mvahora2023/enterprise-grc-program

GitHub: mvahora2023/enterprise-grc-program

以虚构企业为对象的全生命周期 GRC 模拟项目,产出涵盖治理、风险评估、IT 审计与合规就绪度的完整文档和数据表,用作 GRC 从业者的作品集与模板。

Stars: 0 | Forks: 0

# 企业网络安全 GRC 项目 — NimbusHR Technologies ![NIST CSF](https://img.shields.io/badge/Framework-NIST%20CSF%201.1-blue?style=flat-square) ![SOC 2](https://img.shields.io/badge/Standard-SOC%202%20Type%20II-green?style=flat-square) ![NIST 800-53](https://img.shields.io/badge/Controls-NIST%20SP%20800--53-orange?style=flat-square) ![CIS v8](https://img.shields.io/badge/Benchmark-CIS%20Controls%20v8-purple?style=flat-square) ![Status](https://img.shields.io/badge/Status-Complete-brightgreen?style=flat-square) **一个从董事会到审计工作底稿的全生命周期治理、风险与合规(GRC)项目** —— 包含治理框架、包含 18 个条目的企业风险登记册、NIST CSF 差距评估、ITGC 审计、针对四家供应商的第三方风险项目、IAM + SOC 2 Type II 就绪度审计、网络/云/DevOps 安全审计、包含勒索软件桌面推演的完整事件响应程序,以及可直接提交董事会的执行报告 —— 所有内容都围绕一家虚构公司构建,因此每一个发现、风险和仪表盘数据在内部逻辑上都是一致的,就像真实的企业 GRC 项目实际运作的那样。 由 **Mahmadarsh Vahora** 构建作为 GRC / 网络安全合规岗位的作品集演示 —— 面向 **UGI、Vanguard、Citadel、Penn Medicine、Eliassen Group** 以及类似的企业 GRC / IT 审计 / 风险分析师职位。 ## 为什么会有这个项目 大多数入门级 GRC 候选人都能描述各种框架。但几乎没有人能产出实际的工作成果 —— 带有真实评分逻辑的风险登记册、包含抽样方法的审计工作底稿、SOC 2 就绪度差距分析,或者是旨在真正发现漏洞而不仅仅是为了应付合规检查的桌面推演。这个代码库就是那份工作成果:包含 39 个文件、约 20,000 字的治理、审计和风险文档,以及 15 个结构化的 CSV 数据表(可直接导入 Excel 或 Power BI),所有内容都交叉引用同一家虚构公司(**NimbusHR Technologies** —— 参见 [`00-company-profile/`](00-company-profile/)),就像真实的 GRC 项目中的风险登记册、审计发现和执行仪表盘描述的是同一个组织一样。 ## 代码库结构 ``` enterprise-grc-program/ ├── README.md ├── 00-company-profile/ │ └── Company-Profile.md ← NimbusHR profile, data inventory, governance hierarchy ├── 01-governance-framework/ │ ├── GRC-Program-Charter.md │ ├── Information-Security-Policy.md │ ├── Risk-Appetite-Statement.md │ ├── RACI-Matrix.md │ └── Policy-Register.csv ├── 02-risk-register/ │ ├── Enterprise-Risk-Register.csv ← 18 risks, full inherent/residual scoring │ └── Risk-Register-Report.md ← methodology, heat map, top-5 treatment plans ├── 03-nist-csf-gap-assessment/ │ ├── NIST-CSF-Gap-Scorecard.csv ← 20 subcategories, all 5 functions │ └── NIST-CSF-Gap-Assessment-Report.md ├── 04-itgc-audit/ │ ├── ITGC-Audit-Report.md │ ├── Access-Control-Review-Workpaper.csv │ ├── Change-Management-Findings.csv │ ├── Segregation-of-Duties-Matrix.csv │ └── Corrective-Action-Plan-Tracker.csv ├── 05-vendor-risk-management/ │ ├── Vendor-Risk-Management-Policy.md │ ├── Vendor-Assessment-Questionnaire.md │ ├── Vendor-Risk-Assessments.md ← Okta, Stripe, ADP, GitHub (full detail) │ └── Vendor-Risk-Register.csv ← all 8 assessed vendors ├── 06-iam-soc2-assessment/ │ ├── IAM-Audit-Report.md │ ├── IAM-Findings.csv ← 7 findings, Critical → Low │ ├── SOC2-Readiness-Assessment.md │ └── SOC2-Readiness-Scorecard.csv ← all 5 AICPA Trust Services Criteria ├── 07-network-cloud-devops-audit/ │ ├── Network-Security-Audit-Report.md │ ├── Cloud-Security-Audit-Report.md │ ├── DevOps-SDLC-Governance-Audit.md │ └── Consolidated-Findings-Matrix.csv ← 15 findings, NET/CLD/DEV ├── 08-incident-response-program/ │ ├── Incident-Response-Policy.md │ ├── Incident-Response-Plan.md │ ├── Tabletop-Exercise-Operation-Frozen-Payroll.md │ ├── IR-Metrics.csv │ └── Templates/ │ ├── Post-Incident-Review-Template.md │ └── Tabletop-Exercise-Template.md ├── 09-executive-reporting/ │ ├── Annual-Executive-Risk-Report.md │ ├── GRC-Program-Scorecard.md │ ├── Master-CAP-Tracker.csv ← program-wide corrective action tracker │ └── Power-BI-Dashboard-Build-Guide.md ← 6-page dashboard spec + DAX measures ├── 10-control-library/ │ └── Control-Library.csv ← 20 controls mapped to 4 frameworks └── docs/ ├── AI-Build-Prompt.md ← how this was built, transparently └── Interview-Talking-Points.md ``` ## 模块索引 | # | 模块 | 核心发现 | |---|---|---| | 1 | [治理框架](01-governance-framework/) | 章程、信息安全政策、风险偏好声明、RACI、12 项政策登记册 | | 2 | [企业风险登记册](02-risk-register/) | 基于 5×5 矩阵评分的 18 个风险;1 个严重项目已逾期 | | 3 | [NIST CSF 差距评估](03-nist-csf-gap-assessment/) | 整体成熟度 2.6/4.0;数据防泄漏(DLP)得分 1/4 | | 4 | [ITGC 审计](04-itgc-audit/) | 9 项发现,包括一名 DevOps 工程师可以批准自己的生产环境部署 | | 5 | [供应商风险管理](05-vendor-risk-management/) | GitHub —— 14 个代码仓库包含硬编码的生产环境机密信息(严重,同日修复) | | 6 | [IAM 与 SOC 2 就绪度](06-iam-soc2-assessment/) | SOC 2 就绪度:62% —— 发现 2 项导致审计不合格的失败项 | | 7 | [网络/云/DevOps 审计](07-network-cloud-devops-audit/) | 公开的 S3 存储桶暴露了 847 份工资单文件 —— 实际的数据暴露,而非理论假设 | | 8 | [事件响应程序](08-incident-response-program/) | 勒索软件桌面推演 —— 8 次注入测试中有 5 次暴露了真实且此前未记录的漏洞 | | 9 | [执行报告](09-executive-reporting/) | 根据 2026 年下半年路线图,预计可减少 450 万美元以上的风险敞口 | | — | [控制库](10-control-library/) | 20 项控制措施映射到 NIST CSF、NIST 800-53、SOC 2 和 CIS Controls v8 | ## 应用的框架 NIST CSF 1.1 · NIST SP 800-53 · SOC 2 Type II (AICPA 信任服务标准) · CIS Controls v8 · ISO 27001 (参考引用) · GDPR · CCPA · SOX 风格的 ITGC 方法论 ## 关于格式的说明 该项目遵循的蓝图要求使用真实的 `.xlsx` 和 `.pbix` 文件。我没有去伪造 AI 实际上无法生成的二进制文件,而是诚实地构建了它们的等价物:每个登记册和追踪器都是真实的、数据完整的 `.csv` 文件(可直接在 Excel 或 Google Sheets 中打开 —— GitHub 也会将它们渲染为表格),并且仪表盘是一个完整的**构建规范** —— 包含页面布局、视觉效果和精确的 DAX 度量值 —— 足够精确,可以在一小时内搭建出真实的 Power BI 仪表盘。参见 [`09-executive-reporting/Power-BI-Dashboard-Build-Guide.md`](09-executive-reporting/Power-BI-Dashboard-Build-Guide.md)。 ## 构建方式 在 AI(Claude)的辅助下起草,并由作者进行指导、审查和最终负责 —— 风险评分、发现严重性和修复优先级都是基于分析师的专业判断,而非 AI 的输出。有关工作流程的完整透明度说明:[`docs/AI-Build-Prompt.md`](docs/AI-Build-Prompt.md)。 ## 展示的技能 治理框架设计 · 企业风险评估与风险登记册管理 · NIST CSF 成熟度评估 · IT 通用控制(ITGC)审计 · 第三方/供应商风险管理 · IAM 审计 · SOC 2 Type II 就绪度评估 · 云安全审计 (AWS) · DevOps/SDLC 治理审计 · 事件响应设计与桌面推演引导 · 执行和董事会级别的报告 · 纠正措施计划(CAP)管理 · 法规合规 (GDPR, CCPA, SOC 2) ## 关于 **Mahmadarsh Vahora** — CompTIA Security+ | [github.com/mvahora2023](https://github.com/mvahora2023) *分类:作品集模拟 —— 公开。引用的所有公司名称、数据和人员(NimbusHR Technologies 及其供应商)均为虚构,仅为本次模拟而构建。*
标签:GRC治理, IT审计, 合规管理, 安全意识, 防御加固