지속적인 준수 모니터링

1) 지속적인 준수 모니터링 란 무엇입니까

• 수동 점검과 인적 요소를 줄입니다.
• TTD/MTTR 위반을 줄입니다.
• 언제든지 "감사 준비" 상태를 제공하십시오.
• 코드 정책을 통해 변경을 가속화하십시오.

2) CCM의 범위

액세스 및 정체성 (IAM/IGA): SoD, 중복 역할, "소유자없는 액세스".
데이터 및 개인 정보 보호: 보존/TTL, 마스킹, 법률 보유, DSAR-SLA.
인프라/클라우드/IaC: 구성 드리프트, 암호화, 세분화.
제품/코드/CI-CD: 리포지토리의 비밀, SCA/SAST/DAST, OSS 라이센스.
거래/AML: 제재/PEP 심사, 이상 규칙, STR/SAR.
작업: 감사 기록, 백업 및 복구, 취약점.

3) CCM 참조 아키텍처

1. 신호 수집: 에이전트 및 커넥터 (클라우드, 데이터베이스, 로그, SIEM, IAM, CI/CD, DLP, 메일/채팅 아카이브).

2. 정규화 및 강화: 규정 준수 쇼케이스의 이벤트 버스 (Kafka/Bus) + ETL/ELT.

3. 코드 정책 (CaC): 버전, 테스트 및 검토가있는 정책의 YAML/Rego 저장소.

4. 규칙 엔진 (스트림/배치): 위반, 우선 순위 및 위험률을 계산합니다.

5. 오케스트레이션: 발권/SOAR + RACI 에스컬레이션, 자동 치료, SLA 노출.

6. 증거/세계: 불변의 아티팩트 (로그, 설정 샷, 보고서).

7. 대시 보드 및보고: 히트 맵, KPI/SLO, 규제 업로드.

4) 코드 정책: 미니 다이어그램

yaml id: IAM-SOD-007 title: "Prohibition of toxic combination of roles: finance_approver + vendor_onboarder"
scope: ["iam:"]
detect:
query: iam_sod_violations_last_1h. sql severity: high notify: ["GRC","SecOps"]
remediate:
playbook: revoke_extra_role sla:
detect_minutes: 15 remediate_hours: 24 evidence:
sink: s3://evidence/iam-sod/dt={{ts}}
owners: ["IGA","FinanceOps"]

yaml id: GDPR-RET-001 title: "TTL 24м для PI; LegalHold priority"
rule: "object. age_months <= 24          object. legal_hold == true"
detect:
job: retention_scan_daily sla: { detect_minutes: 60, remediate_days: 7 }

5) 표준에 따른 표준 제어

6) 측정 및 SLO

적용 범위: 모니터링중인 시스템/데이터의% (대상 90% 이상).
MTTD/MTTR 제어: 탐지/제거 시간을 의미합니다.

드리프트 속도: 드리프트 구성/월

잘못된 긍정적 비율: 규칙에 따른 오 탐지율입니다.
감사 준비 시간: 증거 준비 시간 (목표-시간).
DSAR SLA: 정시에 종료 된%; 중앙 응답.

액세스 위생: 구식 권리의 공유; SoD 위반 종료

7) CCM 프로세스 (SOP)

1. 요구 사항의 식별 → 행렬 "표준 → 제어 → 메트릭".
2. 규칙 설계 → 코드 정책, 테스트, PR/검토, 버전.
3. 배포 → 검증을 준비한 다음 기능 플래그로 작성하십시오.
4. 모니터링 및 경고 → 우선 순위 지정 (sev/impect), 소음 제거, 중복 제거.
5. 치료 → 자동 플레이 북 + 소유자 티켓; SLA 에스컬레이션.
6. 증거 → 주기적 이미지; WORM/불변성; 해시 요약.
7. 재평가 → 분기 별 규칙 조정, FPR/TPR 분석, A/B 비교.
8. 교육 → 제어 소유자, 지침 및 면제에 대한 온 보딩.

8) 경보 수명주기

감지 → 격리 → 할당 → 수정 → 확인 → 확인 → 닫기 → 배우기.
각 단계에 대해 소유자, 마감일, 취한 조치, 증거의 인공물이 기록됩니다.

