de1uze/compliance-gap-analysis

# 🔐 NIST 800-53 与 ISO 27001 合规性差距分析 ### AcmeCorp Fintech — GRC 投资组合项目 ## 这是什么？ 本仓库包含一个**专业的合规性差距分析**，作为 GRC 投资组合项目构建。它模拟了安全分析师或 GRC 顾问为真实客户交付的工作成果，采用企业咨询级别的写作风格，而非学术风格。 虚构主体为 **AcmeCorp**，一家位于纽约、拥有 500 名员工的金融科技初创公司，目前正准备进行首次 SOC 2 二型审计，且尚未建立正式的安全体系。 ## 场景设定 | | | |---|---| | **公司** | AcmeCorp, Inc.（虚构） | | **行业** | 金融科技（Fintech） | | **规模** | 约 500 名员工 | | **地点** | 纽约州纽约市 | | **现状** | 快速增长，尚未建立正式安全体系，准备接受 SOC 2 审计 | ## 所用框架 | 框架 | 版本 | 作用 | |-----------|---------|------| | NIST SP 800-53 | 第 5 版（2020） | 主要控制目录 | | ISO/IEC 27001 | 2022 版 | 交叉参考映射 | | SOC 2（AICPA TSC） | 2017 修订版 | 审计就绪对齐 | | NYDFS 23 NYCRR 500 | 2023 年修正案 | 监管背景 | | NIST 网络安全框架 | 2.0（2024） | 补充性风险框架 | ## 本仓库包含内容 | 文件 | 描述 | |------|-------------| | `gap-analysis-report.md` | 完整的咨询风格报告 — 范围、方法论、20 项控制发现（含风险评级）以及战略建议 | | `control-matrix.md` | 简洁的控制 ID 映射表，包含状态、差距、风险评级和修复优先级 | | `remediation-roadmap.md` | 分阶段行动计划，分为短期（0–30 天）、中期（30–90 天）和长期（90 天以上） | ## 关键发现摘要 - 共审查 **20 项控制**，涵盖 6 个 NIST 800-53 控制域 - **10 个高危差距** — 包括缺乏事件响应计划、未强制执行多因素认证、源代码仓库中存在硬编码凭证 - **7 个中危差距** — 包括审计日志不完整、缺乏资产清单、客户认证强度不足 - 已评估的控制域：**AC、AU、CM、IA、IR、RA** ## 所覆盖的控制域 | 域 | 名称 | 已审查控制项 | |--------|------|------------------| | AC | 访问控制 | AC-1、AC-2、AC-6、AC-17 | | AU | 审计与问责 | AU-2、AU-9、AU-12 | | CM | 配置管理 | CM-2、CM-6、CM-8 | | IA | 标识与认证 | IA-2、IA-5、IA-8 | | IR | 事件响应 | IR-1、IR-2、IR-4、IR-6 | | RA | 风险评估 | RA-2、RA-3、RA-5 | ## 关于 **Pratik Shringarpure** 网络安全硕士 — 叶史瓦大学，纽约（平均绩点 3.98，预计 2027 年 1 月毕业） 用途：SOC 分析师 / 安全分析师作品集 GitHub：[github.com/de1uze](https://github.com/de1uze)

标签：90天计划, GRC, ISO 27001, JSONLines, NIST 800-53, NYDFS, remediation roadmap, SOC 2, Streamlit, 企业安全, 合规差距分析, 合规报告, 多因素认证, 安全咨询, 安全治理, 审计日志, 快速赢, 控制映射, 网络资产管理, 访问控制, 金融科技, 防御加固, 零信任, 风险矩阵