rranjithh/Old-projects

# 🔐 GRC 项目作品集 — Ranjith R **GRC 分析师 | 风险与合规 | IT 治理** 📍 印度泰米尔纳德邦哥印拜陀 📧 rranjithh16@gmail.com | 📞 +91 8072882285 🔗 [LinkedIn](https://www.linkedin.com/in/[add-your-url]) | 📄 [简历](./Ranjith_R_GRC_Analyst_Resume.pdf) ## 👨‍💼 关于我 专注于 GRC 的专业人士，在电子出版行业拥有 **6 年以上的项目管理经验**，目前正有针对性地向网络安全治理、风险与合规领域转型。通过一系列真实的、端到端的模拟项目，我在风险评估、ISO 27001 ISMS 实施、事件响应规划和供应商风险管理方面积累了丰富的实践经验。 我的项目管理背景让我在 GRC 工作中更具实操优势：我深谙利益相关者沟通、审计文档记录、跨职能协调和流程治理——正是这些运营技能将高效的 GRC 从业者与纯技术人员区分开来。 **框架：** ISO 27001:2022 | NIST CSF 2.0 | NIST SP 800-61 | ISO 27035 | DPDP Act 2023 (印度) | SOC 2 | ITGC ## 📊 作品集项目 ### 🔹 项目 1：风险评估与风险登记册 **虚拟公司：** BrightPay Fintech (SaaS) | **完成时间：** 2025-2026 **目标：** 对一家虚拟的金融科技 SaaS 公司执行端到端的风险评估，并生成一份经过优先级排序的、可执行的风险登记册。 **我所做的工作：** - 对识别出的 10 个风险场景（数据泄露、勒索软件、内部威胁、供应商故障等）应用了 5×5 可能性 × 影响力评分模型 - 构建了一个带有热力图可视化的颜色编码 Excel 风险登记册，用于高管级别的汇报 - 为每项风险选择并映射了控制措施：MFA、静态/传输中加密、WAF、RBAC 以及补丁管理 - 指定了风险负责人，并定义了季度审查触发条件 **成果：** 在实施控制措施后，残余风险评分从平均 18/25 降至约 10/25——代表风险登记册中的高风险暴露降低了约 60%。 **展示的核心技能：** 风险评分方法论、Excel 风险登记册、热力图、控制映射、残余风险计算 ### 🔹 项目 2：ISO 27001 ISMS 实施 **虚拟公司：** CloudVault SaaS (虚拟) | **完成时间：** 2025 - 2026 **目标：** 为一家虚拟的云 SaaS 提供商设计并记录符合 ISO 27001:2022 标准的 ISMS，包括全面的差距分析和适用性声明。 **我所做的工作：** - 跨越 ISO 27001:2022 Annex A 的控制域，逐条执行了差距分析 - 识别出访问管理、供应商关系和事件处理领域的 12 项控制差距 - 编制了适用性声明，并提供了每项控制措施纳入或排除的理由 - 制定了包含时间表、负责人和优先级分层的补救路线图 - 起草了三项核心政策：访问控制策略、事件响应策略和 HR 安全策略 **成果：** 控制措施实施后，差距数量从 12 个减少到 4 个（高优先级合规差距减少了约 70%）。路线图为现实的 6 个月认证准备就绪时间表进行了结构化规划。 **展示的核心技能：** ISO 27001:2022 Annex A、差距分析、SoA、政策制定、补救规划 ### 🔹 项目 3：事件响应计划 **虚拟公司：** NovaPay SaaS (虚拟) | **完成时间：** 2025-2026 **目标：** 开发完整的事件响应生命周期，并通过模拟的勒索软件桌面演练进行验证。 **我所做的工作：** - 设计了同时符合 ISO 27035 和 NIST SP 800-61 标准的完整 IR 生命周期：准备 → 检测 → 遏制 → 根除 → 恢复 → 经验教训 - 定义了四个严重级别 (P1–P4) 及其响应 SLA 和上报阈值 - 创建了 RACI 矩阵，在安全、IT、法务和执行团队中分配角色 - 为三种场景类型开发了操作手册：勒索软件、网络钓鱼和数据泄露 - 对勒索软件攻击进行了桌面模拟，并记录了发现结果 **成果：** 与未经协调的响应相比，预估 MTTR 改善了约 50%，这是通过建立预先批准的决策、明确的升级路径和文档化的遏制程序实现的。