compliance-readiness
작성자 alirezarezvanicompliance-readiness는 prompt 기반 compliance review skill로, 새 framework 도입이나 certification planning 전에 framework scope, evidence reuse, audit timing, ownership, readiness gaps를 압박 점검하는 데 사용됩니다.
이 skill의 점수는 66/100으로, 디렉터리 등록에는 가능하지만 한계가 있습니다. 디렉터리 사용자는 명확한 trigger와 실제 compliance-readiness checklist를 얻을 수 있어 일반 prompt보다 agent를 더 잘 안내할 수 있습니다. 다만 referenced automation/scripts와 supporting materials가 repository evidence에 없기 때문에 도입 가치는 제한됩니다.
- 명확한 command와 trigger 패턴을 제공합니다: `/cs:compliance-readiness <program>`. 새 framework 도입 전, audit planning, management review, certification readiness 등 사용 사례도 구체적으로 제시됩니다.
- 막연한 compliance prompt가 아니라 여섯 가지 질문으로 구성된 compliance officer 점검 흐름을 제공해, agent가 반복 가능한 readiness review 구조를 따를 수 있습니다.
- framework 적용 가능성, 중복 영역, evidence reuse, audit-readiness 압박 점검을 다루는 multi-framework 관점이 실무적으로 유용합니다.
- 이 skill은 `framework_selector.py`, `cross_framework_mapper.py` 같은 helper script를 언급하지만, repository 증거상 skill path에는 script나 support file이 포함되어 있지 않습니다.
- install command, README, references, resources가 없으므로 사용자는 단일 SKILL.md file만 보고 설정 방식과 보조 compliance 방법론을 추정해야 합니다.
compliance-readiness skill 개요
compliance-readiness가 하는 일
compliance-readiness skill은 새 프레임워크 도입을 확정하거나, 감사 일정을 마무리하거나, 인증 준비 완료를 선언하기 전에 프로그램을 압박 테스트할 수 있도록 설계된 컴플라이언스 검토용 프롬프트 워크플로입니다. 일반적인 체크리스트를 뽑아내는 대신, AI 에이전트가 범위, 프레임워크 적용 범위, 증거 재사용, 감사 시점, 책임 주체, 준비도 격차를 반드시 따져보게 만드는 여섯 가지 핵심 질문을 중심으로 구성되어 있습니다.
컴플라이언스 검토 업무에 적합한 경우
ISO, SOC, HIPAA, 금융 서비스 규제, AI 거버넌스, 지역별 규제 의무가 서로 겹치는 다중 프레임워크 컴플라이언스 프로그램을 운영하거나 지원한다면 이 skill이 잘 맞습니다. 특히 단발성 정책 요약이 아니라 구조화된 사전 검토가 필요한 컴플라이언스 리드, GRC 운영자, 보안 프로그램 매니저, 내부 감사인, 외부 감사를 준비하는 창업자에게 유용합니다.
일반 프롬프트와 다른 점
일반 프롬프트는 “ISO 27001 준비가 되었나요?”라고 물을 수 있습니다. 반면 compliance-readiness skill은 적절한 프레임워크를 선택했는지, 어떤 통제를 재사용할 수 있는지, 증거 수집이 비효율적으로 변하고 있는지, 감사 지적 사항이 더 깊은 프로그램 취약성을 보여주는지까지 묻습니다. 그래서 단순한 문서 정리보다 초기 리스크 발견과 계획 수립에 더 적합합니다.
