compliance-os
作者 alirezarezvanicompliance-os 是一款面向 Compliance Review 的多框架合规编排 skill。可用于评估框架适用性、映射控制项重叠、优先复用证据,并借助 JSON 模板和 Python 辅助脚本模拟内部审计。
该 skill 评分为 82/100,是面向需要多框架合规编排的目录用户的稳妥候选。仓库提供了较充实的工作流内容、脚本、模板和参考资料,使 agent 不只是执行通用 prompt,尤其适合处理适用框架选择、证据复用和审计模拟等任务。不过,在投入实际运营前,用户仍应自行核验框架覆盖范围和安装细节。
- 触发场景清晰:frontmatter 明确说明何时使用,并围绕四类具体决策展开——框架选择、重叠映射、审计模拟和证据整合。
- 具备实际落地价值:包含四个 Python 工具、JSON 模板、模拟审计场景库,以及用于审计模拟、证据复用和跨框架重叠分析的参考资料。
- 对多框架合规团队具有较高的安装决策参考价值,因为它明确将自身定位为编排层,而不是替代单个框架专用 skill。
- SKILL.md 中没有提供安装命令,因此目录用户可能需要根据该仓库的通用约定自行判断安装方式。
- 部分配套资料不够一致:主描述称支持 12 个框架,而控制库模板和跨框架重叠参考资料重点覆盖 9 个框架,这可能会给采用决策带来不确定性。
compliance-os skill 概览
compliance-os 能做什么
compliance-os 是一个面向多框架合规编排的 skill,用于判断哪些要求适用、哪些控制项存在重叠、哪些证据可以复用,以及一次模拟内部审计可能发现什么问题。它不会把 ISO 27001、SOC 2、GDPR、EU AI Act、HIPAA、NIST CSF、NIS2、FDA QSR 以及医疗器械相关标准当作彼此割裂的工作流,而是帮助 AI agent 将它们作为一个统一的合规项目来推理。
最适合多框架合规团队
compliance-os skill 最适合那些正在从“逐个审计应付”转向综合合规运营模式的公司。典型适用场景包括:已具备 ISO 27001、正在叠加 SOC 2 的 SaaS 厂商;评估 ISO 42001 和 EU AI Act 暴露面的 AI 公司;需要对比 HIPAA、FDA QSR、ISO 13485、ISO 14971 和 EU MDR 义务的医疗健康或医疗器械团队;以及正在为认证第一阶段做准备的合规负责人。
如果你需要的是法律意见、最终监管结论,或只针对单一框架的深度实施方案,它的价值会相对有限。该仓库本身也将 compliance-os 定位为编排器,而不是各个单独框架 skill 的替代品。
这个 skill 的不同之处
compliance-os 的主要区别在于,它不只是提供 prompt 指引,还包含结构化资产和确定性的辅助脚本。关键文件包括:
assets/company_profile_template.json用于适用性筛查assets/control_library_template.json用于选择启用的框架assets/mock_audit_library.json包含基于场景的审计发现scripts/framework_selector.pyscripts/cross_framework_mapper.pyscripts/audit_simulator.pyscripts/evidence_pool_generator.py
因此,相比一个泛泛询问“哪些框架适用于我们?”的通用 prompt,这个 skill 更适合可重复执行的 Compliance Review 工作流。
主要采用前考虑
安装前,先确认你的目标框架是否在覆盖范围内,以及组织是否能提供有用的公司画像。输出质量很大程度取决于输入信息,例如行业、地域、AI 使用情况、医疗器械状态、个人数据处理、医疗健康属性、政府合同、企业销售要求等。
如何使用 compliance-os skill
compliance-os 安装与优先阅读的文件
在兼容的 Claude skills 环境中安装该 skill:
npx skills add alirezarezvani/claude-skills --skill compliance-os
然后查看源路径:
compliance-os/skills/compliance-os
建议先读这些文件:
SKILL.md,了解预期的编排流程assets/company_profile_template.json,了解所需的公司事实信息references/compliance_os_pattern.md,判断何时应该编排、何时应该拆分框架references/cross_framework_overlap.md,理解重叠关系的假设references/evidence_artifact_reuse_index.md,了解证据复用的优先级references/audit_simulation_methodology.md,在使用模拟审计输出前先阅读
这个 skill 需要哪些输入
为了有效使用 compliance-os,不要只给一段模糊的公司介绍,而应提供结构化画像。包括:
- 行业和产品类别
- 服务的国家或地区
- 产品是否包含 AI
- AI 是否符合 EU 标准下的高风险定义
- 产品是否属于医疗器械
- 公司是否处理个人数据、EU 个人数据或 PHI
- 是否销售给企业 B2B、美国客户、EU 客户或政府采购方
- 公司阶段和大致员工人数
- 已采用的框架,或客户已要求的框架
较弱的 prompt 是:“告诉我我们需要哪些合规框架。”
更好的 prompt 是:“Use compliance-os to evaluate a Series B B2B SaaS company with 140 employees, EU and US customers, enterprise procurement pressure, AI features used for automated decision support, EU personal data processing, no PHI, no medical-device claims, and current ISO 27001 certification. Identify applicable frameworks, likely overlaps, and first evidence priorities.”
