ISMS Copilot
ISO 27001-Prompt-Bibliothek

ISO 27001 Dokumentations- und Bericht-Prompts

Überblick

Sie erhalten Zugriff auf umfassende Prompts für die Erstellung der ISO 27001-Dokumentation und von Managementberichten mit dem ISMS Copilot – von der obligatorischen ISMS-Dokumentation bis hin zu Executive Dashboards, die die Effektivität des Sicherheitsprogramms belegen.

Für wen dies gedacht ist

Diese Prompts sind konzipiert für:

  • Compliance-Teams, die ISO 27001-Dokumentationsbibliotheken aufbauen

  • Security Manager, die Berichte für die Geschäftsführung und Dashboards erstellen

  • Berater, die Dokumentationspakete für Kunden entwickeln

  • Organisationen, die Nachweise für Management-Review-Meetings vorbereiten

Bevor Sie beginnen

Die Entwicklung der Dokumentation ist am effektivsten, wenn Sie den Kontext in einem dedizierten ISO 27001-Workspace beibehalten. Laden Sie Ihre Risikobewertung, Richtlinien und Implementierungsdetails hoch, um Dokumente zu erstellen, die Ihr tatsächliches ISMS genau widerspiegeln.

Profi-Tipp: Die ISO 27001:2022 erfordert spezifische dokumentierte Informationen. Nutzen Sie diese Prompts, um sicherzustellen, dass Sie alle obligatorischen Unterlagen erstellen, während Sie unnötigen Dokumentationsaufwand ohne Mehrwert vermeiden.

Prompts für die obligatorische ISMS-Dokumentation

Erstellen der ISMS-Anwendungsbereichserklärung (Abschnitt 4.3)

"Schreibe eine ISMS-Anwendungsbereichserklärung für ISO 27001:2022 Abschnitt 4.3. Berücksichtige dabei: Bereichsgrenzen (Geschäftseinheiten, Standorte, Systeme, einbezogene Prozesse), spezifische Ausschlüsse mit Begründung, Schnittstellen und Abhängigkeiten zu ausgeschlossenen Bereichen, Begründung der Bereichsdefinition im Einklang mit dem Unternehmen, berücksichtigte externe und interne Themen (aus der Kontextanalyse), interessierte Parteien und deren Anforderungen sowie die Anwendbarkeit des Bereichs auf physische und Cloud-Infrastruktur. Stelle sicher, dass der Anwendungsbereich spezifisch, messbar und prüfbar für [Organisationsbeschreibung] ist."

Beispiel: „Schreibe eine ISMS-Anwendungsbereichserklärung für ein Fintech-Unternehmen mit 150 Mitarbeitern in Niederlassungen in der EU und den USA. Der Bereich umfasst: die kundenorientierte Zahlungsplattform, interne Systeme, Cloud-Infrastruktur (AWS), schließt jedoch die physische Produktentwicklung und Einzelhandelspartnerschaften aus.“

Kontext und interessierte Parteien dokumentieren (Abschnitt 4.1-4.2)

"Erstelle eine ISMS-Kontextdokumentation für ISO 27001:2022 Abschnitte 4.1-4.2. Dokumentiere: externe Themen, die die Informationssicherheit beeinflussen (regulatorische Landschaft, Wettbewerbsbedrohungen, Technologietrends, Lieferkettenrisiken), interne Themen (Unternehmensstrategie, Organisationskultur, Ressourcenbeschränkungen, Altsysteme), interessierte Parteien (Kunden, Regulierungsbehörden, Mitarbeiter, Lieferanten, Partner, Aktionäre), Anforderungen der interessierten Parteien (Sicherheitserwartungen, Compliance-Verpflichtungen, vertragliche Zusagen) und wie der ISMS-Anwendungsbereich diesen Kontext berücksichtigt. Präsentiere dies als Kontextanalyse-Bericht."

Rollen und Verantwortlichkeiten definieren (Abschnitt 5.3)

"Dokumentiere organisatorische Rollen und Verantwortlichkeiten für das ISMS gemäß ISO 27001:2022 Abschnitt 5.3. Erstelle: ISMS-Governance-Struktur (Berichtslinien, Gremien), Rollendefinitionen mit Sicherheitsverantwortlichkeiten (Geschäftsführung, CISO/Sicherheitsteam, IT-Betrieb, HR, Recht, Geschäftseinheiten, alle Mitarbeiter), Befugnisse und Rechenschaftspflicht für jede Rolle, eine RACI-Matrix für wichtige ISMS-Aktivitäten (Risikobewertung, Kontrollimplementierung, Incident Response, Audits, Management-Review) und die Integration in die allgemeine Organisationsstruktur. Stelle sicher, dass die Rechenschaftspflicht des Managements klar hervorgeht."

