Prompts für die Implementierung von ISO 27001-Kontrollen

Überblick

Hier finden Sie praktische Prompts zur Implementierung der Kontrollen von ISO 27001:2022 Anhang A mit dem ISMS Copilot – vom Entwurf technischer Konfigurationen bis hin zur Erstellung operativer Workflows, die eine effektive Umsetzung der Sicherheitskontrollen belegen.

Für wen dies gedacht ist

Diese Prompts sind konzipiert für:

IT- und Sicherheitsteams, die Anhang-A-Kontrollen implementieren
Systemadministratoren, die Sicherheitskontrollen konfigurieren
DevOps-Ingenieure, die Sicherheit in die Infrastruktur integrieren
Compliance-Experten, die die Kontrollimplementierung dokumentieren

Bevor Sie beginnen

Die Implementierung von Kontrollen ist am effektivsten, wenn Sie bereits Ihre Risikobewertung abgeschlossen und Ihre Richtlinien und Verfahren erstellt haben. Diese Prompts helfen Ihnen, Anforderungen in tatsächliche technische und operative Implementierungen zu übersetzen.

Profi-Tipp: Passen Sie die Prompts mit Ihrem spezifischen Technologie-Stack (Cloud-Anbieter, Identitätssystem, SIEM-Tool usw.) an, um eine auf Ihre Umgebung zugeschnittene Anleitung anstelle von generischen Empfehlungen zu erhalten.

Prompts für organisatorische Kontrollen (A.5)

Informationssicherheitsrollen entwerfen (A.5.1-A.5.3)

"Entwerfe die Organisationsstruktur für Informationssicherheitsrollen gemäß den ISO 27001:2022-Kontrollen A.5.1-A.5.3. Definiere: Governance-Struktur für Informationssicherheit (Gremien, Berichtslinien), Rollendefinitionen und Verantwortlichkeiten (CISO, Sicherheitsteam, IT-Team, Geschäftsbereiche), Matrix zur Aufgabentrennung zur Vermeidung von Konflikten, Eskalationspfade für Sicherheitsentscheidungen, Integration in die gesamte Organisationsstruktur, Mechanismen zur Demonstration des Management-Engagements und Ressourcenzuweisung für die Sicherheitsfunktion. Geeignet für [Unternehmensgröße und -struktur]."

System für Richtlinienmanagement implementieren (A.5.2)

"Entwerfe ein System für das Richtlinienmanagement zur Pflege unserer ISO 27001-Richtlinien gemäß Kontrolle A.5.2. Enthalten sein sollen: Struktur des Richtlinien-Repositorys und Zugriffskontrollen, Workflow für den Richtlinienlebenszyklus (Entwurf, Prüfung, Genehmigung, Veröffentlichung, Außerkraftsetzung), Versionskontrolle und Änderungsverfolgung, Zeitplan und Erinnerungen für die Richtlinienprüfung, Konsultationsprozess für Stakeholder, Genehmigungsinstanzen nach Richtlinientyp, Verfolgung der Richtlinienkommunikation und -bestätigung, Management von Richtlinienausnahmen und Integration in das Onboarding neuer Mitarbeiter."

Asset-Management konfigurieren (A.5.9)

"Implementiere ein Asset-Inventar- und Managementsystem für die ISO 27001-Kontrolle A.5.9. Entwerfe: Methoden zur Asset-Erkennung (automatisiertes Scannen, manuelle Registrierung), zu verfolgende Asset-Attribute (Eigentümer, Klassifizierung, Standort, Abhängigkeiten, Lebenszyklusstatus), Workflow zur Zuweisung des Asset-Eigentums, Klassifizierungskennzeichnungsprozess, Mechanismen zur Durchsetzung der zulässigen Nutzung, Integration in CMDB oder IT-Asset-Management, Asset-Lebenszyklus-Tracking (Beschaffung bis Entsorgung) und Berichts-Dashboards für die Asset-Überwachung."

