ISMS Copilot
ISO 27001-Prompt-Bibliothek

Prompts für die ISO 27001-Risikobewertung

Übersicht

Hier finden Sie Copy-Paste-Prompts für die Durchführung umfassender ISO 27001-Risikobewertungen mit dem ISMS Copilot – vom Aufbau von Inventaren über die Berechnung von Risikowerten bis hin zur Entwicklung von Behandlungsplänen, die auf die Annex A-Maßnahmen abgestimmt sind.

Für wen dies gedacht ist

Diese Prompts sind konzipiert für:

  • Sicherheitsexperten, die ISO 27001-Risikobewertungen durchführen

  • Risikomanager, die eine risikobasierte Auswahl von Maßnahmen implementieren

  • Berater, die Risikobewertungen für mehrere Kunden durchführen

  • Organisationen, die sich auf ISO 27001-Zertifizierungsaudits vorbereiten

Bevor Sie beginnen

Diese Prompts funktionieren am besten, wenn sie in Ihrem speziellen ISO 27001-Arbeitsbereich verwendet werden. Erstellen Sie einen Arbeitsbereich eigens für Ihre Risikobewertung, um den Kontext zu wahren und auf vorherigen Gesprächen aufzubauen.

Profi-Tipp: Passen Sie bei jedem Prompt die in Klammern gesetzten Platzhalter [wie diesen] mit Ihren spezifischen Details an – Branche, Unternehmensgröße, Technologie-Stack oder Asset-Details. Je spezifischer Ihre Eingabe, desto handlungsorientierter das Ergebnis.

Prompts zur Asset-Identifizierung

Umfassendes Asset-Inventar erstellen

"Erstelle eine Vorlage für ein Informations-Asset-Inventar für ein Unternehmen der Branche [Branche] mit [Anzahl] Mitarbeitern, das [Geschäftsbeschreibung]. Berücksichtige Kategorien für: Daten-Assets, Anwendungssysteme, Infrastruktur, Dienste von Drittanbietern und Personal. Nenne für jede Kategorie 10-15 relevante Beispiele, die spezifisch für unsere Branche und unseren Betrieb sind."

Beispiel: "Erstelle eine Vorlage für ein Informations-Asset-Inventar für ein SaaS-Unternehmen im Gesundheitswesen mit 75 Mitarbeitern, das Plattformen zur Patienteneinbindung für Arztpraxen anbietet. Berücksichtige Kategorien für: Daten-Assets, Anwendungssysteme, Infrastruktur, Dienste von Drittanbietern und Personal. Nenne für jede Kategorie 10-15 relevante Beispiele, die spezifisch für unsere Branche und unseren Betrieb sind."

Architektur für Asset-Discovery analysieren

"Analysiere dieses [Architekturdiagramm/Netzwerkplan/Systemdokumentation] und identifiziere alle Informations-Assets, die in unser ISO 27001-Asset-Inventar aufgenommen werden sollten. Schlage für jedes Asset einen geeigneten Eigentümer basierend auf der Geschäftsfunktion und der Verantwortung für die Sicherheit vor."

Laden Sie Ihre vorhandenen Netzwerkdiagramme, Datenflusspläne oder Systemarchitekturdokumente hoch, bevor Sie diesen Prompt verwenden, um eine möglichst genaue Asset-Identifizierung zu erhalten.

Kriterien für die Asset-Klassifizierung definieren

"Definiere Informationsklassifizierungsstufen (Öffentlich, Intern, Vertraulich, Streng vertraulich) für ISO 27001:2022. Gib für jede Stufe an: klare Definition, 5 spezifische Beispiele aus [Ihrer Branche], Handhabungsanforderungen, Speicheranforderungen, Zugriffskontrollen und Folgen einer unbefugten Offenlegung."

Asset-Eigentümer und Verantwortlichkeiten identifizieren

"Wer sollte in einer Organisation mit [Unternehmensgröße und Beschreibung] der Eigentümer für die jeweiligen Asset-Typen sein? Definiere Kriterien für die Zuweisung der Eigentumsverhältnisse basierend auf Geschäftsfunktion, technischer Verantwortung, Rechenschaftspflicht für Sicherheit und Entscheidungsbefugnis."

Prozessbasierte Asset-Zuordnung erstellen

"Identifiziere für den Geschäftsprozess '[Prozessname, z. B. Kunden-Onboarding]' alle beteiligten Informations-Assets, einschließlich: erstellte/verarbeitete Daten, genutzte Systeme, Infrastrukturabhängigkeiten, Dienste von Drittanbietern und Personalrollen. Stelle dies als Prozessfluss dar, bei dem die Assets den einzelnen Schritten zugeordnet sind."

