mvahora2023/enterprise-grc-program
GitHub: mvahora2023/enterprise-grc-program
以虚构企业为对象的全生命周期 GRC 模拟项目,产出涵盖治理、风险评估、IT 审计与合规就绪度的完整文档和数据表,用作 GRC 从业者的作品集与模板。
Stars: 0 | Forks: 0
# 企业网络安全 GRC 项目 — NimbusHR Technologies





**一个从董事会到审计工作底稿的全生命周期治理、风险与合规(GRC)项目** —— 包含治理框架、包含 18 个条目的企业风险登记册、NIST CSF 差距评估、ITGC 审计、针对四家供应商的第三方风险项目、IAM + SOC 2 Type II 就绪度审计、网络/云/DevOps 安全审计、包含勒索软件桌面推演的完整事件响应程序,以及可直接提交董事会的执行报告 —— 所有内容都围绕一家虚构公司构建,因此每一个发现、风险和仪表盘数据在内部逻辑上都是一致的,就像真实的企业 GRC 项目实际运作的那样。
由 **Mahmadarsh Vahora** 构建作为 GRC / 网络安全合规岗位的作品集演示 —— 面向 **UGI、Vanguard、Citadel、Penn Medicine、Eliassen Group** 以及类似的企业 GRC / IT 审计 / 风险分析师职位。
## 为什么会有这个项目
大多数入门级 GRC 候选人都能描述各种框架。但几乎没有人能产出实际的工作成果 —— 带有真实评分逻辑的风险登记册、包含抽样方法的审计工作底稿、SOC 2 就绪度差距分析,或者是旨在真正发现漏洞而不仅仅是为了应付合规检查的桌面推演。这个代码库就是那份工作成果:包含 39 个文件、约 20,000 字的治理、审计和风险文档,以及 15 个结构化的 CSV 数据表(可直接导入 Excel 或 Power BI),所有内容都交叉引用同一家虚构公司(**NimbusHR Technologies** —— 参见 [`00-company-profile/`](00-company-profile/)),就像真实的 GRC 项目中的风险登记册、审计发现和执行仪表盘描述的是同一个组织一样。
## 代码库结构
```
enterprise-grc-program/
├── README.md
├── 00-company-profile/
│ └── Company-Profile.md ← NimbusHR profile, data inventory, governance hierarchy
├── 01-governance-framework/
│ ├── GRC-Program-Charter.md
│ ├── Information-Security-Policy.md
│ ├── Risk-Appetite-Statement.md
│ ├── RACI-Matrix.md
│ └── Policy-Register.csv
├── 02-risk-register/
│ ├── Enterprise-Risk-Register.csv ← 18 risks, full inherent/residual scoring
│ └── Risk-Register-Report.md ← methodology, heat map, top-5 treatment plans
├── 03-nist-csf-gap-assessment/
│ ├── NIST-CSF-Gap-Scorecard.csv ← 20 subcategories, all 5 functions
│ └── NIST-CSF-Gap-Assessment-Report.md
├── 04-itgc-audit/
│ ├── ITGC-Audit-Report.md
│ ├── Access-Control-Review-Workpaper.csv
│ ├── Change-Management-Findings.csv
│ ├── Segregation-of-Duties-Matrix.csv
│ └── Corrective-Action-Plan-Tracker.csv
├── 05-vendor-risk-management/
│ ├── Vendor-Risk-Management-Policy.md
│ ├── Vendor-Assessment-Questionnaire.md
│ ├── Vendor-Risk-Assessments.md ← Okta, Stripe, ADP, GitHub (full detail)
│ └── Vendor-Risk-Register.csv ← all 8 assessed vendors
├── 06-iam-soc2-assessment/
│ ├── IAM-Audit-Report.md
│ ├── IAM-Findings.csv ← 7 findings, Critical → Low
│ ├── SOC2-Readiness-Assessment.md
│ └── SOC2-Readiness-Scorecard.csv ← all 5 AICPA Trust Services Criteria
├── 07-network-cloud-devops-audit/
│ ├── Network-Security-Audit-Report.md
│ ├── Cloud-Security-Audit-Report.md
│ ├── DevOps-SDLC-Governance-Audit.md
│ └── Consolidated-Findings-Matrix.csv ← 15 findings, NET/CLD/DEV
├── 08-incident-response-program/
│ ├── Incident-Response-Policy.md
│ ├── Incident-Response-Plan.md