Rahmenwerk für die Zugriffskontrolle entwerfen (A.5.15-A.5.18)

"Entwerfe ein umfassendes Rahmenwerk für die Zugriffskontrolle für die ISO 27001-Kontrollen A.5.15-A.5.18 unter Verwendung von [Ihrem Identitätssystem, z. B. Azure AD, Okta]. Enthalten sein sollen: Identitätslebenszyklus-Management (Bereitstellung, Änderungen, De-Provisionierung), rollenbasierte Zugriffskontrolle (RBAC) mit Zuordnung von Rollen zu Jobfunktionen, Workflow für Zugriffsanfragen und -genehmigungen, Strategie für das Management privilegierter Zugriffe, Authentifizierungsmechanismen (SSO, MFA, passwortlos), Autorisierungsmodelle (RBAC, ABAC), Prozess und Zeitplan für die Zugriffsüberprüfung sowie die technische Implementierung in [Ihrem Verzeichnissystem]."

Beispiel: "Entwerfe ein umfassendes Rahmenwerk für die Zugriffskontrolle für die Kontrollen A.5.15-A.5.18 unter Verwendung von Azure AD mit Conditional Access. Unsere Umgebung: 200 Benutzer, SaaS-Anwendungen, Azure-Cloud-Infrastruktur, Workstations für administrativen privilegierten Zugriff."

Prompts für personelle Kontrollen (A.6)

Sicherheitsüberprüfungsprozess aufbauen (A.6.1)

"Erstelle einen Prozess zur Mitarbeiterüberprüfung und Hintergrundprüfung für die ISO 27001-Kontrolle A.6.1. Definiere: Überprüfungsanforderungen nach Rollensensibilität (Standard, erweitert, privilegiert), Prüfungen vor der Einstellung (Strafregister, Werdegang, Ausbildung, Referenzen, Bonität für Finanzrollen), Zeitplan für die Überprüfung im Einstellungsprozess, Anforderungen an Drittanbieter für Überprüfungen, Überlegungen für internationale Kandidaten, Auslöser für laufende Überprüfungen (Rollenwechsel, Sicherheitsvorfälle), Zustimmung des Kandidaten und Einhaltung des Datenschutzes, Aufbewahrung von Aufzeichnungen und Integration in den HR-Onboarding-Workflow."

Programm für Sicherheitsbewusstsein implementieren (A.6.3)

"Entwerfe ein umfassendes Programm für Sicherheitsbewusstsein und Schulungen für die ISO 27001-Kontrolle A.6.3. Enthalten sein sollen: Basistraining zum Sicherheitsbewusstsein (Inhaltsthemen, Bereitstellungsmethode, Dauer, Häufigkeit), Checkliste für die Sicherheitsorientierung neuer Mitarbeiter, rollenbasierte Schulungspfade (Entwickler, Admins, Manager, alle Mitarbeiter), Phishing-Simulationsprogramm (Häufigkeit, Schwierigkeitsgrade, Auslöser für Nachschulungen), Kommunikationsstrategie für Sicherheit (Newsletter, Warnmeldungen, Kampagnen), Messung der Schulungseffektivität (Tests, Umfragen, Korrelation von Vorfällen), Integration des Learning Management Systems sowie Compliance-Tracking und Berichterstattung."

Disziplinarverfahren konfigurieren (A.6.4)

"Entwickle ein Disziplinarverfahren für Verstöße gegen die Sicherheitsrichtlinien gemäß ISO 27001-Kontrolle A.6.4. Definiere: Kategorien von Verstößen und Schweregrade, Untersuchungsverfahren bei Verdacht auf Verstöße, Disziplinarmaßnahmen nach Art des Verstoßes (Verwarnung, Suspendierung, Kündigung), Eskalations- und Genehmigungsinstanzen, Dokumentationsanforderungen, Arbeitnehmerrechte und ordnungsgemäße Verfahren, Integration in HR-Disziplinarverfahren, Datenschutz und Vertraulichkeit während Untersuchungen sowie Kommunikationsprotokolle für sensible Fälle."

Prompts für physische Kontrollen (A.7)

Physische Zutrittskontrollen entwerfen (A.7.1-A.7.2)

"Entwerfe physische Sicherheitskontrollen für unsere Einrichtungen gemäß den ISO 27001-Kontrollen A.7.1-A.7.2. Enthalten sein sollen: Definition des Sicherheitsperimeters und physische Barrieren, Zugangspunkte und Zutrittskontrollmechanismen (Ausweisleser, Biometrie, Vereinzelungsanlagen), Besuchermanagementprozess (Registrierung, Begleitung, Rückgabe des Ausweises), Sicherheitszonen und Zutrittsbeschränkungen (öffentlich, Mitarbeiter, eingeschränkt, Serverraum), Überwachungssysteme (CCTV-Platzierung, Aufzeichnung, Aufbewahrung), Sicherheitspersonal und Patrouillenverfahren, Verfahren für den Zugang außerhalb der Geschäftszeiten und Integration zwischen physischen und logischen Zugangssystemen."