Prompts für die Bedrohungs- und Schwachstellenanalyse

Asset-spezifische Bedrohungsszenarien generieren

"Identifiziere für [Asset-Name und Typ], das [Datenbeschreibung] enthält und in einer [Hosting-Umgebung] betrieben wird, realistische Bedrohungen unter Berücksichtigung von: Cyber-Angriffen (Ransomware, Phishing, DDoS), Insider-Bedrohungen (böswillige Mitarbeiter, Privilegienmissbrauch), Systemausfällen (Hardware, Software, Netzwerk), Risiken durch Drittanbieter (Provider-Hacks, Lieferkettenangriffe) und physischen Bedrohungen (Diebstahl, Katastrophen). Beschreibe für jede Bedrohung das Angriffsszenario und die potenziellen geschäftlichen Auswirkungen."

Beispiel: "Identifiziere für unsere Kundendatenbank, die PII und Zahlungskartendaten enthält und auf einer AWS-gehosteten PostgreSQL-Umgebung liegt, realistische Bedrohungen unter Berücksichtigung von: Cyber-Angriffen, Insider-Bedrohungen, Systemausfällen, Risiken durch Drittanbieter und physischen Bedrohungen. Beschreibe für jede Bedrohung das Angriffsszenario und die potenziellen geschäftlichen Auswirkungen."

Technologie-spezifische Schwachstellen identifizieren

"Was sind häufige Schwachstellen in [unserem Technologie-Stack], die von Angreifern ausgenutzt werden könnten? Berücksichtige: Konfigurationsschwächen (Standardeinstellungen, Härtungslücken), Lücken bei der Zugriffskontrolle (Authentifizierung, Autorisierung), Verschlüsselungsprobleme (Data at Rest, in Transit), Herausforderungen beim Patch-Management und unsichere Integrationen."

Analyse der Branchen-Bedrohungslage

"Welche Informationssicherheitsbedrohungen sind für Unternehmen der Branche [Branche] in [Region] am relevantesten? Berücksichtige: regulatorische und Compliance-Risiken, Wirtschaftsspionage durch Wettbewerber, branchenspezifische Angriffsmuster, Schwachstellen in der Lieferkette und neu auftretende Bedrohungen basierend auf aktuellen Vorfällen in der Branche."

Risiken von Drittanbietern bewerten

"Erstelle eine Risikobewertung für unsere wichtigsten Drittanbieter: [Liste der Anbieternamen und deren Dienste]. Identifiziere für jeden Anbieter Risiken in Bezug auf: Datenzugriff und -verarbeitung, Serviceverfügbarkeit und Kontinuität, Sicherheitsvorfälle und Benachrichtigung bei Datenschutzverletzungen, Compliance-Verstöße (DSGVO, SOC 2) und Szenarien bei Vertragsbeendigung."

Schwachstellen des Faktors Mensch bewerten

"Identifiziere Schwachstellen durch den Faktor Mensch in unserer Organisation unter Berücksichtigung von: Sicherheitsbewusstsein der Mitarbeiter ([aktueller Status]), Remote-Work-Regelungen ([Prozentsatz remote]), Zugriff auf sensible Daten ([Anzahl der Benutzer]), Häufigkeit von Sicherheitsschulungen ([aktuelle Häufigkeit]) und Anfälligkeit für Phishing. Schlage spezifische Schwachstellenszenarien vor, die ausgenutzt werden könnten."

Prompts zur Risikoberechnung

Eintrittswahrscheinlichkeit bewerten

"Bewerte für die Bedrohung '[spezifische Bedrohung]', die '[spezifische Schwachstelle]' in unserem [Asset-Beschreibung] ausnutzt, die Wahrscheinlichkeit auf einer Skala von 1 bis 5, wobei 1=sehr selten, 2=unwahrscheinlich, 3=möglich, 4=wahrscheinlich, 5=fast sicher. Berücksichtige: unsere vorhandenen Maßnahmen ([Liste aktueller Maßnahmen]), Fähigkeiten und Motivation der Bedrohungsakteure, historische Vorfälle in unserer Branche, den aktuellen Sicherheitsstatus und etwaige kompensierende Faktoren. Begründe die Punktzahl."

Beispiel: "Bewerte für die Bedrohung 'Ransomware-Angriff via Phishing-E-Mail', die 'unzureichende Schulungen zum Sicherheitsbewusstsein' in unserem SaaS-Unternehmen mit 50 Mitarbeitern ausnutzt, die Wahrscheinlichkeit auf einer Skala von 1 bis 5. Berücksichtige: Wir haben einfache E-Mail-Filter, aber keinen erweiterten Bedrohungsschutz, kein Programm für Awareness-Schulungen, 80 % Homeoffice-Anteil und im Gesundheitssektor gab es einen Anstieg von Ransomware-Angriffen um 40 % im Vergleich zum Vorjahr. Begründe die Punktzahl."

