A

iso27001-audit-prep

作成者 alirezarezvani

iso27001-audit-prepは、ISO 27001のISMS監査準備に特化したskillです。内部監査、認証審査、サーベイランス監査の前に、適用範囲、リスク登録簿の鮮度、Annex Aとの紐づけ、マネジメントレビュー、是正処置、提出可能な証跡を6つの強制質問で確認し、準備不足を洗い出します。

スター22.1k
お気に入り0
コメント0
追加日2026年7月11日
カテゴリーCompliance Review
インストールコマンド
npx skills add alirezarezvani/claude-skills --skill iso27001-audit-prep
編集スコア

このskillのスコアは66/100です。ディレクトリ掲載には許容範囲ですが、完全な監査準備システムではなく、ISO 27001監査準備のための軽量な質問支援として紹介するのが適切です。ディレクトリ利用者は、いつ呼び出すべきか、どのような観点で準備状況を突くのかを把握できます。ただし、補助ファイルが不足しており、skill内に含まれない外部参照にも一部依存しているため、導入価値には制約があります。

66/100
強み
  • トリガーと利用場面が明確です。frontmatterと本文で`/cs:iso27001-audit-prep <scope>`を指定し、Clause 9.2の内部監査、認証準備、サーベイランス監査、適用範囲の変更、インシデント後レビューなど、実行すべきタイミングを示しています。
  • 3年間の監査カバレッジ、リスク登録簿の更新状況、Annex A管理策との紐づけ、残余リスクの受容、監査人の独立性など、ISO 27001準備に直結する具体的な確認質問を提供します。
  • SKILL.mdにはプレースホルダーや実験的な表記がなく、内容も実質的です。一般的なISO 27001プロンプトよりも、エージェントが参照しやすい構造を備えています。
注意点
  • 補助スクリプト、参照資料、リソースは含まれていません。一方で、このskillは別パスにある外部の`isms_audit_scheduler.py`を実行するようユーザーに案内しています。
  • テンプレート、証跡トラッカー、サンプル出力まで備えた完全なISO 27001監査準備ワークフローというより、監査準備状況を確認するための絞り込まれた質問/チェックリストに近い内容です。
概要

iso27001-audit-prep skill の概要

iso27001-audit-prep でできること

iso27001-audit-prep は、内部監査、認証審査、サーベイランス審査、または大きなスコープ変更の前に、ISO 27001 の ISMS 監査対応力を事前に検証するためのコンプライアンスレビュー skill です。網羅的なチェックリストではなく、6つの質問で詰めていくワークフローを中心に設計されているため、監査人が突っ込みやすい証跡に集中できます。具体的には、監査スコープ、継続的な管理策カバレッジ、リスク登録簿の鮮度、リスク対応との紐づき、マネジメントレビュー、是正処置、サンプル提示に耐える文書化などです。

向いているユーザーと監査タイミング

この skill は、ISO 27001 箇条 9.2 の内部監査や外部の認証審査に備えるコンプライアンス責任者、セキュリティマネージャー、GRC オーナー、内部監査人、スタートアップの運営担当者に特に適しています。iso27001-audit-prep for Compliance Review は、すでに一定の ISMS 資料があり、構造化されたレディネス確認をしたい場合に使うものです。ISO 27001 をゼロから学ぶためのものではありません。

相性がよいケースは次のとおりです。

  • 年次内部監査の計画
  • Stage 1 または Stage 2 認証審査への準備
  • 2年目または3年目のサーベイランス審査準備
  • インシデント後の ISMS レビュー
  • 新しい製品、事業部門、SaaS プラットフォーム、対象地域をスコープに追加した場合

汎用プロンプトとの違い

「ISO 27001 の準備をして」といった汎用プロンプトでは、優先順位の弱い長いチェックリストになりがちです。iso27001-audit-prep skill は、レビュー対象を監査で問われる質問に絞り、サンプルベースの証明を求めます。そのため、監査人に指摘される前に、不足している証跡、古いリスク記録、弱い Annex A マッピング、未署名の残留リスク受容、監査プログラムの抜けを見つけやすくなります。

インストール前に知っておくべき制約

リポジトリ上で確認できる証跡としては、単一の SKILL.md ファイルがあり、同梱スクリプト、参照資料、リソース、メタデータファイルは含まれていません。この skill は別パスにある isms_audit_scheduler.py に言及していますが、この skill フォルダ自体にはそのヘルパーは含まれていません。iso27001-audit-prep は、監査自動化パッケージ全体や法的な認証サービスではなく、焦点を絞ったプロンプトワークフローとして扱ってください。

iso27001-audit-prep skill の使い方

iso27001-audit-prep のインストール前提

iso27001-audit-prep install では、利用している AI skill runner または Claude skills 環境が参照する GitHub リポジトリのパスから skill を追加します。

https://github.com/alirezarezvani/claude-skills/tree/main/compliance-os/skills/iso27001-audit-prep

インストーラーが GitHub skill import に対応している場合は、リポジトリと skill path を指定し、SKILL.md が利用可能であることを確認してください。この skill ディレクトリにはサポート用フォルダがないため、まず SKILL.md を読んでください。このフォルダ内に、追加で確認すべき隠れたルールセットやスクリプトライブラリはありません。

有用な出力に必要な入力

コマンド形式は次のとおりです。

/cs:iso27001-audit-prep <scope>

スコープとして「our ISMS」だけを渡すのは避けてください。よりよいスコープ入力には、法人名、拠点、製品、システム、チーム、除外範囲、監査種別、目標日を含めます。

弱いプロンプト:

/cs:iso27001-audit-prep SaaS company

より強いプロンプト:

/cs:iso27001-audit-prep Stage 1 readiness for Acme Ltd ISMS covering UK HQ, remote engineering, production AWS SaaS platform, customer support operations, and excluded corporate finance systems; audit in 6 weeks.

