Doanh nghiệp · Tuân thủ & Bằng chứng

Công việc tuân thủ,
được cơ giới hóa.

Các framework đặt câu hỏi; lớp quyết định những gì các agent của bạn thấy nên trả lời chúng bằng các biện pháp kiểm soát được thực thi và bằng chứng có thể xác minh. LeanCTX ánh xạ EU AI Act, ISO/IEC 42001 và SOC 2 tới các cơ chế mà nó thực sự thực thi — và rõ ràng về mọi thứ nó không thể.

Trung thực trước hết: LeanCTX là công cụ hỗ trợ cho công việc tuân thủ — không phải lời khuyên pháp lý. "Được căn chỉnh" là một tuyên bố kỹ thuật về các biện pháp kiểm soát có thể thực thi, chứ không phải chứng nhận. Mỗi ánh xạ đều mang tuyên bố miễn trừ trách nhiệm này, và mọi nghĩa vụ chưa được bao phủ đều là một khoảng trống được ghi lại.

Các ánh xạ

Ba framework, mỗi cái một ma trận trung thực.

Ma trận ánh xạ có thể đọc bằng máy, được ghim vào các phiên bản framework chính xác với chu kỳ xem xét bán niên. Mỗi sản phẩm đều đi kèm với gói chính sách framework triển khai lát cắt có thể thực thi — thừa hưởng nó, mở rộng nó, hoặc kiểm toán gói của riêng bạn dựa trên nó.

Regulation (EU) 2024/1689

EU AI Act

Thực thi kỹ thuật 11/14 biện pháp kiểm soát được ánh xạ

Góc nhìn triển khai về luồng ngữ cảnh: Art. 12 logging (chống giả mạo, luôn bật), Art. 26(6) lưu giữ nhật ký sáu tháng, Art. 10(5) che giấu định danh được quy định, Art. 14(4) giám sát và can thiệp qua giới hạn ngân sách cứng, Art. 15(5) kiểm soát truy cập. Quản trị dữ liệu huấn luyện và các nghĩa vụ tổ chức là những khoảng trống được ghi lại — không phải bị che giấu.

pack: eu-ai-act-deployer

ISO/IEC 42001:2023, Annex A

ISO/IEC 42001

Các lát cắt Annex A có thể thực thi, khoảng trống được ghi lại

A.6.2.6 ghi nhật ký hoạt động, A.9.2 quy trình sử dụng có trách nhiệm — gói chính sách là định nghĩa quy trình được máy thực thi — A.9.4 thực thi mục đích sử dụng với các vi phạm được ghi lại, A.7.4 kiểm soát dữ liệu trước khi sử dụng. Bản thân AIMS là tổ chức theo định nghĩa; ánh xạ cũng nói như vậy.

pack: iso42001-aligned

AICPA TSC 2017 (2022 points of focus)

SOC 2

Lát cắt context-pipeline của TSC, bao gồm bằng chứng

CC6.1 truy cập logic (cổng khả năng mặc định từ chối), CC6.6 bảo vệ ranh giới (từ chối thoát + path jail), CC7.2 giám sát bất thường (sự kiện bảo mật kiểu), C1.1 bảo mật (che giấu thông tin xác thực + định danh). Tiêu chí cấp độ thực thể vẫn thuộc về tổ chức của bạn — ánh xạ vẽ ra ranh giới.

pack: soc2-context

Nguồn sự thật: các ma trận ánh xạ trong repository — TOML, có thể xem xét, diffable. Mọi tuyên bố bao phủ đầy đủ đều nêu tên bài kiểm tra CI chứng minh việc thực thi; một bài kiểm tra trôi dạt sẽ làm hỏng build khi các tuyên bố và bài kiểm tra khác biệt.

Báo cáo độ bao phủ

Cuộc trò chuyện kiểm toán, như một lệnh.

Một lệnh hiển thị những gì các nhà đánh giá thực sự muốn thấy: kết quả phán quyết theo từng điều khoản đối với gói chính sách đã được giải quyết, thực tế của bạn — chứ không phải so với một tài liệu quảng cáo.

