열 위험지도

1) 목적과 가치

Risk Heatmap은 제어, 지표 및 행동 계획에 연결된 확률 × 영향 매트릭스에서 위험의 순위를 매기고 전달하기위한 시각적 도구입니다.

• 단일 우선 순위 언어 (비즈니스, 해당, 법적 블록);
• 투명한 CAPA/투자 결정;
• 진행 상황 추적 (측정 전/후), 감사 준비.

2) 분류 및 적용 범위

• 규제/라이센스, 개인 정보 보호/데이터, 정보 보안/기술 프로세스, 지불/AML/KYC, 운영/가용성, 마케팅/책임 광고, 공급 업체/VRM.

• 관할권/시장, 비즈니스 라인/제품, 서비스/플랫폼, 중요 제공 업체.

3) 확률 및 충격 척도

3. 1 확률 (5 단계 척도의 예)

1. 희귀 (> 3 년마다 한 번/p <5%)

2. 낮음 (1-3 년마다 한 번)

3. 평균 (연간)

4. 높음 (분기 별)

5. 매우 높음 (매월/더 빈번하게)

3. 2 영향 (다변량)

최대 기준에 따라 평가하십시오

재무: 직접 손실/처벌/요금 환급.
라이센스/법적 의미: 정지, 금지, 조사.
개인 정보/데이터: PII 범위, 알림, 감독 조치.
운영/가동 시간: MTTR, SLO, 중단 된 릴리스, RTO/RPO.
평판: 미디어, 소셜 네트워크, 파트너 제재.
명확한 임계 값으로 1-5 스케일 (예: 1: <€10k, 5:> €1m).

4) 점수 및 위험 수준

개별 위험: '점수 = 가능성 × 영향' (1-25).

• 20-25-중요 (빨간색)
• 12-19-높음 (오렌지)
• 6-11-중간 (노란색)
• 1-5-낮음 (녹색)
• 잔여 위험: 전류 제어 (ToD/ToE/CCM에 의해 확인 된 효능) 를 고려한 후.
• 목표 위험: 계획된 조치 후; 성취 날짜가 수정되었습니다.

5) 데이터 소스 및 제어와의 연계

GRC 등록: 위험 설명, 소유자, 현재/대상 평가.
JMA/메트릭: 통제 규칙 통과율, 사건, KRI.
공급 업체/VRM: 인증서, SLA, 사고, 데이터 위치 변경.
금융/지불: 벌금, 청구 회수 비율, 사기 손실%.
스케일에 영향을 미치는 모든 값에는 증거 링크 (로그/보고서) 및 타임 스탬프가 있어야합니다.

6) 집계 및 통합

상향식: 서비스/관할 구역에서 도메인 및 회사에 이르기까지.
집계 규칙: 영향 최대, 가능성 백분위 수 또는 가중 중앙값 (사업량 별).
별도의 계층: 고유 (제어 없음), 잔류 (제어 포함), 대상 (CAPA 이후).
별도의 상관 위험 (예: 공유 인프라 취약성) 과 독립적 인 위험.

7) 시각화

컬러 코딩 된 5 × 5 매트릭스; 팝업 카드 (설명, 소유자, 컨트롤, CAPA) 가있는 대화식 위험 포인트.
레이어 스위치: Inherent/Residual/Target.
필터: 관할권, 제품, 도메인, 공급자, 기간.
30-90 일 동안 "전후" 측정 및 "드리프트" (드리프트) 동향.

8) 역할 및 RACI

9) KRI 및 에스컬레이션 임계 값

• 개인 정보 보호: dsar _ response _ p95, TTL 삭제, 불만/옴부즈맨.
• 보안: p95 TTR 취약점, 중요한 빨간색 CCM 규칙 공유, SoD 위반.
• 지불: 요금 환급 비율, 사기 손실%, 상금 항소.
• 작업: SLO 위반률, 사고 p1/p2, RTO/RPO 테스트.
• 에스컬레이션: 앰버는 경고 임계 값, 빨간색-필수 CAPA 및 중요한 영역에 대한 "정지" 를 넘어 설 때 사용됩니다.

10) CAPA와의 의사 결정 및 커뮤니케이션

각 "빨간색" 포인트에 대해 수정/예방, 소유자, 기간, 예산, 성공의 KPI와 같은 행동 계획이 필요합니다.

