Prompts für die Vorbereitung des ISO 27001-Audits

Übersicht

Hier finden Sie bewährte Prompts zur Vorbereitung auf ISO 27001-Zertifizierungs- und Überwachungsaudits mit dem ISMS Copilot – von der Durchführung von Gap-Analysen und der Beweismittelsammlung bis hin zur Erstellung auditreifer Dokumentationen und dem souveränen Umgang mit Auditorenfragen.

Für wen dies gedacht ist

Diese Prompts sind konzipiert für:

• Organisationen, die sich auf ihr erstes ISO 27001-Zertifizierungsaudit vorbereiten

• Security-Teams, die Pre-Audit-Bereitschaftsbewertungen durchführen

• Compliance-Manager, die sich auf Überwachungs- oder Rezertifizierungsaudits vorbereiten

• Berater, die Kunden durch den Auditprozess begleiten

Bevor Sie beginnen

Prompts für die Gap-Analyse

Umfassende ISO 27001 Gap-Analyse durchführen

"Führe eine umfassende Gap-Analyse unseres aktuellen Informationssicherheitsprogramms gemäß den Anforderungen der ISO 27001:2022 durch. Bewerte für jede Klausel (4-10) und jede der 93 Maßnahmen aus Anhang A: unseren aktuellen Status (Vollständig implementiert, Teilweise implementiert, Nicht implementiert, Nicht anwendbar), identifiziere spezifische Lücken oder Schwächen, bewertet die Verfügbarkeit von Beweismitteln für das Audit, stufe den Schweregrad der Lücke ein (Kritisch, Hoch, Mittel, Niedrig), schätze den Aufwand zur Schließung der Lücke (Stunden/Tage), empfiehl Maßnahmen zur Behebung und weise eine Priorität zu. Präsentiere dies als Gap-Analyse-Bericht mit einer Executive Summary."

Vollständigkeit der Dokumentation analysieren

"Überprüfe unsere ISO 27001-Dokumentation auf Vollständigkeit und Audit-Bereitschaft. Prüfe: Verfügen wir über alle obligatorisch dokumentierten Informationen, die in den Klauseln 4-10 gefordert werden? Entspricht unsere Risikobewertung den Anforderungen der Klausel 6.1.2? Ist unsere Erklärung zur Anwendbarkeit (SoA) vollständig und begründet? Verweisen die Richtlinien auf die entsprechenden ISO-Klauseln? Sind die Verfahren detailliert genug, um die Implementierung zu demonstrieren? Sind Versionskontrolle und Genehmigung dokumentiert? Gibt es Lücken in unserem Dokumenteninventar? Erstelle eine Dokumentations-Checkliste mit Status und Lücken."

Beweismittel für die Maßnahmenumsetzung bewerten

"Identifiziere für jede Maßnahme aus Anhang A, die in unserer Erklärung zur Anwendbarkeit als 'Implementiert' markiert ist, welche Beweise Auditoren anfordern werden, um die Implementierung zu verifizieren. Liste für Maßnahme [Nummer und Name der Maßnahme]: benötigte Arten von Beweisen (Richtlinien, Verfahren, Logs, Screenshots, Berichte, Aufzeichnungen) auf, gib an, wo Beweise vorhanden sind (System, Ort, Verantwortlicher), markiere Beweislücken, die geschlossen werden müssen, bewerte die Qualität der Beweise (vollständig, teilweise, schwach) und empfiehl zusätzliche Beweise, um den Nachweis der Konformität zu stärken."

ISMS-Reifegrad bewerten

"Bewerte unseren ISMS-Reifegrad im Hinblick auf die ISO 27001-Anforderungen mithilfe eines 5-stufigen Reifegradmodells: Stufe 1 (Initial/Ad-hoc), Stufe 2 (Gesteuert), Stufe 3 (Definiert), Stufe 4 (Quantitativ gesteuert), Stufe 5 (Optimierend). Bewerte für jeden Hauptbereich (Risikomanagement, Zugriffskontrolle, Incident Response, Änderungsmanagement, Business Continuity, Lieferantenmanagement): den aktuellen Reifegrad mit Begründung, identifiziere Verbesserungsmöglichkeiten zur Erreichung der nächsten Stufe und empfiehl vorrangige Maßnahmen für die Audit-Bereitschaft."