後者のように書くと、監査カバレッジ、Annex A の適用可能性、リスク対応、証跡サンプルが、実際の認証境界と合っているかを skill が検証しやすくなります。

実務での iso27001-audit-prep 活用フロー

よりよい iso27001-audit-prep usage の結果を得るには、次の順序で進めます。

  1. 監査イベントを定義する: 内部の Clause 9.2 監査、Stage 1、Stage 2、サーベイランス、インシデント後レビュー、スコープ変更レビュー。
  2. ISMS スコープと主要な除外範囲を提示する。
  3. 現在の証跡状況を追加する: リスク登録簿の日付、Statement of Applicability のバージョン、内部監査計画、マネジメントレビュー日、是正処置ログ、管理策のオーナー。
  4. 6つの ISMS 質問を使ってギャップを詰めるよう skill に依頼する。
  5. 出力を、証跡依頼リスト、オーナーリスト、監査前の是正計画に変換する。

質の高いプロンプトには、次のような内容を含められます。

Use iso27001-audit-prep to challenge our ISO 27001 surveillance audit readiness. Scope: EU SaaS platform, AWS production, product engineering, SRE, support, HR onboarding, and vendor management. Risk register last updated 5 months ago. SoA version 2024-03. Last management review 9 months ago. Internal audit covered access control and incident management, but not supplier security. Return likely findings, missing samples, urgent fixes, and questions an auditor may ask.

依存する前に読むべきファイル

初回利用前に SKILL.md を最後まで読んでください。特に “When to Run” セクションと、6つの ISMS 質問に注目します。また、この skill フォルダ外の audit scheduler への依存関係のような記述がある点にも注意してください。利用環境にその別 skill path が含まれていない場合は、スクリプトがある前提にせず、手動の3年分監査カバレッジ表を作るよう agent に依頼してください。

iso27001-audit-prep skill FAQ

iso27001-audit-prep だけで ISO 27001 認証に十分ですか?

いいえ。iso27001-audit-prep は、監査での会話や証跡確認に備えるための支援にはなりますが、組織を認証するものではなく、認定審査員の代替にも、完全な ISMS の生成にもなりません。正式なレビューの前に、レディネス上のギャップをあぶり出す用途に最も向いています。

ChatGPT に ISO 27001 チェックリストを頼むより何がよいのですか?

価値は焦点の絞り込みにあります。この skill は、監査人が ISMS に対して投げかけるようなプレッシャーテスト質問を軸にレビューを組み立てます。スコープ管理、3年サイクルでの継続的カバレッジ、リスクと管理策の紐づき、残留リスクの受容、独立性、証跡の準備状況などです。そのため、汎用的なチェックリストよりも、実行可能なギャップが出やすくなります。

初心者でも iso27001-audit-prep guide を使えますか?

使えます。ただし初心者は、より多くの背景情報を提示し、ISO 用語について説明を求めるとよいでしょう。ISMS スコープ、リスク登録簿の状況、SoA の状況、内部監査計画をまだ把握していない場合でも、skill は不足している基本事項の特定に役立ちます。ただし、最も力を発揮するのは入門学習ではなく、監査レディネス確認です。

この skill を使うべきでない場面は?

法務、規制対応、認証判断の唯一の根拠として使わないでください。また、ISMS の成果物がまだ何もない場合にも相性はよくありません。その場合は、監査準備の質問を始める前に、スコープ定義、資産棚卸、リスクアセスメント、SoA ドラフト、ポリシー整備から着手してください。

iso27001-audit-prep skill を改善する方法

iso27001-audit-prep の入力を証跡ベースにする

出力を最も改善するのは、agent に具体的な証跡状況を渡すことです。日付、文書名、オーナー、未解決の指摘、まだ監査していない管理策ファミリー、既知の弱点を含めてください。たとえば、「risk register refreshed quarterly」よりも、「risk register last approved 2024-11-15; 4 high risks; 2 residual acceptances unsigned; supplier risk treatment not mapped to Annex A」のほうが有用です。

サンプル前提の監査チャレンジを依頼する

ISO 27001 監査はサンプルに依存します。単なるギャップではなく、サンプル要求を依頼すると skill の出力が改善します。

For each weakness, list the sample evidence an auditor may request, the likely ISO 27001 clause or Annex A area, the owner who should prepare it, and what would make the sample defensible.

これにより、iso27001-audit-prep guide を実行可能な準備計画に変えられます。

よくある失敗パターンに注意する

出力が弱くなる典型例は、スコープが曖昧、監査種別が抜けている、証跡が存在する前提で進めてしまう、といった場合です。最初の回答が楽観的すぎる場合は、「Challenge our readiness as an external auditor and identify likely minor or major nonconformities.」のように、外部審査員の視点で厳しく見るよう agent に依頼してください。回答が広すぎる場合は、次の監査イベントと上位5つの証跡リスクに絞り込みます。

是正計画へ反復する

最初の iso27001-audit-prep 実行後は、重要度、オーナー、収集すべき証跡、意思決定ポイントを含む30日計画を依頼します。有効なフォローアッププロンプトには、「Separate must-fix before audit from nice-to-have」、「Map each issue to ISO 27001 clause or Annex A control where possible」、「Create management review questions for unresolved residual risks」などがあります。

評価とレビュー

まだ評価がありません
レビューを投稿
このスキルの評価やコメントを投稿するにはサインインしてください。
G
0/10000
新着レビュー
保存中...