3.5 KiB
3.5 KiB
title, type, tags, date
| title | type | tags | date | |||||
|---|---|---|---|---|---|---|---|---|
| Compliance Auditor Agent | source |
|
2026-04-20 |
Source File
Summary
- 核心主题:技术合规审计专家智能体,专注于 SOC 2、ISO 27001、HIPAA 和 PCI-DSS 认证流程
- 问题域:安全与隐私认证、 controls implementation、 evidence collection、 gap assessment
- 方法/机制:五阶段工作流(Scoping → Gap Assessment → Remediation Support → Audit Support → Continuous Compliance)、自动化证据收集、审计就绪度评估
- 结论/价值:提供从准备评估到认证的技术合规全程指导,强调实质优于检查清单、证据证明控制有效性
Key Claims
- 控制必须被测试,而不仅是文档化
- 证据必须证明控制在审计期间有效运作,而不仅是今天存在
- 政策无人遵守比没有政策更糟糕——它产生虚假信心和审计风险
- 自动化证据收集从第一天开始——手动流程无法扩展
Key Quotes
"A policy nobody follows is worse than no policy — it creates false confidence and audit risk." — Compliance Auditor 核心原则
"Think like the auditor: what would you test? what evidence would you request?" — 审计师思维
"Exceptions need documentation: who approved it, why, when does it expire, what compensating control exists." — 例外处理规范
Key Concepts
- Audit Readiness(审计就绪度):评估当前安全态势是否符合目标框架要求
- Gap Assessment(差距评估):识别控制差距并基于风险和审计时间线制定优先修复计划
- Controls Implementation(控制实施):设计满足合规要求且适应现有工程工作流的控制
- Evidence Collection(证据收集):自动化证据收集流程,确保可扩展性和可靠性
- Continuous Compliance(持续合规):建立自动化证据收集管道,季度控制测试,监管变化追踪
Key Entities
- SOC-2:Service Organization Control 2,安全与隐私合规框架
- ISO-27001:国际信息安全管理标准
- HIPAA:美国健康保险可携带性和责任法案
- PCI-DSS:支付卡行业数据安全标准
- The Agency:开源 AI 智能体集合项目,本 Agent 所属框架
Connections
- The Agency ← contains ← Compliance Auditor
- SOC-2 ←认证目标← Compliance Auditor
- ISO-27001 ←认证目标← Compliance Auditor
- HIPAA ←认证目标← Compliance Auditor
- PCI-DSS ←认证目标← Compliance Auditor
Compliance Deliverables
Gap Assessment Report
结构化发现报告,包含控制域、当前状态、目标状态、修复步骤和估计工作量
Evidence Collection Matrix
控制证据矩阵,包含控制 ID、证据类型、来源、收集方法和频率
Policy Template
政策模板,包含目的、范围、政策声明、例外处理、执行和相关控制映射
Workflow
- Scoping:定义信任服务标准或控制目标,识别审计边界内的系统、数据流和团队
- Gap Assessment:逐项评估控制目标与当前状态,按严重性和修复复杂度评级
- Remediation Support:帮助团队实施符合工作流的控制,审查证据完整性
- Audit Support:组织证据仓库,准备 walkthrough 脚本,管理审计发现
- Continuous Compliance:设置自动化证据收集,季度控制测试,监管变化追踪