Dokumentation der Risikobewertungsmethodik (Abschnitt 6.1.2)

"Erstelle eine Dokumentation der Risikobewertungsmethodik für ISO 27001:2022 Abschnitt 6.1.2. Inklusive: Ansatz und Prinzipien der Risikobewertung, Methodik zur Identifizierung von Assets, Ansatz zur Bedrohungs- und Schwachstellenanalyse, Risikokriterien (Eintrittswahrscheinlichkeitsskala mit Definitionen, Auswirkungsskala über mehrere Dimensionen, Risikobewertungsmatrix und Akzeptanzschwellen), Risiko-Berechnungsmethodik (Formel, qualitativ vs. quantitativ), Häufigkeit und Auslöser der Risikobewertung, Rollen und Verantwortlichkeiten sowie die Frage, wie die Methodik konsistente, wiederholbare und vergleichbare Ergebnisse sicherstellt. Stelle sicher, dass die Methodik dokumentiert ist, bevor die eigentliche Risikobewertung durchgeführt wird."

Erklärung zur Anwendbarkeit (SoA) erstellen (Abschnitt 6.1.3d)

"Erstelle eine Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) für ISO 27001:2022, die alle 93 Maßnahmen von Anhang A abdeckt. Für jede Maßnahme: Nummer und Titel der Maßnahme, Anwendbarkeitsstatus (Anwendbar, Nicht anwendbar, Teilweise anwendbar), Begründung basierend auf der Risikobewertung (Referenz auf spezifische Risiko-IDs), Implementierungsstatus und Ansatz, verantwortlicher Eigentümer, verfügbare Nachweise für die Audit-Verifizierung und Begründung für den Ausschluss bei nicht anwendbaren Maßnahmen. Organisiere dies nach den Themen von Anhang A (Organisatorisch, Personenbezogen, Physisch, Technologisch). Stelle sicher, dass jede Entscheidung zu einer Maßnahme klar begründet ist."

Festlegung der Sicherheitsziele (Abschnitt 6.2)

"Definiere und dokumentiere Informationssicherheitsziele für ISO 27001:2022 Abschnitt 6.2. Für jedes Ziel: spezifisches Sicherheitsergebnis, das erreicht werden soll, Ausrichtung auf Geschäftsziele und Risikobehandlung, messbare Kriterien und Zielwerte (KPIs), erforderliche Ressourcen, verantwortlicher Eigentümer, Zeitplan für die Erreichung, Überwachungs- und Messansatz sowie Berichtsfrequenz. Stelle sicher, dass die Ziele SMART sind (Spezifisch, Messbar, Attraktiv/Erreichbar, Relevant, Terminiert) und die in der Risikobewertung identifizierten Hauptrisikobereiche adressieren."

Prompts für die Management-System-Dokumentation

ISMS-Handbuch oder Übersicht erstellen

"Schreibe ein ISMS-Handbuch, das einen Überblick über unser Informationssicherheits-Managementsystem gibt. Inklusive: Zweck und Anwendungsbereich des ISMS, organisatorischer Kontext und interessierte Parteien, ISMS-Governance-Struktur, Anwendungsbereichserklärung, Informationssicherheitsrichtlinie, Risikomanagementansatz, Überblick über das Kontroll-Framework, Dokumentationsstruktur und Referenzen, Rollen und Verantwortlichkeiten sowie der ISMS-Lebenszyklus (Plan-Do-Check-Act). Zielgruppe: Management, Auditoren und Stakeholder, die einen ISMS-Überblick benötigen. Länge: 10-15 Seiten."

Design des Dokumentensteuerungssystems (Abschnitt 7.5)

"Erstelle ein Verfahren zur Dokumenten- und Aufzeichnungssteuerung für ISO 27001:2022 Abschnitt 7.5. Definiere: Dokumentenkategorien und Klassifizierung, Dokumentenlebenszyklus (Erstellung, Prüfung, Genehmigung, Verteilung, Überarbeitung, Archivierung, Entsorgung), Versionskontrolle und Änderungshistorie, Genehmigungsbefugnisse nach Dokumententyp, Dokumentenverteilung und Zugriffskontrollen, Prüfpläne und Auslöser, Aufbewahrungsfristen nach Aufzeichnungstyp, Speicherung und Schutz von Aufzeichnungen sowie das Dokumentenmanagementsystem oder Repository. Stelle sicher, dass gelenkte Dokumente identifizierbar und vor unbefugten Änderungen geschützt sind."