识别并解决了沟通和证据保存方面的关键差距。 **展示的核心技能：** IR 生命周期、操作手册设计、严重性分类、RACI、桌面演练引导、MTTR 分析 ### 🔹 项目 4：供应商风险评估 **虚拟公司：** TrustLine SaaS (虚拟) | **完成时间：** 2025-2026 **目标：** 构建供应商风险评估框架，并评估处于不同风险级别的三家供应商。 **我所做的工作：** - 开发了一份包含 20 个问题的供应商安全调查问卷，涵盖数据处理、访问控制、事件响应能力、业务连续性和监管合规性（包括针对印度供应商的 DPDP Act 2023 要求） - 创建了一个 0-100 的评分模型，带有加权类别和自动风险等级分配（高/中/低） - 评估了三家虚拟供应商，并生成了各自的风险评分卡 - 为高风险供应商推荐了合同控制措施（审计权条款、违规通知 SLA、数据处理协议） - 定义了重新评估的触发条件：年度周期 + 发生违规或重大合同变更时的事件触发审查 - 将供应商风险发现整合到企业风险登记册中 **成果：** 所有三个供应商均被分类并分配了后续行动。框架设计具有可重复性和可扩展性，适用于其他供应商而无需返工。 **展示的核心技能：** 供应商风险框架设计、安全调查问卷、评分模型、第三方风险管理、DPDP Act 2023 意识 ## 🛠️ 核心技能 | GRC 与合规 | 技术技能 | 软技能 | |---|---|---| | ISO 27001:2022 (ISMS, Annex A, SoA) | Excel (风险登记册, 热力图) | 利益相关者沟通 | | NIST CSF 2.0 & SP 800-61 | GitHub 文档记录 | 审计文档记录 | | DPDP Act 2023 (印度) | 控制测试 (DOE/OE) | 跨职能协调 | | ITGC 控制与审计支持 | 供应商风险评分 | 流程治理 | | 事件响应生命周期 | 政策与程序起草 | 风险负责人管理 | ## 📜 认证与培训 | 认证 | 状态 | |---|---| | Google 网络安全专业证书 | ✅ 已完成 | | CCNA — Refinement Software Solutions | ✅ 已完成 | | ISC2 Certified in Cybersecurity (CC) | 📚 课程已完成 — 待考试 | | CompTIA Security+ | 📚 课程已完成 — 待考试 | | ISC2 CC 预评估 | 未经事先准备得分 93% | ## 💼 专业背景 在电子出版领域拥有 **6 年以上的项目管理经验**，服务对象涵盖学术、科学和商业出版领域的全球客户。 曾任职于 **Perfect Digital Media Resources**、**Straive** 和 **TNQ Technologies**——负责管理多利益相关者项目、供应商协调、SLA 合规、审计文档记录和大规模质量治理。 这一背景可直接转化为 GRC 工作：项目文档记录、风险日志、利益相关者报告、供应商管理和审计准备都是这两个领域的日常职能。 *本作品集持续更新中。新项目完成后将及时添加。*

标签：CISA项目, Fintech安全, GRC, ISO 27001, ISO 27001:2022, ISO 27035, ITGC, IT治理, IT项目管理, Linux 内核安全, MFA, NIST CSF 2.0, NIST SP 800-61, RBAC, SaaS安全, SOC 2, WAF, 供应商风险管理, 印度DPDP法案, 合规, 审计, 库, 应急响应, 控制措施映射, 提示词模板, 数据加密, 端点安全, 网络安全, 补丁管理, 隐私保护, 项目管理, 风险登记册