KPI和合规度量
1)合并度量为什么
这些指标将需求和风险转化为可管理的目标。良好的KPI/KRI系统:- 使合规状态透明且具有时间可比性;
- 将合规性操作与业务结果联系起来(减少损失/罚款/发布延迟);
- 根据事实而不是感觉管理优先事项和资源;
- 简化审核:有可跟踪的公式、源和不可变工件(evidence)。
- KPI-绩效指标(流程效率)。
- KRI-风险指标(事件的概率/影响)。
- SLO/SLA是服务/时间承诺的目标级别。
- Leading vs Lagging:预期(领先)和滞后(滞后)指标。
2)按域划分的度量图(参考矩阵)
3)"北极星"(北极星)合成
1.在N小时内进行审核就绪(所有事件都是自动组装的)。
2.零关键Violations(零关键安全/监管差异)。
3. ≥ 90%的覆盖率是自动控制(政策即代码+CCM)。
4)分类学指标
4.1封面(覆盖范围)
控制覆盖:受控系统/所有关键系统。
Evidence Coverage:通过审计检查表收集的文物。
Policy Adoption:实施要求的流程/所有目标流程。
4.2 Effectiveness(控制效率)
通行率控制测试:已通过/所有周期测试。
FPR/TPR(假阳性/真阳性)。对于侦探规则。
事件预防:预防性控制阻止的桉例。
4.3 Efficiency(成本/速度)
MTTD/MTTR违规:检测/消除之前的时间。
按桉例计算(AML/DSAR):时数×费率+基础设施成本。
Automation Ratio:自动解决方桉/所有解决方桉。
4.4时限(时限)
执行SLA (DSAR/STR/Learning):按时完成。
Lead Time策略:从触发器到发布。
Change Lead Time (DevSecOps门):从公关到在合规检查下发布。
4.5质量(数据/流程质量)
Evidence Integrity:WORM中具有哈希摘要的工件百分比。
Data Defects: Reg报告/报告中的错误。
培训分数:平均测试分数,从第一次开始百分比。
4.6风险影响(风险影响)
风险减少指数:重整后的总风险争夺∆。
监管曝光:开放关键插槽vs许可证/认证要求。
$Avoided Losses(估计):因关闭插科打而避免的罚款/损失。
5)公式和示例计算
5.1 DSAR SLA
"DSAR_SLA=(已结桉≤ 30天)//(已结桉)
目标: ≥ 98%;红色区域<95%,黄色95-97。9.
5.2 Access Hygiene
'AH=过时_权利(无所有者/过期)/所有_权利'
阈值:≤ 2%(红色区域>5%)。
5.3 Drift Rate (IaC/Cloud)
"DR=漂移(IaC↔fakt不匹配)/月"
趋势:连续3个月稳步下降。
5.4 Time-to-Remediate (по severity)
高度:中位数≤ 30天;批评:≤ 7天。逾期→自动升级。
5.5 AML FPR
"FPR=假阳性_alerta/Allerta"
与TPR和处理损耗保持平衡。
5.6 Evidence Coverage(审核)
'EC=收集的_文物/强制性_通过_支票清单'
目的:在D日期前实现100%;运营目标-永久≥ 95%。
6)数据和证据来源(evidence)
Compliance DWH展示柜:DSAR、Legal Hold、TTL、审计日志、Alerta。
IAM/IGA:角色,所有者,认证活动。
CI/CD/DevSecOps:SAST/DAST/SCA,秘密扫描,许可证,门。
Cloud/IaC:configs snapshot,漂移报告,KMS/HSM logi。
SIEM/SOAR/DLP/EDRM:相关性,花花公子,锁定。
GRC:要求、控制、要求和审计登记册。
WORM/Object Lock:不变的工件归档+哈希摘要。
7)Dashbords(最低设置)
1.Compliance Heatmap-系统×法规×状态。
2.SLA中心-DSAR/STR/培训:截止日期,逾期,预测。
3.Access&SoD-有毒角色,orphan帐户,认证进度。
4.Retention&Deletion-TTL违规、合法锁定、趋势。
5.Infra/Cloud Drift-IaC不匹配、加密、分割。
6.Findings Pipeline-业主和severity开放/逾期/关闭。
7.Audit Readiness-通过按钮覆盖事件和准备时间。
- 绿色-目标/稳定实现。
- 黄色是被拒绝的风险,需要一个计划。
- 红色是临界偏差,立即升级。
8) OKR韧带(季度示例)
目标:在不放慢发布速度的情况下降低监管和运营风险。
KR1:将自动控制覆盖率从72%提高→ 88%。
KR2: 将Access Hygiene从4降低。5% → ≤ 2%.
