GH GambleHub

KPI ها و معیارهای انطباق

1) چرا معیارهای انطباق

معیارها نیازمندیها و ریسکها را به اهداف قابل مدیریت تبدیل میکنند. سیستم KPI/KRI خوب:
  • وضعیت انطباق را در طول زمان شفاف و قابل مقایسه می کند ؛
  • انطباق پیوندها با نتیجه کسب و کار (کاهش زیان/جریمه/تاخیر در انتشار) ؛
  • به شما اجازه می دهد تا اولویت ها و منابع را بر اساس حقایق، نه احساسات مدیریت کنید.
  • حسابرسی را ساده می کند: فرمول های قابل ردیابی، منابع و مصنوعات غیر قابل تغییر (شواهد) وجود دارد.
شرایط استفاده:
  • KPI - شاخص های عملکرد (بهره وری فرآیند).
  • KRI - شاخص های ریسک (احتمال/تاثیر حوادث).
  • SLO/SLA - سطح خدمات هدف/تعهدات مدت.
  • پیشرو در مقابل عقب ماندگی: شاخص های پیشرو و عقب مانده.

2) نقشه متریک توسط دامنه (ماتریس مرجع)

دامنه هاKPI/KRIتایپ کنیدفرمول (کوتاه)هدف (مثال)
سیاست ها/آموزشپوشش ارزیابی هاشاخص های کلیدی عملکردتکمیل شده _ دوره/باید _ کامل≥ 95 ٪/سه ماهه
سیاست MTTUشاخص های کلیدی عملکردt_publikatsii − t_triggera≤ 30 روز
دسترسی ها/IAMدسترسی به بهداشتشاخص های کلیدی عملکردمنسوخ _ حقوق/همه _ حقوق≤ 2%
نقض حقوق بشرموسسه کريتعداد ترکیبات سمی0 (انتقادی)
داده ها/حریم خصوصیDSAR SLA در زمانشاخص های کلیدی عملکرددر _ مدت/مجموع≥ 98%
نقض TTLموسسه کري_ بیش از _ اشیاء TTL↓ به صفر
مادون قرمز/ابر/IaCنرخ رانششاخص های کلیدی عملکردرانش/ماهروند ↓
پوشش رمزگذاریشاخص های کلیدی عملکرد_ encrypted _ resources/all100%
توسعه عملیات/کداسرار در مخازنموسسه کرينشت _ اسرار/ماه0 بحرانی
رعایت مجوزشاخص های کلیدی عملکردبسته ها _ با _ غیر _ مجوز0
AML/معاملاتSTR/SAR به موقع بودنشاخص های کلیدی عملکرددر _ مدت/مجموع≥ 99%
نرخ مثبت کاذب AMLشاخص های کلیدی عملکردنادرست/همه هشدارها≤ 10٪ (با متن)
حوادث/حسابرسییافته های زمان به درمانشاخص های کلیدی عملکردt_zakrytiya متوسط≤ 30 روز بالا
تکرار یافته هاموسسه کريدرصد تکرار در 12 ماه≤ 5%

3) مطابقت ستاره شمالی

1. حسابرسی آماده در N ساعت (تمام شواهد جمع آوری شده به طور خودکار).

2. تخلفات انتقادی صفر

3. ≥ 90٪ پوشش با کنترل خودکار (سیاست به عنوان کد + CCM).

4) طبقه بندی معیارها

4. 1 پوشش

پوشش کنترل: سیستم های کنترل شده/تمام سیستم های بحرانی.
پوشش شواهد: مصنوعات جمع آوری شده/توسط چک لیست حسابرسی.
اتخاذ سیاست: فرایندهایی که الزامات اجرا می شوند ،/تمام فرآیندهای هدف.

4. 2 اثربخشی (اثربخشی کنترل)

پاس نرخ آزمون کنترل: گذشت/آزمون دوره کل.
FPR/TPR (غلط/درست) برای قوانین کارآگاه.
جلوگیری از حوادث: موارد جلوگیری شده توسط کنترل های پیشگیرانه.