Gerätesicherheit implementieren (A.7.7-A.7.8)

"Erstelle Verfahren für 'Clear Desk' und 'Clear Screen' sowie für die Gerätesicherheit gemäß den ISO 27001-Kontrollen A.7.7-A.7.8. Definiere: Anforderungen für den leeren Schreibtisch (Tagesende, Umgang mit vertraulichem Material), Richtlinien für den gesperrten Bildschirm (Sperr-Timeout, Blickschutz, Monitorpositionierung), Bestimmungen für die sichere Aufbewahrung (abschließbare Schränke, Tresore), Platzierung von Geräten zur Vermeidung unbefugter Einsichtnahme, Beschränkungen für Besucherbereiche, Anwendbarkeit bei Remote-Arbeit, Audit- und Compliance-Prüfungen, Mitarbeiterschulungen und Erinnerungen sowie Durchsetzungsmechanismen."

Prozess zur sicheren Entsorgung entwerfen (A.7.10, A.7.14)

"Implementiere einen Prozess zur sicheren Entsorgung von Geräten und Medien gemäß den ISO 27001-Kontrollen A.7.10 und A.7.14. Enthalten sein sollen: Medientypen im Umfang (Papier, Festplatten, SSDs, USB-Sticks, Mobilgeräte, Backup-Bänder), Entsorgungsmethoden nach Medientyp (Schreddern, Entmagnetisieren, kryptografisches Löschen, physische Zerstörung), Verifizierungsverfahren für die Datenbereinigung, Anforderungen an Vernichtungszertifikate, Management und Überwachung von Entsorgungsdienstleistern, Nachverfolgung der Entsorgung und Audit-Logs, Workflow für die Genehmigung der Entsorgung sensibler Systeme sowie Umwelt- und Regulierungs-Compliance."

Prompts für technologische Kontrollen (A.8)

Sichere Authentifizierung konfigurieren (A.8.5)

"Implementiere sichere Authentifizierungskontrollen für die ISO 27001-Kontrolle A.8.5 unter Verwendung von [Ihrem Identitätsanbieter]. Konfiguriere: Registrierung und Durchsetzung der Multi-Faktor-Authentifizierung (MFA) nach Benutzerrisikostufe, Authentifizierungsmethoden (Authenticator-Apps, Hardware-Token, Biometrie, SMS als Ausweichlösung), Conditional Access-Richtlinien (Standort, Gerät, Risikostufe), Single Sign-On (SSO) für integrierte Anwendungen, Sitzungsmanagement (Timeout, gleichzeitige Sitzungen), Authentifizierung von Dienstkonten, API-Authentifizierung und -Autorisierung, passwortlose Authentifizierungsoptionen sowie Überwachung von Authentifizierungsfehlern und Anomalien."

Beispiel: "Implementiere die sichere Authentifizierung für Kontrolle A.8.5 mit Azure AD. Konfiguriere MFA für alle Benutzer, Conditional Access basierend auf dem Anmelderisiko, der Geräte-Compliance und dem Standort. Aktiviere passwortlose Anmeldung für Führungskräfte mittels Windows Hello und FIDO2-Keys."

Management privilegierter Zugriffe entwerfen (A.8.2-A.8.3)

"Implementiere ein System für das Management privilegierter Zugriffe (PAM) für die ISO 27001-Kontrollen A.8.2-A.8.3. Entwerfe: Inventar und Klassifizierung privilegierter Konten, Workflow für Anfragen und Genehmigungen privilegierter Zugriffe (Just-in-Time-Zugriff), Privileged Access Workstations (PAWs) für administrative Aufgaben, Sitzungsaufzeichnung und Überwachung für privilegierte Aktivitäten, Passwort-Tresor für privilegierte Anmeldedaten (unter Verwendung von [PAM-Lösung]), automatische Passwortrotation, Notfall-Verfahren (Break-Glass), Überprüfungen und Rezertifizierung privilegierter Zugriffe sowie Audit-Protokollierung privilegierter Aktivitäten."

