ISO 27001 Richtlinien- und Verfahrens-Prompts

Übersicht

Sie erhalten Zugriff auf sofort einsatzbereite Prompts zur Erstellung auditfähiger ISO 27001-Richtlinien und -Verfahren mit dem ISMS Copilot. Diese decken alles ab – von übergeordneten Sicherheitsrichtlinien bis hin zu detaillierten betrieblichen Verfahren, die die Umsetzung der Annex A-Kontrollen demonstrieren.

Für wen dies gedacht ist

Diese Prompts sind konzipiert für:

• Compliance-Teams, die ISO 27001-Dokumentationen von Grund auf neu entwerfen

• Sicherheitsexperten, die Richtlinien auf ISO 27001:2022 aktualisieren

• Berater, die maßgeschneiderte Dokumentationen für Kunden erstellen

• Organisationen, die ihre Anwendbarkeitserklärung (Statement of Applicability, SoA) vorbereiten

Bevor Sie beginnen

Prompts für Informationssicherheitsrichtlinien

Umfassende Sicherheitsrichtlinie erstellen

"Schreiben Sie eine umfassende Informationssicherheitsrichtlinie für eine [Branche]-Organisation mit [Anzahl] Mitarbeitern, die konform mit ISO 27001:2022 Klausel 5.2 ist. Enthalten sein müssen Abschnitte für: Zweck und Geltungsbereich, Richtlinienerklärung und Sicherheitsziele, Rollen und Verantwortlichkeiten (Management, Mitarbeiter, IT), Compliance-Anforderungen (gesetzlich, regulatorisch, vertraglich), Folgen bei Nichteinhaltung, Prozess zur Überprüfung und Aktualisierung der Richtlinie sowie Genehmigungs-/Inkrafttretensdatum. Zielgruppe: alle Mitarbeiter. Tonfall: klar, autoritär, für nicht-technische Leser verständlich."

Beispiel: "Schreiben Sie eine umfassende Informationssicherheitsrichtlinie für eine Fintech-SaaS-Organisation mit 120 Mitarbeitern, konform mit ISO 27001:2022 Klausel 5.2. Berücksichtigen Sie unsere spezifischen regulatorischen Anforderungen: PCI-DSS, SOC 2, DSGVO. Zielgruppe ist unsere diverse Belegschaft, einschließlich Entwickler, Kundensupport und Führungskräfte."

Sicherheitsziele an Unternehmenszielen ausrichten

"Definieren Sie messbare Informationssicherheitsziele für ISO 27001:2022, die mit unseren Geschäftszielen übereinstimmen: [3-5 Geschäftsziele auflisten]. Geben Sie für jedes Ziel an: spezifisches Sicherheitsergebnis, messbare Kriterien (KPIs), Zielwerte, Zeitplan, verantwortlicher Eigentümer und wie es die Geschäftsziele und Risikominderung unterstützt."

Richtlinie zur akzeptablen Nutzung erstellen

"Entwerfen Sie eine Richtlinie zur akzeptablen Nutzung (Acceptable Use Policy), die die Nutzung von IT-Ressourcen durch Mitarbeiter abdeckt, einschließlich: zulässige Nutzung von Unternehmenssystemen und -daten, verbotene Aktivitäten (spezifische Beispiele), Grenzen für die private Nutzung, Richtlinien für E-Mail und Internetnutzung, Social-Media-Richtlinien, Anforderungen an mobiles Arbeiten, BYOD-Regeln (Bring Your Own Device), Erwartungen an Überwachung und Datenschutz sowie Folgen von Verstößen. Konformität mit ISO 27001:2022 Kontrolle A.5.10 Akzeptable Nutzung von Informationen und anderen damit verbundenen Werten."

Datenklassifizierungsrichtlinie entwickeln

"Erstellen Sie eine Richtlinie zur Datenklassifizierung und -handhabung, die Klassifizierungsstufen definiert: [Stufen auflisten, z. B. Öffentlich, Intern, Vertraulich, Streng vertraulich]. Für jede Stufe: klare Definition und Beispiele angeben, Anforderungen an die Handhabung (Speicherung, Übermittlung, Entsorgung) spezifizieren, Anforderungen an die Zugriffskontrolle definieren, Verschlüsselungsanforderungen festlegen, Aufbewahrungsfristen auflisten und Meldepflichten bei Verstößen beschreiben. Ausrichtung an ISO 27001:2022 Kontrolle A.5.12 Klassifizierung von Informationen."

