KPI և կոմպլանսի մետրերը

1) Ինչո՞ ւ են կոմպլանսի չափումները

Մետրիկները տեղափոխում են պահանջներ և ռիսկեր կառավարվող նպատակներին։ KPI/KRI լավ համակարգը

կարգավիճակը դարձնում է թափանցիկ և համեմատելի ժամանակում.

կապում է կոմպլանսի աշխատանքը բիզնեսի արդյունքի հետ (բյուջեների/տուգանքների/օրինագծերի հետաձգման նվազում);

թույլ է տալիս կառավարել գերակայությունները և ռեսուրսները փաստերով, ոչ թե զգացողություններով։

պարզեցնում է, որ կան ուղեղի բանաձևեր, աղբյուրներ և անփոփոխ արտեֆակտներ (evidence)։

Տերմինները

KPI-ը կատարման ցուցանիշներն են (գործընթացների արդյունավետությունը)։

KRI-ը ռիսկի ցուցանիշներն են (իրադարձությունների հավանականությունը/ազդեցությունը)։

SLO/SLA - կանոնավոր պարամետրեր/ժամկետների պարտավորություններ։

Leading vs Lagging: կանխատեսող (leading) և ազդանշանային (laggging) բաղադրիչներ։

2) Ստանդարտների քարտեզը (հանրաքվե-մատրիցա)

Տիրոն	KPI/KRI	Տեսակը	Բանաձևը (հակիրճ)	Նպատակը (օրինակ)
Քաղաքական/ուսուցում	Coverage հավաստագրեր	KPI	_ Դասընթացը/պետք է անցնի _	2495 %/զանգվածը
MTU Policy (թարմացման արագություն)	KPI	t _ հրապարակումը not _ tragger	30 օր
Հասանելի/IAM	Access Hygiene	KPI	հնացած _ իրավունքներ/բոլոր _ իրավունքները	≤ 2%
SoD Violations	KRI	կոլը թունավոր համադրությունների մեջ	0 (քննադատական)
Տվյալները/գաղտնիությունը	DSAR SLA ժամանակին	KPI	_	≥ 98%
TTL Violations	KRI	_ TTL օբյեկտները
Infra/ամպ/IaC	Drift Rate	KPI	dreafs/mes	տենդենցը
Encryption Coverage	KPI	_ ռեսուրսներ _ կոդավորման/բոլոր	100%
DevSecOps/կոդը	Secrets in Repos	KRI	արտահոսքեր _ գաղտնիքներ/մեզ	0 կրիտիկական
License Compliance	KPI	փաթեթներ _ neok _ meday	0
AML/գործարքներ	STR/SAR Timeliness	KPI	_	≥ 99%
False Positive Rate AML	KPI	կեղծ/բոլոր ալտերտերը	10% (համատեքստով)
Միջադեպեր/աուդիտ	Time-to-Remediate Findings	KPI	median t _ փակման	30 օր High
Repeat Findings	KRI	խոհարարների% -ը 12 մեզի համար	≤ 5%

3) «Հյուսիսային աստղերը» (North Star) կոմպլենս

1. Audit-ready-ը N ժամվա ընթացքում (բոլոր evidence ինքնաբերաբար հավաքվում են)։

2. Zero Critical Violae (զրոյական կրիտիկական անվտանգության/կարգավորող)։

3. 2490 տոկոսը Coverage ավտոմատացված կառավարություններով (policy-as-code + MSM)։

4) Taksonomia metric

4. 1 Coverage (108)

Corl Coverage: վերահսկվող համակարգեր/բոլոր քննադատական համակարգերը։

Evidence Coverage: արտեֆակտները հավաքվում են/չեկի թերթիկի վրա։

Policy Adoption: գործընթացներ, որտեղ պահանջները ներդրված են ,/բոլոր տեխնոլոգիական գործընթացները։

4. 2 Effectiveness (վերահսկման արդյունավետություն)

Pass Rate-ի վերահսկման թեստերը 'անցնելով/ամբողջ ժամանակահատվածի թեստերը։

FPR/TPR (կեղծ տեղադրում է ։/ճշմարտացի տեղադրում։) դետեկտիվ կանոնների համար։

Incidents Divented: Cass, որոնք կանխված են հակաբիոտիկ կառավարություններով։

4. 3 Efficiency (ծախսերը/արագությունը)