Prompts für die Beweismittelsammlung

Checkliste für die Beweismittelsammlung erstellen

"Erstelle eine umfassende Checkliste für die Beweismittelsammlung für das ISO 27001:2022 Zertifizierungsaudit. Organisiere sie nach der Nummer der Anhang-A-Maßnahme und füge für jede Maßnahme hinzu: Beweistyp (Dokument, Log, Screenshot, Konfiguration, Bericht), Beschreibung des Beweises, zuständiger Verantwortlicher für die Sammlung, Fundort des Beweises (System/Ordner), Frist für die Sammlung (Wochen vor dem Audit) und Verifizierungsstatus. Priorisiere Beweise für Hochrisiko-Maßnahmen und häufig auditierte Bereiche (Zugriffskontrolle, Incident Response, Backups)."

Implementierung von Maßnahmen dokumentieren

"Erstelle ein Paket mit Implementierungsnachweisen für die Anhang-A-Maßnahme [Nummer und Name der Maßnahme]. Enthalten sein sollen: schriftliche Beschreibung, wie wir die Maßnahme implementieren, Verweise auf Richtlinien und Verfahren, technische Implementierungsdetails (Konfigurationen, Tools, Workflows), Beweise (Log-Beispiele, Screenshots, Berichte), Ergebnisse von Maẞnahmentests, Verantwortlicher der Maßnahme, Zeitplan der Implementierung sowie bekannte Einschränkungen oder Ausnahmen mit kompensierenden Maßnahmen."

Beispiel: "Erstelle ein Paket mit Implementierungsnachweisen für die Anhang-A-Maßnahme A.8.5 Sichere Authentifizierung. Dokumentiere unsere Azure AD-Implementierung mit MFA, Kennwortrichtlinien, Privileged Access Management und Rotation von Dienstkonten."

Beweise für die Zugriffskontrolle vorbereiten

"Stelle Beweise zusammen, die die Implementierung unseres Zugriffskontrollprogramms für die ISO 27001-Maßnahmen A.5.15-A.5.18 belegen. Enthalten sein sollen: Verfahren zur Benutzerberechtigung und Beispiel-Genehmigungsdatensätze, Nachweise über Zugriffsprüfungen (letzte 3 Prüfungen mit Ergebnissen), Verzeichnis privilegierter Zugriffe und Managementprozess, Authentifizierungsrichtlinie und MFA-Registrierungsstatistiken, Screenshots der Kennwortrichtlinien-Konfiguration, Aufzeichnungen über Kontendeaktivierungen für die letzten 10 Abgänge, Vorfälle von Zugriffsverletzungen und deren Behebung sowie eine rollenbasierte Zugriffsberechtigungsmatrix (RBAC)."

Incident-Response-Fähigkeit dokumentieren

"Bereite ein Beweispaket für die Incident-Response-Maßnahmen A.5.24-A.5.28 vor. Enthalten sein sollen: Incident-Response-Plan und -Verfahren, Struktur des Incident-Response-Teams und Kontaktinformationen, Incident-Log der letzten 12 Monate (ggf. anonymisiert), Beispiel-Incident-Datensätze, die den Response-Workflow zeigen, Definitionen von Kategorisierung und Schweregrad, Nachweise über Incident-Response-Tests oder Tabletop-Übungen, Post-Incident-Berichte und an das Management berichtete Sicherheitsvorfall-Metriken."

Beweise für Backup und Wiederherstellung sammeln

"Stelle Beweise für Backup und Wiederherstellung für die Maßnahme A.8.13 zusammen. Enthalten sein sollen: Backup-Richtlinie und -Verfahren, Backup-Zeitplan und -Umfang (welche Systeme/Daten), Backup-Erfolgs-/Fehlerprotokolle der letzten 30 Tage, Backup-Speicherorte und Sicherheitsmaßnahmen, Ergebnisse der Wiederherstellungstests (jüngster Test), Wiederherstellungszeitvorgabe (RTO) und Wiederherstellungspunkt-Ziele (RPO) pro System, Verifizierung der Backup-Verschlüsselung sowie Konfigurationen für Backup-Monitoring und -Alerting."

