以下是对’Information Security Manager - ISO27001’技能的中文翻译和描述:
name: 信息安全管理-ISO27001 description: ISO 27001信息安全管理系统的实施和医疗科技及医疗器械公司的网络安全治理。用于ISMS设计、安全风险评估、控制实施、ISO 27001认证、安全审计、事件响应和合规性验证。涵盖ISO 27001、ISO 27002、医疗保健安全和医疗器械网络安全。
信息安全管理 - ISO27001
根据ISO 27001:2022和医疗保健法规要求,实施和管理信息安全管理系统(ISMS)。
目录
触发短语
当您听到以下短语时,请使用此技能:
- “实施ISO 27001”
- “ISMS实施”
- “安全风险评估”
- “信息安全政策”
- “ISO 27001认证”
- “安全控制实施”
- “事件响应计划”
- “医疗保健数据安全”
- “医疗器械网络安全”
- “安全合规审计”
快速开始
运行安全风险评估
python scripts/risk_assessment.py --scope "患者数据系统" --output risk_register.json
检查合规状态
python scripts/compliance_checker.py --standard iso27001 --controls-file controls.csv
生成差距分析报告
python scripts/compliance_checker.py --standard iso27001 --gap-analysis --output gaps.md
工具
risk_assessment.py
自动安全风险评估,遵循ISO 27001第6.1.2条款的方法。
用法:
# 完整风险评估
python scripts/risk_assessment.py --scope "云基础设施" --output risks.json
# 医疗保健特定评估
python scripts/risk_assessment.py --scope "ehr系统" --template healthcare --output risks.json
# 快速基于资产的评估
python scripts/risk_assessment.py --assets assets.csv --output risks.json
参数:
| 参数 | 必需 | 描述 |
|---|---|---|
--scope |
是 | 要评估的系统或区域 |
--template |
否 | 评估模板:general, healthcare, cloud |
--assets |
否 | 包含资产清单的CSV文件 |
--output |
否 | 输出文件(默认:stdout) |
--format |
否 | 输出格式:json, csv, markdown |
输出:
- 资产清单与分类
- 威胁和漏洞映射
- 风险评分(可能性×影响)
- 处理建议
- 残余风险计算
compliance_checker.py
验证ISO 27001/27002控制实施状态。
用法:
# 检查所有ISO 27001控制
python scripts/compliance_checker.py --standard iso27001
# 差距分析与建议
python scripts/compliance_checker.py --standard iso27001 --gap-analysis
# 检查特定控制领域
python scripts/compliance_checker.py --standard iso27001 --domains "访问控制,密码学"
# 导出合规报告
python scripts/compliance_checker.py --standard iso27001 --output compliance_report.md
参数:
| 参数 | 必需 | 描述 |
|---|---|---|
--standard |
是 | 要检查的标准:iso27001, iso27002, hipaa |
--controls-file |
否 | 包含当前控制状态的CSV文件 |
--gap-analysis |
否 | 包括补救建议 |
--domains |
否 | 要检查的特定控制领域 |
--output |
否 | 输出文件路径 |
输出:
- 控制实施状态
- 按领域的合规百分比
- 差距分析与优先级
- 补救建议
工作流程
工作流程1:ISMS实施
步骤1:定义范围和背景
记录组织背景和ISMS边界:
- 识别利益相关方和要求
- 定义ISMS范围和边界
- 记录内部/外部问题
验证: 范围声明经管理层审核批准。
步骤2:进行风险评估
python scripts/risk_assessment.py --scope "全组织" --template general --output initial_risks.json
- 识别信息资产
- 评估威胁和漏洞
- 计算风险等级
- 确定风险处理选项
验证: 风险登记册包含所有关键资产及分配的所有者。
步骤3:选择和实施控制
将风险映射到ISO 27002控制:
python scripts/compliance_checker.py --standard iso27002 --gap-analysis --output control_gaps.md
控制类别:
- 组织(政策、角色、责任)
- 人员(筛选、意识、培训)
- 物理(周界、设备、媒体)
- 技术(访问、密码、网络、应用)
验证: 适用性声明(SoA)记录所有控制及理由。
步骤4:建立监控
定义安全指标:
- 事件计数和严重性趋势
- 控制有效性得分
- 培训完成率
- 审计发现关闭率
验证: 仪表板显示实时合规状态。
工作流程2:安全风险评估
步骤1:资产识别
创建资产清单:
| 资产类型 | 示例 | 分类 |
|---|---|---|
| 信息 | 患者记录,源代码 | 机密 |
| 软件 | EHR系统,API | 重要 |
| 硬件 | 服务器,医疗器械 | 高 |
| 服务 | 云托管,备份 | 高 |
| 人员 | 管理员账户,开发人员 | 不同 |
