darcybracken/isms-nist-csf-fincorp
GitHub: darcybracken/isms-nist-csf-fincorp
一个模拟金融组织的完整 NIST CSF 2.0 ISMS 示例,解决如何以结构化、可审计的方式实现跨框架合规的问题。
Stars: 0 | Forks: 0
# ISMS 组合项目:NIST CSF 2.0
### 由 D'Arcy Bracken 创建 | 网络安全与信息保障,WGU
## 这是什么
一个从头开始构建的学生 **信息安全管理系统(ISMS)**,适用于模拟金融服务组织(FinCorp),并符合 **NIST 网络安全框架 2.0**(2024 年 2 月)。
本项目回答一个实际问题:*以结构化、可审计的方式保护组织数据究竟需要做些什么?*
最终成果是一套完整的文档包,包括治理政策、控制映射、架构图和事件响应程序,结构方式符合 GRC 分析师在真实组织中的构建方式。
## 模拟组织
| Field | Value |
|-------|-------|
| **Organization** | FinCorp(模拟组织) |
| **Industry** | 金融服务 |
| **Size** | 200 名员工 |
| **Regulatory Environment** | SOC 2、GLBA 保障规则 |
| **Data Sensitivity** | 个人身份信息(PII)、财务记录、内部通信 |
| **IT Environment** | 混合本地部署 + AWS、Microsoft 365 |
| **Risk Appetite** | 低 / 保守 |
## 架构概述
下图展示了数据如何在 FinCorp 的四个安全区域中流动,并在每个强制点叠加了 NIST CSF 2.0 控制措施。
FinCorp 数据流架构 NIST CSF 2.0 控制叠加
## 已构建内容
| Artifact | Purpose | NIST Function |
|----------|---------|---------------|
| [Acceptable Use Policy](01_Governance/Acceptable-use-policy.md) | 定义可接受行为、数据处理和禁止活动 | Govern (GV) |
| [RACI Matrix](01_Governance/Roles/RACI-Matrix.md) | 为 14 项安全活动和 6 个角色分配职责 | Govern (GV) |
| [NIST CSF Master Crosswalk](02_Framework-Mapping/NIST-CSF-Master-Crosswalk.md) | 将每个控制项映射到 NIST 子类别,并关联 SOC 2、ISO 27001 和 GLBA | 所有 6 个功能 |
| [Data Flow Architecture](03_Architecture/Architecture-Index.md) | 包含四个区域的 DFD,在每个边界和控制点叠加 NIST 控制 | Identify, Protect |
| [Incident Response Plan](04_Incident-Response/Incident-Response-Plan.md) | 六阶段响应生命周期(NIST SP 800-61)、严重性矩阵、证据链保管 | Respond, Recover |
| [Ransomware Playbook](04_Incident-Response/Incident-Response-Playbook-Ransomware.md) | 场景化流程: containment、eradication、recovery、赎金决策框架 | Respond, Recover |
| [Gap Analysis & Findings](05_Remediation-Findings/Findings-Summary.md) | 采用 POA&M 方式跟踪所有六个 NIST 功能的差距 | 所有 6 个功能 |
| [Policy Review Cadence](06_Templates/Policy-Review-Cadence-2026.md) | 季度审查计划,PDCA 改进周期 | Govern (GV) |
## 涵盖的框架
| Framework | How It's Applied |
|-----------|-----------------|
| **NIST CSF 2.0** | 所有六个功能(治理、识别、保护、检测、响应、恢复)的主要框架 |
| **NIST SP 800-61 Rev. 2** | 事件响应生命周期结构 |
| **SOC 2 (AICPA TSC 2017)** | 在主交叉对照表中交叉引用 |
| **ISO 27001** | 在主交叉对照表中交叉引用 |
| **GLBA Safeguards Rule** | 驱动模拟组织 ISMS 要求的监管因素 |
## 仓库结构
```
├── 00_Project-Overview/ # Scope, methodology, mock org context
├── 01_Governance/ # AUP, RACI Matrix, risk appetite
├── 02_Framework-Mapping/ # NIST CSF Master Crosswalk (all 6 functions)
├── 03_Architecture/ # Data Flow Diagram with control overlay
├── 04_Incident-Response/ # IRP + Ransomware Playbook
├── 05_Remediation-Findings/ # Gap analysis, POA&M, lessons learned
├── 06_Templates/ # Policy review cadence, reusable templates
└── 99_Attachments/ # Exported diagrams and evidence
```
## 关键设计决策
**Governance before controls.** 项目中的每个文档都追溯到风险承受能力陈述和组织上下文。控制措施的存在是为了服务治理,而不是相反。
**One ISMS, multiple frameworks.** 主交叉对照表表明,一个构建良好的控制程序可以同时满足 NIST CSF、SOC 2、ISO 27001 和 GLBA 合规性,关键在于映射,而非重建。
**Audit-ready documentation.** 每个策略都包含带有版本、作者、NIST 映射和状态的 YAML 前置元数据。每个控制项在交叉对照表中都有对应的证据链接。审计人员可以不离开代码库,从风险承受能力 → 策略 → 控制项 → 证据完整追踪。
## 关于
**D'Arcy Bracken**
B.S. Cybersecurity and Information Assurance, Western Governors University(进行中)
CompTIA A+ 认证 | 备考 Security+
[LinkedIn](https://linkedin.com/in/darcyvbracken)
标签:AWS, DFD, DPI, FinCorp, GLBA, GRC, ISMS, ISO 27001, JSONLines, Microsoft 365, NIST CSF 2.0, PII, ProjectDiscovery, SOC 2, Streamlit, 信息安全管理, 可用性, 合规, 备份与恢复, 安全控制映射, 安全架构, 完整性, 审计, 提示词模板, 数据保护, 数据流图, 机密性, 治理政策, 混合云, 监管合规, 网络安全框架, 访问控制, 金融服务业, 金融行业, 防御加固, 零信任