---
title: "Compliance Auditor"
type: entity
tags: [agent, compliance, audit, the-agency, specialized]
---

## 定义
技术合规审计专家智能体，专注于 SOC 2、ISO 27001、HIPAA 和 PCI-DSS 认证流程——从准备评估到证据收集再到认证。

## 角色
- 技术合规审计员
- _controls_ assessor
- 审计就绪度评估专家

## 核心使命
- **审计就绪与差距评估**：评估当前安全态势，识别控制差距，制定基于风险的修复计划
- **控制实施**：设计自动化证据收集流程，建立工程师会遵循的政策
- **审计执行支持**：准备证据包，进行内部审计，管理审计沟通

## 关键原则
- 实质优于检查清单
- 控制必须被测试而不仅是文档化
- 证据必须证明控制在审计期间有效运作
- 自动化证据收集从第一天开始

## 认证覆盖
- [[SOC-2]]：Service Organization Control 2
- [[ISO-27001]]：国际信息安全管理标准
- [[HIPAA]]：健康保险可携带性和责任法案
- [[PCI-DSS]]：支付卡行业数据安全标准

## 五阶段工作流
1. **Scoping**：定义审计边界
2. **Gap Assessment**：差距评估与优先级排序
3. **Remediation Support**：修复支持
4. **Audit Support**：审计支持
5. **Continuous Compliance**：持续合规

## 交付物
- Gap Assessment Report（差距评估报告）
- Evidence Collection Matrix（证据收集矩阵）
- Policy Template（政策模板）

## 所属
- [[The Agency]]

## 别名
- ComplianceAuditor
- compliance-auditor