도입 전 반드시 확인할 점
업스트림 skill 폴더에는 단일 SKILL.md 파일만 있고, 함께 제공되는 스크립트, 규칙, 참조 자료는 없는 것으로 보입니다. skill 본문에는 framework_selector.py, cross_framework_mapper.py 같은 도구가 언급되어 있습니다. 이 도구들에 의존하기 전에, 해당 도구가 여러분의 환경 어딘가에 실제로 존재하는지 확인하거나 자체 프레임워크 인벤토리와 통제 매핑 프로세스로 대체하세요.
compliance-readiness skill 사용 방법
compliance-readiness 설치 환경
Claude skills를 실행하는 동일한 환경에 skill을 설치하세요. 일반적인 설치 명령은 다음과 같습니다.
npx skills add alirezarezvani/claude-skills --skill compliance-readiness
그다음 compliance-os/skills/compliance-readiness/SKILL.md에서 소스를 확인하세요. 이 skill은 프롬프트 기반이며 자체 폴더 안에 보조 파일을 포함하지 않으므로, 가장 중요한 설치 확인 사항은 에이전트가 /cs:compliance-readiness <program>을 호출할 수 있는지, 그리고 컴플라이언스 데이터가 대화나 연결된 워크스페이스에서 사용 가능한지입니다.
skill에 필요한 입력 정보
compliance-readiness를 제대로 활용하려면 프레임워크 이름만 입력해서는 부족합니다. 조직 유형, 운영 지역, 규제 대상 활동, 현재 적용 중인 프레임워크, 계획 중인 인증, 감사 일정, 증거 저장소, 통제 담당자, 최근 지적 사항, 중복 증거 요청이나 매년 증가하는 증거량 같은 문제점을 함께 제공하세요.
부족한 입력:
/cs:compliance-readiness ISO 27001 readiness
더 나은 입력:
/cs:compliance-readiness Review our B2B SaaS compliance program. We operate in the US and EU, process customer PII, currently maintain SOC 2 Type II and ISO 27001, are considering ISO 42001 for AI features, and have an external audit in Q3. Evidence is stored in Jira, Google Drive, and Vanta. Last audit had 18% high/critical findings, mostly access review and vendor risk issues. Identify missing frameworks, evidence reuse opportunities, readiness blockers, and management review topics.
권장 워크플로
원하는 인증서부터 시작하지 말고 프로그램 인벤토리부터 시작하세요. skill에 여섯 가지 질문 기반 검토를 실행하게 한 뒤, 의사결정에 바로 쓸 수 있는 섹션으로 결과를 요청하세요. 예를 들어 프레임워크 범위, 중복 및 재사용 가능성, 감사 일정 리스크, 통제 담당자 공백, 증거 품질 문제, “진행 금지” 수준의 차단 요인을 나누어 달라고 요청할 수 있습니다. 첫 번째 결과를 받은 후에는 통제 매트릭스, 감사 지적 사항, 증거 인덱스를 추가로 제공해 넓은 우려 사항을 구체적인 개선 작업으로 전환하세요.
먼저 읽어야 할 저장소 파일
SKILL.md를 먼저 읽으세요. 이 파일에 명령어, 사용해야 할 시점, 여섯 가지 질문 구조가 들어 있습니다. 이 skill 폴더에는 로컬 README.md, metadata.json, rules/, resources/, references/, scripts/ 파일이 보이지 않으므로 숨겨진 구현 로직이 있다고 가정하지 마세요. 이 skill은 사용자가 제공하는 맥락의 품질에 크게 의존하는, 집중형 컴플라이언스 질문 패턴으로 보는 것이 적절합니다.
compliance-readiness skill FAQ
compliance-readiness는 컴플라이언스 검토용인가요, 인증 실행용인가요?
이 skill은 실행 결정을 내리기 전의 컴플라이언스 검토에 가장 적합합니다. 예를 들어 새 프레임워크 도입, 감사 계획 수립, 경영진 검토, 인증 1단계 준비도 점검에 사용할 수 있습니다. 격차와 우선순위를 드러내는 데는 도움이 되지만, 감사인의 판단, 법률 자문, 공식 통제 테스트, 증거 검증을 대체하지는 않습니다.
이 skill을 쓰지 말아야 할 때는 언제인가요?