Aufbau von Kompetenz- und Bewusstseinsnachweisen (Abschnitt 7.2-7.3)

"Erstelle ein Dokumentationssystem für Kompetenz und Bewusstsein gemäß ISO 27001:2022 Abschnitte 7.2-7.3. Dokumentiere: Kompetenzanforderungen für Stellenrollen (Ausbildung, Erfahrung, Fähigkeiten, Schulung), Kompetenzbewertungs- und Verifizierungsunterlagen, Schulungspläne und Curricula, Schulungsnachweise, Nachweise für das Sicherheitsbewusstseinsprogramm, Messung der Wirksamkeit von Bewusstseinsmaßnahmen, Kompetenzlücken und Entwicklungspläne sowie Kompetenznachweise von Auftragnehmern/Dritten. Stelle sicher, dass du für alle ISMS-Rollen eine angemessene Kompetenz nachweisen kannst."

Prompts für die betriebliche Dokumentation

Betriebliche Planungsdokumente erstellen (Abschnitt 8.1)

"Entwickle Dokumentationen für die betriebliche Planung und Steuerung für ISO 27001:2022 Abschnitt 8.1. Erstelle: ISMS-Implementierungs Projektplan (Phasen, Meilensteine, Ressourcen), Roadmap für die Maßnahmenumsetzung, Risikobehandlungsplan mit Zeitplänen und Verantwortlichen, Ressourcenzuweisung (Budget, Personal, Tools), Integration in Geschäftsprozesse, Leistungskriterien und Abnahme sowie das Change-Management-Konzept für das ISMS-Deployment. Stelle sicher, dass die Pläne aufzeigen, wie Sicherheitsziele erreicht und die Risikobehandlung umgesetzt wird."

Dokumentation der Maßnahmenimplementierung

"Erstelle eine standardisierte Vorlage zur Dokumentation der Maßnahmenimplementierung. Dokumentiere für jede implementierte Anhang-A-Maßnahme: Zielsetzung und Anforderung der Maßnahme, Implementierungsansatz (wie wir die Anforderung erfüllen), technische und betriebliche Details, beteiligte Systeme und Tools, Rollen und Verantwortlichkeiten, Betriebsabläufe, Überwachung und Messung, Evidenz-Artefakte, Implementierungsdatum sowie bekannte Einschränkungen oder Abweichungen mit kompensierenden Maßnahmen. Nutze diese Vorlage, um alle 93 Anhang-A-Maßnahmen konsistent zu dokumentieren."

Aufbau einer Runbook-Bibliothek

"Erstelle betriebliche Runbooks für Security Operations, die die ISO 27001-Maßnahmen abdecken. Für den Prozess [z. B. 'Benutzerzugriffsberechtigung', 'Incident Response', 'Backup-Wiederherstellung'] inkludiere: Prozessübersicht und Auslöser, Schritt-für-Schritt-Anleitungen mit Entscheidungspunkten, Rollen und Verantwortlichkeiten, erforderliche Tools und Systemzugriffe, erwartete Zeitrahmen und SLAs, Qualitätsprüfungen und Verifizierungen, Eskalationsverfahren, Fehlerbehebungshilfe, verwandte Prozesse und Übergaben sowie zu führende Dokumentationen/Aufzeichnungen. Formatiere dies so, dass Betriebsteams es konsistent ausführen können."

Prompts für das Risikomanagement-Dokumentation

Risikoregister erstellen

"Erstelle ein umfassendes Risikoregister für ISO 27001:2022. Inklusive Spalten für: Risiko-ID, betroffenes Asset, Asset-Eigentümer, Bedrohungsbeschreibung, Schwachstelle, bestehende Kontrollen, Eintrittswahrscheinlichkeit (1-5 mit Begründung), Auswirkung (1-5 mit Begründung), Brutto-Risikowert, Behandlungsoption (mindern/vermeiden/übertragen/akzeptieren), ausgewählte Maßnahmen (Anhang A Referenzen), Implementierungsstatus, Netto-Risikowert, Risiko-Eigentümer, Prüfdatum und Genehmigungsstatus. Befülle es mit den in unserer Risikobewertung identifizierten Risiken für [Organisation/Bereich]. Inkludiere Zusammenfassungsstatistiken und Highlights für hohe Risiken."

Dokumentation des Risikobehandlungsplans

"Erstelle einen Risikobehandlungsplan, der dokumentiert, wie wir identifizierte Risiken gemäß ISO 27001:2022 Abschnitt 6.1.3 angehen. Für jedes behandlungsbedürftige Risiko: Risikobeschreibung und aktueller Score, gewählte Behandlungsoption mit Begründung, spezifische zu implementierende Maßnahmen (Referenz auf Anhang A Maßnahmen), Implementierungsansatz und Meilensteine, verantwortlicher Eigentümer und benötigte Ressourcen, Zieltermin, erwartetes Restrisiko, Erfolgskriterien und Genehmigungsunterschriften. Ordne nach Priorität mit kritischen und hohen Risiken zuerst. Inkludiere eine Management-Zusammenfassung der Behandlungsstrategie und des Ressourcenbedarfs."

