Rethick-Jeganathan/iso27001-nist-risk-assessment

GitHub: Rethick-Jeganathan/iso27001-nist-risk-assessment

基于ISO 27001、NIST CSF和CIS Controls的风险评估与合规性工具。

Stars: 0 | Forks: 0

# 安全网络服务GRC风险评估 ![状态](https://img.shields.io/badge/status-completed-brightgreen) ![项目类型](https://img.shields.io/badge/type-GRC%20Assessment-blue) ![框架](https://img.shields.io/badge/frameworks-ISO%2027001%20%7C%20NIST%20CSF%202.0%20%7C%20CIS%20v8.1-orange) 为模拟网络安全咨询公司**安全网络服务**提供专业治理、风险和合规性评估。该项目评估了由隐私敏感的威胁检测、道德黑客服务、事件响应操作、第三方依赖和零信任访问要求产生的业务和安全风险。 ## 执行摘要安全网络服务为企业和政府客户提供加密、威胁检测、道德黑客和事件响应服务。评估确定了治理和合规性差距、评估了关键业务风险、将建议的控制措施映射到公认的框架，并定义了支持成熟合规计划的审计准备证据。最终交付成果包括： - 一个包含可能性、影响、固有风险、剩余风险、所有者和处理方法的12项风险登记册。 - 与ISO/IEC 27001:2022、NIST CSF 2.0、CIS Controls v8.1、NIST SP 800-61和ISO/IEC 27035的跨框架映射。 - 对高管、SOC/IR团队、DPO、法律、客户、监管机构、供应商和最终用户的利益相关者影响分析。 - 包含阶段、时间窗口、所有者和证据要求的事件响应建议。 - 覆盖MFA、RBAC、最小权限、特权访问、持续验证和审计的零信任和访问控制改进计划。 - 审计准备文档清单和实施路线图。 ## 仓库内容 | 路径 | 描述 | |---|---| | [`artifacts/report/Secure_Net_Services_GRC_Assessment_Report.pdf`](artifacts/report/Secure_Net_Services_GRC_Assessment_Report.pdf) | 最终精炼的GRC评估报告。 | | [`artifacts/report/Secure_Net_Services_GRC_Assessment_Report.docx`](artifacts/report/Secure_Net_Services_GRC_Assessment_Report.docx) | 可编辑的报告版本。 | | [`artifacts/presentation/Secure_Net_Services_Presentation.pdf`](artifacts/presentation/Secure_Net_Services_Presentation.pdf) | 演示PDF。 | | [`artifacts/presentation/Secure_Net_Services_Presentation.pptx`](artifacts/presentation/Secure_Net_Services_Presentation.pptx) | 可编辑的演示文稿。 | | [`data/risk-register.csv`](data/risk-register.csv) | 招聘友好的风险登记册摘录。 | | [`docs/framework-control-mapping.md`](docs/framework-control-mapping.md) | 框架对齐摘要。 | | [`docs/stakeholder-impact-analysis.md`](docs/stakeholder-impact-analysis.md) | 利益相关者影响和沟通模型。 | | [`docs/incident-response-recommendations.md`](docs/incident-response-recommendations.md) | 事件响应运营模型。 | | [`docs/audit-evidence-checklist.md`](docs/audit-evidence-checklist.md) | 审计准备证据清单。 | ## 应用框架 | 框架 | 使用方式 | |---|---| | ISO/IEC 27001:2022 | ISMS框架、控制所有权、风险处理、审计证据和治理要求。 | | NIST CSF 2.0 | 管理、识别、保护、检测、响应和恢复对齐。 | | CIS Controls v8.1 | 资产管理、访问控制、日志记录、漏洞管理、服务提供商管理和事件响应的实际保障措施。 | | NIST SP 800-61 | 事件响应生命周期和证据处理模型。 | | ISO/IEC 27035 | 事件管理流程对齐。 | ## 覆盖的关键风险 - 侵犯隐私的监控 - 未定义范围的道德黑客活动 - 延迟的漏洞通知 - 弱的特权访问控制 - 不完整的资产和数据清单 - 第三方/供应商暴露 - 日志记录和证据保存不足 - 未打补丁或易受攻击的系统 - 利益相关者沟通不足 - 合规性证据差距 - 安全意识差距 - 零信任实施偏差 ## 展示的技能 `GRC` `风险评估` `ISO 27001` `NIST CSF` `CIS Controls` `事件响应` `访问控制` `零信任` `利益相关者分析` `审计准备` `隐私` `第三方风险` ## 简历/LinkedIn项目描述完成了一个模拟网络安全咨询公司的治理和合规性评估，将业务风险映射到ISO/IEC 27001:2022、NIST CSF 2.0和CIS Controls v8.1。创建了一个风险登记册、利益相关者影响分析、事件响应建议、访问控制改进和审计准备文档，以支持合规计划。 ## 作者 Rethick Jeganathan 网络安全与信息安全硕士，罗斯福大学 LinkedIn:

标签：AMSI绕过, CIS Controls, ISO 27001, JSONLines, meg, NIST CSF, Streamlit, 信息安全, 利益相关者分析, 合规性框架, 合规性评估, 基于角色的访问控制, 多因素认证, 威胁检测, 安全治理, 实施路线图, 审计准备, 审计清单, 报告, 持续验证, 最小权限, 特权访问, 第三方依赖, 访问控制, 请求拦截, 逆向工具, 零信任, 风险登记册