BrianSantiago-GRC/grc-portfolio

GitHub: BrianSantiago-GRC/grc-portfolio

一套围绕NIST、HIPAA和ISO 27001的GRC合成写作样本集合,提供风险管理、合规审计、策略制定和事件响应等领域的实践工件模板。

Stars: 0 | Forks: 0

# GRC 文档作品集 ## 问题、行动、结果 **行动:** 我利用 NIST、HIPAA 和 ISO 27001 的概念,创建了一套相互关联的实践工件,并将其植根于身份、端点和 IT 运营场景中。 ## 从这些工件开始 | 工件 | 审查内容 | |---|---| | [风险登记册](risk-management/risk-register.md) | 风险陈述、评分、所有权及应对措施 | | [风险方法论](risk-management/risk-assessment-methodology.md) | 可重复的可能性/影响评估标准 | | [HIPAA 检查清单](audit-compliance/hipaa-security-rule-checklist.md) | 面向证据的控制问题 | | [NIST CSF 评估](audit-compliance/nist-csf-maturity-assessment.md) | 当前/目标状态与差距文档 | | [ISO 27001 差距分析](frameworks/iso27001-gap-analysis.md) | 控制状态与补救思路 | | [访问控制策略](policies/access-control-policy.md) | 身份生命周期、最小权限及审查预期 | | [事件响应计划](incident-response/incident-response-plan.md) | 角色、升级、证据及恢复结构 | | [供应商问卷](templates/third-party-risk-assessment-questionnaire.md) | 尽职调查问题与证据请求 | ## 展示的技能 ## 范围边界 这些是合成的实践工件。它们不确立审计权限、ISO 认证、法律解释、生产控制的有效性,也不代表对实际 GRC 计划的所有权。在投入运营使用之前,应根据组织当前的要求对框架参考进行验证。
标签:GRC, IT运维, Socks5代理, 安全政策, 文档样板, 网络安全研究, 防御加固