Prompts für das interne Audit

Internen Auditplan entwickeln

"Erstelle einen internen Auditplan für die ISO 27001:2022 Konformität, der alle Klauseln und anwendbaren Anhang-A-Maßnahmen abdeckt. Enthalten sein sollen: Auditziele und -bereich, Auditzeitplan über 12 Monate (welche Maßnahmen/Bereiche in jedem Quartal), Auditkriterien (ISO 27001:2022 Anforderungen), Zuweisung der Auditoren unter Gewährleistung der Unabhängigkeit, Auditmethodik (Interviews, Dokumentenprüfung, technische Tests), geschätzte Zeit pro Auditbereich und Managementbewertung des Auditplans. Priorisiere Hochrisikobereiche und Maßnahmen mit schwachen Beweisen."

Checkliste für das interne Audit generieren

"Erstelle eine detaillierte Checklist für das interne Audit für [spezifischen Bereich, z. B. 'Zugriffskontrolle' oder 'Incident Management']. Für jede relevante ISO 27001:2022 Anforderung: liste die spezifische Anforderung auf, erstelle Auditfragen zur Bewertung der Konformität, identifiziere zu prüfende Dokumente, spezifiziere zu untersuchende Beweise, füge Stichprobenverfahren ein (z. B. 'wähle 10 Benutzerkonten aus und verifiziere die Zugriffsgenehmigung'), definiere Pass/Fail-Kriterien und biete Platz für Feststellungen und Beobachtungen."

Beispiel: "Erstelle eine detaillierte Checkliste für das interne Audit zur Zugriffskontrolle, die die ISO 27001:2022 Maßnahmen A.5.15-A.5.18 abdeckt. Füge Fragen zu Benutzerbereitstellung, Zugriffsprüfungen, MFA, privilegiertem Zugriff und Deaktivierung hinzu."

Auditfeststellungen und Korrekturmaßnahmen dokumentieren

"Dokumentiere diese Feststellung des internen Audits: [Feststellung beschreiben]. Erstelle einen Nichtkonformitätsbericht inklusive: Beschreibung der Feststellung und Beweise, welche ISO 27001-Anforderung nicht erfüllt ist, Auswirkung und Risiko der Nichtkonformität, Klassifizierung des Schweregrads (Major, Minor, Beobachtung), Ursachenanalyse (Root Cause), vorgeschlagener Korrekturmaßnahmenplan mit spezifischen Schritten, Verantwortlicher für die Behebung, Zieldatum für den Abschluss und Verifizierungsmethode. Formatiere dies für die Präsentation vor dem Management und externen Auditoren."

Mock-Audit-Vorbereitung durchführen

"Entwirf ein Mock-Audit-Szenario, um unser Team auf das Zertifizierungsaudit vorzubereiten. Enthalten sein sollen: Agenda des Mock-Audits (Tag 1 Eröffnungsgespräch, Dokumentenprüfung, Interviews; Tag 2 technische Verifizierung, Standortbegehung, Abschlussgespräch), Beispiel-Auditfragen für jeden ISMS-Hauptbereich, Dokumente, die Auditoren zur Einsicht anfordern werden, Systeme, die sie sehen wollen, Personal, das interviewt wird (Rollen und erforderliche Vorbereitung) sowie Bewertungskriterien für unsere Bereitschaft basierend auf den Mock-Audit-Ergebnissen."

Prompts für die Vorbereitung der Audit-Reaktionen

Auf gängige Auditorenfragen vorbereiten

"Generiere eine Liste gängiger Fragen, die ISO 27001-Auditoren zu [spezifischem Bereich, z. B. 'Risikobewertungsmethodik' oder 'Incident Response'] stellen. Gib für jede Frage an: die typische Frage des Auditors, was eigentlich bewertet wird (dahinterliegendes Anliegen), empfohlene Antwortstruktur, Beweise, auf die in der Antwort verwiesen werden sollte, und Fallstricke (Red Flags), die in den Antworten vermieden werden sollten. Decke sowohl Fragen zur Managementbewertung als auch zur technischen Implementierung ab."

Leitfaden für Audit-Interviews erstellen

"Erstelle einen Leitfaden zur Interviewvorbereitung für Personal, das während des ISO 27001-Audits interviewt wird. Für Rollen wie [Rollen auflisten: CISO, IT-Manager, Entwickler, HR etc.] gib an: Übersicht dessen, was Auditoren fragen werden, ihre Verantwortlichkeiten im ISMS, Maßnahmen, die sie verantworten oder durchführen, Beweise, mit denen sie vertraut sein sollten, Beispielfragen, Dos und Don'ts während des Interviews, Eskalationsprozess, wenn sie eine Antwort nicht wissen, und Tipps zum Stressmanagement."

