ISMS Copilot
Prompt-Engineering

Komplexe Anfragen aufschlüsseln

Warum komplexe Abfragen aufschlüsseln?

Compliance-Projekte umfassen vielschichtige Aufgaben – Richtlinien erfordern Risikobewertungen, Implementierungen benötigen Anbieterbewertungen, Audits verlangen Nachweise über Dutzende von Kontrollen. Die Aufforderung an den ISMS Copilot, „auf ein SOC 2-Audit vorzubereiten“, führt in einer einzigen Abfrage zu oberflächlichen Anleitungen zu zu vielen Themen.

Sequenzielle, fokussierte Abfragen liefern tiefere, aussagekräftigere Antworten. Jeder Schritt baut auf dem vorherigen auf, sodass Sie die Richtung verfeinern und Probleme frühzeitig erkennen können, anstatt Lücken erst nach der Erstellung von 50 Seiten generischer Dokumentation zu entdecken.

Vorteile sequenzieller Abfragen

  • Höhere Qualität pro Thema – Fokussierte Prompts liefern detaillierte, auditreife Ergebnisse anstelle von gekürzten Zusammenfassungen

  • Einfachere Verifizierung – Überprüfen Sie jeweils eine Kontrolle oder Richtlinie anhand von Standards, nicht ganze Frameworks

  • Anpassbare Ausrichtung – Justieren Sie Folgefragen basierend auf Zwischenergebnissen ohne vergeblichen Aufwand nach

  • Bessere Nutzung des Nachrichten-Kontingents – Limits in der kostenlosen Version fördern Effizienz; gezielte Abfragen maximieren den Wert pro Nachricht

  • Erhalt des Kontextes – Workspaces speichern den Konversationsverlauf, sodass spätere Abfragen auf frühere Ergebnisse Bezug nehmen können

Wie man komplexe Anfragen zerlegt

1. Mit dem Scoping beginnen

Erste Abfrage: Verstehen Sie die gesamte Landschaft, bevor Sie in Details eintauchen.

Beispiel für ein komplexes Ziel: „ISO 27001 für unser Startup implementieren“

Scoping-Abfrage: „Was sind die wichtigsten Phasen und Kontrollen für die ISO 27001:2022-Implementierung in einem SaaS-Unternehmen mit 40 Mitarbeitern und einem Zeitplan von 9 Monaten?“

Ergebnis: Grobe Roadmap, Prioritätskontrollen, Ressourcenschätzungen. Nutzen Sie dies zur Strukturierung nachfolgender Abfragen.

2. Ein Bereich nach dem anderen adressieren

Gehen Sie nacheinander durch die Framework-Domänen oder Trust Services Criteria.

Beispielsequenz für SOC 2:

  1. „Welche SOC 2 CC6 (logischer Zugriff)-Kontrollen gelten für eine SaaS-Plattform, die Okta und AWS nutzt?“

  2. „Erstelle ein Verfahren zur Überprüfung von Benutzerzugriffen für CC6.1 mit vierteljährlichen Manager-Reviews“

  3. „Welche Nachweise demonstrieren CC6.2 (Authentifizierung) Compliance mit MFA über Okta?“

  4. „Entwirf eine Passwort-Richtlinie, die die CC6.1-Anforderungen für unser Team abdeckt“

Jede Abfrage liefert ein vollständiges, umsetzbares Ergebnis für diese Kontrolle, bevor es weitergeht.

3. Von der Übersicht ins Detail schichten

Beginnen Sie allgemein und bohren Sie basierend auf den ersten Antworten in die Details nach.

Sequenz:

  1. „Was sind die ISO 27001 Annex A.5 Organisationskontrollen?“ (Übersicht)

  2. „Erkläre die Anforderungen von A.5.1 (Informationssicherheits-Richtlinien) genauer“ (fokussiert)

  3. „Entwirf eine Informationssicherheits-Richtlinie gemäß A.5.1 für ein Healthcare-SaaS mit HIPAA-Anforderungen“ (Implementierung)

  4. „Welche Nachweise erwarten Auditoren für die Genehmigung und Kommunikation der Richtlinie A.5.1?“ (Audit-Vorbereitung)

Jeder Schritt vertieft das Verständnis, bevor die Dokumentation finalisiert wird.

4. Erstellung und Überprüfung trennen

Fragen Sie nicht gleichzeitig nach der Erstellung von Dokumenten und einer Gap-Analyse.

❌ Überladene Abfrage: „Erstelle eine Risikobewertung für ISO 27001 und sage mir, was in unserem aktuellen Ansatz fehlt“

✅ Sequenzieller Ansatz:

  1. „Überprüfe unseren aktuellen Risikobewertungsprozess [Datei anhängen] gegen ISO 27001 A.5.7 und identifiziere Lücken“

  2. „Erstelle eine Risikobewertungsvorlage, die die identifizierten Lücken für unsere AWS-Umgebung adressiert“

Dies stellt sicher, dass die Gap-Analyse das Design der Vorlage beeinflusst, nicht umgekehrt.

