AlanP13/Governance-as-the-Integration-Layer-Vol6

GitHub: AlanP13/Governance-as-the-Integration-Layer-Vol6

一部探讨如何将企业风险管理（ERM）与网络安全通过治理层统一整合的研究专著，覆盖云和物联网时代的技术控制与弹性恢复。

Stars: 0 | Forks: 0

# 治理作为集成层 ### 在云和 IoT 时代统一企业风险管理与网络安全 [![DOI](https://zenodo.org/badge/DOI/10.5281/zenodo.20828631.svg)](https://doi.org/10.5281/zenodo.20828631) [![License: CC BY 4.0](https://img.shields.io/badge/License-CC%20BY%204.0-lightgrey.svg)](https://creativecommons.org/licenses/by/4.0/) **Alan Biju Palayil** 所著的 **Engineering-to-Research 专著系列**（共 10 卷）中 **第 6 卷** 的配套仓库。 ## 目录 - [关于本仓库](#about-this-repository) - [专著](#the-monograph) - [框架一览](#framework-at-a-glance) - [仓库结构](#repository-structure) - [图表](#figures) - [如何引用](#how-to-cite) - [Engineering-to-Research 系列](#the-engineering-to-research-series) - [版本控制](#versioning) - [许可证](#license) - [作者](#author) - [致谢](#acknowledgments) ## 关于本仓库本仓库是技术报告《治理作为集成层：在云和 IoT 时代统一企业风险管理与网络安全》的配套资源。其中包含该论文及原始图表。该论文的存档记录保存在 Zenodo 上，并拥有永久性的 DOI。该论文认为，治理是将企业风险组合视图与已执行的技术控制和经过测试的弹性连接起来的层，并且这一链条在云和 IoT 中依然成立，因为执行机制是与基础设施解耦的。 ## 专著 - **标题：** 治理作为集成层：在云和 IoT 时代统一企业风险管理与网络安全 - **系列：** Engineering-to-Research 专著系列，第 6 卷（共 10 卷） - **类型：** 技术报告 / 研究专著 - **版本：** 1.1 (2026 年 6 月) - **DOI:** [10.5281/zenodo.20828631](https://doi.org/10.5281/zenodo.20828631) (版本 1.1) - **论文：** [`paper/05_Monograph_6_ERM_and_Cybersecurity_Governance.pdf`](paper/05_Monograph_6_ERM_and_Cybersecurity_Governance.pdf) **摘要。** 在很多时候，网络安全仍然被视为一个孤立的技术环节，仅仅被附加在组织之上，而没有真正融入组织理解和评估风险的方式中。本报告认为，治理是打破这种孤立的集成层：它是一种机制，通过它，网络风险转化为企业风险，而企业战略转化为技术控制。该论点分为四个层级进行构建：从企业风险组合视图，向下经过治理层（NIST CSF 2.0 Govern 和 NIST IR 8286），深入到技术控制层（混合 RBAC-ABAC 模型和 Zero Trust）以及受治理的弹性层，最终提炼出一个从治理到控制的参考模型和两条设计原则。 ## 框架一览 **从治理到控制的参考模型：** 包含四个层级（企业风险、治理、技术控制、弹性），每一层都将其上一层的内容转化为更具体的形式。 **设计原则 1（可追溯分层）。** 每一项技术控制都必须能够向上追溯到一项受治理的风险决策，而每一项受治理的风险决策都必须向下转化为一项具体的、可测试的控制。 **设计原则 2（执行与基础设施解耦）。** 由于策略决策与执行点是分离的，因此相同的“从治理到控制”链条在本地部署、云中以及 IoT 边缘均适用。 **综合性贡献。** 1. 一个分层的“从治理到控制”框架。 2. 针对在 Zero Trust 下采用的混合 RBAC-ABAC 访问模型的实践者指南。 3. 两条具有可推广性的设计原则。 4. 一条贯穿金融服务领域的线索，从监管义务延伸至经过测试的恢复能力。 ## 仓库结构 ``` governance-as-the-integration-layer-vol6/ ├── README.md ├── LICENSE # CC BY 4.0 (paper and figures) ├── CITATION.cff ├── .zenodo.json # Zenodo deposit metadata (root-level name required) ├── paper/ │ ├── 05_Monograph_6_ERM_and_Cybersecurity_Governance.pdf │ └── 05_Monograph_6_ERM_and_Cybersecurity_Governance.docx └── figures/ ├── vol6_fig1_governance_to_control.svg / .png └── vol6_fig2_rbac_abac_flow.svg / .png ``` ## 图表 1. **图 1，从治理到控制的参考模型**（包含四个层级，具备向下转化和向上追溯能力）。 