A

information-security-manager-iso27001

作者 alirezarezvani

information-security-manager-iso27001 skill 可帮助 AI agents 为 HealthTech、MedTech 和受监管软件团队执行 ISO 27001:2022 ISMS 相关工作。它适用于风险评估、Annex A control mapping、合规审查、证据清单、事件响应规划,以及带有参考资料和 scripts 的审计差距分析。

Stars22.2k
收藏0
评论0
收录时间2026年7月11日
分类合规审查
安装命令
npx skills add alirezarezvani/claude-skills --skill information-security-manager-iso27001
编辑评分

该 skill 评分为 78/100,适合希望获得可由 agent 执行的 ISO 27001 与医疗健康安全工作流的目录用户。该 repository 提供了清晰的触发场景、quick-start commands、面向工作流的文档、参考指南,以及可运行的风险评估和合规检查 scripts,因此相比通用 prompt,更能帮助 agent 减少猜测并开展工作。不过,用户仍应将其视为实施辅助工具,而不是完整的认证体系。

78/100
亮点
  • 清晰覆盖 ISO 27001 实施、ISMS 工作、安全风险评估、认证准备、审计、事件响应、医疗健康数据安全和医疗设备网络安全等触发场景。
  • 包含实用支持文件:两个用于风险评估和合规检查的 scripts,以及事件响应、ISO 27001 controls 和风险评估方法论的参考指南。
  • 操作性内容较扎实,提供 quick-start command 示例、工作流、验证检查点、控制项指导、证据要求和事件严重级别处理流程。
注意点
  • compliance checker 摘要将 ISO 27001 controls 描述为简化版,因此用户不应假设它已完整覆盖所有认证证据或审核员期望。
  • skill 路径下没有 install command 或 README;对不熟悉运行随附 Python scripts 的目录用户来说,可能会增加配置门槛。
概览

information-security-manager-iso27001 skill 概览

这个 skill 适合做什么

information-security-manager-iso27001 skill 可帮助 AI agent 支持 ISO 27001:2022 ISMS 相关工作,尤其适用于 HealthTech、MedTech、患者数据系统以及受监管的软件团队。它面向实际合规审查任务而设计:风险评估、Annex A 控制项映射、证据规划、事件响应准备、认证就绪度检查,以及审计差距分析。

最适合的用户与任务

如果你是安全经理、合规负责人、质量/法规专业人员、创始人或工程负责人,并且需要结构化的 ISO 27001 输出,而不是从空白 prompt 开始,这个 skill 会很有帮助。它最适合用于你已经有明确目标系统、业务范围、资产、控制措施、事件或审计问题的场景,并希望 agent 将这些上下文转化为风险登记表、整改计划、Statement of Applicability 支持材料,或事件响应工作流。

它的不同之处

与通用 ISO 27001 prompt 不同,这个 skill 包含面向医疗健康场景的参考材料,并提供两个辅助脚本:用于 ISO 27001 Clause 6.1.2 风格风险工作的 scripts/risk_assessment.py,以及用于简化控制状态和差距报告的 scripts/compliance_checker.py。参考文件覆盖 Annex A 实施证据、风险评估方法,以及带有严重程度分级和响应预期的事件处理。

采用前需要考虑的事项

它不能替代认可审计机构、法律顾问、DPO 或认证机构。内置的控制目录和脚本可以加速工作,但你仍应根据实际 ISMS 范围、ISO 27001:2022 要求、本地医疗健康法规、合同义务和审计方预期,对输出进行验证。

如何使用 information-security-manager-iso27001 skill

安装 information-security-manager-iso27001

使用以下命令从 GitHub repository 安装该 skill:

npx skills add alirezarezvani/claude-skills --skill information-security-manager-iso27001

安装后,在将它用于真实合规工作流前,请先检查 skill 目录。建议从 SKILL.md 开始,然后阅读:

  • references/risk-assessment-guide.md
  • references/iso27001-controls.md
  • references/incident-response.md
  • scripts/risk_assessment.py
  • scripts/compliance_checker.py

alirezarezvani/claude-skills 中,源路径是 ra-qm-team/skills/information-security-manager-iso27001

哪些输入能带来更好的结果

当你的 prompt 包含具体 ISMS 上下文时,这个 skill 的效果最好。请提供:

  • 组织类型:HealthTech SaaS、MedTech manufacturer、诊所平台、云服务等
  • 范围:产品、部门、云环境、数据流或系统边界
  • 资产:患者记录、医疗设备遥测数据、源代码、云基础设施、备份
  • 当前控制措施:IAM、日志记录、加密、漏洞管理、供应商评审
  • 合规目标:认证就绪度、内部审计、控制差距审查、事件响应
  • 约束条件:团队规模、云服务商、截止日期、风险容忍度、可用证据

较弱的 prompt:

Help with ISO 27001 compliance.

