ISO 27001安全管理

技能简介

该技能为HealthTech和MedTech企业提供ISO 27001信息安全管理体系(ISMS)的实施与治理支持，覆盖安全风险评估、控制措施落地、认证准备、安全审计、事件响应及合规验证等全流程。

业务背景

医疗科技企业需应对严格的信息安全合规要求，ISO 27001认证是进入国际市场的关键门槛。该技能将原本依赖外部顾问的安全管理体系建设转化为可自主执行的数字化流程，帮助企业系统性地识别风险缺口、跟踪整改进度、沉淀审计证据，显著降低认证准备周期与人力成本。

落地案例：某MedTech初创企业计划拓展欧洲市场，需在6个月内通过ISO 27001认证。团队使用该技能导入现有资产清单后，自动完成首轮风险评估并生成差距分析报告，明确12项优先整改的控制措施；在后续3个月中，定期更新控制状态文件追踪整改进度，最终输出完整的适用性声明(SoA)支撑认证审核，避免了传统咨询模式下数十万元的服务费用。

能做什么

• 执行自动化安全风险评估，输出风险登记册
• 检查ISO 27001/27002控制措施实施状态
• 生成差距分析报告与整改建议
• 支持医疗行业专项安全评估模板
• 导出合规报告用于内外部审计

使用说明

安装要求：需Python环境，克隆仓库后进入skills/alirezarezvani/information-security-manager-iso27001目录，安装依赖包（requirements.txt如有）。

步骤1：运行安全风险评估

python scripts/risk_assessment.py --scope "patient-data-system" --output risk_register.json

步骤2：检查合规状态

python scripts/compliance_checker.py --standard iso27001 --controls-file controls.csv

步骤3：生成差距分析

python scripts/compliance_checker.py --standard iso27001 --gap-analysis --output gaps.md

医疗专项评估：

python scripts/risk_assessment.py --scope "ehr-system" --template healthcare --output risks.json

输入与输出

见下方输入与输出表格。

风险提示

• 风险评估结果需经人工复核，不可直接作为决策依据
• 合规检查工具不替代正式第三方审计
• 医疗数据处理需额外遵守HIPAA等法规
• 脚本输出格式需与组织现有工具链兼容

来源信息

原始链接：https://github.com/openclaw/skills/tree/main/skills/alirezarezvani/information-security-manager-iso27001/SKILL.md
来源类型：GitHub开源技能库