DYasmanovych/ciso-maturity-tool
GitHub: DYasmanovych/ciso-maturity-tool
一个离线的开源安全成熟度评估仪表板,帮助团队快速定位安全控制短板并设定改进目标。
Stars: 0 | Forks: 0
# 安全成熟度评估
一个免费、开源的控制台,用于评估您的信息安全计划的成熟度,涵盖 **19 个基础流程** — 从入职培训和意识培养到事件响应、CI/CD、第三方风险管理(TPRM)和加密。
专为 CISO、安全负责人以及任何致力于安全战略的人设计,厌倦了臃肿的 GRC 工具和死板的 Excel 文件。
## 存在的意义
当您开始构建安全计划时,第一个问题总是:**我们目前处于什么阶段?**
大多数团队通过长达数周的访谈马拉松和包含 200 行的电子表格来回答这个问题,而这份电子表格几乎没人再打开第二次。此工具将同样的练习转化为一次 **1 小时的专注会议**,并提供一个您当天就可以向管理层展示的清晰可视化结果。
## 功能特性
- **19 个安全流程**,每个流程包含 5 个精心设计的问题
- **L1 → L5 成熟度等级**(初始 → 可重复 → 已定义 → 可管理 → 优化),基于 CMMI 惯例
- **交互式控制台**,包含雷达图、关键差距分析以及每个流程的详细分解
- **为每个流程设置 12 个月的目标**
- **每个问题附带备注/证据字段** — 适用于后续进行 ISO 27001 或 SOC 2 评估
- **自动保存到浏览器** — 关闭标签页后重新打开,内容仍在
- **导出/导入 JSON** 功能,便于备份和团队交接
- **打印模式**,可生成干净的 PDF 报告
- **100% 本地运行** — 数据不出浏览器,无需注册,无遥测
## 使用方法
### 单个文件,离线可用
1. 下载 `maturity-assessment-OFFLINE.html`
2. 双击在 Chrome / Safari / Firefox 中打开
3. 输入公司名称并开始评分
仅此而已。无需安装,无需联网。
## 涵盖的 19 个流程
| # | 流程 | # | 流程 |
|---|---|---|---|
| 1 | Onboarding(入职) | 11 | Endpoint Security(端点安全) |
| 2 | Offboarding(离职) | 12 | Change Management(变更管理) |
| 3 | Awareness(意识培训) | 13 | Legal Review(法务评审) |
| 4 | Technical Testing(技术测试) | 14 | Threat Intelligence(威胁情报) |
| 5 | Incident Response(事件响应) | 15 | Logging & Monitoring(日志与监控) |
| 6 | Risk Assessment(风险评估) | 16 | Data Protection & Privacy(数据保护与隐私) |
| 7 | TPRM(第三方风险管理) | 17 | Business Continuity & DR(业务连续性与灾难恢复) |
| 8 | Compliance(合规) | 18 | Physical Security(物理安全) |
| 9 | CI/CD Pipeline(CI/CD 流程) | 19 | Cryptography & Key Mgmt(加密与密钥管理) |
| 10 | Roles & Responsibilities(角色与职责) | | |
## 成熟度等级
| 等级 | 名称 | 含义 |
|---|---|---|
| **L1** | Initial(初始) | 流程混乱或根本不存在,依赖个人,反应式操作 |
| **L2** | Repeatable(可重复) | 已执行但非正式,质量取决于执行者 |
| **L3** | Defined(已定义) | 有文档、有标准化、有负责人,存在证据 |
| **L4** | Managed(可管理) | 通过指标进行度量,设有 SLA/KPI,偏差可被纠正 |
| **L5** | Optimized(优化) | 持续改进,与业务成果集成 |
## 推荐工作流程
1. **自我评分**(1–2 小时,独自完成) — 诚实面对现状,而非理想化
2. **与利益相关者验证** — IT 负责人、HR、法务、业务销售负责人。若评分存在分歧,深入分析。分歧本身即为发现项。
3. **设定 12 个月目标** — 现实目标:大多数流程达到 L3,事件响应和 CI/CD 若为安全敏感业务则争取 L4
4. **导出 JSON** 作为基线
5. **每季度重新评分** — 跟踪进展,证明计划有效
## 隐私
所有数据仅存储在浏览器的 `localStorage` 中,不会上传至任何地方。无分析、无 Cookie、无服务器。使用 **导出** 功能将数据保存为 JSON 文件备份。如需换设备,使用 **导入** 恢复。
## 贡献
如果您希望参与:
- 改进或新增问题
- 提出缺失的流程
- 翻译成其他语言
- 优化设计
