sampurangill/information-security-management-system

# 信息安全管理体系（ISMS） ## 概述 为一家虚构的跨国咨询组织（业务覆盖英国、美国和印度）设计并开发了一套全面的信息安全管理体系（ISMS）。 本项目重点利用行业框架（包括 NIST 和 ISO 27001）进行网络安全治理、风险管理、事件响应规划、资产管理、合规要求制定以及安全政策开发。 ## 仓库内容 ### 政策 - [钓鱼意识政策](policies/phishing-awareness-policy.pdf) - [补丁管理政策](policies/patch-management-policy.pdf) ### 事件响应 - [事件响应计划](incident-response/incident-response-plan.pdf) ### 风险管理 - [风险评估摘要](risk-management/risk-assessment-summary.pdf) ### 完整文档 - [完整 ISMS 文档](Enterprise-ISMS-Project.pdf) ## 项目目标 本项目的目标是为一个模拟的跨国组织设计并记录一套结构化的信息安全管理体系，同时将行业安全框架和风险管理原则应用于真实业务场景。 ## 涵盖的关键领域 - 信息安全管理体系（ISMS）设计 - 资产识别与分类 - 风险评估与风险登记册开发 - 事件响应规划与文档编制 - 漏洞管理策略 - 补丁管理程序 - 钓鱼意识与电子邮件安全政策 - 安全监控与持续审查概念 - GDPR、CPRA、PCI DSS 和 DPDPA 合规性考量 - 与 NIST 和 ISO 27001 一致的安全控制建议 ## 应用的技术与安全概念 - 风险评估与风险处置 - 资产管理 - 安全控制与加固 - 事件响应规划 - 漏洞管理 - 安全监控概念 - 合规与治理 - 访问控制原则 - 补丁管理 - 安全意识培训 ## 框架与标准 - NIST 网络安全框架 - NIST SP 800-53 - NIST SP 800-30 - NIST SP 800-137 - ISO/IEC 27001 - CIA 三元组 - 风险管理方法论 ## 我的贡献 主要贡献包括： - 风险管理方法论与文档编制 - 事件响应生命周期规划 - 钓鱼意识与电子邮件安全政策 - 补丁管理政策与程序 - 安全控制建议 - 合规性分析与政策对齐 - 资产管理与风险评估文档编制 ## 备注 本项目作为网络安全课程和个人作品集开发的一部分，旨在展示对治理、风险管理、合规及安全运营概念的实际理解。

标签：CPRA, DPDPA, GDPR, GPT, ISMS, ISO 27001, meg, NIST框架, PCI DSS, Streamlit, 事件响应规划, 企业安全, 信息安全, 信息安全管理系统, 占用监测, 合规性管理, 合规框架, 多国组织, 安全控制, 安全控制推荐, 安全政策, 安全文档, 安全策略, 安全策略开发, 持续审查, 提示词设计, 漏洞管理, 电子邮件安全, 端点安全, 网络安全, 网络安全治理, 网络资产管理, 补丁管理, 访问控制, 资产管理, 资产识别, 钓鱼意识, 隐私保护, 风险登记册