名称: information-security-manager-iso27001
描述: 为健康科技与医疗科技公司提供ISO 27001信息安全管理体系实施与网络安全治理。适用于ISMS设计、安全风险评估、控制措施实施、ISO 27001认证、安全审计、事件响应及合规性验证。涵盖ISO 27001、ISO 27002、医疗健康安全及医疗器械网络安全。
实施并管理符合ISO 27001:2022标准及医疗健康法规要求的信息安全管理体系。
当您听到以下短语时,可使用此技能:
- “实施ISO 27001”
- “ISMS实施”
- “安全风险评估”
- “信息安全策略”
- “ISO 27001认证”
- “安全控制措施实施”
- “事件响应计划”
- “医疗健康数据安全”
- “医疗器械网络安全”
- “安全合规审计”
python scripts/risk_assessment.py --scope "patient-data-system" --output risk_register.json
python scripts/compliance_checker.py --standard iso27001 --controls-file controls.csv
python scripts/compliance_checker.py --standard iso27001 --gap-analysis --output gaps.md
遵循ISO 27001条款6.1.2方法的自动化安全风险评估。
用法:
# 全面风险评估
python scripts/risk_assessment.py --scope "cloud-infrastructure" --output risks.json
# 医疗健康专项评估
python scripts/risk_assessment.py --scope "ehr-system" --template healthcare --output risks.json
# 基于资产的快速评估
python scripts/risk_assessment.py --assets assets.csv --output risks.json
参数:
| 参数 | 是否必需 | 描述 |
|---|---|---|
--scope |
是 | 待评估的系统或范围 |
--template |
否 | 评估模板:general(通用)、healthcare(医疗健康)、cloud(云) |
--assets |
否 | 包含资产清单的CSV文件 |
--output |
否 | 输出文件(默认:标准输出) |
--format |
否 | 输出格式:json、csv、markdown |
输出:
- 带分类的资产清单
- 威胁与脆弱性映射
- 风险评分(可能性 × 影响)
- 处置建议
- 剩余风险计算
验证ISO 27001/27002控制措施的实施状态。
用法:
# 检查所有ISO 27001控制措施
python scripts/compliance_checker.py --standard iso27001
# 包含建议的差距分析
python scripts/compliance_checker.py --standard iso27001 --gap-analysis
# 检查特定控制域
python scripts/compliance_checker.py --standard iso27001 --domains "access-control,cryptography"
# 导出合规报告
python scripts/compliance_checker.py --standard iso27001 --output compliance_report.md
参数:
| 参数 | 是否必需 | 描述 |
|---|---|---|
--standard |
是 | 待检查标准:iso27001、iso27002、hipaa |
--controls-file |
否 | 包含当前控制状态的CSV文件 |
--gap-analysis |
否 | 包含整改建议 |
--domains |
否 | 待检查的特定控制域 |
--output |
否 | 输出文件路径 |
输出:
- 控制措施实施状态
- 按域划分的合规百分比
- 带优先级排序的差距分析
- 整改建议
步骤 1:定义范围与背景
记录组织背景与ISMS边界:
- 识别相关方及要求
- 定义ISMS范围与边界
- 记录内外部议题
验证: 范围声明已获管理层评审批准。
步骤 2:执行风险评估
python scripts/risk_assessment.py --scope "full-organization" --template general --output initial_risks.json
验证: 风险登记册包含所有关键资产并已分配责任人。
步骤 3:选择并实施控制措施
将风险映射至ISO 27002控制措施:
python scripts/compliance_checker.py --standard iso27002 --gap-analysis --output control_gaps.md
控制措施类别:
- 组织类(策略、角色、职责)
- 人员类(筛选、意识、培训)
- 物理类(边界、设备、介质)
- 技术类(访问控制、加密、网络、应用)
验证: 适用性声明文件记录了所有控制措施及其理由。
步骤 4:建立监控机制
定义安全度量指标:
- 事件数量与严重性趋势
- 控制措施有效性评分
- 培训完成率
- 审计发现项关闭率
验证: 仪表板显示实时合规状态。
步骤 1:资产识别
创建资产清单:
| 资产类型 | 示例 | 分类 |
|---|---|---|
| 信息 | 患者记录、源代码 | 机密 |
| 软件 | 电子健康记录系统、API | 关键 |
| 硬件 | 服务器、医疗器械 | 高 |
| 服务 | 云托管、备份 | 高 |
| 人员 | 管理员账户、开发人员 | 视情况而定 |
验证: 所有资产均已分配责任人并完成分类。
步骤 2:威胁分析
按资产类别识别威胁:
| 资产 | 威胁 | 可能性 |
|---|---|---|
