GH GambleHub

KPI 및 규정 준수 지표

1) 규정 준수 지표

메트릭스는 요구 사항과 위험을 관리 가능한 목표로 변환합니다. 좋은 KPI/KRI 시스템:
  • 시간이 지남에 따라 규정 준수 상태를 투명하고 비교할 수 있
  • 비즈니스 결과 준수 링크 (손실/벌금 감소/릴리스 지연);
  • 감정이 아닌 사실에 따라 우선 순위와 리소스를 관리 할 수 있습니다.
  • 감사를 단순화합니다. 추적 가능한 공식, 소스 및 변하지 않는 아티팩트 (증거) 가 있습니다.
용어:
  • KPI - 성능 지표 (프로세스 효율성).
  • KRI - 위험 지표 (이벤트의 확률/영향).
  • SLO/SLA-목표 서비스 수준/기간 약속.
  • Leading vs Lagging: 선두 및 지연 지표.

2) 도메인 별 메트릭 맵 (참조 행렬)

도메인KPI/KRI타입공식 (브리핑)목적 (예)
정책/교육평가 범위KPI(PHP 3 = 3.0.6, PHP 4)확장 95 %/분기
MTTU 정책KPIt _ publikatsii-t _ tritera소 30 일
액세스/IAM액세스 위생KPI(PHP 3 = 3.0.6, PHP 4)≤ 2%
SoD 위반KRI독성 조합의 수0 (중요)
데이터/개인 정보제 시간에 DSAR SLAKPI(PHP 3 = 3.0.6, P≥ 98%
TTL 위반KRI_ over _ TTL 객체(PHP 3 = 3.0.6, P
인프라/클라우드/IaC드리프트 속도KPI드리프트/월(PHP 3 =
암호화 범위KPI(PHP 3 = 3.0.6, PHP100%
DevSecOps/코드Repos의 비밀KRI@ info: whatsthis0 중요
라이센스 준수KPI(PHP 3 = 3.0.6, PHP 4)0
AML/거래STR/SAR 타임 라이스KPI(PHP 3 = 3.0.6, P≥ 99%
허위 긍정적 비율 AMLKPI허위/모든 경고문맥 10% (컨텍스트 포함)
사건/감사수정 시간 결과KPI중앙값 t _ zakrytiya상위 30 일
결과 반복KRI12 개월 동안% 반복≤ 5%

3) 노스 스타 준수

1. N 시간 내에 감사 준비 (모든 증거가 자동으로 수집 됨).
2. 제로 크리티컬 위반.
3. 자동화 된 제어 (코드 정책 + CCM) 를 통한 90% 이상의 적용 범위.

4) 지표 분류

4. 1 적용 범위

제어 범위: 제어 시스템/모든 중요 시스템.
증거 범위: 감사 점검표에 의해 수집 된 아티팩트.
정책 채택: 요구 사항이 구현되는 프로세스/모든 대상 프로세스.

4. 2 효과 (제어 효능)

통과 속도 제어 테스트: 통과/전체 기간 테스트.
탐정 규칙에 대한 FPR/TPR (거짓/진실).
예방 사건: 예방 통제로 예방되는 사례.

4. 3 효율 (비용/속도)

MTTD/MTTR 위반: 탐지/제거 시간.
사례 당 비용 (AML/DSAR): 시간 × 요금 + 인프라 비용.
자동화 비율: 자동 솔루션/모든 솔루션.

4. 4 타임 라이스

실행 SLA (DSAR/STR/training): 시간/총.
리드 타임 정책: 트리거에서 게시까지.
리드 타임 변경 (DevSecOps 게이트): 규정 준수 검사를 위해 PR에서 릴리스까지.

4. 5 품질 (데이터/프로세스 품질)

증거 무결성: 해시 요약과 함께 WORM 아티팩트의%.
데이터 결함: reg보고/보고의 오류.
교육 점수: 평균 시험 점수, 처음부터%.

4. 6 위험 영향

위험 감소 지수: 치료 후 총 위험률의

규제 노출: 공개 크리티컬 갭 vs 라이센스/인증 요건.
$ 회피 손실 (추정): 격차를 좁혀 페널티/손실을 피했습니다.

5) 공식 및 계산 예

5. 1 DSAR SLA

'DSAR _ SLA = (응용 프로그램 수가 30 일 마감 됨 )/( 응용 프로그램 총 수)'

목표: 98% 이상; 빨간색 <95%, 노란색 95-97. 9.