Prompts für Zugriffskontrollrichtlinien

Zugriffskontrollrichtlinie schreiben

"Entwerfen Sie eine Zugriffskontrollrichtlinie für die ISO 27001:2022 Kontrollen A.5.15-A.5.18. Enthalten sein müssen: Prinzipien (Least Privilege, Need-to-know, Aufgabentrennung), Prozess der Benutzerzugriffsbereitstellung (Anfrage, Genehmigung, Bereitstellung, Überprüfung), Authentifizierungsanforderungen (Passwortrichtlinie, MFA-Pflicht), Management privilegierter Zugriffe (Admin-Konten, Verfahren zur Rechteausweitung), Häufigkeit und Prozess der Zugriffsüberprüfung, Benutzerdeaktivierung (Kündigung, Rollenwechsel) und Sicherheit bei Fernzugriffen. Spezifizieren Sie unterschiedliche Anforderungen für Mitarbeiter-, Auftragnehmer- und Drittanbieterzugriffe."

Passwort- und Authentifizierungsrichtlinie erstellen

"Schreiben Sie eine Passwort- und Authentifizierungsrichtlinie, die konform mit ISO 27001:2022 Kontrolle A.5.17 ist. Enthalten sein müssen: Anforderungen an die Passwortkomplexität (Länge, Zeichentypen), Regeln für Passwortablauf und -historie, Schwellenwerte für Kontosperrungen, Anforderungen an die Multi-Faktor-Authentifizierung nach Benutzerrolle und Systemempfindlichkeit, Sicherheit bei Speicherung und Übertragung von Passwörtern, Verfahren zum Zurücksetzen von Passwörtern, verbotene Praktiken (Teilen, Aufschreiben) sowie Ausnahmen oder kompensierende Kontrollen für Altsysteme."

Richtlinie für das Management privilegierter Zugriffe definieren

"Erstellen Sie eine Richtlinie für das Management privilegierter Zugriffe für die ISO 27001:2022 Kontrolle A.5.18, die Folgendes abdeckt: Definition privilegierter Zugriffe (Admin, Root, Superuser), Begründungs- und Genehmigungsprozess für die Gewährung privilegierter Zugriffe, Sitzungsmanagement für erhöhte Zugriffsrechte, Überwachung und Protokollierung privilegierter Konten, Management administrativer Passwörter (Vaulting, Rotation), Notfallzugriffsverfahren (Break-Glass-Szenarien) und Anforderungen an die periodische Rezertifizierung des Zugriffs."

Prompts für das Asset-Management

Asset-Management-Richtlinie entwickeln

"Schreiben Sie eine Asset-Management-Richtlinie für die ISO 27001:2022 Kontrolle A.5.9. Enthalten sein müssen: Anforderungen an das Asset-Inventar (was wird nachverfolgt, Häufigkeit der Aktualisierung), Klassifizierung von Assets und Zuweisung von Eigentümern, akzeptable Nutzung von Assets, Asset-Lifecycle-Management (Beschaffung, Bereitstellung, Wartung, Entsorgung), physische Kontrollen für Assets (Kennzeichnung, Nachverfolgung, Rückgabe), Software-Asset-Management (Lizenzierung, genehmigte Software) sowie Verfahren zur Entsorgung/Bereinigung von Assets, um Datenlecks zu verhindern."

Richtlinie zur Handhabung von Datenträgern erstellen

"Entwerfen Sie eine Richtlinie zur Handhabung und Entsorgung von Datenträgern, die die ISO 27001:2022 Kontrollen A.7.10 und A.7.14 abdeckt. Adressieren Sie: Arten der betroffenen Medien (Papier, USB-Sticks, Festplatten, Backups, Mobilgeräte), Kennzeichnung und Klassifizierung von Medien, Anforderungen an die sichere Lagerung, Verfahren für Transport und Versand von Medien, Methoden zur Entsorgung und Bereinigung von Medien (Schreddern, Degaussing, kryptografisches Löschen), Verifizierung und Dokumentation der Entsorgung sowie Anforderungen an Anbieter von Entsorgungsdiensten."

