A

compliance-os 是一款面向 Compliance Review 的多框架合规编排 skill。可用于评估框架适用性、映射控制项重叠、优先复用证据,并借助 JSON 模板和 Python 辅助脚本模拟内部审计。

Stars22.1k
收藏0
评论0
收录时间2026年7月11日
分类合规审查
安装命令
npx skills add alirezarezvani/claude-skills --skill compliance-os
编辑评分

该 skill 评分为 82/100,是面向需要多框架合规编排的目录用户的稳妥候选。仓库提供了较充实的工作流内容、脚本、模板和参考资料,使 agent 不只是执行通用 prompt,尤其适合处理适用框架选择、证据复用和审计模拟等任务。不过,在投入实际运营前,用户仍应自行核验框架覆盖范围和安装细节。

82/100
亮点
  • 触发场景清晰:frontmatter 明确说明何时使用,并围绕四类具体决策展开——框架选择、重叠映射、审计模拟和证据整合。
  • 具备实际落地价值:包含四个 Python 工具、JSON 模板、模拟审计场景库,以及用于审计模拟、证据复用和跨框架重叠分析的参考资料。
  • 对多框架合规团队具有较高的安装决策参考价值,因为它明确将自身定位为编排层,而不是替代单个框架专用 skill。
注意点
  • SKILL.md 中没有提供安装命令,因此目录用户可能需要根据该仓库的通用约定自行判断安装方式。
  • 部分配套资料不够一致:主描述称支持 12 个框架,而控制库模板和跨框架重叠参考资料重点覆盖 9 个框架,这可能会给采用决策带来不确定性。
概览

compliance-os skill 概览

compliance-os 能做什么

compliance-os 是一个面向多框架合规编排的 skill,用于判断哪些要求适用、哪些控制项存在重叠、哪些证据可以复用,以及一次模拟内部审计可能发现什么问题。它不会把 ISO 27001、SOC 2、GDPR、EU AI Act、HIPAA、NIST CSF、NIS2、FDA QSR 以及医疗器械相关标准当作彼此割裂的工作流,而是帮助 AI agent 将它们作为一个统一的合规项目来推理。

最适合多框架合规团队

compliance-os skill 最适合那些正在从“逐个审计应付”转向综合合规运营模式的公司。典型适用场景包括:已具备 ISO 27001、正在叠加 SOC 2 的 SaaS 厂商;评估 ISO 42001 和 EU AI Act 暴露面的 AI 公司;需要对比 HIPAA、FDA QSR、ISO 13485、ISO 14971 和 EU MDR 义务的医疗健康或医疗器械团队;以及正在为认证第一阶段做准备的合规负责人。

如果你需要的是法律意见、最终监管结论,或只针对单一框架的深度实施方案,它的价值会相对有限。该仓库本身也将 compliance-os 定位为编排器,而不是各个单独框架 skill 的替代品。

这个 skill 的不同之处

compliance-os 的主要区别在于,它不只是提供 prompt 指引,还包含结构化资产和确定性的辅助脚本。关键文件包括:

  • assets/company_profile_template.json 用于适用性筛查
  • assets/control_library_template.json 用于选择启用的框架
  • assets/mock_audit_library.json 包含基于场景的审计发现
  • scripts/framework_selector.py
  • scripts/cross_framework_mapper.py
  • scripts/audit_simulator.py
  • scripts/evidence_pool_generator.py

因此,相比一个泛泛询问“哪些框架适用于我们?”的通用 prompt,这个 skill 更适合可重复执行的 Compliance Review 工作流。

主要采用前考虑

安装前,先确认你的目标框架是否在覆盖范围内,以及组织是否能提供有用的公司画像。输出质量很大程度取决于输入信息,例如行业、地域、AI 使用情况、医疗器械状态、个人数据处理、医疗健康属性、政府合同、企业销售要求等。

如何使用 compliance-os skill

compliance-os 安装与优先阅读的文件

在兼容的 Claude skills 环境中安装该 skill:

npx skills add alirezarezvani/claude-skills --skill compliance-os

然后查看源路径:

compliance-os/skills/compliance-os

建议先读这些文件:

  1. SKILL.md,了解预期的编排流程
  2. assets/company_profile_template.json,了解所需的公司事实信息
  3. references/compliance_os_pattern.md,判断何时应该编排、何时应该拆分框架
  4. references/cross_framework_overlap.md,理解重叠关系的假设
  5. references/evidence_artifact_reuse_index.md,了解证据复用的优先级
  6. references/audit_simulation_methodology.md,在使用模拟审计输出前先阅读

这个 skill 需要哪些输入

为了有效使用 compliance-os,不要只给一段模糊的公司介绍,而应提供结构化画像。包括:

  • 行业和产品类别
  • 服务的国家或地区
  • 产品是否包含 AI
  • AI 是否符合 EU 标准下的高风险定义
  • 产品是否属于医疗器械
  • 公司是否处理个人数据、EU 个人数据或 PHI
  • 是否销售给企业 B2B、美国客户、EU 客户或政府采购方
  • 公司阶段和大致员工人数
  • 已采用的框架,或客户已要求的框架

较弱的 prompt 是:“告诉我我们需要哪些合规框架。”

更好的 prompt 是:“Use compliance-os to evaluate a Series B B2B SaaS company with 140 employees, EU and US customers, enterprise procurement pressure, AI features used for automated decision support, EU personal data processing, no PHI, no medical-device claims, and current ISO 27001 certification. Identify applicable frameworks, likely overlaps, and first evidence priorities.”

推荐的 compliance-os 指南工作流

一个实用的工作流是:

  1. Configure:使用公司画像识别可能适用的框架。
  2. Constrain:移除无关或仅停留在愿景层面的框架。
  3. Map overlap:结合 cross_framework_mapper.py 和重叠关系参考资料,对比已启用框架。
  4. Prioritize evidence:使用 evidence_pool_generator.py 和证据复用索引,找出杠杆最高的证据材料。
  5. Simulate audit:在范围明确后再使用 audit_simulator.py,不要一开始就做模拟审计。
  6. Translate findings:将模拟发现转化为负责人、截止日期、证据请求和纠正措施。

用于 Compliance Review 的 prompt 模式

在将 compliance-os 用于 Compliance Review 时,建议把“判断”和“输出”分开要求:

“Use the compliance-os skill. First, classify which supported frameworks are applicable, likely applicable, or not applicable. Second, explain the assumptions behind each classification. Third, map the highest-overlap control families across the applicable frameworks. Fourth, produce a unified evidence checklist ranked by reuse leverage. Do not provide legal advice; flag uncertain items for counsel or a certified auditor.”

这种表述能减少越界推断,也让输出更容易审阅。

compliance-os skill 常见问题

compliance-os 是法律或认证工具吗?

不是。compliance-os 是一个规划和编排 skill。它可以帮助整理框架适用性、审计准备、证据复用和内部评审,但不能替代法律顾问、认可的认证机构、合格审计师,或针对某一框架的具体实施工作。

它相比普通 prompt 好在哪里?

普通 prompt 可能只会生成一份宽泛的清单。compliance-os skill 具备明确的元框架模式、可复用的 JSON 模板、参考文档,以及用于框架选择、重叠映射、审计模拟和证据池化的脚本。这种结构能帮助 agent 在多次合规评审中保持一致性。

初学者可以使用 compliance-os skill 吗?

可以,但初学者应先从公司画像模板开始,不要一次性要求生成完整的合规项目。最适合作为第一步的任务是框架适用性:“Given this profile, which supported frameworks should we consider and why?” 之后再进入证据复用和模拟审计规划。

什么时候不应该使用 compliance-os?

如果你只需要回答某一项法规的狭窄问题、公司画像未知、需要特定司法辖区的法律解释,或希望获得最终审计保证,就不应使用它。也不要把模拟审计场景当作合规证明;它们是准备工具,不是证据本身。

如何改进 compliance-os skill 的使用效果

先改进 compliance-os 输入,再索要输出

提升 compliance-os 结果质量最快的方法,是用事实替代假设。补充客户承诺、合同中的安全要求、地域销售数据、产品声明、数据类别、subprocessor 暴露情况和现有认证。如果某个细节未知,就标记为未知,不要让模型自行推断。

留意常见失败模式

常见问题包括:过度选择框架;把法规和自愿性标准视为同等性质;以为证据复用就等于控制项完全等价;以及在没有定义范围的情况下生成审计发现。应要求 agent 将框架区分为 “required”、“customer-driven”、“strategic” 和 “not currently applicable”。

在第一轮输出后继续迭代

第一轮运行后,要对结果进行追问和挑战:

  • “Which framework recommendations are most assumption-sensitive?”
  • “Which evidence items satisfy the most frameworks?”
  • “Which controls do not reuse well?”
  • “What should be reviewed by counsel?”
  • “What would change if we launch in the EU?”

这样可以把 compliance-os 从静态清单生成器,转变为决策支持工作流。

加入组织自己的评审标准

为了获得更强的输出,可以提供你自己的评分标准:审计截止日期、预算、证据成熟度、工具归属、管理层风险容忍度,以及目标是认证、客户销售赋能、监管就绪还是内部治理。compliance-os skill 在面向真实合规决策进行优化时效果最好,而不是只生成一份抽象清单。

评分与评论

暂无评分
分享你的评价
登录后即可为这个技能评分并发表评论。
G
0/10000
最新评论
保存中...