验证: 所有资产都有分配的所有者和分类。
步骤2:威胁分析
识别每个资产类别的威胁:
| 资产 | 威胁 | 可能性 |
|---|---|---|
| 患者数据 | 未经授权的访问,泄露 | 高 |
| 医疗器械 | 恶意软件,篡改 | 中等 |
| 云服务 | 配置错误,中断 | 中等 |
| 凭证 | 网络钓鱼,暴力破解 | 高 |
验证: 威胁模型涵盖行业前10大威胁。
步骤3:漏洞评估
python scripts/risk_assessment.py --scope "网络基础设施" --output vuln_risks.json
记录漏洞:
- 技术(未修补的系统,弱配置)
- 流程(缺少程序,差距)
- 人员(缺乏培训,内部风险)
验证: 漏洞扫描结果映射到风险登记册。
步骤4:风险评估和处理
计算风险:风险 = 可能性 × 影响
| 风险等级 | 分数 | 处理 |
|---|---|---|
| 严重 | 20-25 | 需要立即采取行动 |
| 高 | 15-19 | 30天内的治疗计划 |
| 中等 | 10-14 | 90天内的治疗计划 |
| 低 | 5-9 | 接受或监控 |
| 最小 | 1-4 | 接受 |
验证: 所有高/严重风险都有批准的治疗计划。
工作流程3:事件响应
步骤1:检测和报告
事件类别:
- 安全漏洞(未经授权的访问)
- 恶意软件感染
- 数据泄露
- 系统被破坏
- 政策违规
验证: 检测后15分钟内记录事件。
步骤2:分类和分类
| 严重性 | 标准 | 响应时间 |
|---|---|---|
| 严重 | 数据泄露,系统关闭 | 立即 |
| 高 | 活跃威胁,重大风险 | 1小时 |
| 中等 | 有限威胁,有限影响 | 4小时 |
| 低 | 轻微违规,无影响 | 24小时 |
验证: 分配严重性并触发升级(如有必要)。
步骤3:遏制和根除
立即行动:
- 隔离受影响的系统
- 保留证据
- 阻断威胁向量
- 移除恶意工件
验证: 确认遏制,无持续威胁。
步骤4:恢复和经验教训
事件后活动:
- 从干净的备份中恢复系统
- 重新连接前验证完整性
- 记录时间线和行动
- 进行事件后审查
- 更新控制和程序
验证: 事件后报告在5个工作日内完成。
参考指南
何时使用每个参考
references/iso27001-controls.md
- 适用性声明的控制选择
- 实施指南
- 证据要求
- 审计准备
references/risk-assessment-guide.md
- 风险方法选择
- 资产分类标准
- 威胁建模方法
- 风险计算方法
references/incident-response.md
- 响应程序
- 升级矩阵
- 通信模板
- 恢复检查表
验证检查点
ISMS实施验证
| 阶段 | 检查点 | 所需证据 |
|---|---|---|
| 范围 | 范围批准 | 签署的范围文件 |
| 风险 | 注册表完整 | 风险登记册及所有者 |
| 控制 | 适用性声明批准 | 适用性声明 |
| 操作 | 指标活跃 | 仪表板截图 |
| 审计 | 完成内部审计 | 审计报告 |
认证准备情况
在第一阶段审计前:
- [ ] 记录并批准ISMS范围
- [ ] 发布信息安全政策
- [ ] 完成风险评估
- [ ] 最终确定适用性声明
- [ ] 进行内部审计
- [ ] 完成管理审查
- [ ] 解决不符合项
在第二阶段审计前:
- [ ] 实施并运行控制
- [ ] 提供有效性证据
- [ ] 培训并意识到员工
- [ ] 登记并管理事件
- [ ] 收集3+个月的指标
合规性验证
定期运行检查:
# 每月合规性检查
python scripts/compliance_checker.py --standard iso27001 --output monthly_$(date +%Y%m).md
# 季度差距分析
python scripts/compliance_checker.py --standard iso27001 --gap-analysis --output quarterly_gaps.md
工作示例:医疗保健风险评估
场景: 评估患者数据管理系统的安全风险。
步骤1:定义资产
python scripts/risk_assessment.py --scope "患者数据系统" --template healthcare
资产清单输出:
| 资产ID | 资产 | 类型 | 所有者 | 分类 |
|---|---|---|---|---|
| A001 | 患者数据库 | 信息 | DBA团队 | 机密 |
| A002 | EHR应用程序 | 软件 | 应用团队 | 重要 |
| A003 | 数据库服务器 | 硬件 | 基础设施团队 | 高 |
| A004 | 管理员凭据 | 访问 | 安全 | 重要 |
步骤2:识别风险
风险登记册输出:
| 风险ID | 资产 | 威胁 | 漏洞 | L | I | 分数 |
|---|---|---|---|---|---|---|
| R001 | A001 | 数据泄露 | 弱加密 | 3 | 5 | 15 |
| R002 | A002 | SQL注入 | 输入验证 | 4 | 4 | 16 |
| R003 | A004 | 凭证盗窃 | 无MFA | 4 | 5 | 20 |
步骤3:确定处理
| 风险 | 处理 | 控制 | 时间表 |
|---|---|---|---|
| R001 | 缓解 | 实施AES-256加密 | 30天 |
| R002 | 缓解 | 添加输入验证,WAF | 14天 |
| R003 | 缓解 | 强制所有管理员MFA | 7天 |
步骤4:验证实施
python scripts/compliance_checker.py --controls-file implemented_controls.csv
验证输出:
控制实施状态
=============================
密码学(A.8.24):已实施
- 静态AES-256:是
- 传输中的TLS 1.3:是
访问控制(A.8.5):已实施
- 启用MFA:是
- 管理员账户:100%覆盖
应用安全(A.8.26):部分
- 输入验证:是
- 部署WAF:待定
总体合规性:87%