Prompts für Kryptografie und Datenschutz

Richtlinie für kryptografische Maßnahmen schreiben

"Erstellen Sie eine Kryptografie-Richtlinie für die ISO 27001:2022 Kontrolle A.8.24. Enthalten sein müssen: Verschlüsselungsanforderungen für ruhende Daten nach Klassifizierungsstufe, Verschlüsselungsanforderungen für Datenübertragungen (TLS-Versionen, Cipher Suites), zugelassene kryptografische Algorithmen und Schlüssellängen, Schlüsselmanagementverfahren (Erzeugung, Speicherung, Rotation, Vernichtung), Anforderungen an digitale Signaturen und Zertifikate, Verschlüsselung für Mobilgeräte und Wechselmedien, Cloud-Verschlüsselungsanforderungen sowie Ausnahmen bei kryptografischen Kontrollen und kompensierende Maßnahmen."

Datenschutzrichtlinie entwickeln

"Entwerfen Sie eine Datenschutzrichtlinie, die die DSGVO-Konformität und die ISO 27001:2022 Kontrollen A.5.33-A.5.34 adressiert. Deckten Sie ab: Rechtsgrundlage für die Verarbeitung personenbezogener Daten, Betroffenenrechte (Auskunft, Berichtigung, Löschung, Übertragbarkeit), Datenminimierung und Zweckbindung, Aufbewahrungsfristen nach Datentyp, Privacy-by-Design-Prinzipien, Verfahren zur Meldung von Datenschutzverletzungen (Zeitrahmen, Behörden, Betroffene), Mechanismen für den grenzüberschreitenden Datentransfer und Auslöser für Datenschutz-Folgenabschätzungen."

Prompts für Betrieb und Infrastruktur

Change-Management-Richtlinie erstellen

"Schreiben Sie eine Change-Management-Richtlinie für die ISO 27001:2022 Kontrolle A.8.32. Enthalten sein müssen: Geltungsbereich (welche Änderungen erfordern einen formalen Prozess), Klassifizierung von Änderungen (Standard, Normal, Notfall), Workflow für Änderungsanträge und Genehmigungen, Anforderungen an die Risikobewertung bei Änderungen, Test- und Rollback-Verfahren, Fenster für die Implementierung von Änderungen, Überprüfung nach der Implementierung, Verfahren für Notfalländerungen mit reduzierten Kontrollen und Dokumentationsanforderungen für den Audit-Trail."

Backup- und Wiederherstellungsrichtlinie entwickeln

"Entwerfen Sie eine Backup- und Wiederherstellungsrichtlinie für die ISO 27001:2022 Kontrolle A.8.13. Spezifizieren Sie: welche Systeme und Daten ein Backup erfordern, Backup-Häufigkeit nach Systemkritikalität (stündlich, täglich, wöchentlich), Backup-Aufbewahrungsfristen, Speicherort und Sicherheit der Backups (vor Ort, extern, Cloud), Anforderungen an die Backup-Verschlüsselung, Häufigkeit und Verfahren für Backup-Tests, Wiederherstellungsziele (RTO) und Wiederherstellungspunkte (RPO) pro System, Zeitplan für Wiederherstellungstests sowie Backup-Überwachung und Alarmierung."

Vulnerability-Management-Richtlinie schreiben

"Erstellen Sie eine Richtlinie für das Management von Schwachstellen für die ISO 27001:2022 Kontrolle A.8.8. Enthalten sein müssen: Häufigkeit und Umfang von Schwachstellenscans, Zeitplan für die Reaktion auf kritische Schwachstellen (24 Stunden, 7 Tage, 30 Tage je nach Schweregrad), Prozess für Patch-Management und Testanforderungen, Offenlegung und Kommunikation von Schwachstellen, kompensierende Kontrollen, falls Patching nicht möglich ist, Benachrichtigung über Schwachstellen durch Dritte, Kennzahlen und Berichterstattung zu Schwachstellen an das Management sowie Ausnahmeverfahren für geschäftskritische Systeme."

Prompts für Personalsicherheit

Richtlinie zur Überprüfung von Mitarbeitern erstellen

"Schreiben Sie eine Richtlinie zur Überprüfung und Prüfung von Mitarbeitern für die ISO 27001:2022 Kontrolle A.6.1. Enthalten sein müssen: Anforderungen an die Überprüfung vor der Einstellung (Hintergrundprüfungen, Referenzprüfung, Werdegang, Bildungsnachweis, Bonitätsprüfung für Finanzrollen, Führungszeugnisse), Überprüfungsstufen je nach Rollensensibilität und Datenzugriff, Überprüfung für Auftragnehmer und Zeitarbeitnehmer, Anforderungen an die laufende Überprüfung (periodische Neuverifizierung), Überlegungen bei internationalen Einstellungen, Einwilligung des Kandidaten und Datenschutzanforderungen sowie Aufbewahrung der Dokumentation."

