Inna skala i inny cel. Platformy GRC (ServiceNow GRC, RSA Archer) zarządzają ryzykiem, politykami, kontrolami wewnętrznymi i audytem na poziomie całej organizacji — to szerszy zakres niż ipIII. ipIII jest MVP węższej, ale głębszej warstwy: technicznego dowodu konkretnego incydentu cyber/AI spiętego z konkretnym obowiązkiem regulacyjnym. Ta strona nie twierdzi, że ipIII jest „lepszy" od GRC — pokazuje, gdzie GRC jest szersze i dojrzalsze, i gdzie ipIII dokłada wartość, którą GRC dostaje jako gotowy dowód, nie surowe dane.
Platforma GRC odpowiada na pytanie „jakie mamy ryzyka, kontrole i polityki w całej organizacji, i jak stoimy wobec audytu". ipIII odpowiada na węższe, ale głębsze pytanie: „czy ten konkretny finding techniczny (z pentestu, skanera, red-teamu AI) ma dowód, który przetrwa przed zarządem lub regulatorem, i czy uruchamia konkretny obowiązek prawny (DORA/NIS2/RODO/AI Act)". ipIII nie próbuje objąć zarządzania ryzykiem korporacyjnym, polityk czy third-party risk — to jawnie poza zakresem MVP.
| Wymiar | GRC (ServiceNow GRC / Archer) | ipIII | Gdzie się uzupełniają |
|---|---|---|---|
| Zakres organizacyjny | Cała organizacja: ryzyko korporacyjne (ERM), finanse, prawo, dostawcy, ciągłość działania — nie tylko IT/security. szersze z założenia | Wyłącznie cyber/AI security: incydenty techniczne, findingi, agenci AI. jawnie węższy zakres | ipIII to jedno z wielu źródeł danych, które zasila szerszy rejestr ryzyka w GRC. |
| Zarządzanie politykami i kontrolami | Biblioteka polityk, mapowanie kontroli na frameworki (ISO 27001, NIST, COBIT), workflow zatwierdzeń. dojrzałe | Nie adresuje — ipIII nie zarządza politykami organizacyjnymi. poza zakresem ipIII | Findingi z ipIII mogą wskazywać na naruszenie konkretnej kontroli zarejestrowanej w GRC. |
| Rejestr ryzyka korporacyjnego | Pełny cykl: identyfikacja → ocena → akceptacja/transfer/mitigacja → monitoring, na poziomie zarządu. dojrzałe | Nie prowadzi rejestru ryzyka organizacji; skupia się na pojedynczym incydencie technicznym. jawnie węższy zakres | ipIII dostarcza dowód techniczny do konkretnego wpisu w rejestrze ryzyka GRC — nie zastępuje samego rejestru. |
| Techniczny dowód incydentu (chain-of-custody) | Zwykle rejestruje ocenę ryzyka i status zgodności na podstawie raportu; nie generuje natywnie pakietu z hashem i łańcuchem dowodowym z surowego findingu skanera. poza typowym zakresem GRC | Evidence-package z sha256, manifestem i chain-of-custody bezpośrednio z importu findingu. LIVE |
ipIII dokłada „dowód u źródła" — GRC dostaje gotowy artefakt zamiast surowego opisu. |
| Mapowanie na terminy regulacyjne (DORA/NIS2/RODO/AI Act) | Ogólne mapowanie na frameworki zgodności (compliance mapping) na poziomie polityk; zwykle bez automatycznego wyzwalania z pojedynczego incydentu technicznego. częściowo, inny poziom | Legal Trigger Engine — decision-support, nie porada prawna; mapuje konkretny finding na orientacyjny termin, do weryfikacji prawnika. LIVE (MVP) | Finding oznaczony przez Legal Trigger Engine w ipIII może zasilić szerszy rekord zgodności w GRC. |
| Audyt i third-party risk | Zarządzanie audytami wewnętrznymi/zewnętrznymi, ocena dostawców, ankiety due-diligence. dojrzałe | Nie adresuje — ipIII nie zarządza relacjami z dostawcami ani audytami organizacyjnymi. poza zakresem ipIII | Brak nakładania się — to obszary całkowicie osobne, bez konieczności integracji. |
| Board / regulatory pack z konkretnego incydentu | Raporty zbiorcze na poziomie ryzyka/programu; zwykle nie generuje jednego artefaktu „ten incydent + dowód + prawo" per zdarzenie. częściowo, inny poziom agregacji | Board pack + regulatory pack jako artefakt PDF/JSON per incydent, z odwołaniem do evidence-package. LIVE (MVP) | Pakiet z ipIII może być załącznikiem dowodowym do zbiorczego raportu GRC dla zarządu. |
| Bezpieczeństwo agentów AI | Zwykle brak dedykowanej kategorii ryzyka „AI-agent security" w standardowych modułach GRC. poza typowym zakresem GRC | Testy defensywne (prompt-injection, nadużycie narzędzi) na danych syntetycznych, po RoE — opis CO testowane i JAKI dowód sukcesu, bez payloadów. MVP | Nowa kategoria ryzyka — wynik testu z ipIII może zasilić nowy rekord ryzyka AI w GRC. |
| Integracja techniczna (API/connector) | Dojrzałe API i marketplace integracji (ServiceNow) lub konektory Archer GRC — po stronie GRC ekosystem jest szeroki. dojrzałe | Eksport evidence-package/regulatory-pack jako plik (PDF/JSON) dziś; automatyczny connector do ServiceNow/Archer ROADMAP. | Do czasu domknięcia konektora, przekazanie jest ręczne (plik/link) — jawnie oznaczone jako etap przejściowy. |
ServiceNow GRC i Archer obejmują ryzyko korporacyjne, finanse, dostawców i ciągłość działania — nie tylko cyberbezpieczeństwo. ipIII jest jawnie węższy: wyłącznie cyber/AI.
Biblioteki polityk, workflow zatwierdzeń, zarządzanie audytami wewnętrznymi/zewnętrznymi — to domena GRC od lat, ipIII tego nie adresuje.
ServiceNow GRC i Archer mają udokumentowane, wieloletnie wdrożenia produkcyjne w dużych instytucjach finansowych. ipIII jest dowodliwym MVP — krótsza historia.
LIVE — pakiet z sha256, manifestem i łańcuchem dowodowym
generowany bezpośrednio z importu findingu, zanim trafi do rejestru ryzyka.
LIVE (MVP) — mapowanie pojedynczego incydentu na potencjalny obowiązek DORA/NIS2/RODO/AI Act jako decision-support, zawsze do weryfikacji prawnika.
LIVE (MVP) — jeden artefakt „ten incydent + dowód + kontekst prawny", gotowy jako załącznik do szerszego raportu GRC.
MVP — testy defensywne agentów AI na danych syntetycznych, po RoE, wyłącznie opis testu i dowodu sukcesu.
Powiązane: pełna analiza ekosystemu narzędzi bankowych → /porownanie · pakiety regulacyjne → /regulatory-packs · pakiet dla CISO/zarządu → /ciso-board-pack · oś czasu obowiązków prawnych → /legal-timeline.