jpskill.com
📦 その他 コミュニティ

iso27001-audit-prep

/cs:iso27001-audit-prep <scope> — ISO 27001 ISMS audit readiness 6-question forcing interrogation. Use before annual Clause 9.2 internal audit, surveillance audit prep, or stage 1 certification readiness.

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o iso27001-audit-prep.zip https://jpskill.com/download/21757.zip && unzip -o iso27001-audit-prep.zip && rm iso27001-audit-prep.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/21757.zip -OutFile "$d\iso27001-audit-prep.zip"; Expand-Archive "$d\iso27001-audit-prep.zip" -DestinationPath $d -Force; ri "$d\iso27001-audit-prep.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して iso27001-audit-prep.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → iso27001-audit-prep フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-18
取得日時
2026-05-18
同梱ファイル
1

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

/cs:iso27001-audit-prep — ISO 27001 ISMS監査 強制質問

コマンド: /cs:iso27001-audit-prep <scope>

ISO 27001 ISMS監査人は、あらゆるISMSの取り組みを厳しく評価します。内部監査、ステージ1の準備、またはサーベイランス監査の前に、サンプルに基づいた6つの質問を行います。

実行時期

  • 年次9.2項内部監査の前
  • ステージ1 / ステージ2 ISO 27001認証監査の前
  • サーベイランス監査(2年目 / 3年目)の前
  • ISMSスコープの重大な変更後(新しい事業部門、新しい製品ライン、新しいSaaS導入)
  • インシデント発生後(侵害がアドホックなISMS監査をトリガー)
  • 高成長期には四半期ごと

6つのISMS質問

1. 監査スコープは何ですか、そして3年間のローリングカバレッジは順調ですか?

3年間のカバレッジ規律がなければ、防御可能なプログラムとは言えません。

  • 4-10項のすべて、および適用される附属書Aのすべての管理策は、3年間のサイクルで少なくとも1回監査される必要があります。
  • ra-qm-team/skills/isms-audit-expert/にあるisms_audit_scheduler.pyを実行してください。
  • 監査人の独立性を確認してください — いかなるサンプルについても自己監査は行わないでください。

2. リスクレジスターは最後にいつ更新されましたか、そして対策は附属書Aの管理策にリンクされていますか?

古いリスクレジスターは認証の指摘事項となります。

  • 四半期ごとの更新が期待されます。最低でも年1回です。
  • すべての重大/クリティカルなリスクは、それを処理する1つ以上の附属書A管理策にリンクされている必要があります。
  • 残留リスクの受容が文書化され、署名されていること。
  • ステージ1の期待事項については、iso27001_audit_playbook.mdと照合してレビューしてください。

3. アクセスレビュー記録を見せてください — 四半期ごとの頻度で、過去4四半期分です。

最も多く指摘される領域です。

  • 附属書A.5.15 + A.8.2 + A.8.3のアクセス管理策。
  • Okta / IAMから取得した実際の記録をサンプルとしてください。監査準備のために作成されたパックではありません。
  • 過去90日間に退職した従業員ごとに、24時間SLA内のプロビジョニング解除の証拠があること。
  • 特権アクセスはより詳細な粒度でレビューされていること。

4. サプライヤーインベントリと最終レビューの証拠は何ですか?

2番目に多く指摘される領域です。

  • 附属書A.5.19-A.5.21のサプライヤー管理。
  • 重要なSaaSサプライヤーは少なくとも年1回レビューされていること。
  • 個人データサブプロセッサーについてはDPAが署名されていること(cs-dpo-gdprと相互確認)。
  • サードパーティのAIサービスを使用している場合は、AI固有の契約条項があること(cs-aims-iso42001と相互確認)。

5. インシデント対応の証拠とインシデント後のレビューはどこにありますか?

A.5.24-27 + A.6.8 — 重要な監査領域です。

  • 重大度定義が文書化され、一貫して適用されていること。
  • 過去5件のインシデントについて、30日SLA内にインシデント後レビュー(PIR)が実施されていること。
  • GDPR第33条/34条の通知タイミングがA.5.24と整合していること(cs-dpo-gdprと相互確認)。
  • 懲罰的ではなく、非難しないレトロスペクティブ文化であること。

6. マネジメントレビューの頻度とインプットは何ですか?

