核心功能
auditclaw-grc 是一款面向企业的综合治理、风险与合规(GRC)管理工具,覆盖从框架激活到审计交付的完整合规生命周期。核心能力包括:
- 多框架支持:内置13种主流合规框架(SOC 2 Type II、ISO 27001、HIPAA、GDPR、NIST CSF、PCI DSS v4.0、CIS Controls v8、CMMC 2.0、HITRUST、CCPA/CPRA、FedRAMP Moderate、ISO 42001、SOX ITGC),总计超1000条控制项定义
- 智能证据管理:支持手动上传、自动化扫描、云集成三种证据来源,自动关联控制项并设置有效期追踪
- 动态合规评分:0-100分健康度评估,支持趋势分析和漂移检测(>5分预警/>10分告警)
- 风险全周期管理:风险登记册、CVSS评分、处理策略(规避/减轻/转移/接受)及风险热图
- 事件响应追踪:完整的事件时间线、行动记录、事后复盘(Post-Mortem)及MTTR统计
- 供应商治理:供应商登记、安全问卷(支持SIG/CAIQ模板)、评分与风险评级
- 策略工作流:策略版本控制、审批流程、团队签收追踪
- 资产与访问管理:IT资产分类分级、定期访问审查活动、培训模块分配
- 自动化报告:HTML合规报告、信任中心页面(Trust Center)、证据导出包
显著优势
1. 开箱即用:无需复杂配置,激活框架即加载预定义控制项和证据要求
2. 智能交互:首次使用引导式设置、风险自评辅助、证据类型自动推断、批量操作确认
3. 生态集成:可选安装5款配套技能(AWS/GitHub/Azure/GCP/IDP),自动采集云环境证据
4. 主动监控:支持cron定时任务,实现证据过期预警、合规分计算、周度摘要自动化
5. 审计友好:一键导出符合审计师要求的证据ZIP包,含控制映射和完整性校验
潜在局限
- 浏览器依赖:GDPR扫描、信任中心生成等部分功能需Chromium系浏览器支持
- 本地存储:SQLite单机架构,大规模企业可能需要考虑并发性能和备份策略
- 云原生限制:虽支持主流云平台证据采集,但SaaS应用(如Salesforce、Slack)的自动化证据需手动补充
- AI辅助边界:策略生成和风险评估依赖LLM能力,关键决策仍需人工复核
适合人群
| 角色 | 使用场景 |
|------|---------|
| **合规经理/CISO** | 统筹多框架合规项目,向管理层汇报安全 posture |
| **安全工程师** | 自动化证据收集、漏洞追踪、访问审查执行 |
| **审计准备团队** | 差距分析、证据整理、审计报告生成 |
| **初创公司CTO** | 快速获取SOC 2 Type II或ISO 27001认证 |
| **云服务提供商** | FedRAMP、ISO 42001 AI治理等专项合规 |
常规风险提示
- 凭证安全:云集成配置需妥善保管IAM策略、Service Principal等凭证,建议使用只读权限最小原则
- 数据驻留:证据文件默认存储于
~/.openclaw/grc/,敏感环境需评估本地加密或迁移至合规存储 - 评分解读:合规分数反映控制完成度而非实际安全水平,高分不代表无风险
- 框架更新:内置框架版本(如PCI DSS v4.0、ISO 42001:2023)需关注官方修订,及时更新控制定义
版本信息
- 当前版本:6.0.0
- 数据库:SQLite(
~/.openclaw/grc/compliance.sqlite) - 支持平台:macOS、Linux
- 依赖:Python 3 + Chromium/Chrome/Brave浏览器