4. 3 بهره وری (هزینه/سرعت)

نقض MTTD/MTTR: زمان تشخیص/حذف.
هزینه هر مورد (AML/DSAR): نرخ × ساعت + هزینه های زیرساخت.
نسبت اتوماسیون: راه حل های خودکار/تمام راه حل ها.

4. 4 به موقع بودن

SLA اعدام (DSAR/STR/آموزش): در زمان/کل.
سیاست های زمان سرب: از ماشه تا انتشار.
تغییر زمان سرب (دروازه DevSecOps): از PR به انتشار برای چک انطباق.

4. 5 کیفیت (کیفیت داده/فرآیند)

یکپارچگی شواهد:٪ از مصنوعات در WORM با خلاصه هش.
نقص داده: خطا در گزارش/گزارش reg.
نمره آموزش: میانگین نمره آزمون،٪ از اولین بار.

4. 6 تاثیر ریسک

شاخص کاهش ریسک: ∆ نرخ ریسک کل پس از اصلاح.
قرار گرفتن در معرض مقررات: شکاف های بحرانی را در مقابل الزامات مجوز/صدور گواهینامه باز کنید.
$ Avoided Loss (estimated): مجازاتها/زیانهای جلوگیری شده با بستن شکافها.

5) فرمول ها و نمونه هایی از محاسبات

5. 1 DSAR SLA

'DSAR _ SLA = (تعداد برنامه های کاربردی بسته ≤ 30 روز )/( تعداد برنامه های کاربردی در مجموع)'

هدف: ≥ 98٪ ؛ قرمز <95٪، زرد 95-97. 9.

5. 2 دسترسی به بهداشت

'AH = منسوخ _ حقوق (بدون مالک/گذشته به دلیل )/all _ rights'

آستانه: ≤ 2٪ (منطقه قرمز> 5٪).

5. 3 نرخ رانش (IaC/ابر)

'DR = drifts (IaC↔fakt عدم تطابق )/month'

روند: کاهش مداوم برای 3 ماه در یک ردیف.

5. 4 زمان به Remediate (شدت по)

بالا: متوسط ≤ 30 روز ؛ انتقاد: ≤ 7 روز تأخیر → تشدید خودکار.

5. 5 AML FPR

'FPR = false-positive _ alerts/all _ alts'

تعادل با TPR و مدیریت ضرر و زیان.

5. 6 پوشش شواهد (حسابرسی)

'EC = collected _ artifacts/mandatory _ by _ checklist'

هدف: 100٪ تا تاریخ D حسابرسی ؛ هدف عملیاتی - ≥ 95٪ به طور مداوم.

6) داده ها و منابع شواهد (شواهد)

انطباق ویترین DWH: DSAR، حقوقی نگه دارید، TTL، سیاهههای مربوط به حسابرسی، هشدار.
IAM/IGA: نقش ها، صاحبان، کمپین های تأیید.
CI/CD/DevSec Ops: SAST/DAST/SCA، اسکن مخفی، مجوزها، دروازه ها.
ابر/IaC: عکس های فوری از تنظیمات، گزارش رانش، سیاهههای مربوط KMS/HSM.
SIEM/SOAR/DLP/EDRM: همبستگی، playbooks، قفل.
GRC: ثبت الزامات، کنترل ها، چشم پوشی ها و ممیزی ها.
WORM/Object Lock: بایگانی غیرقابل تغییر مصنوعات + خلاصه هش.

7) داشبورد (حداقل مجموعه)

1. Heatmap Compliance - سیستم ها × مقررات × وضعیت.
2. مرکز SLA - DSAR/STR/آموزش: مهلت، بزهکاری، پیش بینی.
3. دسترسی و SoD - نقش های سمی، حساب های یتیم، پیشرفت گواهی.
4. حفظ و حذف - نقض TTL, قفل نگه قانونی, روند.
5. Infra/Cloud Drift - ناسازگاری IaC، رمزگذاری، تقسیم بندی.
6. یافته های خط لوله - باز/منقضی شده/بسته توسط صاحبان و شدت.
7. آمادگی حسابرسی - پوشش شواهد و زمان به آمادگی «بر روی دکمه».