Geschäftliche Auswirkungen bewerten

"Bewerte für das Risiko '[Bedrohung] für [Asset]' die Auswirkungen auf einer Skala von 1 bis 5, wobei 1=vernachlässigbar, 2=geringfügig, 3=moderat, 4=erheblich, 5=kritisch. Berücksichtige: finanziellen Verlust (Umsatzeinbußen, Bußgelder, Wiederherstellungskosten), operative Störungen (Dauer des Ausfalls, Leistungsabfall, Produktivitätsverlust), regulatorische Folgen (DSGVO-Strafen, Compliance-Verstöße, Meldepflichten), Reputationsschäden (Kundenvertrauen, Medienberichterstattung, Marktposition) und rechtliche Haftung. Begründe die Punktzahl."

Risikomatrix und Schwellenwerte erstellen

"Erstelle eine 5x5-Risikomatrix für ISO 27001, in der Wahrscheinlichkeit (1-5) und Auswirkung (1-5) Risikowerte ergeben. Definiere Risikostufen: Niedrig (Werte 1-6, grün), Mittel (Werte 8-12, gelb), Hoch (Werte 15-20, orange), Kritisch (Wert 25, rot). Gib für jede Stufe an: erforderlicher Zeitrahmen für die Behandlung, Genehmigungsbefugnis, akzeptabler Restrisikobereich und Häufigkeit der Überwachung."

Restrisiko nach Maßnahmen berechnen

"Wie hoch wäre das Restrisiko für das Risiko '[Risikobeschreibung]' mit dem Ausgangswert [X], wenn wir die Maßnahmen '[Liste der Maßnahmen]' implementieren? Erkläre, wie jede Maßnahme die Wahrscheinlichkeit oder Auswirkung verringert, schätze die neuen Werte für Wahrscheinlichkeit und Auswirkung, berechne das Restrisiko und bestätige, ob das Restrisiko innerhalb der akzeptablen Grenzen liegt."

Prompts zur Risikobehandlung

Maßnahmenempfehlungen generieren

"Schlage für das Risiko '[Risikobeschreibung]' mit dem Wert [X] Maßnahmen aus dem Anhang A der ISO 27001:2022 vor, die dieses Risiko wirksam mindern würden. Gib für jede empfohlene Maßnahme an: Nummer und Name der Maßnahme, Erklärung der Reduzierung von Wahrscheinlichkeit oder Auswirkung, Beschreibung des Implementierungsansatzes, Schätzung von Kosten und Aufwand (niedrig/mittel/hoch), erwarteter Restrisikowert und Liste der Nachweise, die zur Demonstration der Wirksamkeit erforderlich sind."

Behandlungsoptionen kosteneffizient vergleichen

"Vergleiche Behandlungsoptionen für das Risiko '[Risikobeschreibung]' mit dem aktuellen Wert [X]: Option A - [Maßnahmenansatz mit geschätzten Kosten], Option B - [alternativer Ansatz mit geschätzten Kosten], Option C - [dritte Option mit geschätzten Kosten]. Bewerten Sie für jede Option: Wirksamkeit der Risikominderung, Komplexität der Implementierung, laufender Wartungsaufwand, Kompatibilität mit vorhandenen Maßnahmen und Return on Security Investment. Empfiehl den kosteneffizientesten Ansatz unter Berücksichtigung unserer Risikobereitschaft: [Risikobereitschaftserklärung]."

Beispiel: "Vergleiche Behandlungsoptionen für 'unbefugter Zugriff auf die Kundendatenbank' mit dem aktuellen Wert 20: Option A - Implementierung von MFA, RBAC und SIEM-Monitoring (50.000 €), Option B - erweiterte Datenbankverschlüsselung und Zugriffsprotokollierung (25.000 €), Option C - Wechsel zu einem Managed-Database-Service mit integrierter Sicherheit (30.000 € jährlich). Empfiehl den kosteneffizientesten Ansatz, da unsere Risikobereitschaft 'kein Restrisiko über 12 für kritische Assets' lautet."

Umfassenden Behandlungsplan erstellen

"Erstelle einen Risikobehandlungsplan für das Risiko '[Risikobeschreibung]'. Er sollte enthalten: Risiko-ID und Beschreibung, aktueller Risikowert (Wahrscheinlichkeit × Auswirkung), gewählte Behandlungsoption (Minderung/Vermeidung/Transfer/Akzeptanz), spezifische zu implementierende Maßnahmen mit Referenz auf Anhang A, Verantwortlicher für die Umsetzung und verantwortliche Führungskraft, angestrebter Termin, erforderliches Budget und Ressourcen, erwarteter Restrisikowert, Überwachungs- und Verifizierungsansatz sowie Genehmigungsstatus. Formatiere dies als auditbereiten Behandlungsplan."