Präsentation für das Eröffnungsgespräch entwickeln

"Erstelle eine Präsentation für das Eröffnungsgespräch zum ISO 27001-Audit. Füge Folien ein zu: Unternehmensübersicht und Geschäftskontext, ISMS-Geltungsbereich und Abgrenzungen, Organisationsstruktur und Security-Governance, Übersicht über den Risikobewertungsansatz und Kernfeststellungen, Highlights der Maßnahmenumsetzung und Erfolge, signifikante Änderungen seit dem letzten Audit (falls Überwachungsaudit), Audit-Logistik (Zeitplan, Teilnehmer, Räumlichkeiten) sowie Fragen/Klärungen. Ziele auf eine 20-minütige Präsentation ab."

Reaktionsstrategie für das Abschlussgespräch vorbereiten

"Entwickle eine Reaktionsstrategie für das Abschlussgespräch des Audits, in dem die Feststellungen präsentiert werden. Enthalten sein sollen: wie man Feststellungen professionell entgegennimmt und dokumentiert, Fragen zur Klärung von Feststellungen, wie man Feststellungen, mit denen man nicht einverstanden ist (respektvoll), widerspricht, Prozess für die initiale Planung von Korrekturmaßnahmen, Strategien zur Zeitplanverhandlung für die Behebung, Erklärungen zum Management-Commitment, Vorlage für einen Maßnahmenplan nach dem Audit und Protokoll für die Follow-up-Kommunikation mit den Auditoren."

Prompts für technische Beweisführung

Systemkonfigurations-Nachweise vorbereiten

"Erstelle ein technisches Beweispaket, das die sichere Konfiguration für [Systemname] demonstriert. Enthalten sein sollen: angewendeter Hardening-Standard, Konfigurations-Screenshots für Sicherheitseinstellungen (Authentifizierung, Verschlüsselung, Logging, Zugriffskontrolle), Abweichungen vom Baseline-Standard mit Begründung, Ergebnisse von Schwachstellenscans ohne kritische/hohe Feststellungen, Patch-Compliance-Bericht, Abdeckung des Sicherheitsmonitorings und Change-Control-Aufzeichnungen für sicherheitsrelevante Änderungen."

Beweise für Logging und Monitoring dokumentieren

"Stelle Beweise für Logging und Monitoring für die ISO 27001-Maßnahmen A.8.15-A.8.16 zusammen. Enthalten sein sollen: Inventar von Systemen mit aktiviertem Logging, Art der gesammelten Logs (Authentifizierung, Zugriff, Änderungen, Sicherheitsereignisse), Log-Aufbewahrungsfristen pro Typ, Maßnahmen zum Schutz der Logs (Integrität, Zugriffskontrolle), Konfigurationen des SIEM- oder Log-Analyse-Tools, Verfahren und Häufigkeit der Log-Prüfung, Beispielberichte der Log-Prüfung, Regeln zur Alarmierung bei Sicherheitsereignissen und Beispiele für Incident-Untersuchungen anhand von Logs."

Beweise für das Schwachstellenmanagement vorbereiten

"Stelle Beweise für das Schwachstellenmanagement für Maßnahme A.8.8 zusammen. Enthalten sein sollen: Zeitplan und Abdeckung der Schwachstellenscans (welche Systeme, wie oft), jüngste Scanergebnisse mit Schweregradverteilung, Zeitpläne für die Behebung kritischer und hoher Schwachstellen, Patch-Management-Verfahren und SLAs, Dashboard oder Bericht zur Patch-Compliance, Ausnahmen bei Schwachstellen mit kompensierenden Maßnahmen, Prozess zur Meldung von Schwachstellen durch Dritte und der Trend von Schwachstellenmetriken über die letzten 6 Monate."

Verschlüsselungsimplementierung dokumentieren

"Erstelle ein Beweispaket für kryptografische Maßnahmen A.8.24. Dokumentiere: Verschlüsselung von ruhenden Daten (Data-at-rest – welche Systeme, Methoden, Schlüsselmanagement), Verschlüsselung von Daten bei der Übertragung (Data-in-transit – TLS-Konfigurationen, Cipher Suites, Zertifikatsmanagement), Verschlüsselung von Backups und Archiven, Verschlüsselungsstatus von Mobilgeräten und Laptops, Verfahren zum Management kryptografischer Schlüssel, Standards für kryptografische Algorithmen, Verschlüsselungsausnahmen mit Risikoakzeptanz und Ergebnisse von Verschlüsselungsprüfungen."