Zugriffsbeschränkung implementieren (A.8.1)

"Konfiguriere Netzwerk- und Informationszugriffsbeschränkungen für die ISO 27001-Kontrolle A.8.1. Implementiere: Strategie für Netzwerksegmentierung und Mikrosegmentierung, Firewall-Regeln basierend auf dem Prinzip der geringsten Rechte, Zugriffskontrollen auf Anwendungsebene (Authentifizierung, Autorisierung), Datenzugriffsbeschränkungen nach Klassifizierungsstufe, Durchsetzung des 'Need-to-Know'-Prinzips, Trennung von Entwicklungs-, Test- und Produktionsumgebungen, Remote-Zugriffskontrollen (VPN, Zero Trust, Conditional Access) sowie Zugriffsprotokollierung und -überwachung für alle eingeschränkten Ressourcen."

Sicherheit von Informationssystemen konfigurieren (A.8.9-A.8.11)

"Implementiere Konfigurationsmanagement und Hardening für die ISO 27001-Kontrollen A.8.9-A.8.11. Enthalten sein sollen: Sicherheitsbasis-Konfigurationen für [Ihre Betriebssysteme/Plattformen], Pflege der Configuration Management Database (CMDB), Hardening-Standards und Checklisten, Erkennung und Behebung von Configuration Drift, sichere Konfigurationsvorlagen für neue Systeme, regelmäßige Konfigurations-Audits, Change Control für Konfigurationsänderungen, Konfigurations-Backup und -Wiederherstellung sowie Integration in das Sicherheitslückenmanagement zur Identifizierung von Fehlkonfigurationen."

Schutz vor Datenabfluss entwerfen (A.8.12)

"Implementiere Kontrollen zum Schutz vor Datenabfluss (DLP) für die ISO 27001-Kontrolle A.8.12. Entwerfe: Integration der Datenklassifizierung (automatische Kennzeichnung), DLP-Richtlinien für verschiedene Datentypen (PII, Zahlungsdaten, geistiges Eigentum, vertraulich), Überwachungsschritte (E-Mail, Web, USB, Cloud-Apps, Drucken), Richtlinienaktionen (Warnen, Blockieren, Verschlüsseln, Quarantäne), Benutzerschulung bei DLP-Warnungen, Ausnahmen von DLP-Richtlinien und Genehmigungs-Workflow, Incident Response bei DLP-Verstößen sowie DLP-Effektivitätsmetriken und -Feinabstimmung."

Backup-Kontrollen implementieren (A.8.13)

"Konfiguriere das Backup- und Wiederherstellungssystem für die ISO 27001-Kontrolle A.8.13. Implementiere: Backup-Umfang (alle kritischen Systeme und Daten), Backup-Häufigkeit nach Systemstufe (kontinuierlich, stündlich, täglich, wöchentlich), Backup-Aufbewahrungsrichtlinie (GFS – Grandfather-Father-Son), Backup-Speicherung (vor Ort, extern, Cloud), Backup-Verschlüsselung bei der Übertragung und im Ruhezustand, Verifizierung der Backup-Integrität, Zeitplan für Wiederherstellungstests, automatisierte Backup-Überwachung und -Alarmierung sowie Disaster-Recovery-Integration mit RTO/RPO-Zielen."

Protokollierung und Überwachung konfigurieren (A.8.15-A.8.16)

"Implementiere eine umfassende Protokollierung und Überwachung für die ISO 27001-Kontrollen A.8.15-A.8.16 unter Verwendung von [Ihrem SIEM-Tool]. Konfiguriere: Protokollquellen und zu sammelnde Ereignistypen (Authentifizierung, Zugriff, Änderungen, Sicherheitsereignisse, Fehler), Protokollzentralisierung und -aggregation im SIEM, Protokollaufbewahrung nach Protokolltyp und regulatorischen Anforderungen, Protokollschutz (Integrität, Zugriffskontrolle, Verschlüsselung), Echtzeit-Überwachung und Alarmierungsregeln, Security Use Cases und Erkennungslogik, Verfahren und Verantwortlichkeiten für die Protokollprüfung, Workflows für Vorfalluntersuchungen sowie Überwachungs-Dashboard für den Sicherheitsbetrieb."