5. 2 액세스 위생

'AH = obsolete _ rights (소유자/과거 기한 없음 )/all _ right'

임계 값: λ2% (적색 영역> 5%).

5. 3 드리프트 속도 (IaC/클라우드)

'DR = 드리프트 (IaC ² fakt mismatch )/Month'

동향: 3 개월 연속 꾸준히 감소.

5. 4 개의 시간을 수정하십시오 (자격증 심각도)

높음: 중앙값 중요: 방법 7 일. → 자동 에스컬레이션 지연.

5. 5 AML FPR

'FPR = 오 탐지 _ 알림/모든 _ alter'

TPR과 균형을 이루고 손실을 처리합니다.

5. 6 증거 범위 (감사)

'EC = colled _ artifacts/filled _ by _ checklist'

목표: 감사의 D- 날짜로 100%; 운영 목표-지속적으로 95% 이상.

6) 데이터 및 증거 출처 (증거)

준수 DWH 쇼케이스: DSAR, Legal Hold, TTL, 감사 로그, 경고.
IAM/IGA: 역할, 소유자, 증명 캠페인.
CI/CD/DevSecOps: SAST/DAST/SCA, 비밀 스캔, 라이센스, 게이트.
클라우드/IaC: 구성 요소, 드리프트 보고서, KMS/HSM 로그의 스냅 샷.
SIEM/SOAR/DLP/EDRM: 상관 관계, 플레이 북, 잠금 장치.
GRC: 요구 사항, 통제, 면제 및 감사 등록.
WORM/Object Lock: 변경할 수없는 아티팩트 + 해시 요약 압축 파일.

7) 대시 보드 (최소 세트)

1. 규정 준수 히트맵-시스템 × 규정 × 상태.
2. SLA 센터-DSAR/STR/교육: 마감일, 연체, 예측.
3. 액세스 및 SoD-독성 역할, 고아 계정, 증명 진행.
4. 유지 및 삭제-TTL 위반, 법적 보류 잠금 장치, 동향.
5. Infra/Cloud Drift-IaC 불일치, 암호화, 세분화.
6. 결과 파이프 라인-소유자와 심각도에 의해 개방/만료/폐쇄.
7. 감사 준비-" 버튼에서 "증거 적용 범위와 준비 시간.

색상 영역 (예):
  • 녹색-목표 달성/안정.
  • 노란색-편차 위험, 계획이 필요합니다.
  • 빨간색-임계 편차, 즉각적인 에스컬레이

8) ODVD 링크 (예 분기)

목표: 릴리스 속도를 늦추지 않고 규제 및 운영 위험을 줄입니다.

KR1: 자동화 된 컨트롤의 적용 범위를 72% → 88% 에서 늘립니다.
KR2: 접근 위생을 4에서 줄입니다. 5% → ≤ 2%.
KR3: 제 시간에 99% DSAR; 중앙값 응답은 10 일입니다.
KR4: 드리프트 속도 구름 -40% QoQ.
KR5: 감사 시간 8 시간 (드라이 런).

9) 지표를위한 RACI

역할책임 영역
준수 책임자/DPO (A)대상 KPI/KRI 선택, 임계 값 및보고 업데이트
준수 분석 (R)모델, 공식, 데이터 마트, 대시 보드
데이터 플랫폼 (R)파이프 라인, 데이터 품질, WORM 아카이브 증거
SecOps/Cloud Sec (C)드리프트, 암호화, SOAR 플레이 북
IAM/IGA (C)평가, SoD, 액세스 보유자
제품/DevSecOps (C)게이트, 취약점, 비밀 스캔
GRC (R/C)요구 사항/제어, 면제 등록
내부 감사 (I)계산 및 소스 검증

10) 측정 빈도 및 절차

매일: CCM 경고, 드리프트, 비밀, 중요한 사건.
주간: SLA DSAR/STR, DevSecOps 게이트, 액세스 위생.
월간: 통과 율 제어, 반복 된 결과, 증거 범위.
분기 별: OKR 요약, 위험 감소 지수, 감사 리허설 (드라이 런).

임계 값 검토 절차: 추세, 비용 및 위험 분석; 보드를 통한 임계 값 변경.