Aufbau eines Risikoakzeptanzregisters

"Erstelle ein Risikoakzeptanzregister für Risiken, die wir akzeptieren, anstatt sie zu behandeln. Für jedes akzeptierte Risiko: Risikobeschreibung und Score, geschäftliche Begründung für die Akzeptanz (warum keine Behandlung erfolgt), Bestätigung, dass das Risiko innerhalb der Risikoappetit-Schwelle liegt, vorhandene kompensierende Maßnahmen oder Überwachung, Bedingungen für eine Neubewertung, Genehmigung der Akzeptanz (welche Führungskräfte wann genehmigt haben), Gültigkeitsdauer der Akzeptanz (wann die Prüfung erfolgt) und akzeptierte potenzielle Konsequenzen. Stelle sicher, dass alle Akzeptanzen über eine angemessene Autorisierung durch das Management verfügen."

Prompts für Leistungs- und Überwachungsdokumentation

Definition von ISMS-Leistungskennzahlen (Abschnitt 9.1)

"Entwirf ein ISMS-Überwachungs- und Mess-Framework für ISO 27001:2022 Abschnitt 9.1. Definiere: was gemessen wird (Sicherheitsziele, Wirksamkeit der Maßnahmen, Prozessleistung), wie gemessen wird (Metriken, KPIs, Messmethoden), wann gemessen wird (Häufigkeit, Zeitpunkt), wer misst (verantwortliche Rollen), wie analysiert wird (Trendanalyse, Schwellenwerte, Benchmarks), wie berichtet wird (Dashboards, Berichte, Management-Review) und Auslöser für Korrekturmaßnahmen. Erstelle eine Metrik-Bibliothek für: Risikotrends, Incident-Metriken, Schwachstellenmanagement, Zugriffskontrolle, Backup-Erfolg, Schulungsabschluss, Audit-Befunde und Maßnahmenwirksamkeit."

KPI-Dashboard erstellen

"Entwirf ein Security-KPI-Dashboard für das Management-Reporting. Berücksichtige Metrik-Kategorien: Sicherheitsstatus (Risiko-Score-Trends, Maßnahmen-Implementierungsstatus, Audit-Befunde), Betriebsleistung (Incident-Reaktionszeit, Behebungsdauer für Schwachstellen, Backup-Erfolgsquote, Patch-Compliance), Compliance-Status (Schulungsabschluss, Richtlinienbestätigung, durchgeführte Zugriffsprüfungen), Bedrohungsmanagement (Sicherheitsereignisse, Bedrohungserkennung, blockierte Angriffe) und Geschäftsauswirkung (Sicherheitsvorfälle mit Downtime, Datenpannen-Risiko, regulatorischer Compliance-Status). Für jede Metrik: aktueller Wert, Zielwert, Trend und Statusanzeige (Rot/Gelb/Grün)."

Dokumentation des internen Auditprogramms (Abschnitt 9.2)

"Erstelle die Dokumentation für das interne Auditprogramm für ISO 27001:2022 Abschnitt 9.2. Inklusive: Auditziele und -umfang (alle ISMS-Bereiche über den Auditzyklus), jährlicher Auditplan, Auditkriterien (ISO 27001:2022 Anforderungen), Auditor-Auswahl und Unabhängigkeitsanforderungen, Audit-Methodik (Interviews, Dokumentenprüfung, technische Tests, Stichproben), Audit-Planungsprozess, Verfahren zur Auditdurchführung, Einstufung von Nichtkonformitäten (Haupt-, Nebenabweichung, Beobachtung), Format und Verteilung der Auditberichte, Nachverfolgung von Korrekturmaßnahmen, Follow-up-Auditverfahren und Anforderungen an die Kompetenz der Auditoren."

Auditbericht-Vorlage erstellen

"Entwirf eine Vorlage für interne Auditberichte für ISO 27001-Compliance-Audits. Inklusive Abschnitte für: Management-Zusammenfassung (Gesamtbewertung, wichtigste Befunde, Fazit), Audit-Details (Umfang, Kriterien, Datum, Auditoren, Auditierte), Audit-Methodik, geprüfte Bereiche mit Befunden, festgestellte Konformitäten und bewährte Praktiken, Nichtkonformitäten nach Schweregrad mit Nachweisen, Beobachtungen und Empfehlungen, Anforderungen an Korrekturmaßnahmen, Fazit und Stellungnahme zur ISMS-Wirksamkeit sowie Verteilerliste. Stelle sicher, dass Berichte den Compliance-Status und erforderliche Maßnahmen klar kommunizieren."

