sarah-eid/grc-portfolio

# GRC 作品集 - CS3178 | 2026 年春季 **课程：** 治理、风险与合规 (CS3178) **学生：** Sarah Eid **机构：** Effat University **学期：** 2026 年春季 ## 课程概述 本作品集记录了我在治理、风险与合规 (GRC) 方面的实践工作，重点关注现实世界中的网络安全框架选择、事件响应、风险评估和法规合规。课程内容强调实际决策而非死记硬背，模拟真实的组织挑战。 ### 主要学习领域 - **治理：** 决策权、监督结构和绩效衡量 (COBIT) - **风险管理：** 风险识别、评估、处置和登记册维护 (ISO 31000, NIST RMF) - **合规：** KSA 框架下的监管义务 (NCA ECC, SAMA CSF, PDPL) - **事件响应：** 将 NIST SP 800-61 生命周期应用于真实的违规场景 - **框架整合：** 结合 NIST CSF、ISO 27001、CIS Controls 和 COBIT ## 📁 仓库结构 ``` grc-portfolio/ ├── README.md # This file ├── labs/ │ ├── lab01-frameworks-selection/ │ │ └── lab01.md │ ├── lab02-ciso-assistant-setup/ │ │ ├── lab02.md │ │ └── screenshots/ │ └── lab03-ksa-compliance-cycle/ │ └── lab03.md ├── assignments/ │ ├── assignment1-incident-response/ │ │ └── assignment1.md │ └── assignment2-risk-assessment/ │ └── assignment2.md ├── final-project/ │ └── (to be added) └── frameworks-cheatsheet.md ``` ## 实验 ### 实验 01：网络安全框架选择与事件压力测试 **目标：** 为真实组织选择并论证框架组合，然后通过突发事件进行压力测试。 **场景：** 拥有云原生架构的金融科技初创公司，负责处理 PII 和支付数据 **选择的框架组合：** | 框架 | 角色 | |-----------|------| | NIST CSF | 面向领导层的计划沟通图 | | ISO 27001 | 管理体系规范与审计准备 | | CIS Controls | 技术控制优先级排序 | | COBIT | 治理包装器（决策权、指标） | **核心见解：** 仅使用单一框架会在战略、控制和问责之间产生差距。整合需要一个统一的风险登记册，在 COBIT 的监督下，将 CIS Controls 和 ISO 证据关联到 NIST CSF 的结果中。 **事件压力测试（供应商违规）：** 跨越所有四个框架的三个可执行响应及证据要求。 ### 实验 02：CISO Assistant 平台部署 **目标：** 使用 Docker 在本地部署并验证 CISO Assistant 社区版。 **技术栈：** - Docker 容器化（前端、后端、数据库、代理） - 本地 HTTPS 部署 (https://localhost:8443/) - 多服务编排 **反思：** Docker 无需手动配置即可实现一致的部署。现实世界中的挑战包括端口冲突、证书警告和 RAM 限制。 ### 实验 03：KSA 网络安全框架与合规周期 **目标：** 使用 CISO Assistant 将 KSA 监管要求应用于真实场景。 **场景：** KSA 银行推出移动银行业务功能（客户注册 + 交易访问） **应用的框架：** - SAMA Cybersecurity Framework（针对银行业的特定行业标准） - NCA Essential Cybersecurity Controls（国家基线） - PDPL（针对个人数据的数据隐私保护层） **评估输出：** 评估了 10 项要求，涵盖不同状态（合规 / 部分合规 / 不合规）并附有证据说明。 **主要发现：** 系统处于部分合规状态 —— 领导层和身份验证工作已完成，但在发布前，日志记录、监控和事件响应仍需完善。 ## 作业 ### 作业 1：事件管理与响应 — MedCore Health Systems **场景：** 勒索软件攻击伴随数据泄露 (47 GB)，影响沙特阿拉伯的 5 家医院、280,000 名患者，且备份被蓄意清除。 **关键交付物：** | 问题 | 重点 | |----------|-------| | Q1 | 事件分类（勒索软件 + 违规 + 未经授权的访问）—— 基于 CIA 三要素判定为严重级别 | | Q2 | 映射到案例事实的 NIST SP 800-61 生命周期（6 个阶段） | | Q3 | 监管通知：NCA（2 小时）、SDAIA（72 小时）、SHIC（24 小时） | | Q4 | 勒索支付简报 —— 建议：不予支付（法律、运营、声誉分析） | | Q5 | 事件后报告部分 + 5 项控制改进 + 风险登记册更新 | | Q6 | GRC 支柱失效：治理（无上报策略）、风险（无备份验证）、合规（无网络分段） | **识别出的关键控制改进：** - 防钓鱼 MFA + 每月模拟演练 - 具有每周恢复测试的离线不可变备份 - 网络分段（零信任架构） - 7x24 小时特权账户监控 ### 作业 2：风险评估 — FinBridge Digital **场景：** 位于利雅得的金融科技公司（420 名员工，95k 名客户），需履行 SAMA、NCA、PDPL 和 PCI-DSS 义务。