skarir/ai-governance-lab
GitHub: skarir/ai-governance-lab
面向英国 FinTech 的端到端 AI 治理作品集,整合 EU AI Act、ISO 42001 与 NIST AI RMF,覆盖系统分类、管理体系就绪、策略即代码、事件响应和高风险合规文件五大模块。
Stars: 1 | Forks: 0
# AI 治理实验室
**端到端的运营 AI 治理 —— 适用于向英国和欧盟销售的英国 FinTech。**
本仓库是一个实际操作的作品集。它不是五个互不相关的模板,而是围绕**单一虚构组织的整个 AI 资产**进行治理 —— 从发现和分类,到管理体系就绪度、自动化控制检查、事件处理,最后是针对风险最高的系统的全套合规文件包。
所有内容都围绕一个一致的场景构建,因此各产物之间的相互引用方式与在实际项目中的完全一致。
## 场景 —— *Sterling Ledger Ltd*
将一切锚定于一家面向消费者的信贷机构是刻意为之:**信用评分是典型的 EU AI Act 高风险用例**(Annex III(5)(b)),这正是 AI Act、UK GDPR 的自动化决策规则(第 22 条)以及 FCA 行为监管法规发生冲突的地方 —— 也是治理工作最困难且最有价值的地方。
## 五个项目
| # | 项目 | 产出内容 | 主要框架 |
|---|---------|------------------|--------------------|
| 1 | [AI 系统清单与风险分类](./project-01-ai-system-inventory/) | 7 个系统的清单 + EU AI Act 分级依据 + UK/NIST 映射 | EU AI Act Annex III · NIST AI RMF · UK FCA/ICO |
| 2 | [ISO/IEC 42001 第一阶段就绪度](./project-02-iso-42001-readiness/) | 逐条款的就绪度评估、差距登记表、适用性声明草案 | ISO/IEC 42001:2023 |
| 3 | [Policy-as-Code: OPA → POA&M](./project-03-policy-as-code/) | 测试每个 AI 系统并生成行动计划与里程碑 (POA&M) 的 Rego 策略 | OPA/Rego · NIST OSCAL POA&M |
| 4 | [AI 事件处理手册](./project-04-incident-runbook/) | 可复用的处理手册 + 偏移事件实例 + 事件后审查 | NIST AI RMF (Manage) · EU AI Act Art. 73 |
| 5 | [高风险合规文件包](./project-05-high-risk-conformity-pack/) | 针对最高风险系统的完整的 Article 9–17 技术文档包 | EU AI Act Art. 9–17, Annex IV |
## 项目之间的关联方式
```
Project 1 ──► identifies CreditLens as the highest-risk system
│
├─► Project 2 asks: is the management system mature enough to govern it?
│
├─► Project 3 automates the control checks that Project 2 found missing
│
├─► Project 4 plans for the day CreditLens fails in production
│
└─► Project 5 produces the conformity documentation CreditLens legally needs
```
`CreditLens` —— Sterling Ledger 的信用评估模型 —— 贯穿始终。它首先出现在项目 1 的清单中,并在项目 5 中得到全面记录。
## 为什么我要构建这个项目
我从事 GRC 和 AI 治理工作。从头到尾读一遍框架,并不能证明你能够*运营*它。这里的每一个项目都是我会真正提交给董事会、审计师或监管机构的产物 —— 它们不仅追求内容完整,更要经得起审查。
所引用的工具都是我实际使用的:**OPA/Rego** 用于 policy-as-code,**NIST OSCAL** 用于机器可读的 POA&M(参见我的 [poam-generator](https://github.com/skarir/poam-generator)),以及 **ISO/IEC 42001** 的管理体系规范。
## 关于范围的说明
*Sterling Ledger Ltd* 及其系统是虚构的。框架、条款引用和控制结构均为真实内容,且截至 2026 年均为最新。此处不包含任何真实的客户数据或真实组织的文档。
*Sunil Karir — GRC 与 AI 治理 · ISO 42001 首席实施者与审核员 · EU AI Act*
标签:AI治理, 合规, 策略即代码, 结构化提示词, 聊天机器人安全, 金融科技, 防御加固