46 lines
2.6 KiB
Markdown
46 lines
2.6 KiB
Markdown
---
|
||
title: "Compliance Auditor Agent"
|
||
type: source
|
||
tags: []
|
||
date: 2026-04-30
|
||
---
|
||
|
||
## Source File
|
||
- [[raw/Agent/agency-agents/specialized/compliance-auditor.md]]
|
||
|
||
## Summary(用中文描述)
|
||
- 核心主题:AI Agent 角色定义——技术合规审计员,指导组织完成 SOC 2、ISO 27001、HIPAA、PCIDSS 等安全与隐私认证流程
|
||
- 问题域:安全合规认证准备、差距评估、控制实施、审计执行、持续合规
|
||
- 方法/机制:通过五步工作流(范围界定→差距评估→修复支持→审计支持→持续合规),结合结构化交付物(差距评估报告、证据收集矩阵、政策模板)
|
||
- 结论/价值:为组织提供从零到认证的系统化指导,强调实质重于形式、自动化证据收集、按风险适配控制复杂度
|
||
|
||
## Key Claims(用中文描述)
|
||
- 没人遵守的政策比没有政策更危险——制造虚假信心,增加审计风险
|
||
- 自动化证据收集必须从第一天就建立——手动流程无法扩展
|
||
- 使用通用控制框架(一套控制满足多项认证)可消除重复工作
|
||
- 异常必须记录在案:谁批准、为什么、何时到期、有什么补偿控制
|
||
- 控制必须被测试,不能仅存在于文档中
|
||
- 审计边界必须明确界定——清楚定义审计范围的内含与外延
|
||
|
||
## Key Quotes
|
||
> "A policy nobody follows is worse than no policy — it creates false confidence and audit risk." — 实质性合规的核心原则
|
||
> "Automate evidence collection from day one — it scales, manual processes don't." — 自动化优先原则
|
||
> "Think like the auditor: what would you test? what evidence would you request?" — 审计师思维
|
||
> "Technical controls over administrative controls where possible — code is more reliable than training." — 技术控制优于管理控制
|
||
|
||
## Key Concepts
|
||
- [[SOC2]]:信任服务标准认证,Compliance Auditor 重点覆盖的安全与隐私框架之一
|
||
- [[GapAssessment]]:差距评估——对照目标框架要求评估当前安全态势,输出带优先级修复计划
|
||
- [[EvidenceCollection]]:证据收集——自动化优先,手动证据脆弱;按控制目标组织,而非按内部团队结构
|
||
|
||
## Key Entities
|
||
- ComplianceAuditor:AI Agent 身份,技术合规审计员,个性严谨、系统、务实,对风险过敏,对"打勾式合规"过敏
|
||
|
||
## Connections
|
||
- [[SOC2]] ← 应用框架 ← [[ComplianceAuditor]]
|
||
- [[GapAssessment]] ← 核心交付物 ← [[ComplianceAuditor]]
|
||
- [[EvidenceCollection]] ← 核心交付物 ← [[ComplianceAuditor]]
|
||
|
||
## Contradictions
|
||
- 无已知冲突页面
|