MTTD/MTTR խախտումները 'ժամանակը մինչև մանկությունը/վերացումը։

Cost per Cast (AML/DSAR): ժամացույցը + ենթակառուցվածքային ծախսերը։

Automation Ratio: ավտո լուծումներ/բոլոր լուծումները։

4. 4 Timeliness (ժամկետներ)

SLA կատարումը (DSAR/STR/ուսուցում) 'ժամանակին/ամբողջ։

Lead Time քաղաքական գործիչը 'ձգողից մինչև հրապարակումը։

Change Lead Time-ը (DevSecOps-գեյթ) 'PR- ից մինչև Complaens-ստուգման ժամանակ։

4. 5 Quality (տվյալների որակը/գործընթացները)

Evidence Integrity-ը 'արտեֆակտների տոկոսը WORM-ում' հեշ կամարով։

Intel Expects: Reg-հաշվետվության/2019-ի սխալները։

Training Score-ը 'թեստի միջին գնահատականը, տոկոսը առաջին անգամ։

4. 6 Risk Impact (ազդեցություն ռիսկի վրա)

Risk Reduction Index: Risk Reduction Index: Rights-ի ընդհանուր ռիսկի սկորը գոտկատեղից հետո։

Regulatory Exposure: Բաց կրիտիկական գեներ vs պահանջներ։

Avoided Losses (գնահատված) 'տուգանքներ/կորուստներ, որոնք կանխված են գապերի փակման համար։

5) Բանաձևերն ու օրինակները

5. 1 DSAR SLA

«DSAR _ SLA = (ծածկված թիվ 30 օր )/( kol-ville-vight)»

Նպատակը ՝ 3698 տոկոսը; կարմիր գոտի <95%, դեղին 95-97։ 9.

5. 2 Access Hygiene

«AH = հնացած _ իրավունքները (սեփականատեր չկա/անցել է ժամանակահատվածը )/բոլոր _ իրավունքները»

Շեմը ՝ 242 տոկոսը (կարմիր գոտի> 5%)։

5. 3 Drift Rate (IaC/Cloud)

«DR = dreafs (IaC-ի անհամապատասխանությունները )/mes»

Միտում 'երեք ամիս անընդմեջ կայուն նվազում։

5. 4 Time-to-Remediate (по severity)

High: Միջին թիվ 30 օր; Critical: 387 օր։ Հետաձգումը բացատրվում է մեքենայի էսկալացիայի միջոցով։

5. 5 AML FPR

«FPR = կեղծ դրական _ ալտերտեր/բոլոր _ ալերտները»

Հավասարակշռեք TPR-ի և բուժման կորուստների հետ։

5. 6 Evidence Coverage (աուդիտ)

«EC = հավաքված _ արտեֆակտներ/պարտադիր _ _ chek-lista»

Նպատակը '100 տոկոսը D-ամսաթվով։ վիրահատական նպատակը 2495 տոկոսն է անընդհատ։

6) Տվյալների և ապացույցների աղբյուրները (evidence)

Վիտրինա Compliance CPH: DSAR, Legal Hold, TTL, աուդիտ-լոգներ, ալերտներ։

IAM/IGA 'դերերը, սեփականատերերը, հավաստագրման քարոզարշավը։

CI/CD/DevSecOps: SMS/DMS/SCA, գաղտնիք, լիցենզիա, գեյթ։

Cloud/IaC 'եզրերի, dreaf-զեկույցների, KFC/HSM-logs։

SIEM/SOAR/DLP/EDRM 'հարաբերակցություններ, պլեյբուսներ, արգելափակումներ։

GRC 'պահանջների, վերահսկման, waivers և աուդիտների պահանջներ։

WORM/Object Prok: արտեֆակտների անփոխարինելի արխիվը + հեշ կամարները։

7) Dashbords (նվազագույն հավաքածու)