11) 지표의 질: 규칙

통합 의미론: 용어 사전 및 SQL 템플릿.
공식 버전 지정: "코드로서의 메트릭" (저장소 + 검토).
재현성 검사: 감사인을위한 스크립트를 다시 수행합니다.
아티팩트의 불변성: WORM + 해시 체인.
개인 정보 보호: 최소화, 마스킹, KPI 쇼케이스 액세스 제어.

12) 쿼리 예 (SQL/의사)

12. 1 DSAR SLA (30 일):

sql
SELECT
COUNTIF(closed_at <= created_at + INTERVAL 30 DAY) / COUNT() AS dsar_sla_rate
FROM dsar_requests
WHERE created_at BETWEEN @from AND @to;

12. 2 액세스 위생:

sql
SELECT
SUM(CASE WHEN owner IS NULL OR expires_at < CURRENT_DATE THEN 1 END)
/ COUNT() AS access_hygiene
FROM iam_entitlements
WHERE system_critical = TRUE;

12. 3 드리프트 (테라 폼 대 사실):

sql
SELECT COUNT() AS drifts
FROM drift_detections
WHERE detected_at BETWEEN @from AND @to
AND severity IN ('high','critical');

13) 임계 값 (참조 예, 적응)

메트릭녹색노란색빨간색
DSAR SLA≥ 98%95–97. 9%< 95%
액세스 위생≤ 2%2. 01–5%> 5%
드리프트 속도 (높음/크릿)월 5/월6-15/월> 15/월
증거 범위100%95–99. 9%< 95%
통과 속도 제어≥ 97%90–96. 9%< 90%
감사 시간 준비8 시간8-24 시간> 24 시간

14) 안티 패턴

소유자 및 행동 계획이없는 "보고 용" 메트릭.
공식 버전 혼합 → 서로 다른 추세.
효율성이없는 적용 범위: 높은 적용 범위이지만 높은 드리프트 및 반복 결과.
AML/CCM에서 위양성 (FPR) 비용을 무시합니다.
위험 컨텍스트가없는 메트릭 (KRI 및 라이센스와의 연관 없음).

15) 점검표

KPI 시스템 시작

  • 메트릭 사전 및 단일 "코드로서의 메트릭" 저장소.
  • 지정된 소유자 (RACI) 및 새로 고침 비율.
  • 소스와 규정 준수 쇼케이스가 연결되어 있습니다.
  • 대시 보드 및 색상 영역, SLO/SLA 및 에스컬레이션이 구성됩니다.
  • WORM 아카이브 및보고 해시.
  • 재실행에 대한 감사를위한 드라이 런.

분기 별 보고서 전에

  • 공식의 검증, 이상 제어.
  • 거의 규제 임계 값 업데이트.
  • 비용/혜택 분석 FPR vs TPR.
  • 레드 존 개선 계획.

16) 메트릭 성숙 모델 (M0-M4)

M0 수동 회계: 우수한 테이블, 불규칙한 보고서.
M1 카탈로그: 단일 쇼케이스, 기본 SLA 및 트렌드.
M2 자동화: 실시간 대시 보드, 에스컬레이션.
M3 오케스트레이션: 코드 정책, CCM, 자동 증거, 재생.
M4 연속 보증: "버튼으로 감사 준비", 예측 (ML) 위험 메트릭.

17) 관련 위키 기사

연속 준수 모니터링 (CCM)

준수 및보고 자동화

위험 기반 감사

정책 및 절차 수명주기

법적 보류 및 데이터 동결

DSAR: 데이터 사용자 요청

데이터 유지 및 삭제 일정

합계

강력한 규정 준수 KPI는 명확한 공식, 신뢰할 수있는 소스, 소유자 및 임계 값, 자동 쇼케이스 및 편차 동작입니다. 이를 통해 규정 준수는 비즈니스 위험 및 속도에 측정 가능한 영향을 미치는 예측 가능한 서비스

Contact

문의하기

질문이나 지원이 필요하시면 언제든지 연락하십시오.우리는 항상 도울 준비가 되어 있습니다!

통합 시작

Email — 필수. Telegram 또는 WhatsApp — 선택 사항.

이름 선택 사항
Email 선택 사항
제목 선택 사항
메시지 선택 사항
Telegram 선택 사항
@
Telegram을 입력하시면 Email과 함께 Telegram에서도 답변드립니다.
WhatsApp 선택 사항
형식: +국가 코드 + 번호 (예: +82XXXXXXXXX).

버튼을 클릭하면 데이터 처리에 동의하는 것으로 간주됩니다.