# SecGenesis **Repository Path**: borisliu/sec-genesis ## Basic Information - **Project Name**: SecGenesis - **Description**: 企业安全体系生成计划 - **Primary Language**: Unknown - **License**: Not specified - **Default Branch**: master - **Homepage**: None - **GVP Project**: No ## Statistics - **Stars**: 0 - **Forks**: 0 - **Created**: 2026-01-29 - **Last Updated**: 2026-02-05 ## Categories & Tags **Categories**: Uncategorized **Tags**: None ## README # 🛡️ SecGenesis:企业安全体系生成计划 > **目标**:在 AI 的协同下,用一周时间完成 ISO 27001 / 27002 / 27003 / 27701 / NIST CSF 的体系级理解与结构化建模,为 2026 年网络安全、数据安全与个人信息保护规划建立统一框架,并以此为基础,在 2027 年实现企业安全治理能力的系统性跃迁。 --- ## 一、整体评价(战略视角) 从安全治理成熟度的角度看,本项目的思路具有以下三个显著优势: 1. **从标准出发,而非从技术碎片出发** 你选择的是国际主流安全治理标准,而不是单点技术工具,这意味着你的目标是“体系能力”,而不是“局部防护”。 2. **从学习升级为规划,从规划升级为战略** 你不是为了考试或认证,而是为了构建企业级安全治理蓝图,这是典型的 CISO 级别思维。 3. **从个人成长绑定企业安全升级** 你的目标不是“学会标准”,而是“让公司安全能力跃迁”,这是高价值安全建设路径。 **结论性评价:** > 这是一个从“知识学习”跃迁到“企业安全架构设计”的项目,方向正确、价值极高、具备长期战略意义。 --- ## 二、可行性分析(时间与目标匹配度) ### 1. 时间可行性 一周学习 5 套体系,若目标是“精通条款”,几乎不可能;但若目标是“建立安全治理地图”,则完全可行。 本项目采用的目标层级是: * ❌ 条款级掌握(不现实) * ✅ 框架级理解(可行) * ✅ 结构级建模(高度可行) * ✅ 企业级映射(非常适合) ### 2. 方法可行性 本项目采用的方法是: * 标准 → 抽象 → 模型 → 企业映射 → 战略规划 这是咨询公司和成熟安全团队常用的方法论,因此方法本身是成熟且可复制的。 ### 3. 风险评估 潜在风险: * 学习内容碎片化 * 标准之间缺乏统一视角 * 笔记停留在“知识层”,而非“设计层” 应对策略: > 所有笔记必须以“企业安全架构设计”为目标,而不是“标准摘录”。 --- ## 三、完备性分析(体系覆盖度) ### 1. 当前体系覆盖范围 本项目聚焦以下核心标准: | 维度 | 标准 | 角色定位 | | ------ | --------- | ------- | | 信息安全管理 | ISO 27001 | 安全治理主框架 | | 安全控制 | ISO 27002 | 控制措施库 | | 实施方法 | ISO 27003 | 落地指南 | | 隐私保护 | ISO 27701 | PII治理框架 | | 风险管理 | ISO 27005 | 风险管理指南 | | 风险管理 | ISO 31000 | 风险管理通用指南 | | 风险框架 | NIST CSF | 风险与能力模型 | ### 2. 覆盖能力评估 从企业安全治理角度,本项目已覆盖: * ✅ 管理体系(Governance) * ✅ 风险框架(Risk) * ✅ 控制体系(Controls) * ✅ 隐私治理(Privacy) 覆盖度评估: > 约 80% 的企业安全治理核心框架已纳入。 ### 3. 战略定位 本项目的定位不是“技术安全”,而是: > 构建企业安全治理的“元框架”(Meta Framework)。 --- ## 四、规划战略分析(2026–2027 安全路线图) ### 1. 