9.3項の必須インプットは規定されており、見落としやすいです。

  • 必須インプット:監査結果、リスク、パフォーマンス、不適合、機会。
  • スケジュール:最低年1回。成熟したプログラムでは四半期ごとが望ましいです。
  • アウトプットが文書化され、完了まで追跡されていること。
  • multi_framework_audit_playbook.mdに従って)フレームワーク全体で統合されたレビューが、個別のレビューよりも望ましいです。

ワークフロー

# 1. 監査プログラム計画
python ../../ra-qm-team/skills/isms-audit-expert/scripts/isms_audit_scheduler.py audit_scope.json

# 2. 準備状況確認のための模擬監査
python ../../skills/compliance-os/scripts/audit_simulator.py iso27001_scope.json

# 3. クロスフレームワーク再利用(SOC 2 = 75%重複; ISO 42001 = 60%再利用)
python ../../skills/compliance-os/scripts/cross_framework_mapper.py program.json

出力形式

# ISO 27001 監査準備: <scope>
**日付:** YYYY-MM-DD

## 下される決定
[programme-plan | finding-severity | cert-readiness | incident-followup]

## 監査プログラムのステータス
- 今年予定されている条項: <list>
- 予定されている附属書A管理策: <count>
- 3年間のローリングカバレッジ: clean | gaps in <list>
- 監査人の独立性: clean | issues in <list>

## リスクレジスターの健全性
- 最終更新日: YYYY-MM-DD
- 附属書A管理策リンクのない重大/クリティカルなリスク: N
- 残留リスク受容文書: complete | gaps

## 重要な管理策のステータス
- A.5.15 + A.8.2 + A.8.3 アクセス管理: pass/fail with sample
- A.5.19-A.5.21 サプライヤー管理: pass/fail with sample
- A.5.24-27 + A.6.8 インシデント対応: pass/fail with sample
- A.8.15-16 ロギング: pass/fail with sample

## マネジメントレビューのステータス
- 最終レビュー日: YYYY-MM-DD
- 必須の9.3項インプットの存在: yes/no
- 期限切れの未完了アクションアイテム: N

## クロスフレームワークへの影響
- 影響を受けるSOC 2管理策: <list>
- 影響を受けるISO 42001管理策(該当する場合): <list>
- 影響を受けるGDPR第32条管理策: <list>

## 評価
🟢 READY | 🟡 CLOSE-CRITICALS-FIRST | 🔴 NOT-READY

## 上位3つのアクション
[所有者 + 是正措置のタイムラインを含む3つの具体的な次のステップ]

ルーティング

  • /cs:compliance-readiness — マルチフレームワークビュー用
  • /cs:soc2-audit-prep — SOC 2クロスウォークペア用(75%重複)
  • /cs:aims-audit — ISO 42001 AIMSクロスウォーク用
  • /cs:gdpr-audit-prep — 第32条組織的措置の重複用
  • /cs:ciso-review — エグゼクティブのサイバーセキュリティ戦略用
  • /cs:decide — 評価を記録するため

関連

バージョン: 1.0.0

📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

/cs:iso27001-audit-prep — ISO 27001 ISMS Audit Forcing Questions

Command: /cs:iso27001-audit-prep <scope>

The ISO 27001 ISMS auditor pressure-tests any ISMS work. Six sample-driven questions before any internal audit, stage 1 readiness, or surveillance audit.

When to Run

  • Before annual Clause 9.2 internal audit
  • Before stage 1 / stage 2 ISO 27001 certification audit
  • Before surveillance audit (year 2 / year 3)
  • After material change to ISMS scope (new business unit, new product line, new SaaS adoption)
  • Post-incident (breach triggers ad-hoc ISMS audit)
  • Quarterly during high-growth phase

The Six ISMS Questions

1. What's the audit scope, and is rolling 3-year coverage on track?

No 3-year coverage discipline, no defensible programme.

  • Every Clause 4-10 + every applicable Annex A control must be audited at least once per 3-year cycle
  • Run isms_audit_scheduler.py in ra-qm-team/skills/isms-audit-expert/
  • Confirm auditor independence — no self-audit on any sample

2. When was the risk register last refreshed, and are treatments linked to Annex A controls?

Stale risk register = certification finding.

