nexus/wiki/concepts/Compliance-Automation.md

# Compliance Automation

## Definition
Compliance automation uses technology to automatically enforce, monitor, and validate security and regulatory compliance requirements.

## Aliases
- Automated Compliance
- Policy Automation
- Regulatory Automation

## Concept
合规自动化使用技术手段自动执行、监控和验证安全及监管合规要求。

## Key Frameworks

### SOC 2
System and Organization Controls 2 — 针对服务组织的安全、可用性、处理完整性、保密性和隐私控制的合规框架。

### ISO 27001
国际信息安全管理体系标准，提供建立、实施、维护和持续改进信息安全管理系统的要求。

### GDPR
欧盟通用数据保护条例，规定个人数据处理和隐私保护要求。

### HIPAA
美国医疗健康信息隐私法规，保护医疗信息的机密性、完整性和可用性。

## Automation Tools
- Chef InSpec — 合规即代码
- Ansible — 配置和合规自动化
- AWS Config — 云资源合规
- Azure Policy — Azure 合规
- Terraform Sentinel — IaC 合规

## Implementation

### Policy as Code
```ruby
# Chef InSpec 示例
control 'cis-aws-foundations-1.1' do
  impact 1.0
  title 'Ensure MFA is enabled for all IAM users'
  describe aws_iam_users.where(attached_managed_policies: []) do
    its('entries') { should eq [] }
  end
end
```

### Continuous Compliance
- 实时监控配置状态
- 自动修复违规
- 合规报告生成

## Benefits
- 减少人工审计成本
- 持续合规而非间歇性合规
- 快速响应监管变化
- 减少人为错误

## Related Concepts
- [[DevSecOps]] — 合规自动化是 DevSecOps 的重要组成
- [[Policy-as-Code]] — 以代码管理策略
- [[ISO-27001]] — 信息安全管理标准
- [[HIPAA]] — 医疗健康合规
- [[GDPR]] — 数据保护法规
- [[Continuous-Compliance]] — 持续合规

## Sources
- [[what-is-devsecops-best-practices-benefits-and-tools]]