Beispiel: "Implementiere Protokollierung und Überwachung für die Kontrollen A.8.15-A.8.16 mit Microsoft Sentinel. Sammle Protokolle von Azure AD, Office 365, Azure-Ressourcen, On-Prem AD, Firewalls und Endpunkten. Konfiguriere die Erkennung von Brute-Force, Privilege Escalation, Datenexfiltration und Malware."

Kryptografische Kontrollen entwerfen (A.8.24)

"Implementiere kryptografische Kontrollen für die ISO 27001-Kontrolle A.8.24. Konfiguriere: Verschlüsselung für ruhende Daten (Datenbanken, Dateispeicher, Backups) mittels [Verschlüsselungsmethode], Verschlüsselung für Datenübertragungen (TLS 1.2+, genehmigte Cipher Suites), Schlüsselmanagementsystem (Erzeugung, Speicherung, Rotation, Vernichtung), Verschlüsselungsschlüssel-Hinterlegung (Escrow) für Wiederherstellungsszenarien, digitale Zertifikate und PKI-Management, genehmigte kryptografische Algorithmen und Schlüssellängen, Cloud-Verschlüsselung (kundeneigene Schlüssel vs. anbietereigene) sowie Prüfung kryptografischer Kontrollen und Compliance-Verifizierung."

Vulnerability Management implementieren (A.8.8)

"Entwerfe ein Vulnerability-Management-Programm für die ISO 27001-Kontrolle A.8.8 unter Verwendung von [Ihren Scanning-Tools]. Implementiere: Zeitplan für das Scannen von Schwachstellen (wöchentliche authentifizierte Scans für kritische Systeme, monatlich für alle Systeme), Scan-Abdeckung (Netzwerk, Anwendungen, Container, Cloud-Infrastruktur), Klassifizierung des Schweregrads von Schwachstellen und SLAs (kritisch innerhalb von 24 Stunden, hoch innerhalb von 7 Tagen, mittel innerhalb von 30 Tagen), Patch-Management-Workflow und Tests, kompensatorische Kontrollen für nicht patchbare Systeme, Handhabung der Offenlegung von Schwachstellen, Metriken und Berichterstattung an das Management sowie Integration in das Asset- und Change-Management."

Sichere Entwicklung konfigurieren (A.8.25-A.8.31)

"Implementiere einen sicheren Entwicklungslebenszyklus (SDLC) für die ISO 27001-Kontrollen A.8.25-A.8.31. Entwerfe: Sicherheitsanforderungen im Entwicklungsprozess, Bedrohungsmodellierung (Threat Modeling) für neue Funktionen, sichere Codierungsstandards für [Ihre Programmiersprachen], Code-Review-Prozess mit Sicherheitsfokus, statische Anwendungssicherheitstests (SAST) in der CI/CD-Pipeline, dynamische Tests (DAST) vor der Bereitstellung, Scannen von Abhängigkeiten und Drittanbieter-Bibliotheken, Sicherheitstests in der QA-Phase, Management von Entwicklungs-/Testdaten (Datenmaskierung, synthetische Daten) sowie Sicherheitsprüfungen bei der Produktionsbereitstellung."

Change Management entwerfen (A.8.32)

"Implementiere ein Change-Management-System für die ISO 27001-Kontrolle A.8.32 unter Verwendung von [Ihrem Change-Management-Tool]. Konfiguriere: Prozess für Änderungsanfragen und Genehmigungen, Kategorisierung von Änderungen (Standard, Normal, Notfall), Risikobewertung für Änderungen, Prozess des Change Advisory Boards (CAB), Testanforderungen vor der Implementierung, Implementierungsfenster und Sperrzeiten, Rollback-Verfahren und -Kriterien, Überprüfung nach der Implementierung, Prozess für Notfalländerungen mit nachträglicher Genehmigung sowie Change-Analytics und Metriken (Erfolgsquote, durch Änderungen verursachte Vorfälle)."

