产品实景
合规控制台
真实截图,示例数据。各框架下逐项控制的状态、一目了然的覆盖度、能力到证据的映射,以及锚定到账本的封存证据包。每一份报告都附带免责声明:这是控制状态与证据,而非认证。
它产出什么
从活动到审计师可读的证据
四项产出,每一项都以账本实际记录的内容为依据——且都如实标注。
逐项控制的状态,而非一枚通过/不通过的徽章
每一项控制都归结为五种状态之一——satisfied、by_design、partial、gap 或 unmapped。「satisfied」由真实的运行遥测数据支撑;「by_design」是尚无遥测数据的设计保证。我们绝不将二者混为一谈:设计承诺并非运行证据。
差距分析与能力地图
差距分析指出您在某项控制上缺失的能力;能力到证据的映射则展示哪项能力产生哪份证据。跨框架汇总将其归总,使一项控制可同时回应多个框架。
封存证据包
证据以封存证据包的形式导出,锚定到仅可追加、哈希链式的账本——因此您所交付内容的完整性可被验证,任何事后修改都会破坏链条。证据源自账本本身,而非一份要您信任的文档。
智能体风险分级与数据驻留
每个智能体都依据欧盟人工智能法案的风险等级进行分级,并交叉映射到 NIST AI RMF,同时附带数据驻留证明。风险分级与驻留是证据输入——它们为控制状态提供依据,但并不对结果做出认证。
工作原理
活动转化为映射后的封存证据
活动账本馈入控制映射器,由其将每项控制归结为一个状态;结果导出为映射到各项框架的证据包。哪些由遥测数据满足、哪些为 by_design,会被绘制为彼此独立的状态——绝不合并为单一的绿色对勾。
什么是真实可用的
控制状态与证据已上线;认证则需由您自行去争取
我们对此表述精确,因为这些措辞具有法律分量:
- 已上线、契约稳定:逐项控制的状态、差距分析、能力到证据的映射、跨框架汇总、封存证据包、智能体风险分级与数据驻留证明。
- 已映射六大成熟框架体系——EU AI Act、NIST AI RMF、ISO/IEC 42001、SOC 2、ISO/IEC 27001 与 GDPR。另有若干参考仅为设计对标——OWASP Agentic、CSA MAESTRO、CISA Five-Eyes 智能体指南与 NIST overlays——不附带任何符合性声明;设计对其保持跟踪,但并不主张对其符合。
- 并非认证。Olivares 处于预发布阶段,未取得 SOC 2、ISO 或 EU AI Act 认证。本模块为您提供控制状态与证据,以支撑您自行选择去争取的认证;它不签发认证,且认证的缺失不会阻碍 v1。每一份报告都对此明确说明。
合规证据——常见问题
这是否让我们达到合规或获得认证?
不会——我们也不会这样宣称。模块 XIII 产出的是控制状态与证据:各框架下逐项控制的状态,以及审计师可读的封存证据包。针对 SOC 2、ISO 或 EU AI Act 的认证,是您与认证机构一同推进的流程;Olivares 自身处于预发布阶段,未取得认证。每一份报告都附带该免责声明。
「satisfied」与「by_design」有何区别?
「satisfied」意味着该控制由真实的运行遥测数据支撑——账本记录了证明其运行的活动。「by_design」意味着架构保证了该控制,但尚无遥测数据对其加以验证。二者是刻意区分的独立状态,因为设计承诺与「某事确已运行」的证据并不相同。其余状态为 partial、gap 与 unmapped。
实际映射了哪些框架?
六大成熟框架体系:EU AI Act、NIST AI RMF、ISO/IEC 42001、SOC 2、ISO/IEC 27001 与 GDPR。除此之外,设计还跟踪若干尚未定稿的参考——OWASP Agentic、CSA MAESTRO、CISA Five-Eyes 智能体指南与 NIST overlays。我们将这些标注为设计对标,并不对其做出任何符合性声明。
我如何确认证据包在导出后未被修改?
每个证据包都经过封存,并锚定到仅可追加、哈希链式的账本。其完整性可对照链条加以验证,因此对证据——或其背后活动——的任何事后修改都会破坏哈希并暴露出来。信任在于账本,而非一份要您盲目相信的 PDF。