Prompts für Managementsystem-Nachweise

Nachweise für die Managementbewertung vorbereiten

"Stelle Beweise für Managementbewertungen gemäß ISO 27001 Klausel 9.3 zusammen. Enthalten sein sollen: Protokolle der Managementbewertungssitzungen der letzten 12 Monate, Agenda mit allen geforderten Eingaben (Auditergebnisse, Risikoänderungen, Incidents, Performance-Metriken, Verbesserungsmöglichkeiten), präsentierte Sicherheitsmetriken und KPI-Berichte, getroffene Managemententscheidungen und Maßnahmen, Entscheidungen zur Ressourcenallokation, Bewertung der ISMS-Wirksamkeit, genehmigte strategische Sicherheitsinitiativen sowie Nachweise über das Management-Commitment und die Führung."

ISMS-Leistungskennzahlen dokumentieren

"Erstelle ein Performance-Monitoring-Dashboard für die ISMS-Wirksamkeit gemäß Klausel 9.1. Füge Metriken ein für: Trends bei Sicherheitsvorfällen (Volumen, Schweregrad, Lösungszeit), Schwachstellenmanagement (Scanhäufigkeit, Behebungszeit, Backlog), Zugriffskontrolle (Bereitstellungszeit, Abschlussquote der Prüfungen, Verstöße), Security Awareness (Abschlussquote der Trainings, Ergebnisse von Phishing-Tests), Backup-Erfolgsraten, Richtlinien-Compliance-Raten, Abschlussraten von Auditfeststellungen und Fortschritt der Risikobehandlung. Zeige Daten der letzten 12 Monate mit Trendanalyse."

Nachweise zur fortlaufenden Verbesserung vorbereiten

"Dokumentiere Aktivitäten zur fortlaufenden Verbesserung gemäß Klausel 10. Enthalten sein sollen: Korrekturmaßnahmen aus vorangegangenen Audits (Feststellungen und Behebung), Präventivmaßnahmen zur Adressierung potenzieller Probleme, implementierte ISMS-Verbesserungsinitiativen, Lessons Learned aus Sicherheitsvorfällen, Änderungen an der Risikobewertungsmethodik oder dem Geltungsbereich, Aktualisierungen von Richtlinien und Verfahren mit Begründung, Mitarbeiterfeedback zur ISMS-Wirksamkeit und für den nächsten Zeitraum identifizierte Verbesserungsmöglichkeiten."

Beweise für Schulung und Sensibilisierung zusammenstellen

"Stelle Beweise zur Security Awareness für Maßnahme A.6.3 zusammen. Enthalten sein sollen: Beschreibung des Schulungsprogramms zur Sicherheitsbewusstsein, Schulungsunterlagen und Materialien, Aufzeichnungen und Statistiken über abgeschlossene Schulungen, Prozess der Sicherheitseinweisung für neue Mitarbeiter, rollenbasierte Schulungen (privilegierte Benutzer, Entwickler, Manager), Ergebnisse von Phishing-Simulationen und Verbesserungstrends, Sicherheitsmitteilungen an Mitarbeiter, Kampagnenmaterialien zur Sensibilisierung, Messung der Schulungswirksamkeit und Nachschulungen für nicht konforme Mitarbeiter."

Prompts für Lieferanten- und Drittanbieter-Nachweise

Beweise für das Lieferantenmanagement vorbereiten

"Stelle Beweise für das Drittanbietermanagement für die Maßnahmen A.5.19-A.5.23 zusammen. Enthalten sein sollen: Lieferanteninventar und Risikokategorisierung, Prozess der Sicherheitsbewertung von Lieferanten und Fragebogen, Sicherheitsanforderungen in Lieferantenverträgen (Beispielverträge), Belege für Due-Diligence-Prüfungen (SOC 2-Berichte, ISO-Zertifikate, Assessments), Zugriffskontrollen und Überwachung von Lieferanten, Leistungsbewertungen der Lieferanten und Compliance-Verifizierung, Incident-Response-Verfahren für Lieferanten und eine Checkliste für das Offboarding von Lieferanten."