Prompts für die Implementierung des Incident Managements

Fähigkeit zur Vorfallreaktion aufbauen (A.5.24-A.5.28)

"Implementiere ein Programm zur Reaktion auf Sicherheitsvorfälle für die ISO 27001-Kontrollen A.5.24-A.5.28. Entwerfe: Quellen zur Vorfallserkennung (SIEM, EDR, Benutzerberichte, Threat Intelligence), Vorfallklassifizierung und Schweregrade, Struktur des Incident Response Teams und Rufbereitschaft, Incident Response Playbooks nach Vorfallstyp (Ransomware, Datenpanne, DDoS, Insider-Bedrohung), Beweissicherung und forensische Verfahren, Kommunikationsplan (interne Eskalation, Kundenbenachrichtigung, behördliche Meldung), System zur Fallverfolgung und Fallmanagement, Überprüfung nach dem Vorfall und 'Lessons Learned'-Prozess sowie Tabletop-Übungen und IR-Tests."

Erkennung von Sicherheitsereignissen konfigurieren (A.8.16)

"Entwerfe die Erkennung und Reaktion auf Sicherheitsereignisse unter Verwendung von [Ihren SIEM/EDR-Tools]. Implementiere: Security Use Cases und Erkennungsregeln (Authentifizierungsanomalien, Lateral Movement, Datenexfiltration, Privilege Escalation, Ausführung von Malware), Integration von Threat Intelligence, Verhaltensanalyse und maschinelles Lernen zur Anomalieerkennung, Alert-Tuning und Reduzierung von Fehlalarmen, Alert-Triage und Untersuchungs-Workflow, automatisierte Reaktionsmaßnahmen (Konto sperren, Quarantäne, IP blockieren), SOC-Playbooks für gängige Szenarien sowie MTTR-Tracking (Mean Time To Respond) und Verbesserung."

Prompts für die Implementierung der Betriebskontinuität

Business-Continuity-Programm entwerfen (A.5.29-A.5.30)

"Implementiere ein Business-Continuity- und Disaster-Recovery-Programm für die ISO 27001-Kontrollen A.5.29-A.5.30. Erstelle: Business Impact Analysis (BIA) zur Identifizierung kritischer Funktionen, Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) nach Geschäftsbereich, Kontinuitätsstrategien (Redundanz, Failover, Workarounds, manuelle Prozesse), alternative Verarbeitungsstandorte oder Cloud-DR, Kommunikationspläne bei Störungen, Rollen und Verantwortlichkeiten des BC-Teams, Testplan für den BC-Plan (jährlich Tabletop, alle 2 Jahre Volllast-Test), Auslöser für die Planpflege sowie Integration in das Incident Response und Krisenmanagement."

IKT-Kontinuität implementieren (A.8.14)

"Entwerfe IKT-Kontinuität und Redundanz für die ISO 27001-Kontrolle A.8.14. Implementiere: Systemredundanz und Hochverfügbarkeit für kritische Systeme, automatisierte Failover-Mechanismen, Datenreplikation (synchron für kritische, asynchron für andere), Standort für Katastrophenhilfe oder Cloud-Region, RTO- und RPO-Verifizierung durch Tests, Failback-Verfahren nach Wiederherstellung des Primärsystems, Redundanz der Lieferanten für kritische Dienste sowie Integration in die Backup-Wiederherstellungsprozesse aus Kontrolle A.8.13."

Prompts für die Implementierung des Lieferantenmanagements

Sicherheitsprogramm für Lieferanten entwerfen (A.5.19-A.5.23)

"Implementiere ein Programm zum Sicherheitsmanagement von Drittanbietern für die ISO 27001-Kontrollen A.5.19-A.5.23. Erstelle: Lieferantenrisikoklassifizierung (hoch/mittel/niedrig basierend auf Datenzugriff und Kritikalität), Prozess und Fragebogen zur Sicherheitsbewertung von Lieferanten, Sicherheitsanforderungen im Beschaffungsprozess, vertragliche Sicherheitsanforderungen (Sicherheitskontrollen, Prüfungsrechte, Vorfallbenachrichtigung, Compliance-Verpflichtungen), Sicherheitsüberprüfung beim Lieferanten-Onboarding, laufende Überwachung und Leistungsprüfungen der Lieferanten, Zugriffsmanagement und Beschränkungen für Lieferanten, Koordinierung der Reaktion auf Vorfälle bei Lieferanten sowie Lieferanten-Offboarding und Verfahren zur Datenrückgabe."