Prompts für die Management-Review-Dokumentation

Management-Review-Agenda erstellen (Abschnitt 9.3)

"Entwirf eine Agenda für das Management-Review-Meeting gemäß ISO 27001:2022 Abschnitt 9.3, die alle erforderlichen Inputs und Outputs abdeckt. Agendapunkte: Status von Maßnahmen aus vorherigen Reviews, Änderungen bei externen und internen Themen, Feedback zur ISMS-Leistung (Metriken, KPIs), Erreichung der Informationssicherheitsziele, Ergebnisse der Risikobewertung und -behandlung, Auditergebnisse (intern und extern), Nichtkonformitäten und Korrekturmaßnahmen, Überwachungs- und Messergebnisse, Feedback interessierter Parteien, Verbesserungsmöglichkeiten, Angemessenheit der Ressourcen und notwendige Änderungen am ISMS. Plane Zeit für jeden Punkt ein und lege erforderliche Referenten und Unterlagen fest."

Management-Review-Paket vorbereiten

"Erstelle ein Präsentationspaket für das Management-Review für [Quartal/Zeitraum]. Inklusive: Management-Zusammenfassung des ISMS-Status, Dashboard mit Sicherheitsmetriken (Trends der letzten 12 Monate), wichtige Meilensteine und Erfolge, Zusammenfassung des internen Audits und Status der Befunde, Ergebnisse externer Audits (falls zutreffend), Änderungen der Risikobewertung (neue Risiken, Score-Änderungen), Zusammenfassung von Sicherheitsvorfällen und Lessons Learned, Status der Maßnahmenumsetzung, Fortschritt bei den Sicherheitszielen, Compliance-Status (regulatorisch, vertraglich), Ressourcenbedarf und Budget, vorgeschlagene Verbesserungsinitiativen und vom Management benötigte Entscheidungen. Ziel: 30-45 Minuten Präsentationszeit."

Management-Review-Ergebnisse dokumentieren

"Erstelle ein Protokoll des Management-Review-Meetings, das die Ergebnisse gemäß ISO 27001:2022 Abschnitt 9.3 dokumentiert. Halte fest: Datum des Meetings und Teilnehmer, behandelte Agendapunkte, wichtige Diskussionen und geäußerte Bedenken, Entscheidungen des Managements zur ISMS-Verbesserung, Entscheidungen zur Angemessenheit der Ressourcen, Entscheidungen zu Änderungen der Sicherheitsziele, Entscheidungen zu Änderungen des ISMS-Anwendungsbereichs oder der Richtlinie, genehmigte Verbesserungsmöglichkeiten, zugewiesene Maßnahmen mit Verantwortlichen und Fristen sowie Genehmigungsunterschriften. Stelle sicher, dass das Protokoll das Engagement des Managements und die fortlaufende Verbesserung belegt."

Prompts für Incident- und Problem-Dokumentation

Vorlage für Vorfallsprotokolle erstellen

"Entwirf eine Vorlage für Sicherheitsvorfallsprotokolle für die ISO 27001:2022 Maßnahmen A.5.24-A.5.28. Inklusive Felder für: Vorfalls-ID und Klassifizierung, Entdeckungsdatum/-uhrzeit und Quelle, Vorfallsbeschreibung und betroffene Systeme/Daten, Schweregrad und Auswirkungsanalyse, Incident Response Team und Rollen, getroffene Eindämmungsmaßnahmen, Beseitigungsschritte, Wiederherstellungsmaßnahmen, gesammelte Beweise, Ursachenanalyse (Root Cause), Lessons Learned, Präventivmaßnahmen, Kommunikationslog (wer wurde wann benachrichtigt), regulatorische Meldung (falls erforderlich), Datum des Abschlusses und Genehmigung sowie Abschluss der Nachbesprechung. Stelle sicher, dass die Vorlage die Einhaltung von Meldepflichten bei Datenpannen unterstützt."

Aufbau eines Problem-Management-Logs

"Erstelle ein Problem-Management-Register, um wiederkehrende Probleme und systemische Schwächen zu verfolgen. Für jedes Problem: Problem-ID und Beschreibung, zugehörige Vorfälle (Incident-IDs), Ursachenanalyse, betroffene Systeme und Prozesse, Workarounds oder temporäre Lösungen, vorgeschlagene dauerhafte Fehlerbehebung, Priorität und Auswirkung, Eigentümer und Status, Zieltermin für die Lösung und Verifizierungsansatz. Nutze das Problem-Management, um Muster zu identifizieren, die systemische Verbesserungen erfordern, anstatt immer nur Symptome zu bekämpfen."

