nadhirchoudhury/GRC-Portfolio

# 👋 嗨，我是 Nadhir Choudhury ### GRC 分析师 | 从医疗专业转向网络安全的从业者 --- ## 🙋 关于我 我曾是一名手术技术员，在 **White Plains Hospital** 和 **Mount Sinai Health System** 拥有实践经验，如今正转型进入网络安全领域——专注于 **治理、风险与合规 (GRC)**。 在医疗这个监管最严格的行业之一工作多年——每天遵循 HIPAA 协议、维护审计就绪的文档、准备联合委员会检查、在高风险的手术环境中管理风险——我意识到一个重要的事实： **我早已具备 GRC 专业人员的思维方式，只是当时还没有这个头衔。** 这份作品集正是这种思维的正式证明。其中的每个项目都旨在模拟真实组织中 GRC 工作的实际操作方式——使用真实的框架、真实的交付物格式，以及应用于模拟的急症医院环境中的真实决策逻辑。 --- ## 🎓 认证资质 | 认证 | 颁发机构 | 状态 | 年份 | | :--- | :--- | :--- | :--- | | CompTIA Security+ | CompTIA | ✅ 已完成 | 2026 | | ISO/IEC 27001:2022 主任审核员 | Mastermind Assurance | ✅ 已完成 | 2026 | | AI 安全与治理 | Securiti | ✅ 已完成 | 2026 | | GRC 基础 | Packt / Coursera | ✅ 已完成 | 2026 | --- ## 🛠️ 专业技能 **GRC 与合规** 风险登记册编制 · 差距评估 · 策略编写 · HIPAA 合规 · NIST CSF · ISO 27001 · SOC 2 · 审计准备 · 证据收集 · 供应商风险评估 · 事件响应规划 · 第三方风险管理 · 整改路线图制定 · 高管风险报告 **框架与标准** NIST 网络安全框架 (CSF 2.0) · NIST SP 800-53 · ISO 27001/27002 · ISO 31000 · HIPAA 安全规则 · HIPAA 隐私规则 · HIPAA 泄露通知规则 · SOC 2 · COBIT · GDPR · PCI DSS **医疗与监管** HIPAA 隐私规则 · HIPAA 安全规则 · 联合委员会标准 · PHI 处理 · 临床文档 · 手术规程合规 · 审计就绪状态 **GRC 工具（学术/概念层面）** ServiceNow GRC · Vanta · Archer · JIRA **生产力与文档工具** Microsoft Excel · Microsoft Word · Google Workspace · GitHub --- ## 📁 作品集项目 ### 🏥 项目 1 — 网络安全风险登记册 为 White Plains Hospital（模拟）编制的完整风险登记册，识别了 **15 项网络安全风险**，并根据可能性和影响进行评分，制定了与 NIST CSF 和 HIPAA 安全规则相一致的应对计划。 **展示的技能：** 风险识别 · 可能性×影响评分 · 风险应对策略 · 风险登记册维护 · NIST CSF 对齐 · HIPAA 安全规则 · 高管风险摘要 · 风险热力图 📂 [查看项目](https://github.com/nadhirchoudhury/GRC-Portfolio/blob/main/01-Risk-Register) ### 📋 项目 2 — 信息安全策略套件 一套专业的策略套件，包括可接受使用策略、密码策略和数据分类策略——采用策略层级结构构建，并与 HIPAA 行政保障措施及 ISO 27001 相对齐。 **展示的技能：** 策略编写 · 策略层级 · HIPAA 行政保障措施 · ISO 27001 对齐 · 标准与流程 · 文档管理 📂 [查看项目](https://github.com/nadhirchoudhury/GRC-Portfolio/blob/main/02-Security-Policies) ### 🔍 项目 3 — HIPAA 安全规则差距评估 针对 White Plains Hospital（模拟）与 **36 项 HIPAA 安全规则实施规范** 进行的结构化差距评估——识别合规差距，并附带了优先排序的整改路线图和高管仪表板。 **展示的技能：** 差距评估方法论 · HIPAA 安全规则 · 合规跟踪 · 整改规划 · 审计准备 · 高管仪表板报告 📂 [查看项目](https://github.com/nadhirchoudhury/GRC-Portfolio/blob/main/03-HIPAA-Gap-Assessment) ### 🤝 项目 4 — 供应商风险评估 对一家医疗 IT 供应商进行的完整第三方风险评估——包括一份 **36 个问题的安全问卷**、跨 **7 个类别** 的风险评分、BAA 要求审查，以及一份正式的书面建议报告。 **展示的技能：** 第三方风险管理 · 供应商问卷设计 · 风险评分 · BAA 要求 · SOC 2 审查 · 正式风险报告 📂 [查看项目](https://github.com/nadhirchoudhury/GRC-Portfolio/blob/main/04-Vendor-Risk-Assessment) ### 🚨 项目 5 — 事件响应计划 一份网络安全事件响应计划，涵盖勒索软件和患者数据泄露场景——包括 **6 阶段响应程序**、IRT 角色与职责、HIPAA 泄露通知规则要求，以及与 NIST SP 800-61 对齐的桌面演练指南。 **展示的技能：** 事件响应规划 · NIST SP 800-61 · HIPAA 泄露通知规则 · IRT 角色与职责 · 沟通规划 · 经验教训文档化 📂 [查看项目](https://github.com/nadhirchoudhury/GRC-Portfolio/blob/main/05-Incident-Response-Plan) --- ## 💼 我能为 GRC 团队带来什么 | 医疗经验 | 对应到 GRC 的能力 | | :--- | :--- | | 一丝不苟地遵循无菌区域操作规程 | 控制遵从性与策略合规性 | | 手术清点记录——准确、有签名、有时间戳 | 证据收集与审计跟踪维护 | | 术前“暂停”核对流程 | 风险评估与任务前风险识别 | | 准备联合委员会检查 | 审计就绪状态与差距评估 | | 每日接受 HIPAA 培训并处理 PHI | 医疗隐私合规——亲身实践，而非仅仅理论 | | 在高压下进行高风险决策 | 风险优先级排序与上报判断 | | 临床事件报告与根本原因分析 | 事件响应与经验教训文档化 | --- ## 🎯 职业目标 我正在积极寻求以下入门级职位： - **GRC 分析师** - **合规分析师** - **风险分析师** - **医疗合规分析师** - **信息安全分析师** **感兴趣的行业：** 医疗 · 健康保险 · 医疗 IT · 科技 · 金融 工作模式：远程 · 混合办公 · 现场办公（纽约大都会区） --- ## 📊 当前在建内容 - 📖 AI 治理与 AI 风险管理知识库——正在梳理 NIST AI RMF 和新兴的欧盟人工智能法案要求 - 🛠️ GRC 工具动手实践——ServiceNow GRC、Vanta 以及基于 Excel 的风险管理流程 - 📁 作品集扩展——业务连续性计划 (BCP) 和 AI 治理策略正在开发中 --- ## 📬 联系我 - 💼 [](https://www.linkedin.com/in/nadhir-choudhury-48a1a3377/) --- ⚠️ **免责声明：** 本作品集中的所有文档和项目仅用于学习和演示目的。所有数据、名称、组织和场景均为虚构。这些材料不应用于任何实际生产环境。 *怀着目标而构建。这里的每份文档都代表着真正的学习、真正的思考，以及对这个职业道路的真正承诺。*

标签：COBIT, ESC漏洞, GDPR, GRC, GRC分析师, HIPAA合规, ISO 27001, NIST CSF, PCI DSS, SOC 2, 事件响应计划, 事件管理, 供应商风险评估, 医疗健康, 医疗法规, 医疗网络安全, 合规框架, 合规管理, 安全政策, 审计准备, 差距评估, 政策制定, 模拟环境, 治理风险与合规, 第三方风险管理, 网络安全, 认证安全, 证据收集, 隐私保护, 风险登记