Sicherheitsbewusstsein-Richtlinie entwickeln

"Entwerfen Sie eine Richtlinie für Sicherheitsbewusstsein und Schulung für die ISO 27001:2022 Kontrolle A.6.3. Decken Sie ab: obligatorische Schulungen zum Sicherheitsbewusstsein für alle Mitarbeiter (Häufigkeit, Themen, Vermittlungsmethode), rollenbasierte Schulungen für privilegierte Nutzer und Entwickler, Phishing-Simulationsprogramm (Häufigkeit, Eskalation bei wiederholtem Versagen), Anforderungen an die Sicherheitseinweisung für neue Mitarbeiter, Messung der Schulungseffektivität, Kommunikationskanäle für Sicherheit, Schulung zur Meldung von Vorfällen und Konsequenzen bei Nichteinhaltung von Schulungen."

Verfahren für Kündigung und Rollenwechsel schreiben

"Erstellen Sie ein Verfahren für Kündigung und Rollenwechsel für die ISO 27001:2022 Kontrolle A.6.5. Enthalten sein müssen: Benachrichtigungsprozess und Zeitplan, Checkliste für den Entzug von Zugriffsrechten nach System und Datentyp, Anforderungen an die Rückgabe physischer Assets (Laptops, Ausweise, Schlüssel, Mobilgeräte), Verfahren zur Kontodeaktivierung, Aufbewahrung und Übertragung von Daten/E-Mails, Sicherheitsthemen beim Austrittsgespräch, Überwachung nach der Kündigung auf verdächtige Aktivitäten, Wiedereinstellungsverfahren und Prozess zur Überprüfung von Zugriffsrechten bei Rollenwechseln."

Prompts für Vorfallsmanagement

Incident-Response-Richtlinie erstellen

"Schreiben Sie eine Richtlinie für die Reaktion auf Sicherheitsvorfälle für die ISO 27001:2022 Kontrollen A.5.24-A.5.28. Enthalten sein müssen: Definition und Klassifizierung von Vorfällen (Sicherheitsverletzung, Datenleck, Malware, DDoS, unbefugter Zugriff), Schweregrade von Vorfällen und Eskalationskriterien, Rollen und Verantwortlichkeiten des Incident-Response-Teams, Kanäle für die Erkennung und Meldung von Vorfällen (24/7-Verfügbarkeit), Phasen der Vorfallsreaktion (Vorbereitung, Erkennung, Eindämmung, Beseitigung, Wiederherstellung, Lessons Learned), Beweissicherung und Chain of Custody, Kommunikationsplan (intern, Kunden, Aufsichtsbehörden, Medien) und Anforderungen an die Überprüfung nach dem Vorfall."

Verfahren zur Meldung von Datenschutzverletzungen entwickeln

"Entwerfen Sie ein Verfahren zur Meldung von Datenschutzverletzungen gemäß DSGVO Artikel 33-34 und ISO 27001:2022 Kontrolle A.5.26. Enthalten sein müssen: Kriterien für die Bewertung von Verletzungen (wann ist sie meldepflichtig?), Zeitplan für die Meldung (72 Stunden an die Aufsichtsbehörde), erforderlicher Inhalt der Meldung, Auslöser und Methoden für die Benachrichtigung betroffener Personen, interner Eskalations- und Genehmigungsworkflow, Dokumentationsanforderungen für die Compliance, Abstimmung der externen Kommunikation (Rechtsabteilung, PR, Kundensupport) und Führung des Registers für Datenschutzverletzungen."

Prompts für Drittanbieter- und Lieferantenmanagement

Lieferantensicherheitsrichtlinie schreiben

"Erstellen Sie eine Sicherheitsrichtlinie für Lieferanten und Dritte für die ISO 27001:2022 Kontrollen A.5.19-A.5.23. Enthalten sein müssen: Anforderungen an die Sicherheitsbewertung von Lieferanten (Bewertung vor Vertragsabschluss), Due-Diligence-Prozess bei der Lieferantenauswahl, Mindestsicherheitsanforderungen in Lieferantenverträgen (SLAs, Sicherheitskontrollen, Audit-Rechte, Meldung von Verletzungen, Datenschutz), Zugriffskontrollen und Überwachung von Lieferanten, Leistungsprüfung der Lieferanten und Verifizierung der Compliance, Koordination der Vorfallsreaktion mit Lieferanten sowie Verfahren für das Offboarding von Lieferanten."