Sicherheitsanforderungen für Lieferanten dokumentieren

"Erstelle eine Vorlage, die zeigt, wie wir Informationssicherheitsanforderungen in Lieferantenverträge gemäß Maßnahme A.5.20 integrieren. Enthalten sein sollen: Standard-Sicherheitsklauseln (Datenschutz, Zugriffskontrolle, Vorfallmeldung, Auditrechte, Compliance, Vertraulichkeit), Service Level Agreements für Sicherheit (Reaktionszeiten, Verfügbarkeit, Meldefristen bei Sicherheitsverletzungen), Bedingungen zur Auftragsverarbeitung (DSGVO-Konformität), Anforderungen zur Genehmigung von Subunternehmern, Bestimmungen zur Vertragskündigung und Datenrückgabe sowie Haftung und Freistellung bei Sicherheitsvorfällen."

Spezialisierte Auditszenarien

Vorbereitung auf Remote-/Cloud-Audit-Besonderheiten

"Bereite das ISO 27001-Audit für unsere cloudbasierte Infrastruktur bei [Cloud-Anbieter] vor. Berücksichtige: wie Cloud-Sicherheitsmaßnahmen demonstriert werden (Shared Responsibility Model), Nachweise vom Cloud-Anbieter (SOC 2, ISO 27001, Dokumentation von Sicherheitsfunktionen), unsere Konfiguration und Verwaltung der Cloud-Sicherheit (IAM, Verschlüsselung, Logging, Monitoring), Nachweis von Datenspeicherort und Souveränität, Cloud-Zugriffskontrollen und Privileged Access Management, Cloud-spezifische Incident Response, Backup und Disaster Recovery in der Cloud sowie Screen-Sharing oder Remote-Zugriff für die Prüfung von Cloud-Konsolen durch den Auditor."

Vorbereitung auf Audits in Remote-Work-Umgebungen

"Bereite Beweise für das ISO 27001-Audit unter Berücksichtigung unserer Belegschaft vor, die zu [Prozentanteil] remote arbeitet. Berücksichtige: Sicherheit des Remote-Zugriffs (VPN, Zero Trust, MFA), Endpoint Protection für Remote-Geräte (EDR, Verschlüsselung, Patch-Management), sichere Collaboration-Tools und Datenaustausch, Leitlinien zur Sicherheit im Heimnetzwerk, physische Sicherheit von Remote-Arbeitsplätzen, Schulung und Sensibilisierung von Remote-Mitarbeitern, Monitoring von Remote-Zugriffen und Aktivitäten, Incident Response für Remote-Mitarbeiter sowie Bereitstellung/Rücknahme von Equipment für Remote-Personal."

Vorbereitung auf Multi-Site-Zertifizierungen

"Bereite das ISO 27001-Audit für mehrere Standorte vor: [Liste der Standorte]. Berücksichtige: wie der ISMS-Geltungsbereich alle Standorte abdeckt, standortspezifische Risiken und Maßnahmen, konsistente Richtlinienumsetzung über alle Standorte hinweg, lokale regulatorische Compliance-Aspekte, zentralisierte vs. lokale Managementverantwortung, Beweise von jedem Standort, Logistik für Remote-Standort-Audits, Kommunikation und Koordination zwischen Standorten sowie Demonstration der ISMS-Integration im gesamten Unternehmen."

Post-Audit-Prompts

Korrekturmaßnahmenplan entwickeln

"Erstelle einen Korrekturmaßnahmenplan für Auditfeststellungen. Für die Feststellung: [Feststellung beschreiben], füge hinzu: Details zur Feststellung und Referenz zur Nichtkonformität, Ursachenanalyse (Warum existierte diese Lücke?), sofortige Korrekturmaßnahme (Behebung des spezifischen Problems), systematische Korrekturmaßnahme (Vermeidung von Wiederholung), Implementierungsschritte mit Zeitplan, Verantwortlicher und benötigte Ressourcen, Verifizierungsmethode (Wie beweisen wir die Behebung?), Zieldatum für den Abschluss, Statusverfolgung und Beweise, die den Auditoren zum Abschluss vorgelegt werden sollen."

Nachweise zum Abschluss von Feststellungen vorbereiten

"Bereite ein Beweispaket vor, um die Auditfeststellung [Nummer] abzuschließen. Enthalten sein sollen: ursprüngliche Beschreibung der Feststellung und Anforderung, genehmigter Korrekturmaßnahmenplan, Nachweis der Umsetzung der Korrekturmaßnahme (Vorher/Nachher-Vergleich, aktualisierte Dokumente, Systemänderungen), Ergebnisse von Verifizierungstests, die zeigen, dass das Problem gelöst ist, implementierte Präventivmaßnahmen zur Vermeidung von Wiederholungen, Kommunikation der Änderungen an das relevante Personal sowie die Bitte um Verifizierung durch den Auditor und Abschluss der Feststellung."