新任 CISO 发现了重大的安全漏洞。 **风险评估方法论：** 半定量（基于 NIST SP 800-30 风格）—— 专为满足监管要求、董事会级别的清晰度以及实际的资源限制而选择。 **记录在风险登记册中的前 5 大风险：** | 风险 ID | 描述 | 评分 | 级别 | 处理措施 | |---------|-------------|-------|-------|-----------| | R-001 | 包含 2,400 条真实客户记录的公开 S3 存储桶 | 25 | 严重 | 立即限制访问 + 自动化每周扫描 | | R-002 | 不完整的离职流程（离职后 AD 账户仍处于活动状态 7-21 天） | 16 | 高 | 自动化离职 Playbook + 季度审查 | | R-003 | 未启用 MFA 的 AWS root 账户 | 25 | 严重 | 立即启用 MFA + 碎玻璃应急程序 | | R-004 | BI 供应商（英国）持有可重新识别的数据，无风险评估 | 15 | 高 | 供应商评估 + 符合 PDPL 的 DPA + SOC 2 Type II | | R-005 | 35% 的员工拥有不必要的 admin 特权 | 16 | 高 | 基于角色的访问审查 + PAM 实施 | **监管分析：** - **SAMA CSF 违规：** 特权访问无 MFA，无访问审查，缺少云安全控制 - **PDPL 影响：** 2,400 条记录的 S3 暴露 = 应报告的违规行为（需在 72 小时内向 SDAIA 发出通知） **设计的风险治理框架：** - 每周最高风险审查 (CISO) - 每月全面登记册审查 - 季度董事会报告 - 严重风险上报：24 小时内通知 CEO → 48 小时内通知董事会 ## 引用的框架与法规 ### 国际框架 | 框架 | 应用 | |-----------|-------------| | NIST CSF | 计划结构与成熟度沟通 | | NIST SP 800-61 | 事件响应生命周期 | | NIST SP 800-30 | 风险评估方法论 | | ISO 27001 | ISMS，审计准备，风险处置 | | ISO 27035 | 事件管理 | | ISO 31000 | 风险管理原则 | | CIS Controls v8 | 技术控制优先级排序 | | COBIT 2019 | 治理，决策权，指标 | ### KSA 监管框架 | 框架 | 适用性 | |-----------|---------------| | NCA ECC-1:2018 | 国家网络安全基线 | | SAMA CSF | 金融行业（银行与金融科技） | | PDPL (Royal Decree M/19) | 个人数据保护与违规通知 | | SHIC Guidelines | 健康数据保护 | ### 行业标准 - PCI-DSS v4.0（支付处理） - SOC 2 Type II（供应商保证） ## 使用的工具 - **CISO Assistant Community** — 合规与风险管理平台 - **Docker** — 容器化部署 ## 展示的关键技能 | 技能领域 | 具体能力 | |------------|----------------------| | **框架整合** | 结合 NIST CSF、ISO 27001、CIS Controls、COBIT 以实现全面覆盖 | | **事件响应** | 完整的 NIST 800-61 生命周期应用，监管通知时间表，勒索决策分析 | | **风险评估** | 半定量评分，风险登记册创建，处理计划（缓解/规避/转移/接受） | | **监管合规** | 针对特定 KSA 的：NCA ECC, SAMA CSF, PDPL, SHIC —— 附带具体条款参考 | | **GRC 整合** | 连接治理 (COBIT)、风险 (ISO 31000) 和合规（监管）支柱 | | **基于证据的保证** | 定义证据要求（日志、报告、截图、测试记录） | ## 反思 本课程将我对网络安全的理解从纯粹的单一技术控制转变为综合的 GRC 学科。主要收获： 1. **单一框架是不够的** —— 真实的组织需要量身定制的组合 2. **事件响应 90% 在于准备** —— MedCore 之所以失败，是因为他们缺乏基本的 IR 计划和备份验证 3. **风险登记册是动态文档** —— 必须定期审查，而不是创建一次就被遗忘 4. **监管合规推动实施** —— SAMA CSF 和 PDPL 产生了可强制执行的义务，而不仅仅是建议 5. **证据就是一切** —— 除非你能证明，否则一项控制措施就不算合规 ## 学术诚信声明 本作品集代表我在 CS3178 课程中的原创工作。所有框架、法规和案例场景均属于以下情况： - 由课程提供用于学术练习，或 - 公开的监管文件 不包含任何机密或真实的组织数据。截图仅来自本地实验环境。 *最后更新：2026 年春季*

标签：CIS Controls, CISO Assistant, COBIT, GRC, ISO 27001, ISO 31000, KSA网络安全, meg, NCA ECC, NIST CSF, NIST SP 800-61, PDPL, PII保护, SAMA CSF, 信息安全, 决策制定, 合规评估, 大学课程作业, 安全教育, 框架集成, 治理、风险与合规, 网络安全合规, 网络安全实践, 网络安全框架, 请求拦截, 金融科技安全, 风险登记册