1. Compliance Heatmap-ը ռուսական ստանդարտի համակարգերն են, որոնք համապատասխանում են կարգավիճակին։

2. SLA Express - DSAR/STR/ուսուցում 'Dedline, ժամկետանց, կանխատեսում։

3. System & SoD-ը թունավոր դերեր է, orphan-հաշիվներ, հավաստագրման առաջընթաց։

4. Retention & Coretion-ը TTL խախտումներն են, Legal Hold-ը, միտումները։

5. Infra/Cloud Drift-ը IaC-ի անհամապատասխանությունն է, կոդավորումը, հատվածը։

6. Findings Pipeline-ը բաց/ժամկետանց/փակված է սեփականատերերի և severity-ի միջոցով։

7. Audit Readiness-ը evidence-ի ծածկումն է և ժամանակը մինչև «կոճակի» պատրաստումը։

Գունավոր գոտիներ (օրինակ)

Կանաչ նպատակն է հասնել/կայուն։

Դեղին 'շեղման ռիսկ, պլան է պահանջվում։

Կարմիրը կրիտիկական շեղում է, որը բացատրում է էսկալացիան։

8) OKR-ը (զանգվածի օրինակը)

Objective: Նվազեցնել կարգավորող և վիրահատական ռիսկը առանց ածխաջրածինների դանդաղեցման։

KR1: Բարձրացնել Coverage ավտոմատացված վերահսկումները 72 տոկոսից 2488 տոկոսից։

KR2: Նվազեցնել Express Hygiene-ը 4-ից։ 5% → ≤ 2%.

KR3: 99 տոկոսը DSAR ժամանակին; միջին պատասխանը 10 օր է։

KR4: Drift Rate ամպը 40% QoQ։

KR5: Time-to-Audit-Ready 248 ժամ (wwww.y-run)։

9) RACI մետրերի համար

Դերը	Պատասխանատվության գոտի
Head of Compliance / DPO (A)	Ընտրություն KPI/KRI, շեմեր և հաշվետվություններ
Compliance Analytics (R)	Մոդելներ, բանաձևեր, տվյալների վիտրիններ, dashbords
Data Platform (R)	Propline, տվյալների որակը, WORM արխիվը evidence
SecOps/Cloud Sec (C)	Դրեյֆը, կոդավորումը, SOAR պլեյբուկները
IAM/IGA (C)	Սերտիֆիկացիան, SoD, հասանելի սեփականատերերը
Product/DevSecOps (C)	Գեյթ, խոցելիություն, գաղտնիք սկան
GRC (R/C)	Պահանջները/վերահսկումները, waivers
Internal Audit (I)	Տեղեկատվության և աղբյուրների վերիֆիկացումը

10) Հաճախականությունը և ընթացակարգերը

Ամեն օր 'SDM-ի ալտերտերը, դրեյֆը, գաղտնիքները, կրիտիկական միջադեպերը։

Ամեն շաբաթ 'SLA DSAR/STR, DevSecOps, No Hygiene։

Ամեն ամիս 'pass rate վերահսկում, կրկնվող findings, Evidence Coverage։

Եժեքվարտալ 'OKR-կամարը, Risk Reduction Index, աուդիտ-փորձարկումը (www.y-run)։

Շեմերի վերանայման գործընթացը 'միտումների, ծախսերի և ռիսկի վերլուծություն։ շեմերի փոփոխությունը Board-ի միջոցով է։

11) Մետրիկի որակը 'կանոնները

Միասնական սեմանտիկան տերմինների և SQL ձևանմուշների բառարանն է։

Բանաձևի տարբերակումը '«մետրը որպես կոդ» (reposorium + revew)։

Վերարտադրության ստուգում 'ռեպերֆորմի ջութակները ֆոսֆորների համար։

Արտեֆակտների իմուտաբելությունը 'WORM + հեշ շղթաներ։

Գաղտնիությունը 'նվազեցում, դիմակավորում, KPI վիտրիններին մուտքի վերահսկում։

12) Հարցումների օրինակներ (SQL/կեղծ)

12. 1 DSAR SLA (30 օր)

sql
SELECT
COUNTIF(closed_at <= created_at + INTERVAL 30 DAY) / COUNT() AS dsar_sla_rate
FROM dsar_requests
WHERE created_at BETWEEN @from AND @to;

