rwotolara-innocent/PaMaa_ISO27001

# Pa Maa Education Initiative - 草根 NGO 的 ISO 27001 ISMS **作者：** Rwotolara Innocent - 网络安全分析师与数据专家 **联系方式：** [linkedin.com/in/rwotolara-innocent](https://linkedin.com/in/rwotolara-innocent) **仓库：** [github.com/rwotolara-innocent/PaMaa_ISO27001](https://github.com/rwotolara-innocent/PaMaa_ISO27001) **组织：** Pa Maa Education Initiative，乌干达北部 **标准：** ISO/IEC 27001:2022 **ISMS 负责人：** Sophia **版本：** 1.0 | 2026年3月 ## 概述 本仓库记录了为 Pa Maa Education Initiative 设计和实施的对标 ISO 27001 的信息安全管理体系 (ISMS) 文档，该组织是一个致力于保护和教育乌干达北部弱势女孩的草根 NGO。 该项目将 Pa Maa 从高风险、无管理的个人设备环境转变为结构化的安全框架。其背景是典型的低资源和 BYOD（自带设备）优先环境：所有设备均为个人手机和笔记本电脑，协调工作通过 WhatsApp 进行，且威胁环境受乌干达北部农村地区运作现实的深刻影响。 ## 如何阅读本仓库 - **NGO 负责人 / 捐赠者：** 阅读 `README.md` + `07_Reports/CEO_Security_Report_PaMaa.md` - **网络安全招聘人员：** 阅读 `README.md` + `02_Risk_Management/`（风险评估、RTP、SoA、差距分析） - **技术审查人员：** 阅读策略（`01_Policy_Documents/`）、资产清单（`03_Asset_Management/`）、脚本（`06_Automation_Scripts/`）和培训材料（`05_Training`） ## 仓库结构 ``` PaMaa_ISO27001/ │ ├── 01_Policy_Documents/ │ ├── Information_Policy.md # Master security policy │ └── BYOD_Agreement.md # Staff device usage agreement │ ├── 02_Risk_Management/ │ ├── Risk_Assessment.md # Full ISO 27001 risk register (7 risks) │ ├── Gap_Analysis.md # Annex A control gap analysis │ ├── SoA_PaMaa_ISO27001_v1.0.docx # Statement of Applicability (Clause 6.1.3) │ ├── RTP_PaMaa_ISO27001_v1.0.docx # Risk Treatment Plan (Clause 6.1.3) │ └── risk_heatmap.png # Visual risk heatmap (generated by automation script) │ ├── 03_Asset_Management/ │ └── Asset_Inventory.xlsx # Full asset register (devices + accounts + platforms) │ ├── 04_Incident_Response/ │ └── Two_Hour_Rule.md # 2-hour incident response protocol │ ├── 05_Training/ │ └── Training_Guide.md # Visual staff security training guide │ ├── 06_Automation_Scripts/ │ ├── risk_visualizer_vscode.py # Risk heatmap - VS Code version │ └── risk_visualizer_colab.py # Risk heatmap - Google Colab version │ ├── 07_Reports/ │ └── CEO_Security_Report_PaMaa.md # Executive summary for leadership └── README.md # This file ``` ## 背景情况 Pa Maa 完全依靠个人 (BYOD) 设备运行 —— 2 台笔记本电脑和 2 部智能手机 —— 没有固定办公场所，也没有专门的 IT 基础设施。协调工作通过 WhatsApp 进行，组织负责处理敏感的受益人数据，包括健康记录、考勤信息和捐赠者信息。 该 ISMS 的设计宗旨是**实用且无需技术团队即可实施**。每一项控制措施都针对乌干达北部小型 NGO 的现实情况进行了范围界定。 ## 风险摘要 风险评分采用 **可能性 × 影响**（每项评级 1-5）。完整方法见 [`02_Risk_Management/Risk_Assessment.md`](02_Risk_Management/Risk_Assessment.md)。 | 风险 ID | 风险 | 分数 | 等级 | |---------|------|-------|-------| | R-001 | 账户劫持 (无 MFA) | 25 | 🔴 严重 | | R-002 | 通过未加密设备窃取数据 | 20 | 🔴 严重 | | R-004 | 通过 WhatsApp / 邮件进行网络钓鱼 | 20 | 🔴 严重 | | R-006 | WhatsApp 数据泄露 | 16 | 🟠 高 | | R-003 | 数据丢失 (意外) | 16 | 🟠 高 | | R-005 | 设备丢失 / 被盗 | 15 | 🟠 高 | | R-007 | 未授权访问 (无离职流程) | 12 | 🟡 中 | **风险承受阈值：** - 🔴 20-25 = 严重 - 需立即采取行动 - 🟠 12-19 = 高 - 需在 30 天内采取行动 - 🟡 6-11 = 中 - 需在 90 天内采取行动 - 🟢 1-5 = 低 - 监控；接受 ## ISO 27001 差距分析摘要 已评估 8 项 Annex A 控制措施。完整行动计划见 [`02_Risk_Management/Gap_Analysis.md`](02_Risk_Management/Gap_Analysis.md)。 | 控制领域 | 标准 | 状态 | |---|---|---| | 事件管理 | A.16.1 | 🟢 通过 | | 意识培训 | A.7.2.2 | 🟢 通过 | | 资产管理 | A.5.9 | 🟡 部分 | | 数据处理 (WhatsApp) | A.8.2 | 🟡 部分 | | 备份与恢复 | A.8.13 | 🟡 部分 | | 访问控制 — MFA | A.9.4.2 | 🔴 失败 | | 访问控制 — 离职流程 | A.9.2.6 | 🔴 失败 | | 物理安全 | A.7.4 | 🔴 失败 | ## 正式 ISO 27001 文档 (条款 6.1.3) `02_Risk_Management/` 中包含两份正式 ISMS 文档： **适用性声明 (SoA)** - `SoA_PaMaa_ISO27001_v1.0.docx` 已评估 24 项 Annex A 控制措施。3 项控制措施被排除并附有书面理由： - 无固定办公场所（物理场所控制不适用） - 无大规模 HR 职能（HR 相关控制已排除） - 无内部 IT 基础设施（网络/服务器控制不适用） **风险处理计划 (RTP)** - `RTP_PaMaa_ISO27001_v1.0.docx` 针对所有 7 个已识别风险，记录了处理行动、ISO 控制参考、证据要求和剩余风险估计。 ## 关键策略概览 | 策略 | 要求 | |---|---| | MFA | 所有 4 个 Google 账户必须启用；Mobile Money 和手机银行需设置强 PIN | | 加密 | 所有笔记本电脑必须启用全盘加密 (BitLocker / FileVault) - 外勤出行强制要求 | | WhatsApp | 仅用于协调 - 禁止发送受益人姓名、照片、健康数据或财务详情 | | 事件报告 | 2 小时规则 - 员工必须在任何事件发生后 2 小时内通知 Sophia | | 离职流程 | 所有访问权限（Google、WhatsApp、Mobile Money、银行）需在离职后 24 小时内撤销 | | BYOD | 已获得所有设备所有者的远程擦除同意；Sophia 拥有擦除权限 | ## 资产覆盖 资产清单涵盖 4 类设备和 4 类平台/账户： - 2 台 BYOD 笔记本电脑 (PM-L-01, PM-L-02) - 2 部 BYOD 智能手机 (PM-P-01, PM-P-02) - 4 个 Google 账户（每台设备一个） - 2 个 WhatsApp 实例 - 1 个共享 Google Drive - 1 个捐赠者门户 包含敏感度分类的完整清单见 [`03_Asset_Management/Asset_Inventory.xlsx`](03_Asset_Management/Asset_Inventory.xlsx)。 ## 运行风险可视化工具 `06_Automation_Scripts/` 中的 Python 脚本可根据风险登记数据生成可视化风险热力图。 **选项 1 - VS Code (本地):** ``` pip install matplotlib seaborn pandas python 06_Automation_Scripts/risk_visualizer_vscode.py ``` **选项 2 - Google Colab (无需安装):** 将 `risk_visualizer_colab.py` 上传到新的 Colab notebook，或直接粘贴单元格并使用 `Shift + Enter` 运行。 ## v1.1 版计划 - [ ] `04_Incident_Response/Incident_Register.md` - 用于记录安全事件的日志模板 - [ ] `01_Policy_Documents/Offboarding_Checklist.md` - 独立的志愿者离职清单 (RTP-007) - [ ] 证据工件：MFA 截图、BitLocker/FileVault 验证、Find My Device 测试日志 - [ ] `02_Risk_Management/Gap_Analysis.md` 更新：反映补救后控制状态从 FAIL 变更为 PASS 的情况 ## 免责声明 本项目仅用于教育和作品集展示目的。所有受益人数据均已匿名化处理 - 本仓库中未存储任何真实个人数据。组织名称使用已获许可。

标签：AES-256, BYOD, ESC8, ISMS, ISO 27001, Markdown, meg, NGO, Python, 乌干达, 人工智能安全, 低资源环境, 信息安全, 合规性, 安全治理, 差距分析, 教育慈善, 数据隐私, 无后门, 漏洞评估, 社会工程学, 策略文档, 网络安全, 自带设备, 资产盘点, 适用性声明, 逆向工具, 防御加固, 隐私保护, 非政府组织