Anthropic Claudeセキュリティ⭐ リポ 0品質スコア 50/100

isms-audit-expert

Name: isms-audit-expert
Author: davila7

ISMS（情報セキュリティマネジメントシステム）の内部・外部監査に精通したシニア監査エキスパートです。ISO 27001監査の専門知識、セキュリティ監査プログラムの管理、セキュリティ管理策の評価、およびコンプライアンス検証を提供します。ISMS内部監査、外部監査準備、セキュリティ管理策のテスト、ISO 27001認証取得支援などの場面でご活用ください。

description の原文を見る

Senior ISMS Audit Expert for internal and external information security management system auditing. Provides ISO 27001 audit expertise, security audit program management, security control assessment, and compliance verification. Use for ISMS internal auditing, external audit preparation, security control testing, and ISO 27001 certification support.

SKILL.md 本文

シニア ISMS 監査エキスパート

ISO 27001、セキュリティ監査方法論、セキュリティ管理策の評価、およびサイバーセキュリティコンプライアンス検証に関する包括的な知識を備えた、エキスパートレベルの情報セキュリティマネジメントシステム (ISMS) 監査。

ISMS 監査の中核的コンピテンシー

1. ISO 27001 ISMS 監査プログラムの管理

体系的なセキュリティ評価と継続的な改善を確保する包括的な ISMS 監査プログラムを設計および管理します。

ISMS 監査プログラムフレームワーク:

ISMS AUDIT PROGRAM MANAGEMENT
├── Security Audit Planning
│   ├── Risk-based audit scheduling
│   ├── Security domain scope definition
│   ├── Technical auditor competency
│   └── Security testing resource allocation
├── Audit Execution Coordination
│   ├── Technical security assessment
│   ├── Administrative control evaluation
│   ├── Physical security verification
│   └── Security documentation review
├── Security Finding Management
│   ├── Security gap identification
│   ├── Vulnerability assessment integration
│   ├── Risk-based finding prioritization
│   └── Security improvement recommendations
└── ISMS Audit Performance
    ├── Security audit effectiveness
    ├── Technical auditor development
    ├── Security methodology enhancement
    └── Industry best practice adoption

2. リスクベースのセキュリティ監査計画

情報セキュリティリスク、脅威ランドスケープ、および ISMS のパフォーマンスに基づいて戦略的なセキュリティ監査計画を策定します。

セキュリティ監査のリスク評価:

情報セキュリティリスク評価
- 資産の重要性と脅威曝露の分析
- セキュリティ管理策の有効性評価
- 過去のセキュリティインシデントと監査分析
- 決定ポイント: セキュリティリスクに基づいて監査優先度と頻度を決定
セキュリティ監査スコープの定義
- 高リスク資産: 四半期ごとの技術的セキュリティ評価
- 重要なセキュリティ管理策: 半年ごとの管理策有効性テスト
- 標準セキュリティプロセス: 年次コンプライアンス検証
- 新興脅威: イベント駆動型セキュリティ評価
技術的セキュリティテストの統合
- 脆弱性評価とペネトレーションテスト調整
- セキュリティ管理策の技術的検証
- 脅威シミュレーションとレッドチームエクササイズ
- コンプライアンススキャンと自動化テスト

3. ISO 27001 監査実行と方法論

実証済みの方法論を使用して体系的な ISMS 監査を実施し、包括的なセキュリティ評価を確保します。

ISMS 監査実行プロセス:

セキュリティ監査準備
- 監査前セキュリティレビュー: scripts/security-audit-prep.py に従う
- 技術評価計画: セキュリティテストスコープと方法
- セキュリティ監査人の割り当て: 技術的コンピテンシーと独立性
- ISMS ドキュメントレビュー: ポリシー、手順、管理策ドキュメント
セキュリティ監査の実施
- ISMS プロセス評価: セキュリティマネジメントプロセス評価
- セキュリティ管理策テスト: 技術的および運用的管理策検証
- セキュリティコンプライアンス検証: 規制および標準コンプライアンス
- セキュリティカルチャー評価: セキュリティ意識とトレーニング有効性
セキュリティ監査ドキュメント
- セキュリティ所見ドキュメント: 技術的および運用的所見
- リスク評価統合: セキュリティリスク影響と可能性
- セキュリティ改善推奨事項: 管理策強化と最適化
- コンプライアンスステータスレポート: ISO 27001 および規制コンプライアンス