9) 통합

GRC-요구 사항, 위험, 통제, 검토 캠페인, 아티팩트 스토리지.
SIEM/SOAR-이벤트 상관 관계, 자동 플레이 북.
IAM/IGA-평가, SoD, RBAC/ABAC, 액세스 수명주기.
CI/CD/DevSecOps-규정 준수 게이트, SAST/DAST/SCA, 비밀 스캔.
데이터 플랫폼- "준수" 쇼케이스, 카탈로그/계보, 마스킹.
DLP/EDRM-감도 라벨, 여과 억제, 로그.
발권/ITSM-SLA, 에스컬레이션, 소유자 및 팀 보고서.

10) 대시 보드 (최소 세트)

규정 준수 히트 맵 (시스템 × 규정 × 상태).
SLA 센터 (DSAR/AML/PCI/SOC2 마감일, 지연).
액세스 및 SoD (독성 역할, "잊혀진" 액세스).
보존 및 삭제 (TTL 위반, 법적 보류 잠금 장치).
인프라/클라우드 드리프트.
사건 및 연구 결과 (반복 추세, 치료 효율성).

11) 예 규칙 (SQL/의사)

sql
SELECT user_id, dataset, created_at
FROM pi_objects
WHERE age_months(created_at) > 24
AND legal_hold = false;

sql
SELECT u. id, r1. role, r2. role
FROM user_roles r1
JOIN user_roles r2 ON r1. user_id = r2. user_id
JOIN users u ON u. id = r1. user_id
WHERE r1. role = 'finance_approver' AND r2. role = 'vendor_onboarder';

12) 역할 및 RACI

13) 예외 관리 (면제)

정당화 및 만료 날짜가있는 공식 요청.
위험 평가 및 보상 통제.
개정판을 자동으로 알림합니다.
보고 (감사인의 투명성).

14) CCM의 개인 정보 보호 및 보안

상점 및 로그의 데이터 최소화 (PII 판).
의무 분리, 최소한의 특권.

불변성 (WORM/S3 Object Lock)

보고서의 암호화 고정 (해시 체인).
아티팩트에 대한 액세스 제어 및 로깅.

15) 점검표

CCM 시작

• 매트릭스 "표준 → 제어 → 메트릭" 이 동의합니다.
• 키 신호 소스가 연결되어 있습니다.
• 정책은 코드로 설명되며 테스트 및 검토에서 다룹니다.
• 대시 보드 및 경고가 포함되었습니다. SLO/SLA 정의.
• 증거 (불변성) 아카이브가 구성됩니다.
• 훈련 된 소유자; 정의 된 면제 프로세스.

감사 전에

• 정책 및 변경 버전이 업데이트되었습니다.
• 증거 선택의 드라이 런이 실행되었습니다.
• 치료 및 예외 연체가 종료되었습니다.
• 적용 범위/MTTD/MTTR/드리프트 메트릭이 조정됩니다.

16) 안티 패턴

영구적 인 통제 대신 "감사 감사".
우선 순위 지정 및 중복없는 시끄러운 규칙.
버전과 테스트가없는 정책.
소유자가없는 모니터링 및 SLA.
해시 고정없이 변경 가능한 장소의 증거.

17) CCM 성숙도 모델 (M0-M4)

M0 매뉴얼: 산발적 인 점검, Excel의 보고서.
M1 도구: 부분 원격 측정, 일회성 규칙.
M2 자동 감지: 연속 점검, 기본 SLO 및 경고.
M3 오케스트레이션: SOAR, 자동 치료, "감사 준비".
M4 연속 보증: SDLC/영업 + 감사 자체 서비스 점검.

18) 관련 위키 기사

준수 및보고 자동화

법적 보류 및 데이터 동결

설계 및 데이터 최소화에 의한 개인 정보 보호

데이터 유지 및 삭제 일정

PCI DSS/SOC 2 제어 및 인증

사건 관리 및 법의학

합계

CCM은 조직의 "적합성 펄스" 입니다. 정책은 코드로 표현되고 신호가 지속적으로 흐르며 위반이 즉시 표시되며 증거가 자동으로 수집되며 감사는 화재가 아닌 운영 루틴으로 바뀝니다.