Prompts für Change- und Release-Dokumentation

Change-Control-Aufzeichnungen dokumentieren

"Erstelle eine Vorlage für Änderungsprotokolle für die ISO 27001:2022 Maßnahme A.8.32. Inklusive: Change-ID und Antragsteller, Änderungsbeschreibung und Begründung, betroffene Systeme, Änderungskategorie (Standard, Normal, Notfall), Risikobewertung (Auswirkung, Wahrscheinlichkeit, Risikominderung), Genehmigungs-Workflow und Genehmiger, Implementierungsplan und Zeitplan, Testanforderungen, Rollback-Plan, Implementierungsergebnisse, Post-Implementation Review und zugehörige Änderungen oder Abhängigkeiten. Stelle sicher, dass Änderungsprotokolle einen Audit-Trail aller ISMS-relevanten Änderungen bieten."

Release-Dokumentation aufbauen

"Erstelle ein Release-Dokumentationspaket für signifikante Systemänderungen. Inklusive: Release-Überblick und Ziele, enthaltene Funktionen und Änderungen, Bewertung der Sicherheitsimplikationen, durchgeführte Tests (funktional, Sicherheit, Leistung), Deployment-Plan und Zeitplan, Rollback-Verfahren, bekannte Probleme und Einschränkungen, Benutzerkommunikation und Schulung, Support-Plan und Erfolgskriterien. Stelle Sicherheitstests und Genehmigung vor dem Produktions-Release sicher."

Prompts für Compliance- und Rechtsdokumentation

Register für Compliance-Verpflichtungen erstellen

"Erstelle ein Verzeichnis für Compliance-Verpflichtungen für die ISO 27001:2022 Maßnahme A.5.31. Dokumentiere: gesetzliche Anforderungen (Datenschutzgesetze, Benachrichtigungspflichten bei Pannen, Branchenvorschriften), regulatorische Anforderungen (DSGVO, HIPAA, PCI DSS, SOX), vertragliche Verpflichtungen (Sicherheitsanforderungen von Kunden, SLAs), organisatorische Zusagen (Zertifizierungen, öffentliche Erklärungen). Für jede: Beschreibung und Quelle, Anwendbarkeit (welche Systeme/Prozesse), verantwortlicher Eigentümer, Methode zur Compliance-Verifizierung, Nachweis der Compliance, Datum und Ergebnis der letzten Prüfung sowie Termin der nächsten Prüfung. Stelle eine umfassende Abdeckung aller Verpflichtungen sicher."

Verzeichnis von Verarbeitungstätigkeiten dokumentieren (DSGVO Artikel 30)

"Erstelle ein Verzeichnis von Verarbeitungstätigkeiten (VVT/RoPA) gemäß DSGVO Artikel 30 und ISO 27001:2022 Maßnahme A.5.33. Für jede Verarbeitungstätigkeit: Zweck der Verarbeitung, verarbeitete Datenkategorien (Arten personenbezogener Daten), Kategorien betroffener Personen, Empfänger oder Kategorien von Empfängern, internationale Übermittlungen (Mechanismus, Länder), Aufbewahrungsfristen, technische und organisatorische Sicherheitsmaßnahmen sowie die Rechtsgrundlage der Verarbeitung. Pflege ein aktualisiertes VVT als erforderliche Dokumentation zum Nachweis der DSGVO-Compliance und von Privacy by Design."

Datenpannen-Register aufbauen

"Erstelle ein Datenpannen-Register für die DSGVO-Compliance und die ISO 27001:2022 Maßnahme A.5.26. Für jede Panne oder vermutete Panne: ID der Panne und Entdeckungsdatum, Beschreibung der Panne und betroffene Daten, Anzahl der betroffenen Personen, Bewertung der Panne (meldepflichtig an Behörde? Benachrichtigung der Betroffenen?), Zeitplan der Benachrichtigung (anbehörde innerhalb von 72 Std., an Personen ohne unnötige Verzögerung), gesendete Benachrichtigungen und Daten, Maßnahmen zur Reaktion auf die Panne, Ursache, Präventivmaßnahmen, Aktenzeichen der Aufsichtsbehörde und Aufbewahrung der Aufzeichnungen zur Panne (mindestens 3 Jahre gemäß DSGVO). Auch nicht meldepflichtige Pannen sollten dokumentiert werden."

Prompts für Lieferanten- und Vertragsdokumentation

Lieferantenverzeichnis erstellen

"Erstelle ein Lieferanten- und Drittanbieterverzeichnis für die ISO 27001:2022 Maßnahmen A.5.19-A.5.23. Für jeden Lieferanten: Name und Kontakt, erbrachte Dienstleistungen, Datenzugriffsebene (keine, begrenzt, umfassend), gewährtes Systemzugriffsrecht, Risikoklassifizierung (hoch/mittel/niedrig), Vertragsdetails (Beginn, Verlängerung, Konditionen), Datum und Ergebnis der Sicherheitsbewertung, vorhandene Zertifizierungen (ISO 27001, SOC 2), Versicherungsschutz, Datum der letzten Prüfung, Compliance-Status und Eskalationskontakte. Pflege das Verzeichnis aktuell für das Drittanbieter-Risikomanagement."