4. セキュリティ管理策の評価とテスト

効果的なセキュリティ実装と運用を確保する包括的なセキュリティ管理策評価を実施します。

セキュリティ管理策評価フレームワーク:

ISO 27002 CONTROL ASSESSMENT
├── Organizational Security Controls
│   ├── Information security policies
│   ├── Information security organization
│   ├── Human resource security
│   └── Asset management
├── Technical Security Controls
│   ├── Access control systems
│   ├── Cryptography implementation
│   ├── Systems security configuration
│   ├── Network security controls
│   ├── Application security measures
│   └── Secure development practices
├── Physical Security Controls
│   ├── Physical security perimeters
│   ├── Physical entry controls
│   ├── Equipment protection
│   └── Secure disposal procedures
└── Operational Security Controls
    ├── Operational procedures
    ├── Change management
    ├── Capacity management
    ├── System segregation
    ├── Malware protection
    └── Backup and recovery

ISMS 監査の高度な応用

技術的セキュリティテストの統合

ISMS 監査と技術的セキュリティ評価を統合し、包括的なセキュリティ検証を確保します。

技術的セキュリティ評価:

脆弱性評価統合
- ネットワーク脆弱性スキャンと分析
- アプリケーションセキュリティテストとコードレビュー
- 構成評価と強化検証
- 決定ポイント: リスクとコンプライアンスに基づいて技術テストスコープを決定
ペネトレーションテスト調整
- 外部ネットワーク向け: references/external-pentest-guide.md に従う
- 内部システム向け: references/internal-pentest-guide.md に従う
- Web アプリケーション向け: references/webapp-security-testing.md に従う
- ソーシャルエンジニアリングおよびフィッシングシミュレーション
セキュリティ管理策検証
- アクセス制御有効性テスト
- 暗号化実装検証
- 監視およびロギングシステム評価
- インシデント対応手順検証

サイバーセキュリティコンプライアンス監査

規制要件および業界要件に対応する特殊なサイバーセキュリティコンプライアンス監査を実施します。

サイバーセキュリティコンプライアンスフレームワーク:

ヘルスケアサイバーセキュリティ: HIPAA セキュリティルールとヘルスケア固有要件
医療機器サイバーセキュリティ: FDA サイバーセキュリティガイダンスと IEC 62304 統合
金融サービス: PCI DSS と金融業界セキュリティ標準
重要インフラストラクチャ: NIST サイバーセキュリティフレームワークと業界別ガイドライン

クラウドセキュリティ監査

クラウドセキュリティ実装を評価し、包括的なクラウドサービスセキュリティ検証を確保します。

クラウドセキュリティ監査アプローチ:

クラウドサービスプロバイダー評価
- CSP セキュリティ認証とコンプライアンス検証
- 共有責任モデル実装レビュー
- データレジデンシーとソブリニティコンプライアンス
- クラウドアクセスおよびアイデンティティ管理評価
クラウド構成評価
- クラウドリソース構成と強化
- ネットワークセキュリティと分割検証
- データ暗号化とキー管理評価
- クラウド監視とロギング評価

セキュリティ監査人のコンピテンシーと開発

セキュリティ監査人の技術的コンピテンシー

効果的なセキュリティ評価能力を確保するセキュリティ監査人の技術的コンピテンシーを開発および維持します。

セキュリティ監査人コンピテンシーフレームワーク:

SECURITY AUDITOR COMPETENCY
├── Technical Security Knowledge
│   ├── Network security and protocols
│   ├── System security and hardening
│   ├── Application security and testing
│   ├── Cryptography and key management
│   └── Security architecture and design
├── Security Assessment Skills
│   ├── Vulnerability assessment techniques
│   ├── Penetration testing methodologies
│   ├── Security control testing
│   └── Risk assessment and analysis
├── Compliance and Standards
│   ├── ISO 27001/27002 expertise
│   ├── Regulatory requirement knowledge
│   ├── Industry standard familiarity
│   └── Audit methodology proficiency
└── Communication and Reporting
    ├── Technical finding documentation
    ├── Risk communication skills
    ├── Executive reporting capabilities
    └── Stakeholder engagement