请提交 Issue 或 Pull Request。
## 许可证
MIT — 可自由使用、分支与分发。
## 存在的意义
当您开始构建安全计划时,第一个问题总是:**我们目前处于什么阶段?**
大多数团队通过长达数周的访谈马拉松和包含 200 行的电子表格来回答这个问题,而这份电子表格几乎没人再打开第二次。此工具将同样的练习转化为一次 **1 小时的专注会议**,并提供一个您当天就可以向管理层展示的清晰可视化结果。
## 功能特性
- **19 个安全流程**,每个流程包含 5 个精心设计的问题
- **L1 → L5 成熟度等级**(初始 → 可重复 → 已定义 → 可管理 → 优化),基于 CMMI 惯例
- **交互式控制台**,包含雷达图、关键差距分析以及每个流程的详细分解
- **为每个流程设置 12 个月的目标**
- **每个问题附带备注/证据字段** — 适用于后续进行 ISO 27001 或 SOC 2 评估
- **自动保存到浏览器** — 关闭标签页后重新打开,内容仍在
- **导出/导入 JSON** 功能,便于备份和团队交接
- **打印模式**,可生成干净的 PDF 报告
- **100% 本地运行** — 数据不出浏览器,无需注册,无遥测
## 使用方法
### 单个文件,离线可用
1. 下载 `maturity-assessment-OFFLINE.html`
2. 双击在 Chrome / Safari / Firefox 中打开
3. 输入公司名称并开始评分
仅此而已。无需安装,无需联网。
## 涵盖的 19 个流程
| # | 流程 | # | 流程 |
|---|---|---|---|
| 1 | Onboarding(入职) | 11 | Endpoint Security(端点安全) |
| 2 | Offboarding(离职) | 12 | Change Management(变更管理) |
| 3 | Awareness(意识培训) | 13 | Legal Review(法务评审) |
| 4 | Technical Testing(技术测试) | 14 | Threat Intelligence(威胁情报) |
| 5 | Incident Response(事件响应) | 15 | Logging & Monitoring(日志与监控) |
| 6 | Risk Assessment(风险评估) | 16 | Data Protection & Privacy(数据保护与隐私) |
| 7 | TPRM(第三方风险管理) | 17 | Business Continuity & DR(业务连续性与灾难恢复) |
| 8 | Compliance(合规) | 18 | Physical Security(物理安全) |
| 9 | CI/CD Pipeline(CI/CD 流程) | 19 | Cryptography & Key Mgmt(加密与密钥管理) |
| 10 | Roles & Responsibilities(角色与职责) | | |
## 成熟度等级
| 等级 | 名称 | 含义 |
|---|---|---|
| **L1** | Initial(初始) | 流程混乱或根本不存在,依赖个人,反应式操作 |
| **L2** | Repeatable(可重复) | 已执行但非正式,质量取决于执行者 |
| **L3** | Defined(已定义) | 有文档、有标准化、有负责人,存在证据 |
| **L4** | Managed(可管理) | 通过指标进行度量,设有 SLA/KPI,偏差可被纠正 |
| **L5** | Optimized(优化) | 持续改进,与业务成果集成 |
## 推荐工作流程
1. **自我评分**(1–2 小时,独自完成) — 诚实面对现状,而非理想化
2. **与利益相关者验证** — IT 负责人、HR、法务、业务销售负责人。若评分存在分歧,深入分析。分歧本身即为发现项。
3. **设定 12 个月目标** — 现实目标:大多数流程达到 L3,事件响应和 CI/CD 若为安全敏感业务则争取 L4
4. **导出 JSON** 作为基线
5. **每季度重新评分** — 跟踪进展,证明计划有效
## 隐私
所有数据仅存储在浏览器的 `localStorage` 中,不会上传至任何地方。无分析、无 Cookie、无服务器。使用 **导出** 功能将数据保存为 JSON 文件备份。如需换设备,使用 **导入** 恢复。
## 贡献
如果您希望参与:
- 改进或新增问题
- 提出缺失的流程
- 翻译成其他语言
- 优化设计
请提交 Issue 或 Pull Request。
## 许可证
MIT — 可自由使用、分支与分发。标签:19个过程, CISO, CMMI, Excel替代, GRC, meg, SEO: 安全评估, SEO: 开源安全工具, 仪表盘, 信息安全, 免费, 入职与意识, 后端开发, 多模态安全, 安全成熟度, 安全战略, 安全过程, 密码学, 导出导入, 开源, 成熟度模型, 手动系统调用, 打印报告, 数据可视化, 浏览器本地, 离线工具, 第三方风险管理, 网络安全管理, 评估工具, 雷达图