jpskill.com
🛠️ 開発・MCP コミュニティ 🔴 エンジニア向け 👤 エンジニア・AI開発者

🛠️ InformationセキュリティマネージャーIso27001

information-security-manager-iso27001

医療・ヘルスケア分野の企業向け

⏱ コードレビュー 1時間 → 10分

📺 まず動画で見る(YouTube)

▶ 【衝撃】最強のAIエージェント「Claude Code」の最新機能・使い方・プログラミングをAIで効率化する超実践術を解説! ↗

※ jpskill.com 編集部が参考用に選んだ動画です。動画の内容と Skill の挙動は厳密には一致しないことがあります。

📜 元の英語説明(参考)

ISO 27001 ISMS implementation and cybersecurity governance for HealthTech and MedTech companies. Use for ISMS design, security risk assessment, control implementation, ISO 27001 certification, security audits, incident response, and compliance verification. Covers ISO 27001, ISO 27002, healthcare security, and medical device cybersecurity.

🇯🇵 日本人クリエイター向け解説

一言でいうと

医療・ヘルスケア分野の企業向け

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o information-security-manager-iso27001.zip https://jpskill.com/download/4922.zip && unzip -o information-security-manager-iso27001.zip && rm information-security-manager-iso27001.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/4922.zip -OutFile "$d\information-security-manager-iso27001.zip"; Expand-Archive "$d\information-security-manager-iso27001.zip" -DestinationPath $d -Force; ri "$d\information-security-manager-iso27001.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して information-security-manager-iso27001.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → information-security-manager-iso27001 フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-17
取得日時
2026-05-18
同梱ファイル
6

💬 こう話しかけるだけ — サンプルプロンプト

  • Information Security Manager I を使って、最小構成のサンプルコードを示して
  • Information Security Manager I の主な使い方と注意点を教えて
  • Information Security Manager I を既存プロジェクトに組み込む方法を教えて

これをClaude Code に貼るだけで、このSkillが自動発動します。

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

[Skill 名] information-security-manager-iso27001

情報セキュリティマネージャー - ISO 27001

ISO 27001:2022および医療規制要件に準拠した情報セキュリティマネジメントシステム(ISMS)を実装・管理します。

目次

トリガーフレーズ

以下のフレーズを聞いたときに、このスキルを使用してください。

  • "implement ISO 27001"
  • "ISMS implementation"
  • "security risk assessment"
  • "information security policy"
  • "ISO 27001 certification"
  • "security controls implementation"
  • "incident response plan"
  • "healthcare data security"
  • "medical device cybersecurity"
  • "security compliance audit"

クイックスタート

セキュリティリスクアセスメントの実行

python scripts/risk_assessment.py --scope "patient-data-system" --output risk_register.json

コンプライアンス状況の確認

python scripts/compliance_checker.py --standard iso27001 --controls-file controls.csv

ギャップ分析レポートの生成

python scripts/compliance_checker.py --standard iso27001 --gap-analysis --output gaps.md

ツール

risk_assessment.py

ISO 27001 Clause 6.1.2 の手法に従った自動セキュリティリスクアセスメントです。

使用方法:

# フルリスクアセスメント
python scripts/risk_assessment.py --scope "cloud-infrastructure" --output risks.json

# 医療特化型アセスメント
python scripts/risk_assessment.py --scope "ehr-system" --template healthcare --output risks.json

# 迅速な資産ベースのアセスメント
python scripts/risk_assessment.py --assets assets.csv --output risks.json

パラメーター:

パラメーター 必須 説明
--scope はい 評価対象のシステムまたは領域
--template いいえ 評価テンプレート: generalhealthcarecloud
--assets いいえ 資産インベントリを含むCSVファイル
--output いいえ 出力ファイル(デフォルト: stdout)
--format いいえ 出力形式: jsoncsvmarkdown

出力:

  • 分類された資産インベントリ
  • 脅威と脆弱性のマッピング
  • リスクスコア(可能性 × 影響)
  • 対策推奨事項
  • 残留リスク計算

compliance_checker.py

ISO 27001/27002 管理策の実装状況を確認します。

使用方法:

# すべてのISO 27001 管理策を確認
python scripts/compliance_checker.py --standard iso27001

# ギャップ分析と推奨事項
python scripts/compliance_checker.py --standard iso27001 --gap-analysis

# 特定の管理策ドメインを確認
python scripts/compliance_checker.py --standard iso27001 --domains "access-control,cryptography"

# コンプライアンスレポートのエクスポート
python scripts/compliance_checker.py --standard iso27001 --output compliance_report.md

パラメーター:

パラメーター 必須 説明
--standard はい 確認する標準: iso27001iso27002hipaa
--controls-file いいえ 現在の管理策状況を含むCSV
--gap-analysis いいえ 改善推奨事項を含める
--domains いいえ 確認する特定の管理策ドメイン
--output いいえ 出力ファイルのパス

出力:

  • 管理策の実装状況
  • ドメインごとのコンプライアンス率
  • 優先順位付けされたギャップ分析
  • 改善推奨事項

ワークフロー

ワークフロー 1: ISMS実装

ステップ 1: 適用範囲と状況の定義

組織の状況とISMSの境界を文書化します。

  • 利害関係者と要件を特定する
  • ISMSの適用範囲と境界を定義する
  • 内部/外部の問題を文書化する

検証: 適用範囲記述書が経営陣によってレビューされ、承認されていること。

ステップ 2: リスクアセスメントの実施

python scripts/risk_assessment.py --scope "full-organization" --template general --output initial_risks.json
  • 情報資産を特定する
  • 脅威と脆弱性を評価する
  • リスクレベルを計算する
  • リスク対応オプションを決定する

検証: リスク登録簿に、所有者が割り当てられたすべての重要資産が含まれていること。

ステップ 3: 管理策の選択と実装

リスクをISO 27002 管理策にマッピングします。

python scripts/compliance_checker.py --standard iso27002 --gap-analysis --output control_gaps.md

管理策のカテゴリ:

  • 組織的(方針、役割、責任)
  • 人的(スクリーニング、意識向上、トレーニング)
  • 物理的(境界、機器、媒体)
  • 技術的(アクセス、暗号、ネットワーク、アプリケーション)

検証: 適用宣言書(SoA)が、すべての管理策とその正当性を文書化していること。

ステップ 4: 監視の確立

セキュリティ指標を定義します。

  • インシデントの発生数と重大度の傾向
  • 管理策の有効性スコア
  • トレーニング完了率
  • 監査指摘事項のクローズ率

検証: ダッシュボードがリアルタイムのコンプライアンス状況を示していること。

ワークフロー 2: セキュリティリスクアセスメント

ステップ 1: 資産の特定

資産インベントリを作成します。

資産タイプ 分類
情報 患者記録、ソースコード 機密
ソフトウェア EHRシステム、API 重要
ハードウェア サーバー、医療機器
サービス クラウドホスティング、バックアップ
管理者アカウント、開発者 様々

検証: すべての資産に所有者と分類が割り当てられていること。

ステップ 2: 脅威分析

資産カテゴリごとの脅威を特定します。

資産 脅威 可能性
患者データ 不正アクセス、漏洩
医療機器 マルウェア、改ざん
クラウドサービス 設定ミス、停止
認証情報 フィッシング、ブルートフォース

検証: 脅威モデルが業界のトップ10脅威をカバーしていること。

ステップ 3: 脆弱性評価

python scripts/risk_assessment.py --scope "network-infrastructure" --output vuln_risks.json

脆弱性を文書化します。

  • 技術的(パッチ未適用システム、弱い設定)
  • プロセス(手順の欠落、ギャップ)
  • 人的(トレーニング不足、内部関係者のリスク)

検証: 脆弱性

📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

Information Security Manager - ISO 27001

Implement and manage Information Security Management Systems (ISMS) aligned with ISO 27001:2022 and healthcare regulatory requirements.

Table of Contents

Trigger Phrases

Use this skill when you hear:

  • "implement ISO 27001"
  • "ISMS implementation"
  • "security risk assessment"
  • "information security policy"
  • "ISO 27001 certification"
  • "security controls implementation"
  • "incident response plan"
  • "healthcare data security"
  • "medical device cybersecurity"
  • "security compliance audit"

Quick Start

Run Security Risk Assessment

python scripts/risk_assessment.py --scope "patient-data-system" --output risk_register.json

Check Compliance Status

python scripts/compliance_checker.py --standard iso27001 --controls-file controls.csv

Generate Gap Analysis Report

python scripts/compliance_checker.py --standard iso27001 --gap-analysis --output gaps.md

Tools

risk_assessment.py

Automated security risk assessment following ISO 27001 Clause 6.1.2 methodology.