• 치명적: CAPA 소 30 일, 60-90 일 후에 재감사; 위원회-매주.
• 높음: CAPA는 60 일, 후속 90 일.
• 중간/낮음: 분기/반년 계획.
• 축소가 불가능한 경우-만료 날짜 및 보상 제어로 면제.

11) 대시 보드 (최소)

히트맵 뷰: 현재 매트릭스 + 잔류/목표 레이어.
위험 추세: CAPA 전/후.
연결 제어: 위험에 의한 CCM 통과율, 빨간색 게이트.
규제 노출: 관할권 및 라이센스에 의한 위험.
공급 업체 위험: 중요한 공급자의 히트 맵 (인증서, SLA, 사건).
감사 준비: 위험에 대한 완전한 증거/해시 영수증.

12) 성능 지표

위험 감소 지수: 가중 평균 위험률의 분기 별

정시 CAPA: 시간에 따른 측정의% (심각도 별).
결과 반복 (12 개월): 관련 위험에 대한 반복 비율.
증거 완전성: 전체 증거 패키지로 인한% 위험.
수정 후 드리프트: 30-90 일 후 "빨간색" 영역으로 돌아 오는 경우.
적용 범위: 지도에 반영된 비즈니스 자산/관할 구역의 비율.

13) SOP (표준 절차)

SOP-1: 절차 초기화

Determine 스케일 및 임계 값 → 저장소의위원회 → 수정 (버전) 에 동의합니다.

SOP-2: 분기주기

입력 데이터 수집/KRI → 등급 재 계산 → 소유자에 의한 검토 → 위원회 결정 → 대시 보드의 게시 → "감사 팩" 내보내기.

SOP-3: 방아쇠 사건

중요/높은 사고에서 예정되지 않은지도 업데이트, CAPA 구속력 및 재감사 계획.

SOP-4: 공급 업체 루프

VRM 설문 조사/인증서 → 공급 업데이트 → 공급 업체 미러 확인

SOP-5: 보관 및 증거

Snapshots 히트 맵 (용지/신호음) + 해시 영수증 → GRC의 WORM 아카이브 → 링크.

14) 아티팩트 패턴

14. 1 위험 카드 (조각)

ID/이름, 소유자, 도메인/관할권

가능성/영향/내재/잔류/목표

컨트롤 (ID, 메트릭, CCM 규칙)

KRI 및 실제 값

CAPA/면제, 날짜, 예산, KPI

증거 링크 및 해시 영수증

14. 2 저울 정책 (셔터 속도)

Likelihood:
1: p<5% / >3y
3: annual
5: monthly+
Impact (finance):
1: <€10k
3: €100k–€300k
5: >€1m
Escalation:
Critical: CAPA≤30d; Committee weekly
High: CAPA≤60d; Committee bi-weekly

14. 3 보고서 전/후

히트맵 스크린 샷 (잔여 대 대상)

도표- 위험에 의한 변화

완성 된 CAPA, 탄력성 지표

15) 안티 패턴

컨트롤/KRI 및 CAPA를 참조하지 않은 "아름다운 그림".
불명확 한 스케일 → 추정치 조작.
점수 변경의 버전/증거가 없습니다.
집계 규칙없이 이질적인 위험을 요약하십시오.
희귀 업데이트 → 맵에는 현실이 반영되지 않습니다.
마감일과 보상 조치없이 면제.

16) 성숙도 모델 (M0-M4)

M0 Ad-hoc: 일회성 사진, 메소드/메트릭 없음.
M1 계획: 합의 된 규모, 분기 별 업데이트.
M2 관리: 컨트롤/KRI, CAPA, 대시 보드, WORM 아카이브와의 링크.
M3 통합: 자동 재계산 (CCM), 정책/보증 코드, 관할권/공급 업체별 슬라이스.
M4 연속 보증: 예측 KRI, 시나리오 모델링, What-if, 우선 순위 권장 사항.

17) 관련 위키 기사

위험 기반 감사 (RBA)

KPI 및 규정 준수 지표

연속 준수 모니터링 (CCM)

치료 계획 (CAPA)

재감사 및 후속 조치

정책 및 준수 저장소

준수 로드맵

파트너/VRM 준수 안내서

합계

위험 히트 맵은 보고서가 아니라 균일 한 스케일, 제어 및 KRI와의 통신, 정기적 인 업데이트, 입증 가능한 의사 결정 및 측정 후 지속 가능성 제어와 같은 관리 메커니즘입니다. 이 접근 방식은 우선 순위를 정하고, 위원회 결정을 가속화하며, 지속적인 감사 준비 준비를 유지합니다.