5. Abhängigkeiten in der richtigen Reihenfolge angehen

Einige Compliance-Aufgaben erfordern vorausgesetzte Ergebnisse.

Beispiel für eine Abhängigkeitskette:

  1. „Welche Assets sollten wir in ein ISO 27001 Asset-Inventar für eine SaaS-Plattform aufnehmen?“ (Grundlage)

  2. „Erstelle ein Asset-Klassifizierungsschema für Kundendaten, interne Systeme und Code-Repositorys“ (Struktur)

  3. „Erstelle eine Risikobewertungsvorlage unter Verwendung des Asset-Inventars und der Klassifizierungen“ (baut auf 1-2 auf)

  4. „Entwirfe Risikobehandlungspläne für hochpriorisierte Risiken aus der Bewertung“ (baut auf 3 auf)

Jeder Output speist den nächsten und schafft so eine kohärente Dokumentation.

Nutzen Sie Workspaces, um den Kontext über mehrstufige Workflows hinweg beizubehalten. Der ISMS Copilot erinnert sich an vorherige Gesprächsschritte, sodass spätere Abfragen auf „die Risikobewertung von vorhin“ oder „die gerade erstellte Richtlinie“ verweisen können.

Beispiele nach Szenario

Szenario 1: Erstes SOC 2-Audit

Komplexe Anfrage: „Hilf mir, mich in 6 Monaten auf das SOC 2 Type I-Audit vorzubereiten“

Aufgeschlüsselt:

  1. „Was sind die SOC 2 Trust Services Criteria für Sicherheit und Verfügbarkeit, und welche davon gelten für eine B2B-SaaS-Plattform?“

  2. „Erstelle eine SOC 2 Readiness-Checkliste für ein Unternehmen mit 50 Mitarbeitern und 6 Monaten bis zum Audit“

  3. „Erstelle eine Informationssicherheits-Richtlinie, die CC1.1-1.5 (Governance und Risiko) abdeckt“

  4. „Welcher Lieferanten-Risikobewertungsprozess erfüllt CC9.2 für unsere SaaS-Abhängigkeiten (AWS, Stripe, SendGrid)?“

  5. „Entwirf einen Incident-Response-Plan für CC7.3 mit Rollen, Eskalation und Kommunikationsverfahren“

  6. „Mit welcher Sammlung von Nachweisen sollten wir jetzt für CC6.1 (Zugriffsprüfungen) beginnen, angesichts der vierteljährlichen Review-Zyklen?“

Sechs fokussierte Abfragen schlagen eine überwältigende Anfrage.

Szenario 2: ISO 27001 Gap-Behebung

Komplexe Anfrage: „Behebe unsere ISO 27001 Audit-Feststellungen in den Bereichen Zugriffskontrolle, Change Management und Logging“

Aufgeschlüsselt:

  1. „Unser Auditor hat unzureichende Zugriffsprüfungen für ISO 27001 A.5.18 bemängelt. Entwirf einen vierteljährlichen Prozess zur Zugriffsprüfung für Okta, AWS IAM und GitHub“

  2. „Erstelle ein Change-Management-Verfahren für A.8.32, das unseren GitHub + AWS CodePipeline CI/CD-Workflow mit Genehmigungsschranken abdeckt“

  3. „Welche Logging-Konfiguration erfüllt ISO 27001 A.8.15 für AWS CloudTrail, Anwendungsprotokolle in Datadog und Okta-Systemprotokolle?“

  4. „Erstelle Verfahren zur Erfassung von Nachweisen für die neuen Kontrollen zu Zugriffsprüfung, Change Management und Logging“

Adressiert jede Feststellung gründlich mit Implementierungsdetails.

Szenario 3: Framework-übergreifende Abstimmung

Komplexe Anfrage: „Ordne ISO 27001- und SOC 2-Kontrollen einander zu, um Duplikate zu reduzieren“

Aufgeschlüsselt:

  1. „Welche SOC 2-Kontrollen überschneiden sich mit ISO 27001:2022 Annex A.5 (Organisationskontrollen)?“

  2. „Erstelle eine einzige Zugriffskontroll-Richtlinie, die sowohl ISO 27001 A.5.15-5.18 als auch SOC 2 CC6.1-6.3 erfüllt“

  3. „Wie kann ein Incident-Response-Verfahren sowohl ISO 27001 A.5.24 als auch SOC 2 CC7.3-7.5 Anforderungen abdecken?“

  4. „Entwirf einen einheitlichen Prozess zur Erfassung von Nachweisen für sich überschneidende Kontrollen in beiden Frameworks“

Identifiziert Synergien, bevor eine gemeinsame Dokumentation erstellt wird.