更强的 prompt:

Use information-security-manager-iso27001 for Compliance Review. Assess ISO 27001 readiness for a HealthTech SaaS handling patient records in AWS. Scope includes web app, PostgreSQL database, S3 document storage, CI/CD, and support team access. Current controls include MFA, encryption at rest, basic logging, vendor DPAs, and quarterly vulnerability scans. Produce a risk register, Annex A control gaps, evidence checklist, and 90-day remediation plan.

实用使用流程

一个可靠的 information-security-manager-iso27001 usage 流程是:

  1. 定义 ISMS 范围和资产。
  2. 运行风险评估,或要求 agent 按照 references/risk-assessment-guide.md 中的方法模拟风险评估。
  3. 使用 references/iso27001-controls.md 将主要风险映射到 Annex A 控制项。
  4. 生成差距分析和证据清单。
  5. 使用 references/incident-response.md 审查事件响应就绪度。
  6. 将建议转化为负责人、截止日期、证据产物和可用于审计的记录。

如果直接使用脚本,可以尝试:

python scripts/risk_assessment.py --scope "patient-data-system" --output risk_register.json
python scripts/compliance_checker.py --standard iso27001 --gap-analysis --output gaps.md

在将脚本集成到你的合规流水线前,请先在源代码中检查脚本参数和预期文件格式。

能更好触发 skill 的 prompt 写法

使用直接的任务表述,让 agent 明确知道要应用该 skill:

  • “Use information-security-manager-iso27001 to create an ISO 27001 risk assessment for…”
  • “Perform an Annex A control gap analysis for…”
  • “Prepare an ISO 27001 audit evidence checklist for…”
  • “Review our incident response plan against ISO 27001 expectations…”
  • “Create a Statement of Applicability draft based on these implemented controls…”

为获得更好的结果,建议要求结构化输出,例如包含 ControlCurrent StateGapRiskEvidenceOwnerPriority 的表格。

information-security-manager-iso27001 skill 常见问题

这个 skill 只适合医疗健康公司吗?

不是,但它最适合医疗健康、HealthTech 和 MedTech 场景,因为参考材料包含围绕患者数据、医疗设备网络安全、事件响应和受监管环境的示例。通用 SaaS 团队仍然可以使用其 ISO 27001 风险与控制结构,但可能需要移除医疗健康相关的假设。

它比普通 ISO 27001 prompt 好在哪里?

普通 prompt 可能只会生成较宽泛的建议。information-security-manager-iso27001 skill 为 agent 提供了明确的工作框架:ISO 27001:2022 ISMS 工作、Annex A 控制证据、风险评估方法、事件分类和辅助脚本。这能减少猜测,并让多次审查之间的输出更一致。

初学者可以使用这个 skill 吗?

可以,前提是提供足够的上下文,并把输出视为有引导的草稿,而不是最终合规结论。初学者应从范围较窄的请求开始:一个系统、一个控制领域、一份风险登记表,或一份证据清单。除非你能够审查并验证其中的假设,否则不建议一次性要求生成完整 ISMS。

什么时候不应该使用它?

不要将这个 skill 作为认证决策、法律声明、医疗器械法规提交或数据泄露通知义务的唯一依据。如果你需要深入的实施工程、渗透测试、云配置验证,或未经专家审查的特定司法辖区隐私建议,它也并不适合。

如何改进 information-security-manager-iso27001 skill

让 prompt 以证据为先

最常见的失败模式是输出看起来合规,但没有绑定到证据。要提升结果质量,请向 agent 提供真实产物或摘要:政策名称、访问控制导出、风险登记表行、供应商清单、事件日志、备份测试记录、漏洞报告和过往审计发现。要求它区分 implementedpartially implementednot implementedunknown

针对合规审查调整输出格式

对于 information-security-manager-iso27001 for Compliance Review,建议要求采用审计人员友好的结构:

  • ISO 27001 clause 或 Annex A control
  • Requirement summary
  • Current implementation
  • Evidence available
  • Evidence missing
  • Risk or audit impact
  • Recommended remediation
  • Owner and target date

这种格式更容易把 AI 输出转化为可执行的审计跟踪表,而不是一份叙述性报告。

在第一版结果后迭代

用第一版输出暴露缺失信息,然后把修正内容反馈给 skill。例如:“Revise the gap analysis assuming MFA is enforced for workforce users but not for third-party support accounts,” 或 “Re-rank risks using high impact for patient data confidentiality and medium likelihood for cloud misconfiguration.” 与其一开始要求更长、更大的答案,迭代通常更能提高准确性。

为你的组织扩展这个 skill

若要在本地改进 information-security-manager-iso27001 skill,可以加入组织专属模板和示例:你的 ISMS 范围声明、风险矩阵、控制负责人模型、证据命名约定、供应商风险分级、事件升级联系人和审计日历。请将自定义材料与上游文件分开保存,这样在更新 GitHub skill 时,不会丢失内部合规上下文。

评分与评论

暂无评分
分享你的评价
登录后即可为这个技能评分并发表评论。
G
0/10000
最新评论
保存中...