Verfahren zur Risikobewertung von Anbietern entwickeln

"Entwerfen Sie ein Verfahren zur Risikobewertung von Anbietern. Enthalten sein müssen: Kategorisierung von Anbietern nach Risikostufe (hoch/mittel/niedrig basierend auf Datenzugriff, Kritikalität, regulatorischem Geltungsbereich), Struktur des Bewertungsfragebogens, erforderliche Nachweise (SOC 2, ISO 27001-Zertifikate, Sicherheitsrichtlinien, Ergebnisse von Penetrationstests, Versicherungen), Methodik zur Risikobewertung, Häufigkeit der Bewertung nach Risikostufe des Anbieters, Anforderungen an die Behebung identifizierter Lücken, Anforderungen an die laufende Überwachung und Auslöser für eine Neubewertung (Sicherheitsvorfall, Vertragsverlängerung, regulatorische Änderung)."

Prompts für physische und Umgebungssicherheit

Physische Sicherheitsrichtlinie erstellen

"Schreiben Sie eine physische Sicherheitsrichtlinie für die ISO 27001:2022 Kontrollen A.7.1-A.7.4. Adressieren Sie: Zutrittskontrollen zum Gebäude (Ausweissysteme, Besuchermanagement, Tailgating-Prävention), Sicherheitszonen und Perimeterdefinitionen, Besucherverfahren (Anmeldung, Begleitung, Rückgabe von Ausweisen), Überwachung (CCTV, Wachleute), Zugang zu Serverräumen und Rechenzentren (wer, wann, Protokollierung), physische Sicherheitsvorfälle (Tailgating, unbefugter Zutritt, Diebstahl) und Integration in logische Zugriffskontrollen."

Richtlinie für einen leeren Schreibtisch und Bildschirm entwickeln

"Entwerfen Sie eine Richtlinie für einen leeren Schreibtisch und einen leeren Bildschirm (Clear Desk and Clear Screen Policy) für die ISO 27001:2022 Kontrolle A.7.7. Enthalten sein müssen: Anforderungen an den leeren Schreibtisch (keine sichtbaren vertraulichen Informationen, Dokumente am Ende des Tages weggeschlossen), Anforderungen an den leeren Bildschirm (Zeitlimit für Bildschirmsperre, Sichtschutzfolien, Positionierung der Monitore), Aufbewahrung sensibler Informationen (verschlossene Schränke, verschlüsselte Geräte), Entsorgung von Dokumenten (Schreddern, Sicherheitsbehälter), Überlegungen für Besucherbereiche, Anwendbarkeit auf mobiles Arbeiten, Audit- und Compliance-Überwachung sowie Anforderungen an die Mitarbeiterschulung."

Prompts für Business Continuity

Business-Continuity-Richtlinie schreiben

"Erstellen Sie eine Business-Continuity- und Disaster-Recovery-Richtlinie für die ISO 27001:2022 Kontrollen A.5.29-A.5.30. Enthalten sein müssen: Anforderungen und Häufigkeit der Business Impact Analysis (BIA), kritische Geschäftsfunktionen und maximal tolerierbare Ausfallzeiten, Kriterien und Befugnisse zur Ausrufung eines Katastrophenfalls, Kontinuitätsstrategien für kritische Funktionen, Anforderungen an den Disaster-Recovery-Standort, Kommunikationspläne während Störungen, Rollen und Verantwortlichkeiten des Kontinuitätsteams, Zeitplan für Tests und Übungen (Tabletop, Simulation, Volllasttest), Auslöser für die Wartung und Aktualisierung des Plans sowie Integration in die Vorfallsreaktion."

IKT-Kontinuitätsverfahren erstellen

"Entwerfen Sie ein IKT-Kontinuitätsverfahren, das die ISO 27001:2022 Kontrolle A.8.14 abdeckt. Enthalten sein müssen: Inventar kritischer Systeme und Abhängigkeiten, Wiederherstellungsziele (RTO) und Wiederherstellungspunkte (RPO) pro System, Redundanz- und Failover-Mechanismen, Verfahren zur Datensicherung und -wiederherstellung, alternative Verarbeitungsstandorte oder Cloud-Failover, Kommunikationssysteme während Ausfällen, Abhängigkeiten von Lieferanten und Notfallpläne, Verfahren für Kontinuitätstests sowie Failback-Verfahren bei Wiederherstellung der Primärsysteme."