2. **图 2，Zero Trust 下的混合 RBAC-ABAC 访问决策**（通过角色实现粗粒度授权，并结合属性与上下文进行高风险决策）。以可编辑的 SVG 格式和渲染后的 PNG 格式提供。 ## 如何引用本仓库包含一个机器可读的 [`CITATION.cff`](CITATION.cff) 文件；GitHub 会根据该文件渲染出“引用此仓库”按钮。 **IEEE.** A. B. Palayil, "Governance as the Integration Layer: Uniting Enterprise Risk Management and Cybersecurity for the Cloud and IoT Era," Engineering-to-Research Monograph Series, vol. 6, 2026. doi: 10.5281/zenodo.20828631. ``` @techreport{palayil2026governance, author = {Palayil, Alan Biju}, title = {Governance as the Integration Layer: Uniting Enterprise Risk Management and Cybersecurity for the Cloud and IoT Era}, institution = {Engineering-to-Research Monograph Series}, number = {Volume 6 of 10}, year = {2026}, version = {1.1}, doi = {10.5281/zenodo.20828631}, url = {https://doi.org/10.5281/zenodo.20828631} } ``` ## Engineering-to-Research 系列这是一个十卷本计划中的第 6 卷，该计划旨在将十年的工程与研究训练转化为一个连贯的研究体系，最终落脚于可解释 AI 治理。全部十卷均已发布在 Zenodo 上： | 卷号 | 标题 | DOI | |----|----|----| | 1 | 保护互联系统 | [10.5281/zenodo.20733453](https://doi.org/10.5281/zenodo.20733453) | | 2 | 将计算机架构作为一门安全学科 | [10.5281/zenodo.20821993](https://doi.org/10.5281/zenodo.20821993) | | 3 | 夯实基础 | [10.5281/zenodo.20828879](https://doi.org/10.5281/zenodo.20828879) | | 4 | 嵌入式到边缘 AI 的参考架构 | [10.5281/zenodo.20784402](https://doi.org/10.5281/zenodo.20784402) | | 5 | 教授攻击性安全 | [10.5281/zenodo.20821927](https://doi.org/10.5281/zenodo.20821927) | | 6 | **治理作为集成层** | [10.5281/zenodo.20828631](https://doi.org/10.5281/zenodo.20828631) — 本卷 | | 7 | 面向企业决策的可扩展分析 | [10.5281/zenodo.20828327](https://doi.org/10.5281/zenodo.20828327) | | 8 | 面向金融系统的数据挖掘 | [10.5281/zenodo.20802595](https://doi.org/10.5281/zenodo.20802595) | | 9 | 是否、为何以及为谁 | [10.5281/zenodo.20829174](https://doi.org/10.5281/zenodo.20829174) | | 10 | 从嵌入式系统到可解释 AI 治理 | [10.5281/zenodo.20829270](https://doi.org/10.5281/zenodo.20829270) | ## 版本控制本仓库与专著版本保持同步。版本 1.1 对应于其在 Zenodo 上的存档；未来的修订版将作为新的 Zenodo 版本在同一概念 DOI 下发布，并在此处通过相应的 GitHub release 进行标记。 ## 许可证论文及图表均采用知识共享署名 4.0 国际许可协议 (CC BY 4.0) 进行授权。详见 `LICENSE`。 ## 作者 **Alan Biju Palayil** 独立研究员；坎伯兰大学博士研究员；金融系统从业者。 ORCID: [0009-0004-8302-5090](https://orcid.org/0009-0004-8302-5090) GitHub: [@AlanP13](https://github.com/AlanP13) ## 致谢这项工作源自于在坎伯兰大学攻读研究生期间的课程作业：ITS-835 企业风险管理和 ITS-834 新兴威胁与对策。所有的综合分析、研究结论和撰写工作均由作者本人独立完成，专为出版而从头撰写。本仓库不包含任何机密或雇主的专有信息。

标签：企业风险管理, 学术专著, 安全治理, 技术文档, 物联网安全