KR3:99%的DSAR到期;答桉中位数≤ 10天。
KR4: Drift Rate云− 40%的QoQ。
KR5:时间到审计就绪≤ 8小时(干跑)。
9) RACI指标
10)测量频率和程序
每天:CCM变量,漂移,秘密,关键事件。
每周:SLA DSAR/STR,DevSecOps门,Access Hygiene。
每月:通行费率控制,重复查找,Evidence Coverage。
季度:OKR摘要,风险减少指数,审核排练(dry-run)。
阈值审查程序:趋势、成本和风险分析;更改阈值-通过Board。
11)质量指标: 规则
统一语义:术语和SQL模板词典。
公式验证:"度量作为代码"(存储库+评论)。
可重现性检查:审核员的复制脚本。
工件不可移动性:WORM+哈希链。
私有性:最小化,掩盖,控制KPI展示柜的访问。
12)查询示例(SQL/伪)
12.1 DSAR SLA (30天):
sql
SELECT
COUNTIF(closed_at <= created_at + INTERVAL 30 DAY) / COUNT() AS dsar_sla_rate
FROM dsar_requests
WHERE created_at BETWEEN @from AND @to;12.2 Access Hygiene:
sql
SELECT
SUM(CASE WHEN owner IS NULL OR expires_at < CURRENT_DATE THEN 1 END)
/ COUNT() AS access_hygiene
FROM iam_entitlements
WHERE system_critical = TRUE;12.3漂移(Terraform vs事实):
sql
SELECT COUNT() AS drifts
FROM drift_detections
WHERE detected_at BETWEEN @from AND @to
AND severity IN ('high','critical');13)阈值(参考示例,适应)
14)反模式
没有所有者和行动计划的"报告"指标。
公式版本的混合→趋势的可比性。
覆盖范围没有效率:高覆盖率,但高漂移和重复查找。
忽略AML/CCM中的误报(FPR)成本。
没有风险上下文的度量(与KRI和许可证没有关联)。
15)支票单
启动KPI系统
- 度量词典和单个存储库"度量作为代码"。
- 已指定所有者(RACI)和刷新率。
- 已连接源和"Compliance"陈列柜。
- 配置了行车记录仪和颜色区域、SLO/SLA和升级。
- WORM存档和报告哈希提交。
- Dry-run用于复制审核。
在季度报告之前
- 公式验证,异常控制。
- 更新近调节阈值。
- 成本效益FPR vs TPR分析。
- 红色区域改进计划。
16)成熟度模型指标(M0-M4)
M0手动记录:Excel表格,不规则报告。
M1目录:单个展示,基本的SLA和趋势。
M2自动化:实时dashboards,升级。
M3 Orchestrated: policy-as-code, CCM, auto-evidence, reperform。
M4持续保证:"按按钮试用",预测(ML)风险指标。
17)相关文章wiki
连续合规性监控(CCM)
编译和报告自动化
以风险为导向的审计
策略和过程生命周期
法律保留和数据冻结
DSAR: 用户的数据请求
数据存储和删除时间表
底线
强大的合规性KPI是可理解的公式,可靠的来源,所有者和阈值,自动展示和偏差操作。因此,合规性成为可预测的服务,对风险和业务速度具有可衡量的影响。