A

iso27001-audit-prep

作者 alirezarezvani

iso27001-audit-prep 是一款聚焦 ISO 27001 ISMS 审计就绪度的 skill。它通过六个强制性问题,在内部审计、认证审核或监督审核前,对范围、风险登记册的新鲜度、Annex A 关联、管理评审、纠正措施以及可抽样证据进行压力测试。

Stars22.1k
收藏0
评论0
收录时间2026年7月11日
分类合规审查
安装命令
npx skills add alirezarezvani/claude-skills --skill iso27001-audit-prep
编辑评分

该 skill 得分 66/100,表示可以收录进目录,但更适合作为轻量级 ISO 27001 审计就绪度提问辅助,而不是完整的审计准备系统。目录用户可以了解何时调用它,以及它会用哪些问题进行压力测试;但由于缺少支持文件,并且部分依赖未随 skill 提供的外部引用,采用价值会受到限制。

66/100
亮点
  • 触发方式和使用场景清晰:frontmatter 和正文说明了 `/cs:iso27001-audit-prep <scope>`,并列出适用时机,包括 Clause 9.2 内部审计、认证准备、监督审核、范围变更以及事件后复盘。
  • 提供具体的 ISO 27001 就绪度核查提示,包括 3 年审计覆盖、风险登记册更新、Annex A 控制项关联、剩余风险接受以及审计员独立性。
  • 该 skill 的 SKILL.md 内容较为实在,没有占位符或实验性标记,比通用 ISO 27001 prompt 能为 agent 提供更多结构。
注意点
  • 该 skill 未随附支持脚本、参考资料或资源,但内容中要求用户在其他路径运行外部 `isms_audit_scheduler.py`。
  • 它更像是聚焦审计就绪度的追问/检查清单,而不是包含模板、证据跟踪器或示例输出的完整 ISO 27001 审计准备流程。
概览

iso27001-audit-prep skill 概览

iso27001-audit-prep 能做什么

iso27001-audit-prep 是一项用于合规复核的技能,帮助你在内部审核、认证审核、监督审核或重大范围变更之前,对 ISO 27001 ISMS 审核准备情况进行“压力测试”。它不是铺开一张大而全的清单,而是围绕六个必须回答的问题来推进,因此 agent 会重点关注审核员通常会追问的证据:审核范围、滚动式控制覆盖、风险登记册是否及时更新、风险处置关联、管理评审、纠正措施,以及是否具备可抽样检查的文档。

最适合的用户和审核场景

该技能最适合合规负责人、安全经理、GRC owner、内部审核员,以及正在准备 ISO 27001 Clause 9.2 内部审核或外部认证评审的创业公司运营团队。已有一定 ISMS 材料、需要结构化地检查审核准备情况时,可以使用 iso27001-audit-prep for Compliance Review;如果你是从零开始学习 ISO 27001,它并不是最合适的起点。

典型适用场景包括:

  • 年度内部审核计划
  • stage 1 或 stage 2 认证准备
  • 第 2 年或第 3 年监督审核准备
  • 事件后的 ISMS 复盘
  • 新产品、业务单元、SaaS 平台或地理区域纳入范围

它与通用 prompt 的区别

一个通用的“帮我准备 ISO 27001” prompt 往往会生成一份很长但优先级不强的清单。iso27001-audit-prep skill 会把复核收敛到面向审核的问题,并要求基于样本来证明。因此,在审核员发现问题之前,它更适合帮助你找出缺失证据、过期的风险记录、薄弱的 Annex A 映射、未签署的剩余风险接受,以及审核计划覆盖不足等问题。

安装前需要注意的限制

从仓库内容来看,该技能只有一个 SKILL.md 文件,没有随附脚本、参考资料、资源目录或元数据文件。技能中提到另一路径下的 isms_audit_scheduler.py,但这个技能文件夹本身并不包含该辅助工具。因此,应将 iso27001-audit-prep 视为一个聚焦的 prompting workflow,而不是完整的审核自动化套件或法律认证服务。

如何使用 iso27001-audit-prep skill

iso27001-audit-prep 安装上下文

进行 iso27001-audit-prep install 时,请从你的 AI skill runner 或 Claude skills 环境所使用的 GitHub 仓库路径添加该技能:

https://github.com/alirezarezvani/claude-skills/tree/main/compliance-os/skills/iso27001-audit-prep

如果你的安装器支持从 GitHub 导入 skill,请指向该仓库和对应 skill 路径,然后确认 SKILL.md 可用。由于这个 skill 目录下没有支持性文件夹,首次使用前应先阅读 SKILL.md;该文件夹内没有隐藏的规则集或脚本库需要额外检查。

让技能产出有价值所需的输入

命令格式是:

/cs:iso27001-audit-prep <scope>

不要只把 “our ISMS” 作为范围传入。更好的范围输入应包括法律实体、地点、产品、系统、团队、排除项、审核类型和目标日期。

较弱的 prompt:

/cs:iso27001-audit-prep SaaS company

更强的 prompt:

/cs:iso27001-audit-prep Stage 1 readiness for Acme Ltd ISMS covering UK HQ, remote engineering, production AWS SaaS platform, customer support operations, and excluded corporate finance systems; audit in 6 weeks.

