ninadpatil-22/NovaCare-AI-Business-Continuity-Incident-Response-Program

GitHub: ninadpatil-22/NovaCare-AI-Business-Continuity-Incident-Response-Program

面向健康科技SaaS企业的业务连续性与勒索软件事件响应文档化项目,对齐ISO 22301、NIST、HIPAA、PCI DSS等多项合规框架。

Stars: 0 | Forks: 0

# 业务连续性与事件响应计划 | NovaCare AI 这是一个 GRC 作品集项目,模拟了一家处理 PHI 和持卡人数据的虚构 healthtech SaaS 公司的完整业务连续性与灾难恢复计划。 ## 概述 构建了涵盖 7 个关键业务流程的业务连续性与灾难恢复计划,定义了 RTO、RPO、MTPD 和符合 ISO 22301 与 NIST SP 800-34 标准的影响评估。开发了勒索软件事件响应剧本,符合 NIST SP 800-61、HIPAA 违规通知要求、PCI DSS 和 ISO 27001 控制措施。设计并组织了勒索软件桌面演练,包含结构化的注入事件、响应动作和控制验证活动。制作了涵盖危机管理、灾难恢复、业务连续性和事后审查流程的综合韧性文档。 ## 公司简介 NovaCare AI — 位于得克萨斯州奥斯汀的、拥有 320 名员工的 healthtech SaaS 初创公司。处理 PHI (HIPAA)、持卡人数据 (PCI DSS) 和 PII (GDPR/CCPA)。基础设施托管于 AWS(主站点:us-east-1,灾难恢复站点:us-west-2)。 ## 应用框架 ISO 22301:2019 | NIST SP 800-34 | NIST SP 800-61 | ISO 27001:2022 | HIPAA | PCI DSS v4.0 ## 交付成果 | # | 文档 | 描述 | |---|---|---| | 01 | 业务影响分析 | 关键流程清单、RTO/RPO、影响评分、依赖关系映射 | | 02 | 危机管理计划 | CMT 名单、决策权限、危机宣告阈值 | | 03 | 灾难恢复计划 | 系统恢复顺序、运行手册、DR 测试计划 | | 04 | 勒索软件 IRP + 决策树 | 包含可视化决策树的 6 阶段事件响应生命周期 | | 05 | 业务连续性计划 | 3 种灾难场景:勒索软件、云服务中断、关键人员流失 | | 06 | 桌面演练剧本 | 用于 CMT 培训的 3 次注入勒索软件模拟 | | 07 | 框架控制矩阵 | 将所有交付成果映射至 5 项合规框架 | | 08 | 事后审查 | PIR 模板 + 来自桌面场景的示例演示 | | 09 | ServiceNow 截图 | ServiceNow 中的 IR 工作流与 BCP 任务记录 | ## 作者 Ninad Patil — GRC/安全合规作品集项目 本项目是 NovaCare AI 双项目 GRC 作品集的一部分。另请参见:[NovaCare AI — GRC 计划] *(https://github.com/ninadpatil-22/Novacare-AI-GRC-Program)*
标签:业务连续性, 勒索软件, 医疗科技(SaaS), 合规治理(GRC), 安全培训与演练, 漏洞利用检测, 灾难恢复