مناطق رنگ (به عنوان مثال):
  • سبز - هدف ملاقات کرد/پایدار است.
  • زرد - خطر انحراف، برنامه مورد نیاز است.
  • قرمز - انحراف بحرانی، تشدید فوری.

8) لینک OKR (سه ماهه مثال)

هدف: کاهش ریسک نظارتی و عملیاتی بدون کاهش سرعت انتشار.

KR1: افزایش پوشش کنترل های خودکار از 72٪ → 88٪.
KR2: بهداشت دسترسی را از 4 کاهش دهید. 5% → ≤ 2%.

KR3: 99٪ DSAR در زمان ؛ متوسط زمان پاسخگویی ≤ 10 روز

KR4: نرخ رانش ابرها − 40٪ QoQ.
KR5: زمان به حسابرسی آماده ≤ 8 ساعت (خشک اجرا).

9) RACI برای معیارها

نقش هاحوزه مسئولیت
رئیس انطباق/DPO (A)انتخاب KPI/KRI هدف، آستانه و به روز رسانی گزارش
تجزیه و تحلیل انطباق (R)مدل ها، فرمول ها، داده ها، داشبورد ها
پلت فرم داده (R)خطوط لوله، کیفیت داده ها، شواهد WORM آرشیو
SecOps/ابر ثانیه (C)رانش، رمزگذاری، کتاب های SOAR
IAM/IGA (C)ارزیابی، SoDs، دارندگان دسترسی
محصول/DevSecOps (C)گیتس، آسیب پذیری، اسکن مخفی
GRC (R/C)ثبت الزامات/کنترل ها، چشم پوشی
حسابرسی داخلی (I)تایید محاسبات و منابع

10) فرکانس اندازه گیری و روش ها

روزانه: هشدار CCM، رانش، اسرار، حوادث بحرانی.
هفتگی: SLA DSAR/STR، دروازه DevSecOps، بهداشت دسترسی.
ماهانه: کنترل نرخ عبور، یافته های مکرر، پوشش شواهد.
فصلنامه: خلاصه OKR، شاخص کاهش ریسک، تمرین حسابرسی (خشک اجرا).

روش بررسی آستانه: روند، هزینه و تجزیه و تحلیل ریسک ؛ تغییر آستانه - از طریق هیئت مدیره.

11) کیفیت معیارها: قوانین

معناشناسی یکپارچه: فرهنگ لغت اصطلاحات و قالب های SQL.
نسخه بندی فرمول: «متریک به عنوان کد» (مخزن + بررسی).
بررسی تکرارپذیری: بازنویسی اسکریپتها برای حسابرسان.
غیر قابل تغییر بودن مصنوعات: زنجیره های هش WORM +.
حریم خصوصی: به حداقل رساندن، پوشش، کنترل دسترسی به ویترین KPI.

12) نمونه پرس و جو (SQL/شبه)

12. 1 DSAR SLA (30 روز):

sql
SELECT
COUNTIF(closed_at <= created_at + INTERVAL 30 DAY) / COUNT() AS dsar_sla_rate
FROM dsar_requests
WHERE created_at BETWEEN @from AND @to;

12. 2 بهداشت دسترسی:

sql
SELECT
SUM(CASE WHEN owner IS NULL OR expires_at < CURRENT_DATE THEN 1 END)
/ COUNT() AS access_hygiene
FROM iam_entitlements
WHERE system_critical = TRUE;

12. 3 رانش (ترافرم در مقابل واقعیت):

sql
SELECT COUNT() AS drifts
FROM drift_detections
WHERE detected_at BETWEEN @from AND @to
AND severity IN ('high','critical');

