai
Xác minh công khai
Lấy khóa công khai ký tại
GET /api/public/compliance/pubkey, gửi báo cáo
tới POST /api/public/compliance/verify, hoặc mở một liên kết chia sẻ
auditor giới hạn tại GET /api/public/compliance/share/:token. Không cần
tài khoản.5. Đóng dấu khu vực cho bằng chứng ISO 27001 của bạn
Các báo cáo ISO/IEC 27001 được lưu trữ và phục vụ dưới khu vực residency đã khai báo của bạn —us / eu / uk / ap / cn / global — và một báo cáo chỉ
được phục vụ dưới một khu vực khớp; các lần đọc xuyên khu vực bị giữ lại. Một
Admin workspace đặt nó qua PUT /api/compliance/residency.
Residency ở đây là khu vực của artifact bằng chứng — nơi các báo cáo có chữ
ký sống và được phục vụ. Nó không phải là ghim theo địa lý dữ liệu inference.
Xem Data residency và
Xuyên khu vực để biết ranh giới.
6. Đi đâu tiếp theo
ISO/IEC 42001
Đối tác hệ-thống-quản-lý-AI — ghép phạm vi ISMS của 27001 với các control
AIMS của 42001.
Nội dung pack
Giải phẫu đầy đủ của một pack — mặt phẳng, các trạng thái, và nguồn gốc.
Cài đặt một pack
Luồng cài đặt từ-đầu-đến-cuối, chế độ observe, và go-live.
Báo cáo có chữ ký
Báo cáo bằng chứng ký Ed25519 chứa gì.
Guardrails
Mặt phẳng nội dung mà 27001 pack ghi vào — PII, secret, và ghi log.
Frameworks
Toàn bộ catalog — SOC 2, HIPAA, GDPR, EU AI Act, và nhiều nữa.