법적 적용 여부, 규제 해석, 최종 감사 준비 완료 여부를 결정하는 유일한 근거로 사용해서는 안 됩니다. 또한 시스템, 데이터 유형, 프레임워크, 담당자, 증거 위치에 대한 인벤토리가 전혀 없다면 적합하지 않습니다. 그런 경우에는 먼저 기본적인 컴플라이언스 프로그램 프로필을 만든 다음 compliance-readiness 가이드를 실행하세요.
일반 컴플라이언스 프롬프트와 어떻게 다른가요?
일반 프롬프트는 통제 목록을 생성하는 데 그치는 경우가 많습니다. 이 skill은 프로그램 범위가 올바른지, 운영상 효율적인지 판단해야 할 때 더 유용합니다. 다중 프레임워크 간 중복, 증거 재사용, 감사 주기 타이밍, 컴플라이언스 프로그램이 지나치게 비싸지거나 파편화되고 있다는 신호를 중점적으로 다룹니다.
초보자도 사용하기 쉬운가요?
기본적인 컴플라이언스 사실관계를 모을 수 있다면 그렇습니다. 문장이 직관적이고 여섯 가지 질문 구조도 따라가기 쉽습니다. 다만 초보자는 프레임워크 적용 가능성에 주의해야 합니다. HIPAA, NYDFS, FINMA, ISO 13485, ISO 42001, EU AI Act가 적용되는지 확실하지 않다면, 답변을 최종 결론으로 받아들이기보다 skill에 가정 사항과 확인 질문을 나열해 달라고 요청하세요.
compliance-readiness skill 개선 방법
더 나은 범위 정의로 compliance-readiness 결과 개선하기
가장 흔한 실패 유형은 그럴듯해 보이지만 특정 프레임워크, 사업부, 데이터 흐름, 관할권을 놓치는 답변입니다. 제품, 고객 유형, 지역, 규제 대상 데이터, 제3자 의존성, 예정된 시장 변화까지 명시해 프롬프트를 개선하세요. 범위가 잘 잡히면 이 skill은 단순 체크리스트 생성기가 아니라 유용한 준비도 검증 도구가 됩니다.
증거와 통제 세부정보 추가하기
통제 매트릭스, 정책 목록, 증거 인덱스, 감사 일정, 이전 지적 사항, 리스크 등록부, 공급업체 목록, 책임 구조 같은 산출물을 제공하면 skill의 결과가 훨씬 실행 가능해집니다. “여러 통제에 그대로 재사용 가능한 동일 증거”, “수정이 필요한 유사 증거”, “별도로 필요한 고유 증거”를 구분해 달라고 요청하세요. 이는 compliance-readiness skill의 핵심인 재사용 판단 로직을 직접적으로 뒷받침합니다.
첫 검토 이후 반복하기
첫 번째 결과를 받은 뒤 격차 목록에서 멈추지 마세요. 30/60/90일 개선 계획, 감사 준비 차단 요인, 경영진 검토 안건, 통제 담당자에게 보낼 질문을 요청하세요. 결과가 너무 넓다면 범위를 좁히세요. 예를 들어 “Focus only on SOC 2, ISO 27001, and ISO 42001 overlap” 또는 “Rank gaps by audit failure risk and evidence collection effort”처럼 제한을 줄 수 있습니다.
약하거나 근거가 부족한 권고 확인하기
이 skill 폴더에는 로컬 참조 파일이나 실행 가능한 매핑 스크립트가 함께 제공되지 않으므로, 프레임워크 매핑, 법적 주장, 도구 사용 지침을 운영에 적용하기 전에 반드시 검증하세요. 가장 좋은 개선 방법은 compliance-readiness 사용을 권위 있는 프레임워크 원문, 내부 GRC 시스템, 감사인 피드백과 함께 활용하는 것입니다. 그래야 에이전트가 가정이 아니라 실제 증거를 바탕으로 프로그램에 도전적인 질문을 던질 수 있습니다.