13) آستانه (نمونه های مرجع، انطباق)

معیارهای اندازه گیریفضای سبزرنگ زردقرمز ها
DSAR SLA≥ 98%95–97. 9%< 95%
دسترسی به بهداشت≤ 2%2. 01–5%> 5%
نرخ رانش (بالا/کرت)≤ 5/ماه6-15/ماه> 15/ماه
پوشش شواهد100%95–99. 9%< 95%
کنترل نرخ عبور≥ 97%90–96. 9%< 90%
زمان برای حسابرسی آماده≤ 8 ساعت8-24 ساعت> 24 ساعت

14) ضد گلوله

معیارهای «برای گزارش» بدون مالک و برنامه عمل.
مخلوط کردن نسخه فرمول → روند متفاوت است.
پوشش بدون بهره وری: پوشش بالا، اما رانش بالا و یافته های تکراری.
نادیده گرفتن هزینه مثبت کاذب (FPR) در AML/CCM.
معیارهای بدون زمینه ریسک (بدون ارتباط با KRI و مجوزها).

15) چک لیست

راه اندازی سیستم KPI

  • دیکشنری متریک و مخزن تک «metrics as code».
  • صاحبان اختصاص داده شده (RACI) و نرخ تازه کردن.
  • منابع و نمایشگاه انطباق متصل هستند.
  • داشبورد ها و مناطق رنگی، SLO/SLA ها و افزایش ها پیکربندی شده اند.
  • WORM آرشیو و گزارش هش.
  • خشک اجرا برای ممیزی با تجدید نظر.

قبل از گزارش سه ماهه

  • تایید فرمول، کنترل ناهنجاری.
  • به روز رسانی آستانه های نزدیک به تنظیم.
  • تجزیه و تحلیل هزینه/سود FPR در مقابل TPR.
  • طرح بهبود منطقه قرمز.

16) مدل بلوغ متریک (M0-M4)

M0 حسابداری دستی: جداول اکسل، گزارش های نامنظم.
کاتالوگ M1: نمایشگاه تک، SLA های اساسی و روند.
M2 خودکار: داشبورد در زمان واقعی، تشدید.
M3 Orchestrated: سیاست به عنوان کد، CCM، شواهد خودکار، reperform.
M4 تضمین مداوم: «حسابرسی آماده توسط دکمه»، معیارهای خطر پیش بینی (ML).

17) مقالات ویکی مرتبط

نظارت بر انطباق مداوم (CCM)

اتوماسیون انطباق و گزارش دهی

حسابرسی مبتنی بر ریسک

چرخه عمر سیاست ها و رویه ها

نگهداری قانونی و انجماد داده ها

DSAR: درخواست کاربر برای داده ها

نگهداری داده ها و برنامه های حذف

مجموع

KPI های انطباق قوی فرمول های واضح، منابع قابل اعتماد، صاحبان و آستانه ها، ویترین خودکار و اقدامات انحراف هستند. این باعث می شود انطباق یک سرویس قابل پیش بینی با تاثیر قابل اندازه گیری بر ریسک و سرعت کسب و کار باشد.

Contact

با ما در تماس باشید

برای هرگونه سؤال یا نیاز به پشتیبانی با ما ارتباط بگیرید.ما همیشه آماده کمک هستیم!

شروع یکپارچه‌سازی

ایمیل — اجباری است. تلگرام یا واتساپ — اختیاری.

نام شما اختیاری
ایمیل اختیاری
موضوع اختیاری
پیام اختیاری
Telegram اختیاری
@
اگر تلگرام را وارد کنید — علاوه بر ایمیل، در تلگرام هم پاسخ می‌دهیم.
WhatsApp اختیاری
فرمت: کد کشور و شماره (برای مثال، +98XXXXXXXXXX).

با فشردن این دکمه، با پردازش داده‌های خود موافقت می‌کنید.