  • Quarterly refresh expected; annual minimum
  • Every high/critical risk must link to ≥ 1 Annex A control treating it
  • Residual risk acceptance documented + signed
  • Review against iso27001_audit_playbook.md for stage 1 expectations

3. Show me the access review records — quarterly cadence, the last 4 quarters.

Most-cited finding area.

  • Annex A.5.15 + A.8.2 + A.8.3 access controls
  • Sample real records pulled from Okta / IAM, not curated audit-prep packs
  • For each terminated employee in last 90 days: deprovisioning evidence within 24-hour SLA
  • Privileged access reviewed at finer granularity

4. What's the supplier inventory + last review evidence?

Second-most-cited finding area.

  • Annex A.5.19-A.5.21 supplier management
  • Critical SaaS suppliers reviewed at least annually
  • DPAs signed for personal-data sub-processors (cross-check with cs-dpo-gdpr)
  • AI-specific contract clauses where third-party AI services in use (cross-check with cs-aims-iso42001)

5. Where's the incident response evidence + post-incident review?

A.5.24-27 + A.6.8 — high-stakes audit area.

  • Severity definitions documented + consistently applied
  • Last 5 incidents have post-incident review (PIR) within 30-day SLA
  • GDPR Article 33 / 34 notification timing aligned with A.5.24 (cross-check with cs-dpo-gdpr)
  • Blameless retro culture; not punitive

6. What's the management review cadence + inputs?

Clause 9.3 required inputs are prescriptive — easy to miss.

  • Required inputs: audit results, risks, performance, nonconformities, opportunities
  • Schedule: annual minimum; quarterly preferred for mature programs
  • Outputs documented + tracked to closure
  • Integrated review across frameworks (per multi_framework_audit_playbook.md) preferred to separate reviews

Workflow

# 1. Audit programme planning
python ../../ra-qm-team/skills/isms-audit-expert/scripts/isms_audit_scheduler.py audit_scope.json

# 2. Mock audit for readiness check
python ../../skills/compliance-os/scripts/audit_simulator.py iso27001_scope.json

# 3. Cross-framework reuse (SOC 2 = 75% overlap; ISO 42001 = 60% reuse)
python ../../skills/compliance-os/scripts/cross_framework_mapper.py program.json

Output Format

# ISO 27001 Audit Prep: <scope>
**Date:** YYYY-MM-DD

## The Decision Being Made
[programme-plan | finding-severity | cert-readiness | incident-followup]

## Audit Programme Status
- Clauses scheduled this year: <list>
- Annex A controls scheduled: <count>
- Rolling 3-year coverage: clean | gaps in <list>
- Auditor independence: clean | issues in <list>

## Risk Register Health
- Last refresh: YYYY-MM-DD
- High/critical risks without Annex A control link: N
- Residual risk acceptance documentation: complete | gaps

## High-Stakes Controls Status
- A.5.15 + A.8.2 + A.8.3 access control: pass/fail with sample
- A.5.19-A.5.21 supplier mgmt: pass/fail with sample
- A.5.24-27 + A.6.8 incident response: pass/fail with sample
- A.8.15-16 logging: pass/fail with sample

## Management Review Status
- Last review date: YYYY-MM-DD
- Required Article 9.3 inputs present: yes/no
- Open action items past due: N

## Cross-Framework Impact
- SOC 2 controls affected: <list>
- ISO 42001 controls affected (if applicable): <list>
- GDPR Article 32 controls affected: <list>

## Verdict
🟢 READY | 🟡 CLOSE-CRITICALS-FIRST | 🔴 NOT-READY

## Top 3 Actions
[3 concrete next steps with owner + corrective-action timeline]

Routing

  • /cs:compliance-readiness — for multi-framework view
  • /cs:soc2-audit-prep — for SOC 2 cross-walk pair (75% overlap)
  • /cs:aims-audit — for ISO 42001 AIMS cross-walk
  • /cs:gdpr-audit-prep — for Article 32 organizational measures overlap
  • /cs:ciso-review — for executive cybersecurity strategy
  • /cs:decide — to log the verdict

Related

Version: 1.0.0