liyopp/bcdr-security-awareness-program

# BCDR & 安全意识计划 **MedBridge Supply Co.** 为中型医疗供应链科技公司量身定制的实用业务连续性、灾难恢复和安全意识计划。该项目是 [GRC 程序入门套件](https://github.com/liyopp/grc-program-starter-kit) 的操作伴侣——在那里，该存储库建立了治理框架，而本项目则将其具体化。 MedBridge Supply Co. 运营一个用于医院、长期护理设施和医疗网络的 SaaS 电子采购平台（约 300 名员工，威斯康星州密尔沃基）。 ## 存储库内容 | 文件 | 描述 | 框架 | |------|-------------|-----------| | `tabletop-exercise-runbook.md` | 带有注入时间线和总结的全套勒索软件桌面演习场景 | NIST 800-61 / NIST CSF 应对 | | `bcdr-plan-template.md` | 带有 RTO/RPO 定义的业务连续性和灾难恢复计划 | NIST CSF 恢复 / ISO 22301 | | `incident-response-playbook.md` | 覆盖勒索软件、数据泄露和未授权访问的 IR 操练手册 | NIST 800-61 | | `security-awareness-metrics.md` | 用于跟踪钓鱼模拟和培训计划有效性的仪表板设计 | NIST CSF 保护 | | `grc-metrics-dashboard.md` | 针对领导和技术受众的 GRC 指标仪表板设计 | NIST CSF / SOC 2 | | `phishing-awareness-policy.md` | 组织钓鱼意识模拟计划政策 | NIST CSF / ISO 27001 A.6.3 | ## 这些文件如何连接 本计划旨在作为一个集成系统使用： 1. 根据钓鱼意识政策，每月运行一次 **钓鱼模拟** 2. 结果输入到 **安全意识指标** 仪表板 3. 当检测到事件时，激活 **事件响应操练手册** 4. 如果事件威胁到业务连续性，则调用 **BCDR 计划** 5. 在实际事件发生之前，**桌面演习** 每年测试上述所有内容 6. 所有发现和差距都在 **GRC 指标仪表板** 中呈现，供领导审查 ## 关于 MedBridge Supply Co. **行业：** 医疗供应链技术 **规模：** 约 300 名员工 **平台：** 医疗采购的 SaaS 电子采购系统 **处理的数据：** PHI 相关采购数据、供应商 PII、合同和财务数据 **合规驱动因素：** SOC 2 Type II（进行中）、HIPAA 相关义务 **BCDR 成熟度：** 从零开始构建——计划开始时没有文档化的 BCP 或 DR 计划 ## 参考框架 - **NIST SP 800-61 Rev 2** — 计算机安全事件处理指南 - **NIST 网络安全框架 (CSF) 2.0** — 应对和恢复功能 - **ISO/IEC 22301:2019** — 业务连续性管理 - **ISO/IEC 27001:2022** — 附录 A.6.3（意识）、A.5.24–5.28（事件管理） - **CISA 桌面演习指南** — 场景设计和促进 ## 伴侣项目 此存储库是两阶段 GRC 投资组合的第二部分： - **第一部分：** [GRC 程序入门套件](https://github.com/liyopp/grc-program-starter-kit) — NIST CSF 漏洞评估、风险登记册、控制映射、POA&M、供应商风险调查问卷 - **第二部分：** 此存储库 — BCDR 规划、事件响应和安全意识操作 ## 作者 **李约帕** | 威斯康星州密尔沃基 SANS 网络学院学者——GRC、风险管理、网络安全重点 微软认证：Azure 基础（AZ-900） [LinkedIn](https://www.linkedin.com/in/liy0/) | [GitHub](https://github.com/liyopp)

标签：GRC, ISO标准, NIST框架, SaaS平台, 业务连续性, 人工智能安全, 勒索软件, 医疗供应链, 合规性, 合规性指标, 安全培训, 安全意识, 安全意识提升, 安全策略, 库, 应急响应, 技术栈, 指标仪表盘, 提示词设计, 操作手册, 桌面演练, 治理, 灾难恢复, 电子采购, 网络安全, 防御加固, 隐私保护