Szenario 4: Überprüfung und Verbesserung von Dokumenten

Komplexe Anfrage: „Überprüfe alle unsere Richtlinien und aktualisiere sie für den neuen Standard ISO 27001:2022“

Aufgeschlüsselt:

  1. „Was hat sich zwischen ISO 27001:2013 und 2022 geändert, das bestehende Richtlinien betrifft?“ (Verständnis)

  2. „Überprüfe unsere Informationssicherheits-Richtlinie [anhängen] gegen ISO 27001:2022 A.5.1 und schlage Aktualisierungen vor“ (eine Richtlinie)

  3. „Überprüfe unsere Zugriffskontroll-Richtlinie [anhängen] gegen die neuen Kontrollen A.5.15-5.18 und identifiziere Lücken“ (nächste Richtlinie)

  4. „Aktualisiere unsere Risikobewertungsmethodik, um die neuen A.5.7-Anforderungen für Cloud-Assets einzubeziehen“ (spezifisches Update)

Eine systematische Überprüfung ist besser als der Versuch, alles gleichzeitig zu aktualisieren.

Erkennen, wann aufgeschlüsselt werden muss

Ihre Abfrage ist zu komplex, wenn sie:

  • Ergebnisse über mehr als 5 Kontrollen oder Domänen hinweg anfordert

  • Sowohl strategische Beratung als auch Implementierungsdetails verlangt

  • Erstellung, Überprüfung und Gap-Analyse kombiniert

  • Mehrere Frameworks abdeckt, ohne Prioritäten festzulegen

  • „Und“ oder „auch“ mehr als zweimal enthält

Komplexe Abfragen führen oft zu oberflächlichen Ergebnissen, die ohnehin umfangreiche Nachbearbeitung erfordern. Mit fokussierten Abfragen zu beginnen spart Zeit und verbessert die Qualität des ersten Entwurfs.

Beibehaltung des Kontexts über Abfragen hinweg

Innerhalb einer Workspace-Konversation merkt sich der ISMS Copilot frühere Austausche. Verwenden Sie Referenzen wie:

  • „Gehe detaillierter auf den Prozess der Zugriffsprüfung aus der vorherigen Antwort ein“

  • „Wende die besprochene Risikomethodik auf die Datenbankverschlüsselung an“

  • „Aktualisiere den Richtlinienentwurf, um die gerade aufgelisteten Nachweisanforderungen einzubeziehen“

Dies baut die Dokumentation schrittweise auf, ohne den roten Faden zu verlieren.

Wann Komplexität angemessen ist

Einige Abfragen profitieren von der Bündelung verwandter Elemente:

  • Implementierung einer einzelnen Kontrolle – „Implementiere ISO 27001 A.8.24 (Kryptografie), einschließlich Verschlüsselung im Ruhezustand, bei der Übertragung und Schlüsselmanagement für unsere AWS-Umgebung“ (eine Domäne, verwandte Aspekte)

  • Vergleichende Analyse – „Vergleiche die Anforderungen zur Zugriffskontrolle von ISO 27001, SOC 2 und NIST CSF für unsere SaaS-Plattform“ (gezielte frameworkübergreifende Ansicht)

  • Integrierte Verfahren – „Erstelle ein kombiniertes Onboarding-/Offboarding-Verfahren, das ISO 27001 A.5.17 und SOC 2 CC6.1 adressiert, mit Rollenbereitstellung in Okta, AWS, GitHub und Salesforce“ (natürlich integrierter Workflow)

Der Schlüssel: Verwandte Elemente mit natürlichen Verbindungen gegenüber unzusammenhängenden Aufgaben, die zusammengezwungen wurden.

Erfolg messen

Effektive Zerlegung erzeugt:

  • Antworten, die Sie sofort ohne größere Bearbeitung umsetzen können

  • Ein klares Verständnis jeder Komponente, bevor Sie weitermachen

  • Wiederverwendbare Ergebnisse (Richtlinien, Vorlagen, Verfahren) ohne Lücken

  • Effiziente Nutzung des Nachrichten-Kontingents (Qualität vor Quantität)

Wenn Sie dasselbe Thema dreimal abfragen, war Ihre ursprüngliche Anfrage wahrscheinlich zu breit oder zu vage.

Betrachten Sie ISMS Copilot-Gespräche wie Pair Programming: Iterative, fokussierte Austausche produzieren besseren Code als der Versuch, ein ganzes System in einer einzigen Anfrage zu entwerfen. Das Gleiche gilt für die Compliance-Dokumentation.

Nächste Schritte

Nehmen Sie Ihre nächste komplexe Compliance-Aufgabe und skizzieren Sie 3-5 sequenzielle Abfragen, um sie anzugehen. Achten Sie darauf, wie jeder fokussierte Schritt qualitativ hochwertigere und umsetzbarere Anleitungen liefert.

Zurück zur Übersicht über Prompt Engineering

War das hilfreich?