1. Pack iso 42001 kiểm soát gì
ISO/IEC 42001 pack ánh xạ các điều khoản AIMS tới các control chạy trên mọi request đi-qua-gateway. Ba điều khoản ánh xạ tới thực thi trực tiếp; hai cái là tổ chức và được tiết lộ như các gap thay vì tuyên bố.| Điều khoản AIMS | Mặt phẳng | Control |
|---|---|---|
| A.6 Vòng đời hệ thống AI | guardrail | block các nỗ lực jailbreak chống lại hệ thống AI |
| A.8 Thông tin cho các bên liên quan | guardrail | flag lời khuyên pháp lý/tài chính dứt khoát trong output |
| A.9 Sử dụng các hệ thống AI | guardrail | ghi lại mọi quyết định guardrail như bằng chứng |
Điều khoản 5 Lãnh đạo & chính sách AI và A.5 Đánh giá tác động hệ thống AI là
các điều khoản con-người-và-quy-trình. Một gateway không thể thực thi chúng, nên
pack hiện chúng như các gap được tiết lộ (hoặc các hàng chủ-sở-hữu-attest)
trên cả console và báo cáo — không bao giờ như bao phủ tự động. Tiết lộ những gì
một proxy không thể làm là cái khiến phần còn lại của bằng chứng đáng tin cậy.
Xem ma trận control.
2. Cài đặt pack iso 42001 — một ví dụ cụ thể
Cài đặt hiện thực hóa ánh xạ thành chính sách guardrail trong workspace của bạn, mỗi control được gắn tag với nguồn gốc của pack. Bạn làm điều này từ console, không phải một relay key: Compliance → Catalog → ISO/IEC 42001 → Install Đó là một hành động Admin workspace trên một gói trả phí, và server thực thi cả hai. Bên dưới, session console của bạn gọi:A.6 — Rào chắn an toàn AI
A.6 — Rào chắn an toàn AI
Một quy tắc
guardrail regex trên request block các nỗ lực jailbreak
và role-play phổ biến (“do anything now”, “developer mode”, “ignore
previous instructions”) trước khi chúng đến được mô hình — bằng chứng rằng
vòng đời hệ thống AI của bạn có một control an toàn ở phía input.A.8 — Thông tin cho các bên liên quan
A.8 — Thông tin cho các bên liên quan
Một quy tắc
guardrail regex flag output đưa lời khuyên pháp lý/tài
chính dứt khoát (“you are entitled to damages”, “guaranteed return”). Nó
chú thích thay vì block, nên các cuộc gọi được flag đi tới đội xem xét —
control minh-bạch-tới-người-dùng cho các bên liên quan của bạn.A.9 — Sử dụng & giám sát
A.9 — Sử dụng & giám sát
Một quy tắc
pii chỉ-flag ghi lại mọi quyết định guardrail như bằng
chứng hệ-thống-quản-lý mà không block hoặc sửa đổi traffic — dấu vết giám
sát mà một người đánh giá đọc cho “sử dụng các hệ thống AI”.3. Observe trước, rồi go-live
Một lần cài đặt ISO 42001 không bắt đầu block traffic ngày đầu tiên. Các lần cài đặt đáp xuống chế độ observe: các hành động guardrail thực thi bị ép thànhflag, nên bạn thu thập bằng chứng “would-have-blocked” đối với traffic thực
trước khi bất cứ thứ gì thực thi. Các control A.8 và A.9 đã chỉ-flag, nên hành
vi của chúng không thay đổi; rào chắn an toàn A.6 là cái giữ verdict block của
nó cho đến go-live.
Khi bằng chứng trông đúng, một Admin workspace thăng cấp pack lên go-live, khôi
phục các hành động đã khai báo — rào chắn jailbreak A.6 bắt đầu block — và tùy
chọn thăng cấp chính sách đã hiện thực hóa lên làm mặc định workspace. Đây là
cùng kỷ luật được mô tả trong
Observe vs enforce.
4. Bằng chứng có chữ ký cho AIMS của bạn
Điểm mấu chốt của pack là báo cáo. Bằng chứng ISO 42001 được sinh như một báo cáo ký Ed25519 với một hash nội dung SHA256, xuất được dưới dạng CSV, JSON, hoặc PDF, và xác minh được công khai — người đánh giá của bạn kiểm tra chữ ký mà không cần đăng nhập OrcaRouter.Coverage theo từng điều khoản với số đếm thực
Coverage theo từng điều khoản với số đếm thực
Mỗi hàng AIMS mang trạng thái của nó —
covered, observe, gap, hoặc
attested — và control đã thực sự kích hoạt bao nhiêu lần trong kỳ. Một rào
chắn an toàn A.6 đã block các nỗ lực jailbreak thực đọc khác với một cái có
không match đối với một người đánh giá, và báo cáo hiển thị cả hai.Phả hệ nguồn gốc
Phả hệ nguồn gốc
Mọi control đã hiện thực hóa ghi lại
control_id của nó (vd:
iso42001.safety), điều khoản nguyên văn (ISO/IEC 42001 A.6 AI system lifecycle), mặt phẳng, và id của đối tượng chính sách trực tiếp thực thi nó
— nên người đánh giá đi qua điều khoản → control → chính sách thực thi →
match, không có bước suy diễn.Xác minh công khai
Xác minh công khai
Lấy khóa công khai ký tại
GET /api/public/compliance/pubkey, gửi báo cáo
tới POST /api/public/compliance/verify, hoặc mở một liên kết chia sẻ người
đánh giá giới hạn tại GET /api/public/compliance/share/:token. Không cần
tài khoản.5. Đóng dấu khu vực cho bằng chứng ISO 42001 của bạn
Các báo cáo ISO 42001 được lưu trữ và phục vụ dưới khu vực residency đã khai báo của bạn —us / eu / uk / ap / cn / global — và một báo cáo chỉ được
phục vụ dưới một khu vực khớp; các lần đọc xuyên khu vực bị giữ lại. Một Admin
workspace đặt nó qua PUT /api/compliance/residency.
Residency ở đây là khu vực của artifact bằng chứng — nơi các báo cáo có chữ
ký sống và được phục vụ. Nó không phải là ghim theo địa lý dữ liệu inference.
Xem Data residency và
Xuyên khu vực để biết ranh giới.
6. Đi đâu tiếp theo
Nội dung pack
Giải phẫu đầy đủ của một pack — các mặt phẳng, trạng thái, và nguồn gốc.
Cài đặt một pack
Luồng cài đặt từ-đầu-đến-cuối, chế độ observe, và go-live.
NIST AI RMF
Framework quản-trị-AI khác — GOVERN, MAP, MEASURE, MANAGE.
EU AI Act
Framework AI pháp lý và các tier rủi ro của nó.
Frameworks
Toàn bộ catalog — SOC 2, HIPAA, GDPR, ISO 27001, và nhiều nữa.
Guardrails
Tham chiếu tầng-nội-dung mà các control ISO 42001 ghi vào.