跳转至

GRC

GRC 模块将治理(Governance)、风险(Risk)与合规(Compliance)整合到 /grc 下的统一工作区。它把原本散布于 EA 交付与 TurboLens 之间的工作合并起来,让架构师、风险责任人与合规审查者可以在共同的基础上协作。

Note

GRC 模块可以由管理员在设置中启用或禁用。禁用后,GRC 导航和功能将被隐藏。

GRC 共有三个标签页:

任意标签页都可以通过 /grc?tab=governance/grc?tab=risk/grc?tab=compliance 直接深链。

GRC — 治理标签页

治理

治理标签页分为两个子标签页,可通过 /grc?tab=governance&sub=principles(默认)和 /grc?tab=governance&sub=decisions 进行深链接:

原则

元模型中已发布 EA 原则的只读浏览器(声明、依据、影响)。请在「管理 → 元模型 → 原则」中编辑目录。

决策

GRC — 决策子标签页

决策子标签页是架构决策记录(ADR)的主登记册——景观中的每一条 ADR,无论它链接到哪个举措。它取代了 GRC 模块上线时被取消的旧版 EA 交付「决策」标签页。

ADR 记录重要的架构决策及其背景、后果与所考虑的备选方案。由 TurboLens Architect 向导生成的决策以草稿形式落入此处,供审查者签发。

表格列

ADR 网格沿用清单网格的布局:

描述
参考编号 自动生成的参考编号(ADR-001、ADR-002…)
标题 ADR 标题
状态 彩色标签——草稿、审核中或已签署
关联卡片 与每张关联卡片的类型颜色匹配的彩色胶囊
创建日期 创建日期
修改日期 最后修改日期
签署日期 签署日期
修订版 修订编号

筛选侧边栏

左侧持久的筛选侧边栏提供:

  • 卡片类型 —— 带有彩色圆点的复选框,可按关联卡片类型筛选
  • 状态 —— 草稿 / 审核中 / 已签署
  • 创建日期 / 修改日期 / 签署日期 —— 起止日期范围

使用快速筛选搜索栏进行全文搜索。右键单击任意行可打开包含编辑预览复制删除操作的右键菜单。

创建 ADR

ADR 可以从三个位置创建——三者都打开同一个编辑器,并写入同一个登记册:

  1. GRC → 治理 → 决策:点击 + 新建 ADR,填写标题并可选地关联卡片(包括举措)。
  2. EA 交付工作区:选中一项举措,然后点击页面顶部的 + 新工件 ▾(或架构决策分组中的 + 添加 按钮),选择新建架构决策——该举措会被预先关联。
  3. 卡片 → 资源标签页:点击创建 ADR——当前卡片会被预先关联。

在所有情况下,您都可以在创建过程中搜索并关联额外的卡片。举措通过与其他卡片相同的卡片关联机制进行关联,因此一条 ADR 可以引用多个举措。编辑器打开后包含背景决策后果所考虑的备选方案章节。

ADR 编辑器

编辑器提供:

  • 每个章节的富文本编辑(背景、决策、后果、所考虑的备选方案)
  • 卡片关联——将 ADR 关联到相关卡片(应用、IT 组件、举措…)。举措通过标准的卡片关联功能进行关联,而不是专用字段,因此一条 ADR 可以引用多项举措
  • 相关决策——引用其他 ADR

签署工作流

ADR 支持正式签署流程:

  1. 草稿状态创建 ADR。
  2. 点击请求签名并按姓名或电子邮件搜索签署人。
  3. ADR 转为审核中——每位签署人会收到通知与任务。
  4. 签署人审查并点击签署
  5. 当所有签署人都签署完成后,ADR 自动转为已签署

已签署的 ADR 会被锁定,无法编辑——如需修改,请创建新的修订版。

修订

打开已签署的 ADR,并点击修订以基于已签署版本创建新草稿。新修订继承内容与卡片关联,并获得递增的修订编号。每个修订保留自己的签署轨迹。

预览

点击预览图标查看 ADR 的只读格式化版本——在签署前进行审阅时很有用。

风险

GRC — 风险登记册

嵌入 TOGAF 阶段 G 的风险登记册。完整的生命周期、状态工作流、矩阵切换与责任人行为详见风险登记册指南。要点如下:

合规

GRC — 合规登记册

合规标签页是一个双来源登记册 — 发现可以由审核员手工撰写由按需的 AI 扫描针对已启用的法规生成(EU AI Act、GDPR、NIS2、DORA、SOC 2、ISO 27001 默认启用)。两种发现共享相同的生命周期,可以提升为风险,并且可以从网格中批量操作。请查阅合规指南了解完整的生命周期、手工创建对话框、扫描工作流、EU AI Act 语义检测器以及提升为风险的循环。

同一个合规标签页也出现在卡片详情中(当卡片没有关联发现时自动隐藏),以便应用负责人可以不离开卡片就分诊自己的发现。

权限

权限 默认角色
grc.view admin、bpm_admin、member、viewer
grc.manage admin、bpm_admin、member
risks.view / risks.manage 参见风险登记册 § 权限
compliance.view / compliance.manage 参见TurboLens § Security & Compliance

grc.view 控制 GRC 路由本身的可见性——若缺少该权限,顶部导航中的入口会被隐藏。每个标签页另外强制其领域专有权限,因而一名查看者可以阅读登记册而无法触发 LLM 扫描,举例而言。