Benjamin Admin
2d2cb2a244
The bottleneck is knowledge, not the endpoint. This builds the knowledge the Onboarding Advisor needs, restructured per the user's key insight: NOT "ISO27001 -> 30 capabilities" but each hypothesis as its own object "capability -> supported_by: [certs]". A capability is written ONCE with all supporting certs, so the shared management-system core (document control, incident, supplier, audit, access, asset, monitoring, training, crypto, release, risk) covers most certifications with ~18 hypotheses instead of ~300 — and multi-certification merges AUTOMATICALLY (a company's inferred caps = every hypothesis whose supported_by intersects its certs). Welt-1 throughout: "IF cert present, EXPECT capability (verification required)", never "erfüllt". Capabilities NO cert suggests (SBOM, signed updates, CVD, support period) have no hypothesis -> they stay in the delta and get asked. confidence is EMPIRICAL: computed from real-onboarding observations (confirmed/(confirmed+refuted)), None until calibrated — never an LLM/expert score (record_observation + empirical_confidence). The long-term moat: knowledge that learns from reality, not from a norm. compliance/onboarding/hypotheses.py (resolve_for_certifications / inferred_hypotheses / empirical_ confidence / record_observation) feeds the existing advisor_start unchanged; the demo now runs on the curated library. Pure, mypy --strict clean, library is DATA (no norm text, no real names). Non-runtime -> no deploy. 12 tests pass, check-loc 0.
2.7 KiB
Smart Onboarding Advisor — was der Nutzer sieht (automatisch, ohne Vertrieb)
Eingabe: Unternehmen + Produkte + Zertifizierungen + Ziel. Den Rest macht die Orchestrierung über die bestehenden Engines (Company 2A · RS-005 · Optimization · Completeness). Synthetisch, keine echten Namen.
Eingabe
Zertifizierungen: ISO9001, ISO27001, ISO14001, TISAX · Produkt: Parkschein-/Schrankensystem · Ziel: CRA
Was wir erkannt haben
17 Anforderungen erkannt · 5 wahrscheinlich abgedeckt · 5 zu klären
Aus Ihren Zertifizierungen abgeleitet (zu bestätigen, nicht automatisch erfüllt):
- ISO9001 legt 1 relevante Fähigkeit(en) nahe — Verifikation erforderlich, nicht automatisch erfüllt
- ISO27001 legt 4 relevante Fähigkeit(en) nahe — Verifikation erforderlich, nicht automatisch erfüllt
- TISAX legt 4 relevante Fähigkeit(en) nahe — Verifikation erforderlich, nicht automatisch erfüllt
- ISO14001 ist für dieses Ziel nicht relevant — relevance(evidence, target) = 0 — keine geforderte Fähigkeit abgedeckt
Die wenigen offenen Punkte — nur die nächsten besten Fragen
Frage 1 von 5 (Informationswert 8)
product cyber risk assessment? — Warum fragen wir das: Keine Anhaltspunkte im Unternehmensprofil — klären.
Frage 2 von 5 (Informationswert 8)
protection against corruption of safety functions? — Warum fragen wir das: Keine Anhaltspunkte im Unternehmensprofil — klären.
Frage 3 von 5 (Informationswert 8)
secure signed update distribution? — Warum fragen wir das: Keine Anhaltspunkte im Unternehmensprofil — klären.
Frage 4 von 5 (Informationswert 7)
coordinated vulnerability disclosure? — Warum fragen wir das: Keine Anhaltspunkte im Unternehmensprofil — klären.
Frage 5 von 5 (Informationswert 7)
exploited vuln and incident reporting? — Warum fragen wir das: Keine Anhaltspunkte im Unternehmensprofil — klären.
Womit zuerst anfangen (größter Hebel)
product_cyber_risk_assessment— schließt 2 Anforderung(en): CRA, MaschinenVOprotection_against_corruption_of_safety_functions— schließt 2 Anforderung(en): CRA, MaschinenVOsecure_signed_update_distribution— schließt 2 Anforderung(en): CRA, MaschinenVOcoordinated_vulnerability_disclosure— schließt 1 Anforderung(en): CRAexploited_vuln_and_incident_reporting— schließt 1 Anforderung(en): CRA
Vollständigkeit (ehrlich)
Identifiziert 1 · bewertet 1 · offen 0 · Unsicherheiten 0 · Begründung ja
Der Vertrieb wählt KEIN Regelwerk und interpretiert nichts — er sieht nur dieses Ergebnis. Jede beantwortete Frage aktualisiert das Capability Profile und verkleinert das Delta.