Isaac-of-ATCo/grc_portfolio

# GRC 作品集 — Isaac Kahiri **GRC 分析师 | 意义治疗师 | CC | CompTIA Security+** 我是 Isaac Kahiri —— GRC 分析师、意义治疗师和心理咨询师。 我研究为什么组织会辜负其员工，以及为什么员工无法遵守他们的控制措施。大多数合规失效并不是技术问题，而是人为问题。我撰写关于这一交叉领域的文章。 本作品集通过治理、风险和人类行为的视角记录了真实的安全事件。 ## 目录 | 部分 | 状态 | 描述 | |---|---|---| | [案例研究](#case-studies) | 进行中 | 针对真实安全事件的结构化 GRC 分析 | | 策略模板 | 即将推出 | 符合 HIPAA、NIST CSF 和 HICP 标准并带有注释的策略模板 | | 差距分析 | 即将推出 | 针对不同环境的基于框架的差距分析演练 | | 实验笔记 | 即将推出 | 关于云安全、检测工程和控制设计的观察记录 | ## 案例研究 | 标题 | 日期 | 影响规模 | 框架 | |---|---|---|---| | [Episource LLC 勒索软件攻击 (2025)](case-studies/episource-grc-analysis.md) | 2025 年 6 月 | 5,418,866 人 | NIST CSF 2.0、HIPAA、MITRE ATT&CK、HICP | ## 方法论说明 本作品集中的所有案例研究均完全基于公开信息——违规通知、监管文件、新闻报道、政府信函以及官方框架文档。分析通过 GRC 视角进行，并作为展示应用分析判断能力的作品呈现。不包含任何专有信息、客户数据或机密调查结果。在信息未经公开确认的情况下，相关的推断会被明确标记。此项工作的目的是展示 GRC 分析师的思维方式——即监管要求、框架控制措施和治理结构如何与真实的事件事实相互作用——而不是对法律责任或组织意图做出最终结论。 *联系方式：Isaac-of-ATCo* *认证：Certified in Cybersecurity (CC) — ISC2 | CompTIA Security+* *面向全球开放的 GRC 职位 - 远程或坐班*

标签：GRC, HICP, HIPAA, meg, NIST CSF 2.0, 事件响应分析, 人为因素安全, 企业风险管理, 信息安全, 勒索软件攻击, 医疗数据安全, 安全合规分析师, 安全意识, 安全策略, 差距分析, 心理动力学, 控制设计, 提示词设计, 政策模板, 框架对标, 案例分析, 治理风险与合规, 网络安全日志, 行为心理学, 防御加固