Sicherheit von Cloud-Diensten konfigurieren (A.5.23)

"Implementiere Sicherheitskontrollen für Cloud-Dienste gemäß ISO 27001-Kontrolle A.5.23 für [Ihre Cloud-Anbieter]. Berücksichtige: Verständnis und Dokumentation des Shared Responsibility Models, Sicherheitsverifizierung der Cloud-Anbieter (SOC 2, ISO 27001, FedRAMP), Cloud-spezifische Sicherheitskonfigurationen (IAM, Verschlüsselung, Netzwerk, Protokollierung), Anforderungen an Datensouveränität und -residenz, Tools für Cloud Security Posture Management (CSPM), Cloud Access Security Broker (CASB) bei Nutzung mehrerer SaaS-Dienste, Konsistenz der Multi-Cloud-Sicherheit und Koordinierung der Vorfallreaktion mit dem Cloud-Anbieter."

Prompts für Compliance und rechtliche Umsetzung

Datenschutzkontrollen implementieren (A.5.33-A.5.34)

"Entwerfe ein Datenschutzprogramm für die ISO 27001-Kontrollen A.5.33-A.5.34 und die DSGVO-Compliance. Implementiere: Prozess zur Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Übertragbarkeit), Privacy by Design in neuen Projekten und Systemen, Auslöser und Prozess für Datenschutz-Folgenabschätzungen (DSFA), Einwilligungsmanagement für Marketing und optionale Verarbeitung, Verzeichnisse von Verarbeitungstätigkeiten und Inventur, Automatisierung von Datenaufbewahrung und -löschung, Mechanismen für den grenzüberschreitenden Datentransfer (Standardvertragsklauseln, Angemessenheitsbeschlüsse) sowie Verantwortlichkeiten des Datenschutzbeauftragten (DSB) oder des Datenschutzteams."

Compliance-Management entwerfen (A.5.31)

"Implementiere ein Compliance-Managementsystem für die ISO 27001-Kontrolle A.5.31. Erstelle: Inventar der Compliance-Verpflichtungen (gesetzliche, regulatorische, vertragliche Anforderungen), Mapping von Compliance-Überwachung und Kontrollen, Zeitplan für Compliance-Bewertungen, Prozess zur Überwachung regulatorischer Änderungen, Compliance-Schulungen für relevantes Personal, Compliance-Berichterstattung an Management und Vorstand, Compliance-Risikobewertung, externe Compliance-Verifizierung (Audits, Assessments) sowie Aufbewahrung von Aufzeichnungen für Compliance-Belege gemäß [geltenden Vorschriften]."

Prompts für Prüfung und Verifizierung

Prüfung der Kontrolleffektivität entwerfen

"Erstelle ein Programm zur Prüfung und Validierung von Kontrollen, um die Effektivität der Kontrollen in Anhang A zu verifizieren. Entwerfe für Kontrolle [Kontrollnummer]: Prüfungsziele und Umfang, Prüfungsmethodik (Dokumentenprüfung, Beobachtung, technische Prüfung, Nachvollzug), Stichprobenansatz und Stichprobengröße, Prüfungsfrequenz (kontinuierliche Überwachung, vierteljährlich, jährlich), erwartete Nachweise und Pass/Fail-Kriterien, Prüfungstools und Automatisierung, Anforderungen an die Unabhängigkeit des Prüfers, Berichterstattung über Mängel und Behebung sowie Prüfungsdokumentation für Audit-Nachweise."

Control Walkthrough durchführen

"Erstelle ein Dokument für einen Control Walkthrough für die Anhang-A-Kontrolle [Kontrollnummer und Name]. Enthalten sein sollen: Kontrollbeschreibung und Zielsetzung, Verweise auf Richtlinien und Verfahren, schrittweiser Prozessablauf (Beschreibung und Diagramm), Rollen und Verantwortlichkeiten bei jedem Schritt, beteiligte Systeme und Tools, Inputs und Outputs, Kontrollpunkte und Verifizierungen, Ausnahmen und Eskalationen sowie durch die Kontrolle generierte Nachweise. Nutze dies zur Mitarbeiterschulung und zur Demonstration gegenüber Auditoren."