│ ├── Tabletop-Exercise-Operation-Frozen-Payroll.md
│ ├── IR-Metrics.csv
│ └── Templates/
│ ├── Post-Incident-Review-Template.md
│ └── Tabletop-Exercise-Template.md
├── 09-executive-reporting/
│ ├── Annual-Executive-Risk-Report.md
│ ├── GRC-Program-Scorecard.md
│ ├── Master-CAP-Tracker.csv ← program-wide corrective action tracker
│ └── Power-BI-Dashboard-Build-Guide.md ← 6-page dashboard spec + DAX measures
├── 10-control-library/
│ └── Control-Library.csv ← 20 controls mapped to 4 frameworks
└── docs/
├── AI-Build-Prompt.md ← how this was built, transparently
└── Interview-Talking-Points.md
```
## 模块索引
| # | 模块 | 核心发现 |
|---|---|---|
| 1 | [治理框架](01-governance-framework/) | 章程、信息安全政策、风险偏好声明、RACI、12 项政策登记册 |
| 2 | [企业风险登记册](02-risk-register/) | 基于 5×5 矩阵评分的 18 个风险;1 个严重项目已逾期 |
| 3 | [NIST CSF 差距评估](03-nist-csf-gap-assessment/) | 整体成熟度 2.6/4.0;数据防泄漏(DLP)得分 1/4 |
| 4 | [ITGC 审计](04-itgc-audit/) | 9 项发现,包括一名 DevOps 工程师可以批准自己的生产环境部署 |
| 5 | [供应商风险管理](05-vendor-risk-management/) | GitHub —— 14 个代码仓库包含硬编码的生产环境机密信息(严重,同日修复) |
| 6 | [IAM 与 SOC 2 就绪度](06-iam-soc2-assessment/) | SOC 2 就绪度:62% —— 发现 2 项导致审计不合格的失败项 |
| 7 | [网络/云/DevOps 审计](07-network-cloud-devops-audit/) | 公开的 S3 存储桶暴露了 847 份工资单文件 —— 实际的数据暴露,而非理论假设 |
| 8 | [事件响应程序](08-incident-response-program/) | 勒索软件桌面推演 —— 8 次注入测试中有 5 次暴露了真实且此前未记录的漏洞 |
| 9 | [执行报告](09-executive-reporting/) | 根据 2026 年下半年路线图,预计可减少 450 万美元以上的风险敞口 |
| — | [控制库](10-control-library/) | 20 项控制措施映射到 NIST CSF、NIST 800-53、SOC 2 和 CIS Controls v8 |
## 应用的框架
NIST CSF 1.1 · NIST SP 800-53 · SOC 2 Type II (AICPA 信任服务标准) · CIS Controls v8 · ISO 27001 (参考引用) · GDPR · CCPA · SOX 风格的 ITGC 方法论
## 关于格式的说明
该项目遵循的蓝图要求使用真实的 `.xlsx` 和 `.pbix` 文件。我没有去伪造 AI 实际上无法生成的二进制文件,而是诚实地构建了它们的等价物:每个登记册和追踪器都是真实的、数据完整的 `.csv` 文件(可直接在 Excel 或 Google Sheets 中打开 —— GitHub 也会将它们渲染为表格),并且仪表盘是一个完整的**构建规范** —— 包含页面布局、视觉效果和精确的 DAX 度量值 —— 足够精确,可以在一小时内搭建出真实的 Power BI 仪表盘。参见 [`09-executive-reporting/Power-BI-Dashboard-Build-Guide.md`](09-executive-reporting/Power-BI-Dashboard-Build-Guide.md)。
## 构建方式
在 AI(Claude)的辅助下起草,并由作者进行指导、审查和最终负责 —— 风险评分、发现严重性和修复优先级都是基于分析师的专业判断,而非 AI 的输出。有关工作流程的完整透明度说明:[`docs/AI-Build-Prompt.md`](docs/AI-Build-Prompt.md)。
## 展示的技能
治理框架设计 · 企业风险评估与风险登记册管理 · NIST CSF 成熟度评估 · IT 通用控制(ITGC)审计 · 第三方/供应商风险管理 · IAM 审计 · SOC 2 Type II 就绪度评估 · 云安全审计 (AWS) · DevOps/SDLC 治理审计 · 事件响应设计与桌面推演引导 · 执行和董事会级别的报告 · 纠正措施计划(CAP)管理 · 法规合规 (GDPR, CCPA, SOC 2)
## 关于
**Mahmadarsh Vahora** — CompTIA Security+ | [github.com/mvahora2023](https://github.com/mvahora2023)
*分类:作品集模拟 —— 公开。引用的所有公司名称、数据和人员(NimbusHR Technologies 及其供应商)均为虚构,仅为本次模拟而构建。*
标签:GRC治理, IT审计, 合规管理, 安全意识, 防御加固