Prompts für Compliance und Audit

Compliance-Management-Richtlinie entwickeln

"Schreiben Sie eine Compliance-Management-Richtlinie für die ISO 27001:2022 Kontrolle A.5.31. Enthalten sein müssen: Prozess zur Identifizierung von Compliance-Verpflichtungen (gesetzlich, regulatorisch, vertraglich), Überwachung und Messung der Compliance, internes Auditprogramm (Häufigkeit, Umfang, Unabhängigkeit), Anforderungen an Compliance-Schulungen, Compliance-Berichterstattung an das Management, Eskalation und Behebung von Verstößen, Anforderungen an die Aufbewahrung von Aufzeichnungen und Nachweisen sowie Managementprozess für regulatorische Änderungen."

Internes Audit-Verfahren erstellen

"Entwerfen Sie ein internes Audit-Verfahren für ISO 27001:2022 Klausel 9.2. Enthalten sein müssen: jährlicher Auditplan und Umfang, Anforderungen an die Unabhängigkeit der Auditoren, Auditplanung (risikobasierter Ansatz, Auditkriterien), Durchführung des Audits (Eröffnungsbesprechung, Beweiserhebung, Stichprobenprüfung, Interviews), Identifizierung und Einstufung von Nichtkonformitäten (Haupt-, Nebenabweichung, Beobachtung), Korrekturmaßnahmenanfragen und Nachverfolgung, Format und Verteilung des Auditberichts, Verfahren für Follow-up-Audits sowie Managementbewertung der Auditergebnisse."

Prompts zum Schreiben von Verfahren

Richtlinie in detailliertes Verfahren umwandeln

"Wandeln Sie diese [Name der Richtlinie] in ein detailliertes betriebliches Verfahren um. Enthalten sein müssen: Zweck und Geltungsbereich des Verfahrens, Rollen und Verantwortlichkeiten (wer macht was), Voraussetzungen, Schritt-für-Schritt-Anleitungen mit Entscheidungspunkten, erforderliche Werkzeuge und Systeme, erwartete Zeitrahmen, Qualitätsprüfungen und Verifizierungsschritte, Anforderungen an Dokumentation und Aktenführung, Ausnahmebehandlung, zugehörige Verfahren und Referenzen sowie Versionshistorie. Formatieren Sie mit nummerierten Schritten zur einfachen Nachvollziehbarkeit."

Verfahren für eine Annex A-Kontrolle erstellen

"Schreiben Sie ein betriebliches Verfahren zur Umsetzung der ISO 27001:2022 Annex A-Kontrolle [Kontrollnummer und Name]. Adressieren Sie: was die Kontrolle erfordert, wer für die Umsetzung verantwortlich ist, detaillierte Umsetzungsschritte, technische Konfiguration falls zutreffend, für das Audit zu sammelnde Nachweise, Verifizierungs- und Testverfahren, Häufigkeit der Ausführung (täglich, wöchentlich, bei Bedarf), Überwachung und Messung sowie Dokumentation der Wirksamkeit der Kontrolle."

Beispiel: "Schreiben Sie ein betriebliches Verfahren zur Umsetzung der ISO 27001:2022 Annex A-Kontrolle A.8.5 Sichere Authentisierung. Decken Sie unsere spezifische Umgebung ab: Azure AD SSO mit MFA, Workstations für privilegierten Zugriff, Management von Dienstkonten und API-Schlüssel-Rotation."

Workflow-Prozess dokumentieren

"Erstellen Sie ein Verfahren zur Dokumentation des Workflows für [Prozessname, z. B. 'Benutzerzugriffsbereitstellung']. Verwenden Sie ein Flussdiagramm-Format mit: Auslöseereignis, Entscheidungspunkten (Genehmigungsschranken, Bedingungen), Aktionen in jedem Schritt, verantwortliche Rolle für jede Aktion, Systeminteraktionen, Genehmigungsanforderungen, Zeitrahmen/SLAs und Abschlusskriterien. Berücksichtigen Sie sowohl den normalen Ablauf als auch Ausnahmepfade."

