合规专业人员知道，在为新软件工具筹集资金时，治理、风险和合规工作通常没有得到适当的考虑。很多企业转而优先考虑技术工具，或对业务直接可见的软件投资工具。

这使合规专业人员处于不稳定的境地。他们已经受到当前政府法规的数量和复杂性的压力，并且即将出台新的法规，进一步使访问正确的GRC工具势在必行。然而，IT 投资动态可能使合规性和风险管理从业人员难以获得这些工具。

对于企业而言，帮助缓解这种情况的一种方法是使用免费和开源工具来自动化部分 GRC 活动。由于其性质，从采购的角度来看，开源GRC工具具有明显的优势。

没有什么能完全消除部署成本，无论软件成本是多少，都需要有人安装和配置它。但是对于开源工具，初始预算损失很小，只需要很少或者甚至不需要前期投资。这意味着合规和风险管理专业人员可以使用GRC工具，而无需他们的企业购买GRC工具，无论是持续购买还是在短期内与IT预算周期并行购买（如果考虑购买GRC软件）。

虽然并非每个工具都适合每个企业，但现在有各种可用的开源选项，旨在帮助GRC某些元素。在这里，我们将重点介绍六个工具和相关资源，这些工具和资源可以使GRC在三个领域受益：审计管理、控制验证和保护云环境。

低成本审计管理

出于几个原因，审计管理软件 （AMS） 可以为企业的 GRC 计划带来福音。AMS工具不仅为内部和外部审计结果提供一个中央存储库，而且还可以简化审计过程的其他方面，例如工作流程和证据收集。但商业系统通常很昂贵。

然而，在紧要关头，开源项目管理和错误跟踪工具可以实现很多与商业AMS工具相同的功能。

此类别中的两个开源GRC工具是Redmine和Mantis Bug Tracker（MantisBT），它们提供问题跟踪、文档记录和工作流平台。

1. Redmine

Redmine的功能包括支持多个同步项目；工单创建和解决工作流程；用于团队协调的wiki和其他协作功能；问题跟踪；内置项目管理功能，例如Gantt图；和文件管理。像 Redmine 这样的错误和功能跟踪工具，包含在 Debian 和其他Linux 发行版的默认存储库中，可以自定义并用于很多与 AMS 工具相同的目的。这包括管理问题；跟踪补救进度；保留工作记录，例如审计工作底稿；以及共享一般内部信息。

例如，下面的屏幕截图说明了如何在 Redmine 中创建新项目来跟踪离散审核任务，例如针对混合云环境审核的测试验证活动。

通过利用Redmine 的创造力，合规专业人员可以管理审计工作流程并跟踪管理层对观察、证据和证据收集程序的响应，并记录工作底稿–在其生成的位置。

此屏幕截图显示了在Redmine中创建的页面，用于跟踪混合云环境审核情况。

2. MantisBT

MantisBT的功能包括工单创建和解决工作流程，通知，导致问题的特定文件的识别以及可自定义的报告功能。

Redmine 和 MantisBT很值得注意，因为它们在跟踪问题和工作流程支持方面都提供了极大的灵活性和定制性。

通过这种方法，你将无法获得商业 AMS 平台的所有综合功能，因为这些工具是围绕特定用例而设计。但是，当你无法以任何其他方式获得支持时，80%的功能比0%要好。

低成本控制验证

无论规模大小如何，GRC的众多挑战之一是对为执行政策决策而部署的技术控制的持续管理和验证。将控制作为风险管理决策实施是一回事；能够证明它有效是另一回事。

企业可以选择一些漏洞或资产管理工具来提供有关技术控制操作的数据，类似于GRC工具中为IT专业人员提供的功能。

值得注意的开源工具是OpenVAS（开放漏洞评估扫描程序的缩写），这是一种漏洞扫描工具；以及GLPI，一种资产管理和清单工具。

3. OpenVAS

OpenVAS主要由软件供应商Greenbone开发。其功能包括并行扫描、可自定义的扫描报告、性能调整功能、直观的仪表板以及根据严重性确定问题的优先级。它是更广泛的开源工具套件的一部分，其中还包括Greenbone Security Assistant，这是一个Web UI，如下面的屏幕截图所示，用于控制OpenVAS完成的扫描，然后访问有关已识别漏洞的信息。

像OpenVAS这样的工具可以验证系统配置过程的有效性，其补丁管理控制可以直观地工作。这可确保以强化的方式配置系统，正确应用配置标准，并将软件保持在预期的补丁级别。

4. GLPI

你还可以使用专注于资产管理的工具，以类似的方式提供帮助。GLPI的开发由软件供应商Teclib领导。其功能包括虚拟或物理主机的清单、帮助台票证管理功能、知识库创建和项目管理协助。

GLPI 和其他资产管理工具还可以为审核提供与配置相关的详细信息，例如主机系统上的软件清单或漏洞扫描中无法获得的其他信息。

保护云环境

最后两个示例不是软件工具，但可以作为GRC程序的有用补充，用于管理云部署中的网络安全风险。

云安全联盟（CSA）提供了一套开放的信息工具和资源，可用于评估和验证云中的安全实践，并帮助确保以与企业的风险偏好和风险承受能力相称的方式部署云系统。这包括Cloud Controls Matrix（CCM）和Consensus Assessments Initiative Questionnaire（CAIQ），后者现在是矩阵的组成部分。

5. CCM

CCM 提供了适用的云安全控制列表，这些控制映射到典型企业合规性范围内的很多安全标准、法规和框架。它可以直接集成到云服务提供商的风险管理评审中，或用于关联企业合规性工作与法规要求。

该矩阵包括 17 个领域的 197 个控制目标，涵盖云技术的各个方面。CCM 用户可以评估云实施的安全控制，并获得有关他们自己的安全责任以及应由不同提供商实施的控制措施的指导。

6. CAIQ

CAIQ最初是作为单独的评估工具而开发，然后于2021年合并到CCM中。这是一个标准化的信息收集问卷，其中包括向云供应商询问其安全控制的关键问题。该调查问卷可以用作从云提供商收集信息的唯一工具，也可以作为组织特定调查问卷和其他通用问卷（例如Shared Assessments Standardized Information Gathering Questionnaire）的补充。云供应商还可以使用 CAIQ 向 CSA 维护的注册表提交安全自我评估。

如果企业专注于提高其GRC计划的有效性和成熟度，CCM和CAIQ是理想选择。

还有很多其他开源工具可以帮助简化GRC程序，并帮助管理IT、安全和其他业务风险。开源GRC工具提供与商业软件相同的功能，而成本只是其中的一小部分。这里可能需要一些创造力和自定义才能使工具适应企业的使用需求，但它们可以为 GRC 工作提供与更昂贵的技术差不多的价值。