推荐的 compliance-os 指南工作流
一个实用的工作流是:
- Configure:使用公司画像识别可能适用的框架。
- Constrain:移除无关或仅停留在愿景层面的框架。
- Map overlap:结合
cross_framework_mapper.py和重叠关系参考资料,对比已启用框架。 - Prioritize evidence:使用
evidence_pool_generator.py和证据复用索引,找出杠杆最高的证据材料。 - Simulate audit:在范围明确后再使用
audit_simulator.py,不要一开始就做模拟审计。 - Translate findings:将模拟发现转化为负责人、截止日期、证据请求和纠正措施。
用于 Compliance Review 的 prompt 模式
在将 compliance-os 用于 Compliance Review 时,建议把“判断”和“输出”分开要求:
“Use the compliance-os skill. First, classify which supported frameworks are applicable, likely applicable, or not applicable. Second, explain the assumptions behind each classification. Third, map the highest-overlap control families across the applicable frameworks. Fourth, produce a unified evidence checklist ranked by reuse leverage. Do not provide legal advice; flag uncertain items for counsel or a certified auditor.”
这种表述能减少越界推断,也让输出更容易审阅。
compliance-os skill 常见问题
compliance-os 是法律或认证工具吗?
不是。compliance-os 是一个规划和编排 skill。它可以帮助整理框架适用性、审计准备、证据复用和内部评审,但不能替代法律顾问、认可的认证机构、合格审计师,或针对某一框架的具体实施工作。
它相比普通 prompt 好在哪里?
普通 prompt 可能只会生成一份宽泛的清单。compliance-os skill 具备明确的元框架模式、可复用的 JSON 模板、参考文档,以及用于框架选择、重叠映射、审计模拟和证据池化的脚本。这种结构能帮助 agent 在多次合规评审中保持一致性。
初学者可以使用 compliance-os skill 吗?
可以,但初学者应先从公司画像模板开始,不要一次性要求生成完整的合规项目。最适合作为第一步的任务是框架适用性:“Given this profile, which supported frameworks should we consider and why?” 之后再进入证据复用和模拟审计规划。
什么时候不应该使用 compliance-os?
如果你只需要回答某一项法规的狭窄问题、公司画像未知、需要特定司法辖区的法律解释,或希望获得最终审计保证,就不应使用它。也不要把模拟审计场景当作合规证明;它们是准备工具,不是证据本身。
如何改进 compliance-os skill 的使用效果
先改进 compliance-os 输入,再索要输出
提升 compliance-os 结果质量最快的方法,是用事实替代假设。补充客户承诺、合同中的安全要求、地域销售数据、产品声明、数据类别、subprocessor 暴露情况和现有认证。如果某个细节未知,就标记为未知,不要让模型自行推断。
留意常见失败模式
常见问题包括:过度选择框架;把法规和自愿性标准视为同等性质;以为证据复用就等于控制项完全等价;以及在没有定义范围的情况下生成审计发现。应要求 agent 将框架区分为 “required”、“customer-driven”、“strategic” 和 “not currently applicable”。
在第一轮输出后继续迭代
第一轮运行后,要对结果进行追问和挑战:
- “Which framework recommendations are most assumption-sensitive?”
- “Which evidence items satisfy the most frameworks?”
- “Which controls do not reuse well?”
- “What should be reviewed by counsel?”
- “What would change if we launch in the EU?”
这样可以把 compliance-os 从静态清单生成器,转变为决策支持工作流。
加入组织自己的评审标准
为了获得更强的输出,可以提供你自己的评分标准:审计截止日期、预算、证据成熟度、工具归属、管理层风险容忍度,以及目标是认证、客户销售赋能、监管就绪还是内部治理。compliance-os skill 在面向真实合规决策进行优化时效果最好,而不是只生成一份抽象清单。