Lieferantenbewertungen dokumentieren

"Erstelle eine Dokumentation für die Sicherheitsbewertung von Lieferanten. Dokumentiere für Lieferant [Name]: Bewertungsdatum und Methodik, Antworten aus dem Fragebogen, geprüfte Nachweise (Richtlinien, SOC 2-Bericht, ISO-Zertifikat, Ergebnisse von Penetrationstests), Bewertung der Sicherheitsmaßnahmen nach Kategorien (Zugriffskontrolle, Verschlüsselung, Incident Response, Business Continuity), identifizierte Risiken und Lücken, erforderliche Abhilfemaßnahmen, kompensierende Maßnahmen bei akzeptierten Lücken, Gesamtrisikobewertung, Fazit der Bewertung (genehmigen/genehmigen mit Auflagen/ablehnen), Genehmigungsunterschriften und Datum der nächsten Bewertung. Als Audit-Nachweis aufbewahren."

Prompts für Schulungs- und Bewusstseinsdokumentation

Schulungscurriculum erstellen

"Entwirf ein Curriculum für Sicherheitsbewusstseinsschulungen für die ISO 27001:2022 Maßnahme A.6.3. Inklusive: Basis-Schulung zum Sicherheitsbewusstsein (Themen: Passwortsicherheit, Phishing, Social Engineering, akzeptable Nutzung, Vorfallmeldung, physische Sicherheit, Datenklassifizierung, Sicherheit im Homeoffice), rollenbasierte Schulungspfade (Entwickler: Secure Coding; Admins: privilegierter Zugriff; Manager: Security Leadership; alle Mitarbeiter: Awareness), Methoden der Schulungsvermittlung (E-Learning, Präsenzschulung, Videos), Dauer und Häufigkeit der Schulungen, Bewertungsmethoden (Quizzes, Zertifizierungen) und Messung der Schulungswirksamkeit."

Schulungsnachweissystem aufbauen

"Erstelle ein System zur Verwaltung von Schulungsnachweisen. Verfolge für jeden Mitarbeiter: Mitarbeiter-ID und Name, Stellenrolle, erforderliche Schulungen (basierend auf der Rolle), abgeschlossene Schulungen (Kursname, Datum, Ergebnis), Schulungsstatus (aktuell, überfällig, anstehend), Ablaufdaten von Zertifizierungen, Zuweisung von Nachschulungen (bei fehlgeschlagenen Phishing-Tests, Richtlinienverstößen) und Bestätigungen der Schulungsteilnahme. Erstelle Berichte für: Schulungs-Compliance nach Abteilung, überfällige Schulungen, anstehende Verlängerungen und Effektivitätsmetriken (Ergebnisse vor/nach dem Test, Phishing-Resilienz)."

Prompts für Executive Reporting und Kommunikation

Monatlichen Sicherheitsbericht erstellen

"Entwirf einen monatlichen Sicherheitsbericht für die Geschäftsführung. Inklusive Abschnitte: Management-Zusammenfassung (Highlights des Monats, Hauptanliegen, erforderliche Maßnahmen), Dashboard mit Sicherheitsmetriken (Vorfälle, Schwachstellen, Compliance), Risiko-Updates (neue Risiken, Score-Änderungen, Fortschritt der Risikobehandlung), Sicherheitsvorfälle und Reaktion, Highlights der Bedrohungsanalyse, Status der Maßnahmenumsetzung, Compliance-Status (Zertifizierungen, Audits, regulatorisch), Sicherheitsinitiativen und Projekte, Budget- und Ressourcenstatus sowie kommende Schwerpunkte. Begrenze den Bericht auf 3-5 Seiten mit Visualisierungen."

Sicherheits-Briefing auf Board-Ebene erstellen

"Erstelle ein vierteljährliches Sicherheits-Briefing für den Vorstand. Inklusive: Cyber-Risikolandschaft für unsere Branche, Bewertung des Sicherheitsstatus der Organisation, wichtige Sicherheitsinvestitionen und ROI, bedeutende Vorfälle und Lessons Learned, Compliance- und regulatorischer Status, Risiken durch Dritte und die Lieferkette, Sicherheitsstrategie und Roadmap, Ressourcenbedarf und Budget, aufkommende Bedrohungen und Vorsorgestatus sowie strategische Empfehlungen, die eine Entscheidung oder Genehmigung des Vorstands erfordern. Fokussiere dich auf Geschäftsrisiken und strategische Entscheidungen, minimiere technischen Fachjargon. Ziel: 15-20 Minuten Präsentationszeit."