Prompts für Integration und Automatisierung

Kontrollimplementierung automatisieren

"Entwerfe eine Automatisierung für die ISO 27001-Kontrolle [Kontrollnummer] unter Verwendung von [Ihren Automatisierungstools, z. B. PowerShell, Terraform, Ansible]. Erstelle: Automatisierungsziele und -umfang, technischer Implementierungsansatz, Automatisierungsskripte oder Infrastructure-as-Code, Test und Validierung der Automatisierung, Fehlerbehandlung und Rollback, Zeitplanung und Orchestrierung, Protokollierung und Audit-Trail automatisierter Aktionen, manuelle Interventionspunkte sowie Dokumentation für die Wartung und Fehlerbehebung der Automatisierung."

Sicherheitstools integrieren

"Entwerfe eine Integrationsstrategie für Sicherheitstools zur Unterstützung der ISO 27001-Kontrollen. Integriere: Identitätsanbieter (AD/Azure AD/Okta), SIEM (Splunk/Sentinel/Chronicle), EDR (CrowdStrike/Defender/SentinelOne), Schwachstellen-Scanner (Qualys/Rapid7/Tenable), PAM-Lösung, DLP-Tool, CASB und Ticketing-System. Definiere für jede Integration: Datenflüsse, API-Konfigurationen, Alert-Workflows, Automatisierungsmöglichkeiten und einheitliche Dashboard-Berichterstattung."

Tipps für die effektive Nutzung dieser Prompts

Spezifizieren Sie Ihren Tech-Stack: Geben Sie in den Prompts immer Ihre tatsächlichen Tools und Plattformen an (z. B. „mit Azure AD und Intune“ anstelle von generischem „mit einem Identitätsanbieter“). Dies führt zu umsetzbaren, spezifischen Implementierungshilfen statt zu rein theoretischen Ansätzen.

Beginnen Sie mit der Architektur: Bevor Sie einzelne Kontrollen implementieren, fragen Sie nach dem gesamten Architektur-Entwurf: „Entwerfe unsere Sicherheitsarchitektur zur Unterstützung der ISO 27001-Kontrollen für [Ihre Umgebung].“ Dies stellt sicher, dass die Kontrollen nahtlos ineinandergreifen.

Fragen Sie nach Implementierungsphasen: Fordern Sie bei komplexen Kontrollen eine schrittweise Umsetzung an: „Erstelle einen 6-Monats-Implementierungsplan für die Kontrollen A.8.15-A.8.16 von unserem aktuellen Stand [beschreiben] bis zur vollständigen Compliance.“ Dies macht Großprojekte handhabbar.

Validieren Sie technische Konfigurationen: KI-generierte Konfigurationen sollten von technischen Experten geprüft und in Testumgebungen getestet werden, bevor sie in Produktionssystemen bereitgestellt werden. Sicherheitsfehlkonfigurationen können Schwachstellen verursachen.

Dokumentieren Sie während der Implementierung: Fragen Sie nach der Implementierung einer Kontrolle: „Erstelle eine Implementierungsdokumentation für das, was wir gerade konfiguriert haben, einschließlich Architektur, Konfigurationsdetails, Betriebsabläufen und einer Anleitung zur Fehlerbehebung.“ So sichern Sie firmeninternes Wissen.

Zugehörige Prompt-Bibliotheken

Vervollständigen Sie Ihre ISO 27001-Implementierung mit diesen verwandten Prompt-Sammlungen:

Hilfe erhalten

Unterstützung bei der Implementierung von Kontrollen:

Anforderungen verstehen: Lesen Sie den Leitfaden zur ISO 27001-Risikobewertung, um zu sehen, welche Kontrollen Ihre Risiken adressieren.
Dokumentation erstellen: Nutzen Sie die Prompts für Richtlinien und Verfahren, um Ihre Implementierungen zu dokumentieren.
KI verantwortungsvoll nutzen: Lesen Sie Wie Sie den ISMS Copilot verantwortungsvoll nutzen für Hinweise zur Implementierung.

Bereit, Kontrollen zu implementieren? Öffnen Sie Ihren ISO 27001-Arbeitsbereich unter chat.ismscopilot.com und nutzen Sie diese Prompts, um mit der Umsetzung der in Ihrer Risikobewertung identifizierten Kontrollen zu beginnen.

War das hilfreich?