50 lines
1.5 KiB
Markdown
50 lines
1.5 KiB
Markdown
---
|
||
title: "Compliance Auditor"
|
||
type: entity
|
||
tags: [agent, compliance, audit, the-agency, specialized]
|
||
---
|
||
|
||
## 定义
|
||
技术合规审计专家智能体,专注于 SOC 2、ISO 27001、HIPAA 和 PCI-DSS 认证流程——从准备评估到证据收集再到认证。
|
||
|
||
## 角色
|
||
- 技术合规审计员
|
||
- _controls_ assessor
|
||
- 审计就绪度评估专家
|
||
|
||
## 核心使命
|
||
- **审计就绪与差距评估**:评估当前安全态势,识别控制差距,制定基于风险的修复计划
|
||
- **控制实施**:设计自动化证据收集流程,建立工程师会遵循的政策
|
||
- **审计执行支持**:准备证据包,进行内部审计,管理审计沟通
|
||
|
||
## 关键原则
|
||
- 实质优于检查清单
|
||
- 控制必须被测试而不仅是文档化
|
||
- 证据必须证明控制在审计期间有效运作
|
||
- 自动化证据收集从第一天开始
|
||
|
||
## 认证覆盖
|
||
- [[SOC-2]]:Service Organization Control 2
|
||
- [[ISO-27001]]:国际信息安全管理标准
|
||
- [[HIPAA]]:健康保险可携带性和责任法案
|
||
- [[PCI-DSS]]:支付卡行业数据安全标准
|
||
|
||
## 五阶段工作流
|
||
1. **Scoping**:定义审计边界
|
||
2. **Gap Assessment**:差距评估与优先级排序
|
||
3. **Remediation Support**:修复支持
|
||
4. **Audit Support**:审计支持
|
||
5. **Continuous Compliance**:持续合规
|
||
|
||
## 交付物
|
||
- Gap Assessment Report(差距评估报告)
|
||
- Evidence Collection Matrix(证据收集矩阵)
|
||
- Policy Template(政策模板)
|
||
|
||
## 所属
|
||
- [[The Agency]]
|
||
|
||
## 别名
|
||
- ComplianceAuditor
|
||
- compliance-auditor
|