Name: Information Security Manager Iso27001
Author: Fantasia1999

Information Security Manager Iso27001 | Skills Pool

python scripts/risk_assessment.py --scope "patient-data-system" --output risk_register.json

python scripts/compliance_checker.py --standard iso27001 --controls-file controls.csv

python scripts/compliance_checker.py --standard iso27001 --gap-analysis --output gaps.md

# 完整风险评估
python scripts/risk_assessment.py --scope "cloud-infrastructure" --output risks.json

# 针对医疗保健的特定评估
python scripts/risk_assessment.py --scope "ehr-system" --template healthcare --output risks.json

# 基于资产的快速评估
python scripts/risk_assessment.py --assets assets.csv --output risks.json

参数	是否必填	描述
`--scope`	是	要评估的系统或区域
`--template`	否	评估模板：`general` (通用), `healthcare` (医疗保健), `cloud` (云)
`--assets`	否	包含资产清单的 CSV 文件
`--output`	否	输出文件（默认：stdout）
`--format`	否	输出格式：`json`, `csv`, `markdown`

# 检查所有 ISO 27001 控制措施
python scripts/compliance_checker.py --standard iso27001

# 带有建议的差距分析
python scripts/compliance_checker.py --standard iso27001 --gap-analysis

# 检查特定的控制域
python scripts/compliance_checker.py --standard iso27001 --domains "access-control,cryptography"

# 导出合规报告
python scripts/compliance_checker.py --standard iso27001 --output compliance_report.md

参数	是否必填	描述
`--standard`	是	要检查的标准：`iso27001`, `iso27002`, `hipaa`
`--controls-file`	否	包含当前控制状态的 CSV 文件
`--gap-analysis`	否	包含补救建议
`--domains`	否	要检查的特定控制域
`--output`	否	输出文件路径

python scripts/risk_assessment.py --scope "full-organization" --template general --output initial_risks.json

python scripts/compliance_checker.py --standard iso27002 --gap-analysis --output control_gaps.md

python scripts/risk_assessment.py --scope "network-infrastructure" --output vuln_risks.json

阶段	检查点	所需证据
范围	范围已批准	已签署的范围文件
风险	登记册已完成	包含所有者的风险登记册
控制措施	SoA 已批准	适用性声明
运行	指标已激活	仪表板截图
审核	内部审核已完成	审核报告

# 每月合规性检查
python scripts/compliance_checker.py --standard iso27001 --output monthly_$(date +%Y%m).md

# 每季度差距分析
python scripts/compliance_checker.py --standard iso27001 --gap-analysis --output quarterly_gaps.md

python scripts/risk_assessment.py --scope "patient-data-system" --template healthcare

资产 ID	资产	类型	所有者	分类
A001	患者数据库	信息	DBA 团队	机密
A002	EHR 应用程序	软件	应用团队	关键
A003	数据库服务器	硬件	基础设施团队	高
A004	管理员凭据	访问	安全团队	关键

python scripts/compliance_checker.py --controls-file implemented_controls.csv

控制措施实施状态
=============================
密码学 (A.8.24): 已实施
  - 静态 AES-256: 是 (YES)
  - 传输中 TLS 1.3: 是 (YES)

访问控制 (A.8.5): 已实施
  - 已启用 MFA: 是 (YES)
  - 管理员账户: 100% 覆盖率

应用程序安全 (A.8.26): 部分实施
  - 输入验证: 是 (YES)
  - 已部署 WAF: 待定 (PENDING)

整体合规性: 87%

资产	威胁	可能性
患者数据	未经授权访问，泄露	高
医疗设备	恶意软件，篡改	中
云服务	配置错误，停机	中
凭据	网络钓鱼，暴力破解	高

风险等级	分值	处置
极其严重	20-25	需要立即采取行动
高	15-19	30 天内制定处置计划
中	10-14	90 天内制定处置计划
低	5-9	接受或监控
极低	1-4	接受

严重性	准则	响应时间
极其严重	数据泄露，系统停机	立即
高	活动威胁，重大风险	1 小时
中	已受控威胁，有限影响	4 小时
低	轻微违规，无影响	24 小时

风险 ID	资产	威胁	漏洞	L	I	评分
R001	A001	数据泄露	加密薄弱	3	5	15
R002	A002	SQL 注入	输入验证	4	4	16
R003	A004	凭据窃取	无 MFA	4	5	20

风险	处置	控制措施	时间线
R001	缓解	实施 AES-256 加密	30 天
R002	缓解	添加输入验证、WAF	14 天
R003	缓解	对所有管理员强制执行 MFA	7 天

Information Security Manager Iso27001

信息安全经理 - ISO 27001

目录

Information Security Manager Iso27001

信息安全经理 - ISO 27001

目录

触发短语

快速开始

运行安全风险评估

检查合规状态

生成差距分析报告

工具

risk_assessment.py

compliance_checker.py

工作流

工作流 1：ISMS 实施

工作流 2：安全风险评估

工作流 3：事件响应

参考指南

何时使用各参考项

验证检查点

ISMS 实施验证

认证就绪度

合规性校验

案例分析：医疗保健风险评估

步骤 1：定义资产

第 2 步：识别风险

第 3 步：确定处置方案

第 4 步：验证实施

1password

Springboot Security

Security Review

Laravel Security

Security Review

Django Security

资产类型	示例	分类
信息	患者记录，源代码	机密
软件	EHR 系统，API	关键
硬件	服务器，医疗设备	高
服务	云托管，备份	高
人员	管理员账户，开发人员	各异