Post-Audit Lessons Learned durchführen

"Moderiere eine Post-Audit Lessons Learned-Sitzung. Erstelle einen Diskussionsleitfaden mit den Themen: Was lief während des Audits gut, welchen Herausforderungen standen wir gegenüber, wie effektiv war unsere Vorbereitung, welche Beweise waren stark vs. schwach, wie gut ist das Team mit Auditorenfragen umgegangen, Überraschungen oder unerwartete Feststellungen, Feedback des Auditors zu unserem ISMS, Verbesserungen für den nächsten Auditzyklus, identifizierte Kompetenz- oder Wissenslücken und Aufgaben zur Stärkung des ISMS vor dem nächsten Überwachungsaudit."

Prompts zur Selbsteinschätzung der Audit-Bereitschaft

Pre-Audit Readiness Check durchführen

"Führe 2 Wochen vor unserem ISO 27001-Zertifizierungsaudit einen finalen Readiness-Check durch. Bewerte: Ist die gesamte obligatorische Dokumentation vollständig und genehmigt? Sind Beweise organisiert und zugänglich? Wurden interne Audits abgeschlossen und Feststellungen behoben? Ist das Personal geschult und auf Interviews vorbereitet? Sind technische Systeme korrekt für die Demonstration konfiguriert? Sind die Räumlichkeiten bereit für eine Begehung? Ist der Auditzeitplan mit den Teilnehmern bestätigt? Gibt es Backup-Pläne für die Auditwoche? Bewerte die Bereitschaft mit Rot/Gelb/Grün inklusive Begründung und identifiziere notwendige Last-Minute-Maßnahmen."

Audit-Bereitschaft nach Rollen bewerten

"Bewerte die Auditvorbereitung für jede Rolle, die am Audit teilnimmt. Für Rollen [Rollen auflisten: Geschäftsführung, IT-Team, Security-Team, HR, Operations etc.]: bewerte deren Verständnis des ISMS, Wissen über ihre Verantwortlichkeiten, Vertrautheit mit relevanten Maßnahmen, Verfügbarkeit während des Audits, Bereitschaft, Fragen zu beantworten, Zugriff auf notwendige Beweise, Vertretungsregelung bei Ausfall und Schulungsbedarf vor dem Audit. Identifiziere Lücken, die sofortige Aufmerksamkeit erfordern."

Audit-Logistik und -Koordination prüfen

"Erstelle einen Logistikplan und eine Checkliste für die Auditwoche. Enthalten sein sollen: Auditplan mit Zeiten und Teilnehmern, Reservierung und Einrichtung von Konferenzräumen (Beamer, Whiteboard, Gäste-WLAN), Regelungen für Mittagessen und Pausen, Parkplätze und Gebäudezugang für Auditoren, Willkommenspaket und Orientierungsmaterial, Zugriff auf das Dokumenten-Repository für Auditoren, Zugriff auf technische Systeme oder Demo-Umgebungen, Druck- und Kopiermöglichkeiten, privater Raum für Rücksprachen der Auditoren, IT-Support-Kontakt für technische Probleme und Notfallpläne für gängige Störungen."

Tipps für die effektive Nutzung dieser Prompts

Zugehörige Prompt-Bibliotheken

Vervollständigen Sie Ihre ISO 27001-Implementierung mit diesen zugehörigen Prompt-Sammlungen:

• ISO 27001 Prompts zur Risikobewertung

• ISO 27001 Prompts für Richtlinien und Verfahren

• ISO 27001 Prompts zur Gap-Analyse (demnächst verfügbar)

• SOC 2 Prompt-Bibliothek

Hilfe erhalten

Für Unterstützung bei der Auditvorbereitung:

• Auditprozess erlernen: Lesen Sie Vorbereitung auf interne ISO 27001-Audits mit KI

• Auf Zertifizierung vorbereiten: Siehe Vorbereitung auf das ISO 27001-Zertifizierungsaudit mit KI

• KI verantwortungsvoll nutzen: Lesen Sie Verantwortungsvolle Nutzung des ISMS Copilot für die Auditvorbereitung