12. 2 Access Hygiene:

sql
SELECT
SUM(CASE WHEN owner IS NULL OR expires_at < CURRENT_DATE THEN 1 END)
/ COUNT() AS access_hygiene
FROM iam_entitlements
WHERE system_critical = TRUE;

12. 3 Drift (Terraform vs)

sql
SELECT COUNT() AS drifts
FROM drift_detections
WHERE detected_at BETWEEN @from AND @to
AND severity IN ('high','critical');

13) Շեմի արժեքները (հանրաքվեներ, հարմարեցրեք)

Մետրիկա	Կանաչ	Դեղին	Կարմիր
DSAR SLA	≥ 98%	95–97. 9%	< 95%
Access Hygiene	≤ 2%	2. 01–5%	> 5%
Drift Rate (high/crit)	245/մեզ	6-15/մեզ	> 15/մեզ
Evidence Coverage	100%	95–99. 9%	< 95%
Pass Rate վերահսկում	≥ 97%	90–96. 9%	< 90%
Time-to-Audit-Ready	248 ժամ	8-24 ժամ	> 24 ժամ

14) Անտիպատերնի

Մետրիկները «զեկույցի համար» առանց սեփականատիրոջ և գործողությունների պլանի։

Բանաձևերի տարբերակների խառնուրդը ցույց է տալիս տենդենցների անհամապատասխանությունը։

Պլանավորվում է առանց արդյունավետության 'բարձր Coverage, բայց բարձր drift և կրկնվող findings։

Կեղծ աշխատանքի արժեքի անտեսումը (FPR) AML/MSM-ում։

Մետրիկները առանց ռիսկի կոնտեքստի (կապ չկա KRI-ի և բանակների հետ)։

15) Չեկ թերթերը

KPI համակարգի արձակումը

Մետրիկ բառարանը և մեկ «մետրերը որպես կոդ»։
Նշանակված են սեփականատերերը (RACI) և նորարարության հաճախությունը։
Միացված են աղբյուրները և «Compliance» վիտրինը։
Dashbords և գունավոր գոտիներ, SLO/SLA և էսկալացիա։
WORM արխիվը և hash-ամրագրումը։
Disy-run-run-ի համար ռեպերֆորմի հետ համագործակցելու համար։

Մինչև եռամսյակային զեկույցը

Բանաձևի վերիֆիկացումը, անոմալիայի վերահսկումը։
Վերափոխման շեմերի նորարարությունը։
Cost/benefit FPR vs TPR։
Բարելավման պլանը «կարմիր» գոտիների վրա։

16) Չափման մոդելը (M0-M4)

M0 Runival International: Ex-աղյուսակները, անկանոն հաշվետվությունները։

M1 Կատալոգը 'մեկ վիտրին, հիմնական SLA և միտումներ։

M2 Ավտոմատացված 'dashbords իրական ժամանակում, էսկալացիա։

M3 Orchestrated: policy-as-code, MSM, 71-evidence, reperform։

M4 Medinuous Assurance: «audit-ready կոճակի վրա», կանխատեսելի (ML) ռիսկի չափումներ։

17) Կապված wiki հոդվածները

Շարունակական կոմպոզիցիա (MSM)

Կոմպլանսի և հաշվետվությունների ավտոմատիզացիան

Ռիսկային աուդիտ

Քաղաքական և ընթացակարգերի կյանքի ցիկլը

Legal Hold-ը և տվյալների սառեցումը

DSAR 'օգտագործողների հարցումները տվյալների վրա

Տվյալների պահպանման և տեղադրման գրաֆիկները

Արդյունքը

Ուժեղ KPI կոմպլենսները հասկանալի բանաձևեր են, վստահելի աղբյուրներ, սեփականատերեր և շեմեր, ավտոմատացված պատուհան և շեղումների գործողություններ։ Այսպիսով, համեմատությունը դառնում է կանխատեսելի ծառայություն, որը չափելի ազդեցություն ունի բիզնեսի ռիսկի և արագության վրա։

KPI և կոմպլանսի մետրերը

Մինչև եռամսյակային զեկույցը

Արդյունքը

Կապ հաստատեք մեզ հետ

Արագ կապ

Տեսանյութը շուտով կթարմացվի

Այս պահին մենք ծանրաբեռնված ենք նախագծերով