| 患者数据 | 未授权访问、泄露 | 高 |
| 医疗器械 | 恶意软件、篡改 | 中 |
| 云服务 | 配置错误、服务中断 | 中 |
| 凭证 | 钓鱼攻击、暴力破解 | 高 |
验证: 威胁模型覆盖行业前十大威胁。
步骤 3:脆弱性评估
python scripts/risk_assessment.py --scope "network-infrastructure" --output vuln_risks.json
记录脆弱性:
- 技术类(未打补丁的系统、弱配置)
- 流程类(缺失的程序、漏洞)
- 人员类(缺乏培训、内部风险)
验证: 脆弱性扫描结果已映射至风险登记册。
步骤 4:风险评价与处置
计算风险:风险 = 可能性 × 影响
| 风险等级 | 评分 | 处置方式 |
|---|---|---|
| 严重 | 20-25 | 需立即采取行动 |
| 高 | 15-19 | 30天内制定处置计划 |
| 中 | 10-14 | 90天内制定处置计划 |
| 低 | 5-9 | 接受或监控 |
| 可忽略 | 1-4 | 接受 |
验证: 所有高/严重风险均已制定经批准的处置计划。
步骤 1:检测与报告
事件类别:
- 安全违规(未授权访问)
- 恶意软件感染
- 数据泄露
- 系统被攻陷
- 策略违规
验证: 事件在检测后15分钟内完成记录。
步骤 2:分类与定级
| 严重性 | 判定标准 | 响应时间 |
|---|---|---|
| 严重 | 数据泄露、系统宕机 | 立即 |
| 高 | 活跃威胁、重大风险 | 1小时内 |
| 中 | 已遏制威胁、影响有限 | 4小时内 |
| 低 | 轻微违规、无影响 | 24小时内 |
验证: 已分配严重性等级,必要时触发升级流程。
步骤 3:遏制与根除
立即行动:
1. 隔离受影响系统
2. 保存证据
3. 阻断威胁传播途径
4. 清除恶意组件
验证: 已确认遏制,无持续危害。
步骤 4:恢复与经验总结
事后活动:
1. 从干净备份恢复系统
2. 重新连接前验证完整性
3. 记录时间线与行动
4. 开展事后评审
5. 更新控制措施与程序
验证: 事后报告在5个工作日内完成。
references/iso27001-controls.md
- 为适用性声明选择控制措施
- 实施指导
- 证据要求
- 审计准备
references/risk-assessment-guide.md
- 风险方法选择
- 资产分类标准
- 威胁建模方法
- 风险计算方法
references/incident-response.md
- 响应程序
- 升级矩阵
- 沟通模板
- 恢复检查清单
| 阶段 | 检查点 | 所需证据 |
|---|---|---|
| 范围 | 范围已批准 | 已签署的范围文件 |
| 风险 | 登记册完整 | 包含责任人的风险登记册 |
| 控制措施 | 适用性声明已批准 | 适用性声明文件 |
| 运行 | 度量指标已激活 | 仪表板截图 |
| 审计 | 内部审计已完成 | 审计报告 |
第一阶段审计前:
- [ ] ISMS范围已记录并批准
- [ ] 信息安全策略已发布
- [ ] 风险评估已完成
- [ ] 适用性声明已定稿
- [ ] 内部审计已执行
- [ ] 管理评审已完成
- [ ] 不符合项已处理
第二阶段审计前:
- [ ] 控制措施已实施并运行
- [ ] 有效性证据已就绪
- [ ] 员工已接受培训并具备意识
- [ ] 事件已记录并管理
- [ ] 度量指标已收集3个月以上
运行定期检查:
# 月度合规检查
python scripts/compliance_checker.py --standard iso27001 --output monthly_$(date +%Y%m).md
# 季度差距分析
python scripts/compliance_checker.py --standard iso27001 --gap-analysis --output quarterly_gaps.md
场景: 评估患者数据管理系统的安全风险。
python scripts/risk_assessment.py --scope "patient-data-system" --template healthcare
资产清单输出:
| 资产ID | 资产 | 类型 | 责任人 | 分类 |
|---|---|---|---|---|
| A001 | 患者数据库 | 信息 | DBA团队 | 机密 |
| A002 | 电子健康记录应用 | 软件 | 应用团队 | 关键 |
| A003 | 数据库服务器 | 硬件 | 基础设施团队 | 高 |
| A004 | 管理员凭证 | 访问 | 安全团队 | 关键 |
风险登记册输出:
| 风险ID | 资产 | 威胁 | 脆弱性 | 可能性 | 影响 | 评分 |
|---|---|---|---|---|---|---|
| R001 | A001 | 数据泄露 | 弱加密 | 3 | 5 | 15 |
| R002 | A002 | SQL注入 | 输入验证缺失 | 4 | 4 | 16 |
| R003 | A004 | 凭证窃取 | 无多因素认证 | 4 | 5 | 20 |
| 风险 | 处置方式 | 控制措施 | 时间线 |
|---|---|---|---|
| R001 | 缓解 | 实施AES-256加密 | 30天 |
| R002 | 缓解 | 增加输入验证、部署WAF | 14天 |
| R003 | 缓解 | 为所有管理员强制执行MFA | 7天 |
python scripts/compliance_checker.py --controls-file implemented_controls.csv
验证输出:
控制措施实施状态
=============================
加密控制 (A.8.24): 已实施
- 静态数据AES-256加密: 是
- 传输中TLS 1.3加密: 是
访问控制 (A.8.5): 已实施
- MFA已启用: 是
- 管理员账户: 100%覆盖
应用安全 (A.8.26): 部分实施
- 输入验证: 是
- WAF部署: 待定
总体合规率: 87%