总体战略目标 **2026:安全治理结构化** * 建立统一的安全治理框架 * 输出企业级安全蓝图 * 明确网络安全、数据安全、隐私保护的边界与关系 **2027:安全能力跃迁** * 从“合规驱动” → “风险驱动” * 从“被动防御” → “主动治理” * 从“部门安全” → “企业级安全” ### 2. 三阶段战略模型 #### 第一阶段:认知与建模(2026 Q1–Q2) 目标: * 建立企业安全全景图 * 构建统一安全语言体系 核心产出: * 企业安全治理框架图 * 风险分类模型 * 安全控制矩阵 #### 第二阶段:体系落地(2026 Q3–Q4) 目标: * 将框架转化为制度与流程 * 建立资产、风险与控制的映射关系 核心产出: * ISMS/PIMS实施路线图 * 数据安全治理模型 * 隐私保护架构 #### 第三阶段:能力跃迁(2027) 目标: * 提升企业整体安全成熟度 * 实现安全治理的可量化与可持续 核心指标: * 风险识别能力提升 * 响应效率提升 * 安全投入产出比(ROI)可评估 --- ## 五、7天学习路线图(SecGenesis Sprint Plan) > 核心原则:每天不仅“学标准”,而是“设计公司安全体系”。 ### Day 1:建立安全治理全景图(ISO 27001 总览) 学习目标: * 理解 ISMS 的整体结构 * 明确“管理体系”与“技术安全”的区别 核心任务: * 提取 ISO 27001 的核心逻辑结构 * 设计: * 企业安全治理架构草图 * 网络安全 / 数据安全 / 隐私保护的关系图 输出成果: * 《企业安全治理全景图 v1.0》 --- ### Day 2:安全控制体系建模(ISO 27002) 学习目标: * 理解安全控制的分类逻辑 * 建立控制与风险的映射关系 核心任务: * 将 ISO 27002 控制措施抽象为控制域 * 设计: * 企业安全控制矩阵(管理/技术/人员/流程) 输出成果: * 《企业安全控制体系模型》 --- ### Day 3:体系落地逻辑(ISO 27003) 学习目标: * 理解 ISMS 的实施路径 核心任务: * 抽象 ISMS 实施步骤 * 设计: * 企业 ISMS 实施路线图 输出成果: * 《企业 ISMS 实施蓝图》 --- ### Day 4:隐私治理框架(ISO 27701) 学习目标: * 理解 PIMS 与 ISMS 的关系 核心任务: * 建立 PII 生命周期模型 * 设计: * 企业个人信息治理架构 输出成果: * 《企业隐私治理模型》 --- ### Day 5:风险与能力模型(NIST CSF) 学习目标: * 理解 Identify / Protect / Detect / Respond / Recover 核心任务: * 将 CSF 映射到企业业务场景 * 设计: * 企业安全风险地图 输出成果: * 《企业安全风险模型》 --- ### Day 6:标准融合与统一模型 学习目标: * 打通 ISO 与 NIST 体系 核心任务: * 构建统一安全治理框架 * 设计: * ISO × CSF 融合模型 输出成果: * 《企业安全治理统一框架》 --- ### Day 7:2026–2027 企业安全战略设计 学习目标: * 将体系转化为战略 核心任务: * 输出企业安全路线图 * 设计: * 2026–2027 网络安全 / 数据安全 / 隐私保护规划 输出成果: * 《企业安全战略白皮书(草案)》 --- ## 六、项目方法论(AI协同学习模式) 本项目采用“AI × 安全架构设计”模式: 1. AI负责: * 标准结构拆解 * 框架抽象 * 模型构建辅助 2. 人负责: * 企业场景映射 * 战略决策 * 优先级判断 核心原则: > 所有知识必须转化为“企业安全设计”。 --- ## 七、项目愿景 SecGenesis 的终极目标不是“完成一套笔记”,而是: > 构建一套属于企业自己的安全治理操作系统(Security Governance OS)。 当项目完成时,你将拥有: * 一套企业级安全治理框架 * 一张安全风险地图 * 一份2026–2027安全战略路线图 * 一套可持续演进的安全方法论 --- ## 八、结语 SecGenesis 不是一个学习项目,而是一次: > 从“安全知识”到“安全战略”的跃迁。 如果执行到位,它不仅会提升你的安全认知层级,也会为企业构建长期可持续的安全能力奠定基础。 —— SecGenesis 项目启动文档