$ lean-ctx policy coverage --framework eu-ai-act

AIA-12.1      Art. 12(1)    ENGINE        hash-chained audit trail, always-on
AIA-26.6      Art. 26(6)    ENFORCED      audit_retention_days = 365 (≥ 180 d)
AIA-10.5      Art. 10(5)    ENFORCED      4/4 regulated-identifier classes redacted
AIA-14.4e     Art. 14(4)(e) ENFORCED      max_context_tokens = 12000 bounds every assembly
AIA-10.2      Art. 10(2)    GAP           training-data governance is outside the pipeline

11 of 14 controls technically enforced (5 pack-verified, 6 engine guarantees) · 3 documented gaps

ENFORCED được xác minh trực tiếp với gói đã giải quyết của bạn — một gói yếu sẽ bị hạ cấp thành NOT-ENFORCED với mã thoát 1, để báo cáo có thể tích hợp vào CI. ENGINE đảm bảo trích dẫn bài kiểm tra chứng minh chúng. Các hàng GAP nêu rõ những gì vẫn là nghĩa vụ của tổ chức. Sử dụng --json cho công cụ GRC của bạn.

Báo cáo CISO đã ký

Một báo cáo có chữ ký, toàn bộ giai đoạn.

Tổng hợp một phạm vi ngày thành một tài liệu điều hành: sự liên kết với OWASP-Top-10-for-Agents, độ bao phủ khung làm việc, những gì thực thi đã chặn và chỉnh sửa, và tư thế lưu giữ — được ký Ed25519 và có thể xác minh ngoại tuyến.

$ lean-ctx compliance report --from 2026-05-01 --to 2026-06-01 --framework eu-ai-act --format pdf

period         2026-05-01 → 2026-06-01   ·   audit chain: VALID
owasp-agents   9 / 10 aligned · 1 documented gap
eu-ai-act      11 / 14 controls enforced · 3 documented gaps
enforcement    142 tool calls blocked (ToolDenied) · 87 secrets redacted
retention      audit_retention_days = 365

Signed compliance report written to ~/.local/share/lean-ctx/compliance/report-v1_2026-06.json
Verify offline (no LeanCTX needed):  lean-ctx compliance verify report-v1_2026-06.json

Trung thực theo cấu trúc: một giai đoạn yên tĩnh báo cáo không có khối nào bị chặn và một chuỗi bị hỏng sẽ được báo cáo, không bao giờ che giấu. JSON đã ký luôn được ghi; --format pdf thêm tệp PDF 1.7 không phụ thuộc vào thư viện cho hội đồng quản trị. Bất kỳ ai cũng có thể kiểm tra lại bằng lean-ctx compliance verify <report.json> — không cần dấu vết kiểm toán, không cần cài đặt LeanCTX.

Các gói bằng chứng

Kiểm toán viên xác minh — mà không tin tưởng chúng ta.

lean-ctx xuất các bằng chứng kiểm toán ZIP có tính xác định, được ký Ed25519: phân đoạn kiểm toán chống giả mạo cho giai đoạn, gói chính sách đã giải quyết đang có hiệu lực và các báo cáo độ bao phủ. Đầu vào giống nhau, gói byte giống hệt — tái tạo và so sánh.

Đối tác của nó, leanctx-verify, là một công cụ độc lập không có mã engine và bốn dependencies — một triển khai thứ hai độc lập của hợp đồng evidence-bundle-v1 mở. Nó chạy ngoại tuyến, trên máy của kiểm toán viên, trong vòng chưa đầy một phút:

1

Lưu trữ + manifest

gói gọn gàng, phiên bản được hỗ trợ

2

Kiểm kê tệp

mọi tệp đều khớp với SHA-256 của nó, không thêm hoặc xóa gì

3

Phát lại chuỗi

chuỗi hash kiểm toán tính toán lại từ neo đến đầu

4

Chữ ký manifest

Ed25519 hợp lệ — đối với một khóa ngoài băng tần nếu bạn có

5

Chữ ký sự kiện

mỗi dòng nhật ký được ký và xác minh riêng lẻ

Kiểm tra đột biến: một byte bị lật, một dòng bị mất, một khóa sai — KHÔNG HỢP LỆ. hướng dẫn kiểm toán viên giải thích bằng ngôn ngữ đơn giản những gì bằng chứng chứng minh và những gì nó không thể (các sự kiện được bảo vệ ngay từ khi chúng được ghi lại — chứ không phải trước đó; một mô hình mối đe dọa trung thực là một phần của định dạng). Nguồn xác minh: packages/leanctx-verify.