Prompts für die Überprüfung und Wartung von Richtlinien

Zeitplan für die Richtlinienüberprüfung erstellen

"Erstellen Sie einen Zeitplan für die Überprüfung und Wartung unserer ISO 27001-Dokumentation. Geben Sie für jede Richtlinienkategorie (Sicherheit, Zugriffskontrolle, Vorfallsreaktion, Personal, physische Sicherheit usw.) an: Häufigkeit der Überprüfung (jährlich, halbjährlich, anlassbezogen), Verantwortlicher für die Überprüfung, Überprüfungskriterien (Relevanz, Genauigkeit, Compliance, Wirksamkeit), Genehmigungsinstanz, Anforderungen an die Versionskontrolle und Verteilungsprozess für aktualisierte Richtlinien. Erstellen Sie eine 12-monatige Kalenderansicht."

Ausnahmeverfahren für Richtlinien entwickeln

"Entwerfen Sie ein Verfahren für Richtlinienausnahmen und Befreiungen. Enthalten sein müssen: gültige Gründe für das Beantragen von Ausnahmen, Formular für Ausnahmeanträge und erforderliche Begründung, Risikobewertung für die Ausnahme, Anforderung an kompensierende Kontrollen, Genehmigungsstufen nach Richtlinientyp und Risiko, Dauer der Ausnahme und Erneuerungsprozess, Überwachung und Berichterstattung von Ausnahmen, Kriterien für den Widerruf von Ausnahmen sowie Dokumentation für den Audit-Trail."

Prompts für die Anwendbarkeitserklärung (SoA)

Vollständige SoA-Struktur generieren

"Erstellen Sie eine Anwendbarkeitserklärung (SoA) für ISO 27001:2022, die alle 93 Annex A-Kontrollen abdeckt. Geben Sie für jede Kontrolle an: Kontrollnummer und Name, Status der Anwendbarkeit (Anwendbar, Nicht anwendbar, Teilweise anwendbar), Verweis auf spezifische Risiken aus unserer Risikobewertung, die die Kontrolle rechtfertigen, Beschreibung unseres Umsetzungsansatzes, Umsetzungsstatus (Umgesetzt, In Arbeit, Geplant mit Zieldatum), verantwortlicher Eigentümer, verfügbare Nachweise für das Audit und Begründung für eventuelle Ausschlüsse. Organisieren Sie nach Annex A-Themen."

Ausschlüsse von Kontrollen begründen

"Geben Sie für diese Annex A-Kontrollen, die wir als 'Nicht anwendbar' markieren wollen [Kontrollnummern auflisten], eine auditfähige Begründung an. Erläutern Sie für jede: warum die Kontrolle für unsere Organisation unter Berücksichtigung unseres Geschäftsmodells, Technologie-Stacks und der identifizierten Risiken nicht gilt; nennen Sie etwaige kompensierende Kontrollen, die ähnlichen Schutz bieten; bestätigen Sie, dass keine identifizierten Risiken diese Kontrolle erfordern; und formatieren Sie die Begründung so, dass sie für die Prüfung durch Auditoren und die SoA-Dokumentation geeignet ist."

Kontrollen Richtlinien und Verfahren zuordnen

"Erstellen Sie eine Matrix zur Zuordnung von Kontrollen zu Dokumenten. Listen Sie für jede der 93 ISO 27001:2022 Annex A-Kontrollen auf: Kontrollnummer und Name, welche Richtlinie(n) die Kontrolle adressieren, welches Verfahren/welche Verfahren die Kontrolle umsetzen, Nachweisdokumente (Logs, Aufzeichnungen, Berichte) und markieren Sie Kontrollen, für die eine angemessene Dokumentation fehlt und neue Richtlinien oder Verfahren erstellt werden müssen."

Maßschneiderungs- und branchenspezifische Prompts

Richtlinie an Branchenvorschriften anpassen

"Passen Sie diese [Name der Richtlinie] an, um branchenspezifische Vorschriften zu adressieren: [Vorschriften auflisten, z. B. HIPAA, PCI-DSS, FedRAMP]. Identifizieren Sie für jede Vorschrift: spezifische Anforderungen, die nicht durch die Basis-ISO 27001 abgedeckt sind, fügen Sie erforderliche Richtlinienabschnitte oder Kontrollen hinzu, verweisen Sie auf spezifische regulatorische Klauseln, passen Sie die Sprache an die regulatorische Terminologie an und ergänzen Sie Verfahren zur Compliance-Verifizierung."