Usage:

# Full risk assessment
python scripts/risk_assessment.py --scope "cloud-infrastructure" --output risks.json

# Healthcare-specific assessment
python scripts/risk_assessment.py --scope "ehr-system" --template healthcare --output risks.json

# Quick asset-based assessment
python scripts/risk_assessment.py --assets assets.csv --output risks.json

Parameters:

Parameter Required Description
--scope Yes System or area to assess
--template No Assessment template: general, healthcare, cloud
--assets No CSV file with asset inventory
--output No Output file (default: stdout)
--format No Output format: json, csv, markdown

Output:

  • Asset inventory with classification
  • Threat and vulnerability mapping
  • Risk scores (likelihood × impact)
  • Treatment recommendations
  • Residual risk calculations

compliance_checker.py

Verify ISO 27001/27002 control implementation status.

Usage:

# Check all ISO 27001 controls
python scripts/compliance_checker.py --standard iso27001

# Gap analysis with recommendations
python scripts/compliance_checker.py --standard iso27001 --gap-analysis

# Check specific control domains
python scripts/compliance_checker.py --standard iso27001 --domains "access-control,cryptography"

# Export compliance report
python scripts/compliance_checker.py --standard iso27001 --output compliance_report.md

Parameters:

Parameter Required Description
--standard Yes Standard to check: iso27001, iso27002, hipaa
--controls-file No CSV with current control status
--gap-analysis No Include remediation recommendations
--domains No Specific control domains to check
--output No Output file path

Output:

  • Control implementation status
  • Compliance percentage by domain
  • Gap analysis with priorities
  • Remediation recommendations

Workflows

Workflow 1: ISMS Implementation

Step 1: Define Scope and Context

Document organizational context and ISMS boundaries:

  • Identify interested parties and requirements
  • Define ISMS scope and boundaries
  • Document internal/external issues

Validation: Scope statement reviewed and approved by management.

Step 2: Conduct Risk Assessment

python scripts/risk_assessment.py --scope "full-organization" --template general --output initial_risks.json
  • Identify information assets
  • Assess threats and vulnerabilities
  • Calculate risk levels
  • Determine risk treatment options

Validation: Risk register contains all critical assets with assigned owners.

Step 3: Select and Implement Controls

Map risks to ISO 27002 controls:

python scripts/compliance_checker.py --standard iso27002 --gap-analysis --output control_gaps.md

Control categories:

  • Organizational (policies, roles, responsibilities)
  • People (screening, awareness, training)
  • Physical (perimeters, equipment, media)
  • Technological (access, crypto, network, application)

Validation: Statement of Applicability (SoA) documents all controls with justification.

Step 4: Establish Monitoring

Define security metrics:

  • Incident count and severity trends
  • Control effectiveness scores
  • Training completion rates
  • Audit findings closure rate

Validation: Dashboard shows real-time compliance status.

Workflow 2: Security Risk Assessment

Step 1: Asset Identification

Create asset inventory:

Asset Type Examples Classification
Information Patient records, source code Confidential
Software EHR system, APIs Critical
Hardware Servers, medical devices High
Services Cloud hosting, backup High
People Admin accounts, developers Varies

Validation: All assets have assigned owners and classifications.

Step 2: Threat Analysis

Identify threats per asset category:

Asset Threats Likelihood
Patient data Unauthorized access, breach High
Medical devices Malware, tampering Medium
Cloud services Misconfiguration, outage Medium
Credentials Phishing, brute force High

Validation: Threat model covers top-10 industry threats.

Step 3: Vulnerability Assessment

python scripts/risk_assessment.py --scope "network-infrastructure" --output vuln_risks.json

Document vulnerabilities:

  • Technical (unpatched systems, weak configs)
  • Process (missing procedures, gaps)
  • People (lack of training, insider risk)

Validation: Vulnerability scan results mapped to risk register.

Step 4: Risk Evaluation and Treatment

Calculate risk: Risk = Likelihood × Impact

Risk Level Score Treatment
Critical 20-25 Immediate action required
High 15-19 Treatment plan within 30 days
Medium 10-14 Treatment plan within 90 days
Low 5-9 Accept or monitor
Minimal 1-4 Accept

Validation: All high/critical risks have approved treatment plans.

