📦 Iso — 隔离

按 ISO 27001:2022 执行结构化内部审核。本技能带你完成范围界定、控制评估、证据收集与发现生成——遵循持证审计师同款流程。

安全模型

• 不执行脚本——仅提供 markdown 流程指引
• 无需密钥——基于公开参考数据
• 无 IP 风险——控制描述均为原创，引用公有领域 NIST SP 800-53；ISO 27001:2022 控制仅引用章节号（如“A.5.15”），不引用受版权保护的标题或描述
• 证据本地留存——所有收集命令输出至本地文件系统

何时使用

在以下场景激活本技能：

• 迎接监督或认证审核——外部审核前 4-6 周运行
• 季度内部审核——ISO 27001 要求每年至少一次；季度最佳
• 事后复盘——评估控制失效及所需纠正措施
• 新框架落地——将现有控制映射到 ISO 27001 要求
• 合规工具上线——验证自动化检查覆盖正确控制

勿用于：

• 从零生成 ISO 27001 适用性声明（SoA）——先用 iso-27001-evidence-collection 收集证据
• 仅 SOC 2 审核——改用 soc2-readiness
• 解读具体合同条款——使用法律协议类技能

核心概念

控制域（ISO 27001:2022 附录 A）

ISO 27001:2022 附录 A 共 93 项控制，分 4 域，外加 ISMS 条款 4-10（30 子条款）。本技能覆盖 48 项高优先级附录 A 控制——针对云原生初创公司各域最关键部分。其余控制层级较低或通常不适用。

| 域 | 控制数 | 重点 | |----|--------|------| | A.5 组织 | 37 | 方针、角色、事件管理、供应商关系 | | A.6 人员 | 8 | 审查、培训、离职、保密 | | A.7 物理 | 14 | 设施、设备、介质——云初创大多 N/A | | A.8 技术 | 34 | 访问控制、加密、日志、SDLC、网络安全 | | 条款 4-10 | 30 | ISMS 管理体系（上下文、领导、策划、支持、运行、绩效、改进） |

初创公司范围决策树

`` 组织是否云原生（无自有数据中心）？ ├─ 是 → 将 A.7.1-A.7.9、A.7.11-A.7.13 标记为“云服务商 SOC 2 已满足” │ 证据聚焦：笔记本、家庭办公、移动设备 ├─ 否 → 需完整评估 A.7 组织是否自研软件？ ├─ 是 → A.8.25-A.8.34（SDLC 控制）纳入范围 ├─ 否 → 可排除 A.8.25-A.8.34 并说明理由 组织是否处理 PII？ ├─ 是 → A.5.34（隐私）关键，需交叉引用 GDPR/CCPA ├─ 否 → A.5.34 为勾选级 `

控制分层

93 项控制并非同等重要，按审核失败频率排序：

| 层级 | 数量 | 处理方式 | |------|------|----------| | Critical | ~30 | 全面评估：证据、访谈、观察 | | Relevant | ~30 | 标准检查：证据抽查 | | Checkbox | ~33 | 确认策略存在或云服务商已覆盖 |

详细控制指引见 rules/.md。

分步流程

第 1 步：范围与上下文

• 确定 ISMS 范围——哪些系统、流程、场所、人员纳入？
• 获取适用性声明（SoA）——93 项附录 A 控制中哪些适用？
• 回顾上次审核发现——上次问题是否关闭？
• 检查数据新鲜度——若使用监控仪表板或自动化测试，确认数据 <7 天

` # 若接入 Internal ISO Audit MCP 服务器： list_controls() # 获取所有控制及其层级 get_control_guidance(control_id="Clause 9.2") # 查看具体 ISMS 条款要求

# 若读取本地文件： # 检查 co ``