Richtlinie für bessere Lesbarkeit vereinfachen

"Schreiben Sie diese Richtlinie in einer einfachen Sprache um, die für nicht-technische Mitarbeiter verständlich ist. Vereinfachen Sie Fachjargon und technische Begriffe, verwenden Sie kürzere Sätze und Absätze, fügen Sie praktische Beispiele für Do's und Don'ts hinzu, binden Sie visuelle Elemente ein (Icons, Checklisten), behalten Sie die Compliance-Anforderungen bei, aber verbessern Sie die Lesbarkeit, zielen Sie auf ein Sprachniveau für 14-jährige ab und stellen Sie sicher, dass Kernanforderungen hervorstechen (Fettdruck, Callouts)."

Executive Summary der Richtlinie erstellen

"Erstellen Sie eine einseitige Zusammenfassung für die Geschäftsführung (Executive Summary) unserer [Name der Richtlinie] zur Überprüfung durch die Leitungsebene. Enthalten sein müssen: Zweck der Richtlinie in geschäftlichen Begriffen (warum sie wichtig ist), Kernanforderungen und Verpflichtungen, Rollen und Verantwortlichkeiten für Führungskräfte, geschäftliche Auswirkungen und Vorteile, Compliance- und Risikofolgen, Ressourcenbedarf (Budget, Personal, Tools), Zeitplan für die Umsetzung und Empfehlung zur Genehmigung."

Prompts zur Qualitätssicherung

Richtlinie auf Compliance-Lücken prüfen

"Überprüfen Sie diese [Name der Richtlinie] gegen die Anforderungen der ISO 27001:2022 für [relevante Klausel oder Kontrolle]. Prüfen Sie: Sind alle obligatorischen Anforderungen adressiert? Ist die Richtlinie spezifisch genug für die Umsetzung? Sind Rollen und Verantwortlichkeiten klar definiert? Sind messbare Kriterien enthalten? Ist die Richtlinie durchsetzbar? Werden Ausnahmen und Verstöße adressiert? Wird die Erfassung von Audit-Nachweisen beschrieben? Identifizieren Sie Lücken und empfehlen Sie Ergänzungen."

Richtlinienkonsistenz über Dokumente hinweg prüfen

"Vergleichen Sie diese Richtlinien [Namen der Richtlinien auflisten] auf Konsistenz bei: Terminologie (werden Begriffe einheitlich verwendet?), Anforderungen (gibt es Widersprüche?), Genehmigungsbefugnissen (einheitliche Delegation?), Überprüfungshäufigkeiten (abgestimmte Zeitpläne?), Referenzen und Querverweise (korrekt?) und Formatierung/Struktur (professionelles Erscheinungsbild?). Identifizieren Sie Inkonsistenzen, die gelöst werden müssen."

Verfahren gegen Richtlinie validieren

"Überprüfen Sie, ob dieses Verfahren für [Thema] die Anforderungen in unserer [Name der zugehörigen Richtlinie] korrekt umsetzt. Prüfen Sie: Haben alle Richtlinienanforderungen entsprechende Verfahrensschritte, widerspricht das Verfahren der Richtlinie nicht, entsprechen die Rollen im Verfahren den Richtliniendefinitionen, sind die Genehmigungsworkflows abgestimmt, werden die Dokumentationsanforderungen erfüllt und füllt das Verfahren etwaige Umsetzungslücken in der Richtlinie. Identifizieren Sie Abweichungen."

Tipps für die effektive Nutzung dieser Prompts

Zugehörige Prompt-Bibliotheken

Vervollständigen Sie Ihre ISO 27001-Implementierung mit diesen zugehörigen Prompt-Sammlungen:

• ISO 27001 Prompts zur Risikobewertung

• ISO 27001 Prompts zur Audit-Vorbereitung (demnächst verfügbar)

• ISO 27001 Prompts zur Lückenanalyse (demnächst verfügbar)

• SOC 2 Prompt-Bibliothek

Hilfe erhalten

Für Unterstützung bei der Entwicklung von Richtlinien und Verfahren:

• Das Framework lernen: Verstehen Sie, wie man eine ISO 27001-Risikobewertung mithilfe von KI durchführt, um sicherzustellen, dass Richtlinien die identifizierten Risiken adressieren.

• KI verantwortungsbewusst nutzen: Lesen Sie Verantwortungsbewusste Nutzung von ISMS Copilot für Best Practices bei der Richtlinienentwicklung.

• Dokumentation verwalten: Optimieren Sie Ihre Arbeitsbereichsorganisation für Multi-Client-Projekte.