Workflow 3: Incident Response

Step 1: Detection and Reporting

Incident categories:

  • Security breach (unauthorized access)
  • Malware infection
  • Data leakage
  • System compromise
  • Policy violation

Validation: Incident logged within 15 minutes of detection.

Step 2: Triage and Classification

Severity Criteria Response Time
Critical Data breach, system down Immediate
High Active threat, significant risk 1 hour
Medium Contained threat, limited impact 4 hours
Low Minor violation, no impact 24 hours

Validation: Severity assigned and escalation triggered if needed.

Step 3: Containment and Eradication

Immediate actions:

  1. Isolate affected systems
  2. Preserve evidence
  3. Block threat vectors
  4. Remove malicious artifacts

Validation: Containment confirmed, no ongoing compromise.

Step 4: Recovery and Lessons Learned

Post-incident activities:

  1. Restore systems from clean backups
  2. Verify integrity before reconnection
  3. Document timeline and actions
  4. Conduct post-incident review
  5. Update controls and procedures

Validation: Post-incident report completed within 5 business days.

Reference Guides

When to Use Each Reference

references/iso27001-controls.md

  • Control selection for SoA
  • Implementation guidance
  • Evidence requirements
  • Audit preparation

references/risk-assessment-guide.md

  • Risk methodology selection
  • Asset classification criteria
  • Threat modeling approaches
  • Risk calculation methods

references/incident-response.md

  • Response procedures
  • Escalation matrices
  • Communication templates
  • Recovery checklists

Validation Checkpoints

ISMS Implementation Validation

Phase Checkpoint Evidence Required
Scope Scope approved Signed scope document
Risk Register complete Risk register with owners
Controls SoA approved Statement of Applicability
Operation Metrics active Dashboard screenshots
Audit Internal audit done Audit report

Certification Readiness

Before Stage 1 audit:

  • [ ] ISMS scope documented and approved
  • [ ] Information security policy published
  • [ ] Risk assessment completed
  • [ ] Statement of Applicability finalized
  • [ ] Internal audit conducted
  • [ ] Management review completed
  • [ ] Nonconformities addressed

Before Stage 2 audit:

  • [ ] Controls implemented and operational
  • [ ] Evidence of effectiveness available
  • [ ] Staff trained and aware
  • [ ] Incidents logged and managed
  • [ ] Metrics collected for 3+ months

Compliance Verification

Run periodic checks:

# Monthly compliance check
python scripts/compliance_checker.py --standard iso27001 --output monthly_$(date +%Y%m).md

# Quarterly gap analysis
python scripts/compliance_checker.py --standard iso27001 --gap-analysis --output quarterly_gaps.md

Worked Example: Healthcare Risk Assessment

Scenario: Assess security risks for a patient data management system.

Step 1: Define Assets

python scripts/risk_assessment.py --scope "patient-data-system" --template healthcare

Asset inventory output:

Asset ID Asset Type Owner Classification
A001 Patient database Information DBA Team Confidential
A002 EHR application Software App Team Critical
A003 Database server Hardware Infra Team High
A004 Admin credentials Access Security Critical

Step 2: Identify Risks

Risk register output:

Risk ID Asset Threat Vulnerability L I Score
R001 A001 Data breach Weak encryption 3 5 15
R002 A002 SQL injection Input validation 4 4 16
R003 A004 Credential theft No MFA 4 5 20

Step 3: Determine Treatment

Risk Treatment Control Timeline
R001 Mitigate Implement AES-256 encryption 30 days
R002 Mitigate Add input validation, WAF 14 days
R003 Mitigate Enforce MFA for all admins 7 days

Step 4: Verify Implementation

python scripts/compliance_checker.py --controls-file implemented_controls.csv

Verification output:

Control Implementation Status
=============================
Cryptography (A.8.24): IMPLEMENTED
  - AES-256 at rest: YES
  - TLS 1.3 in transit: YES

Access Control (A.8.5): IMPLEMENTED
  - MFA enabled: YES
  - Admin accounts: 100% coverage

Application Security (A.8.26): PARTIAL
  - Input validation: YES
  - WAF deployed: PENDING

Overall Compliance: 87%

同梱ファイル

※ ZIPに含まれるファイル一覧。`SKILL.md` 本体に加え、参考資料・サンプル・スクリプトが入っている場合があります。