FAQ

Những gì đội ngũ tuân thủ hỏi.

LeanCTX có giúp chúng tôi tuân thủ EU AI Act / ISO 42001 / SOC 2 không?

Không công cụ nào có thể tuyên bố điều đó, và chúng tôi cũng vậy. LeanCTX về mặt kỹ thuật thực thi các kiểm soát nằm trong quy trình context — và chứng minh việc thực thi bằng các bài kiểm tra CI và bằng chứng thời gian chạy. Các ma trận ánh xạ nêu rõ theo từng kiểm soát liệu phạm vi bao phủ là đầy đủ (được thực thi + được kiểm thử), một phần (khoảng trống còn lại được mô tả) hay không có (nghĩa vụ tổ chức). Tuân thủ là đánh giá do con người đưa ra; LeanCTX cung cấp cho họ các kiểm soát có thể thực thi và bằng chứng có thể xác minh.

Các ma trận ánh xạ chứa chính xác những gì?

Các tệp TOML có thể đọc bằng máy, mỗi tệp cho một framework, được ghim vào phiên bản framework chính xác với chu kỳ xem xét bán niên. Mỗi kiểm soát mang theo điều khoản, yêu cầu một câu, cơ chế LeanCTX (quy tắc gói, sự kiện kiểm toán, xuất bằng chứng), bằng chứng mà người đánh giá nhận được, tuyên bố phạm vi bao phủ — và đối với mọi tuyên bố đầy đủ, tên của bài kiểm tra CI chứng minh việc thực thi. Một bài kiểm tra trôi dạt sẽ làm hỏng bản dựng nếu một tuyên bố chỉ ra một bài kiểm tra không tồn tại.

Làm cách nào để tôi kiểm tra thiết lập của mình với một framework?

lean-ctx policy coverage --framework eu-ai-act (hoặc iso42001, soc2) render ra artifact hội thoại kiểm toán: mọi kiểm soát là ENFORCED (được xác minh trực tiếp với gói chính sách đã giải quyết của bạn), ENGINE (bảo đảm engine được chứng minh bằng CI), NOT-ENFORCED (gói của bạn không chứa quy tắc — mã thoát 1, có thể chặn bởi CI) hoặc GAP (nghĩa vụ tổ chức được ghi lại). Thêm --json cho máy.

Bó bằng chứng là gì?

Một tệp ZIP xác định, được ký Ed25519 do lean-ctx audit evidence tạo ra: phân đoạn chuỗi kiểm toán chống giả mạo cho một giai đoạn, gói chính sách đã giải quyết đang có hiệu lực, và các báo cáo CGB + phạm vi bao phủ. Các đầu vào giống hệt nhau sẽ tạo ra các bó bằng chứng giống byte, vì vậy hai bên có thể tái tạo và so sánh. Định dạng là một hợp đồng mở (evidence-bundle-v1).

Kiểm toán viên xác minh một bó bằng chứng như thế nào mà không cần tin tưởng chúng tôi?

Với leanctx-verify — một công cụ độc lập không chia sẻ mã với engine và triển khai hợp đồng đã xuất bản một cách độc lập. Nó phát lại chuỗi hash và kiểm tra tất cả các chữ ký ngoại tuyến trong năm bước PASS/FAIL, chưa đầy một phút. Các bài kiểm tra đột biến chứng minh rằng một byte bị lật, một dòng nhật ký bị mất hoặc một khóa sai sẽ khiến phán quyết trở thành INVALID. Một hướng dẫn kiểm toán viên bằng ngôn ngữ đơn giản giải thích những gì bằng chứng chứng minh — và, cũng rõ ràng như vậy, những gì nó không thể chứng minh.

Mang bằng chứng đến cuộc hội thoại kiểm toán tiếp theo của bạn.

Chạy báo cáo phạm vi bao phủ với các gói của riêng bạn ngay hôm nay — cục bộ, miễn phí. Hoặc nói chuyện với chúng tôi về một dự án thí điểm với đội ngũ tuân thủ của bạn tham gia.