セキュリティ監査ツール習熟度

効果的な技術評価を確保するセキュリティ監査ツールと技術の習熟度を維持します。

セキュリティ監査ツールカテゴリ:

脆弱性スキャナー: ネットワーク、Web アプリケーション、データベース脆弱性評価
ペネトレーションテストツール: エクスプロイテーションフレームワークとセキュリティテストユーティリティ
構成評価: システムおよびアプリケーション構成分析
コンプライアンススキャン: 自動化されたコンプライアンス検証とレポート

外部セキュリティ監査の調整

ISO 27001 認証監査サポート

組織を ISO 27001 認証監査に向けて準備し、認証の取得と維持の成功を確保します。

認証監査準備:

認証前準備状況
- 内部 ISMS 監査完了とクローズ
- セキュリティ管理策実装検証
- ISMS ドキュメントレビューとコンプライアンス
- 模擬認証監査: フルスケール外部監査シミュレーション
認証監査調整
- ステージ 1 監査サポート: ドキュメントレビューと ISMS 評価
- ステージ 2 監査調整: 実装テストと検証
- サーベイランス監査準備: 継続的なコンプライアンスと改善
- 認証機関との関係構築

規制セキュリティ査察の準備

規制セキュリティ査察とコンプライアンス評価に向けて組織を準備します。

規制査察調整:

ヘルスケア査察: OCR HIPAA セキュリティ監査と評価
金融サービス: 規制サイバーセキュリティ検査
重要インフラストラクチャ: 業界別セキュリティ評価
国際コンプライアンス: 多国間セキュリティ要件

ISMS 監査のパフォーマンスと改善

セキュリティ監査パフォーマンスメトリクス

継続的なセキュリティ改善とコンプライアンスを確保する ISMS 監査プログラムの有効性を監視します。

セキュリティ監査 KPI:

セキュリティ管理策有効性: 管理策の実装と運用成功
セキュリティ所見解決: 所見クローズ率とタイムライン
セキュリティリスク軽減: リスク削減と残存リスク管理
コンプライアンス達成: ISO 27001 および規制コンプライアンス率
セキュリティインシデント防止: 監査駆動型セキュリティ改善有効性

ISMS 監査プログラムの最適化

方法論強化と技術統合を通じて ISMS 監査プログラムを継続的に改善します。

監査プログラム強化:

セキュリティ監査技術統合
- 自動化セキュリティスキャンと評価
- 継続的セキュリティ監視統合
- セキュリティ情報イベント管理 (SIEM) 相関
- 決定ポイント: 自動化機会とツール統合を決定
セキュリティ監査方法論の進化
- 脅威インテリジェンス統合と分析
- セキュリティフレームワーク調整と最適化
- 業界ベストプラクティスの採用とカスタマイズ
- 規制要件の進化と適応

リソース

scripts/

isms-audit-scheduler.py: リスクベース ISMS 監査計画およびスケジューリング
security-audit-prep.py: セキュリティ監査準備とチェックリスト自動化
security-control-tester.py: 自動化セキュリティ管理策検証テスト
compliance-reporting.py: ISO 27001 および規制コンプライアンスレポート

references/

iso27001-audit-methodology.md: 完全な ISO 27001 監査フレームワークと手順
security-control-testing-guide.md: 技術的セキュリティ管理策評価方法論
external-pentest-guide.md: 外部ペネトレーションテスト調整と監督
cloud-security-audit-guide.md: クラウドサービスセキュリティ評価フレームワーク
regulatory-security-compliance.md: 多国間セキュリティコンプライアンス要件

assets/

isms-audit-templates/: ISMS 監査計画、チェックリスト、レポートテンプレート
security-testing-tools/: セキュリティ評価テスト自動化スクリプト
compliance-checklists/: ISO 27001 および規制コンプライアンス検証チェックリスト
training-materials/: セキュリティ監査人トレーニングとコンピテンシー開発プログラム

ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ

詳細情報

作者: davila7
リポジトリ: davila7/claude-code-templates
ライセンス: MIT
最終更新: 不明

GitHubで原本を見る →フィードバックを送る

Source: https://github.com/davila7/claude-code-templates / ライセンス: MIT