更强的版本能帮助该技能检查审核覆盖、Annex A 适用性、风险处置以及证据样本是否与实际认证边界一致。

实用的 iso27001-audit-prep 使用流程

按以下顺序使用,通常能得到更好的 iso27001-audit-prep usage 结果:

  1. 定义审核事件:内部 Clause 9.2、stage 1、stage 2、监督审核、事件后复盘或范围变更复核。
  2. 提供 ISMS 范围和主要排除项。
  3. 补充当前证据状态:风险登记册日期、Statement of Applicability 版本、内部审核计划、管理评审日期、纠正措施日志和控制项负责人。
  4. 要求该技能基于六个 ISMS 问题追问差距。
  5. 将输出转化为证据请求清单、负责人清单和审核前整改计划。

一个高质量 prompt 可以包含:

Use iso27001-audit-prep to challenge our ISO 27001 surveillance audit readiness. Scope: EU SaaS platform, AWS production, product engineering, SRE, support, HR onboarding, and vendor management. Risk register last updated 5 months ago. SoA version 2024-03. Last management review 9 months ago. Internal audit covered access control and incident management, but not supplier security. Return likely findings, missing samples, urgent fixes, and questions an auditor may ask.

依赖它之前应阅读的文件

首次使用前请完整阅读 SKILL.md。重点关注 “When to Run” 部分和六个 ISMS 问题。同时注意其中以依赖形式提到的、位于该 skill 文件夹之外的审核排程工具;如果你的环境中没有包含那个其他 skill 路径,请要求 agent 手动创建一张 3 年审核覆盖表,而不要默认脚本可用。

iso27001-audit-prep skill 常见问题

iso27001-audit-prep 足以完成 ISO 27001 认证吗?

不够。iso27001-audit-prep 可以帮助你准备审核沟通和证据检查,但它不会为组织颁发认证,不能替代认可的审核员,也不能生成完整的 ISMS。它最适合用来在正式评审前暴露准备度差距。

它为什么比直接让 ChatGPT 给 ISO 27001 清单更好?

价值在于聚焦。该技能会围绕审核员可能用来检验你 ISMS 的压力测试问题组织复核:范围纪律、滚动三年覆盖、风险到控制的关联、剩余风险接受、独立性以及证据准备度。相比通用清单,这通常会产出更可执行的差距项。

初学者可以使用 iso27001-audit-prep guide 吗?

可以,但初学者应提供更多上下文,并要求解释任何不熟悉的 ISO 术语。如果你还不清楚自己的 ISMS 范围、风险登记册状态、SoA 状态或内部审核计划,该技能可以帮助识别缺失的基础内容;但它最强的用途是审核准备,而不是入门培训。

什么时候不应该使用这个技能?

不要把它作为法律、监管或认证决策的唯一依据。如果你还没有任何 ISMS 产物,它也不太适合直接使用;这种情况下,应先完成范围定义、资产清单、风险评估、SoA 起草和制度建设,再运行审核准备类的追问流程。

如何改进 iso27001-audit-prep skill

让 iso27001-audit-prep 输入包含更多证据状态

提升输出质量的最大杠杆,是给 agent 提供具体的证据状态。请包括日期、文档名称、负责人、未解决发现、尚未审核的控制族,以及已知薄弱点。例如,“risk register refreshed quarterly” 不如 “risk register last approved 2024-11-15; 4 high risks; 2 residual acceptances unsigned; supplier risk treatment not mapped to Annex A.” 有用。

要求基于样本提出审核挑战

ISO 27001 审核高度依赖样本。不要只要求列出差距,也要要求给出样本请求,以提升该技能的输出质量:

For each weakness, list the sample evidence an auditor may request, the likely ISO 27001 clause or Annex A area, the owner who should prepare it, and what would make the sample defensible.

这样可以把 iso27001-audit-prep guide 转化为可执行的准备计划。

留意常见失效模式

常见的低质量输出通常来自范围过于模糊、未说明审核类型,或默认假设证据已经存在。如果第一版回复听起来过于乐观,可以要求 agent 更具对抗性:“Challenge our readiness as an external auditor and identify likely minor or major nonconformities.” 如果回复过宽,请把范围收窄到下一次审核事件和前五个证据风险。

迭代成整改计划

完成第一轮 iso27001-audit-prep 后,继续要求输出一份 30 天计划,包含严重性、负责人、需要收集的证据和决策点。好的追问包括:“Separate must-fix before audit from nice-to-have,” “Map each issue to ISO 27001 clause or Annex A control where possible,” 以及 “Create management review questions for unresolved residual risks.”

评分与评论

暂无评分
分享你的评价
登录后即可为这个技能评分并发表评论。
G
0/10000
最新评论
保存中...