Stakeholder-Kommunikation gestalten

"Erstelle einen Sicherheits-Kommunikationsplan für verschiedene Stakeholder-Gruppen. Definiere für Stakeholder (Geschäftsführung, Mitarbeiter, Kunden, Partner, Regulierungsbehörden): Kommunikationsziele, Kernbotschaften, Kommunikationsfrequenz, Kommunikationskanäle, Informationen zum Teilen vs. Zurückhalten, Eskalationsauslöser für dringende Mitteilungen und Kommunikationsvorlagen (Sicherheits-Newsletter, Benachrichtigungen bei Vorfällen, Richtlinien-Updates, Awareness-Kampagnen). Stelle eine konsistente, angemessene Ansprache für jede Zielgruppe sicher."

Prompts für die kontinuierliche Verbesserung

Verbesserungsregister erstellen (Abschnitt 10)

"Erstelle ein Register für fortlaufende Verbesserungen für ISO 27001:2022 Abschnitt 10. Verfolge: Beschreibung und Quelle der Verbesserungsmöglichkeit (Audit-Befund, Vorfalls-Lesson, Risikobewertung, Mitarbeiter-Feedback, Metrikenanalyse), Business Case und erwarteter Nutzen, Priorität und Aufwandsschätzung, zugewiesener Eigentümer, Implementierungsplan, Status, Abschlussdatum, Wirksamkeitsprüfung und Lessons Learned. Nutze das Register, um den systematischen Ansatz zur ISMS-Verbesserung zu demonstrieren und den Weg von der Identifizierung bis zur Verifizierung nachzuverfolgen."

Dokumentation des Korrekturmaßnahmenprozesses

"Erstelle ein Verfahren für Korrekturmaßnahmen und ein Tracking-System für ISO 27001:2022 Abschnitt 10.1. Für jede Nichtkonformität: Beschreibung der Nichtkonformität und Nachweise, Quelle (Audit, Vorfall, Review), nicht erfüllte ISO-Anforderung, Auswirkung und Risiko, Ursachenanalyse (5 Whys, Fischgräten-Diagramm), Sofortmaßnahme (Symptombehebung), Korrekturmaßnahme (Ursachenbehebung), Implementierungsplan und Eigentümer, Zieltermin, Methode zur Wirksamkeitsprüfung, Status-Tracking und Genehmigung des Abschlusses. Stelle sicher, dass Korrekturmaßnahmen eine Wiederholung verhindern und nicht nur Symptome heilen."

Tipps für die effektive Nutzung dieser Prompts

Dokumentiere, was du tust – tue, was du dokumentierst: Stelle sicher, dass die Dokumentation die tatsächliche Praxis widerspiegelt. Auditoren prüfen, ob die Umsetzung der Dokumentation entspricht. Dokumentiere zuerst die Realität, dann verbessere und aktualisiere die Dokumentation entsprechend.

Erstelle Vorlagen, keine Einzeldokumente: Nutze Prompts, um wiederverwendbare Vorlagen zu erstellen (Risikodatensatz, Vorfallsprotokoll, Auditbericht) und fülle diese dann mit tatsächlichen Daten. Dies sorgt für Konsistenz und spart Zeit.

Baue die Dokumentation schrittweise auf: Versuche nicht, die gesamte Dokumentation auf einmal zu erstellen. Beginne mit den obligatorischen Elementen (Scope, Risikobewertung, SoA) und erweitere sie dann um die betriebliche Dokumentation, sobald die Maßnahmen implementiert sind.

Vermeide Dokumentations-Overload: Die ISO 27001:2022 erfordert weniger Dokumentation als die Version von 2013. Konzentriere dich auf das, was vorgeschrieben ist und was für den Betrieb der Maßnahmen notwendig ist. Übermäßige Dokumentation erzeugt Wartungsaufwand ohne Compliance-Mehrwert.

Angemessene Versionierung und Genehmigung: Nicht alle Dokumente benötigen eine formelle Genehmigung. Scope, Richtlinien und SoA erfordern eine Genehmigung durch das Management. Betriebliche Verfahren benötigen ggf. die Genehmigung des technischen Verantwortlichen. Vorlagen und Formulare müssen oft gar nicht genehmigt werden.

Verwandte Prompt-Bibliotheken

Schließen Sie Ihre ISO 27001-Implementierung mit diesen verwandten Prompt-Sammlungen ab:

Hilfe erhalten

Für Unterstützung bei Dokumentation und Berichterstattung:

Bereit, Ihre Dokumentation aufzubauen? Öffnen Sie Ihren ISO 27001-Workspace unter chat.ismscopilot.com und beginnen Sie mit der obligatorischen Dokumentation unter Verwendung der oben genannten Prompts.

War das hilfreich?