Begründung für Risikoakzeptanz entwickeln

"Erstelle eine Begründung für die Risikoakzeptanz für '[Risikobeschreibung]' mit dem Wert [X], das wir eher akzeptieren als behandeln wollen. Berücksichtige: geschäftliche Begründung für die Akzeptanz (Kosten-Nutzen-Analyse), Bestätigung, dass der Wert innerhalb unserer Risikobereitschaft von [Schwellenwert] liegt, vorhandene kompensierende Maßnahmen oder Überwachungen, Bedingungen für eine Neubewertung, Genehmigungsanforderungen (welche Führungskräfte unterzeichnen müssen) und Dokumentation für den Audit-Trail."

Prompts zur Maßnahmenzuordnung

Risiken den Annex A-Maßnahmen zuordnen

"Welche Maßnahmen aus Anhang A der ISO 27001:2022 decken das Risiko '[Risikobeschreibung]' ab? Gib für jede relevante Maßnahme an: Nummer und Name der Maßnahme, spezifisches Ziel der Maßnahme, Beschreibung, wie sie dieses spezielle Risiko mindert (Wahrscheinlichkeit oder Auswirkung reduziert), Implementierungsanforderungen, Liste der für die Compliance erforderlichen Nachweise und etwaige Abhängigkeiten von anderen Maßnahmen."

Matrix zur Maßnahmenauswahl erstellen

"Erstelle eine Matrix zur Maßnahmenauswahl, die zeigt, welche Annex A-Maßnahmen welche Risiken in unserem Risikoregister abdecken. Strukturiere dies als Tabelle mit den Spalten: Risiko-ID, Risikobeschreibung, Risikowert, Ausgewählte Maßnahmen (mit Nummern), Status der Maßnahmenumsetzung, Begründung für die Maßnahmenauswahl. Zeige die Verknüpfungen für unsere Top 15 Risiken, sortiert nach Risikowert (höchster zuerst)."

Ausschluss von Maßnahmen begründen

"Erkläre für die Annex A-Maßnahme [Nummer und Name], warum wir diese möglicherweise aus unserer Erklärung zur Anwendbarkeit (SoA) ausschließen könnten. Berücksichtige: Ist die Maßnahme für die von uns identifizierten Risiken relevant? Macht unser Geschäftsmodell oder unsere Technologie sie unanwendbar? Gibt es alternative Maßnahmen, die das gleiche Ziel erreichen? Liefere eine auditbereite Begründung, falls ein Ausschluss empfohlen wird."

Prompts zur Dokumentation

Management-Zusammenfassung der Risiken erstellen

"Erstelle eine Management-Zusammenfassung unserer ISO 27001-Risikobewertung zur Präsentation vor der Geschäftsführung. Berücksichtige: Gesamtzahl der bewerteten Assets nach Kategorie, Anzahl der identifizierten Risiken nach Schweregrad (kritisch/hoch/mittel/niedrig), Verteilung der Risikowerte über die Geschäftsbereiche, wichtigste Erkenntnisse und kritische Schwachstellen, Top 5 Prioritätsrisiken mit sofortigem Handlungsbedarf, empfohlener Behandlungsansatz und Budgetanforderungen, Zeitplan für die Risikominderung und erwarteter Compliance-Status nach der Behandlung. Zielgruppe: nicht-technische Führungskräfte. Formatiere dies als 2-seitigen Executive Brief."

Dokumentation der Risikobewertungsmethodik

"Schreibe ein umfassendes Dokument zur Risikobewertungsmethodik für die ISO 27001:2022-Compliance. Erstelle Abschnitte für: Geltungsbereich und Ziele (was wir bewerten und warum), Asset-Identifizierungsprozess (wie wir Assets entdecken und katalogisieren), Ansatz zur Bedrohungs- und Schwachstellenanalyse (Quellen und Methoden), Wahrscheinlichkeitsskala mit Definitionen und Beispielen, Auswirkungsskala mit Definitionen über mehrere Dimensionen (finanziell, operativ, regulatorisch, Reputationsverlust), Risikoberechnungsformel und -matrix, Kriterien für die Risikoakzeptanz und Schwellenwerte, Rollen und Verantwortlichkeiten (wer macht was), Bewertungshäufigkeit und Trigger für eine Neubewertung sowie Dokumentationsanforderungen. Formatiere dies für die Einreichung im Audit mit korrekten ISO-Kapitelverweisen."

Auditbereites Risikoregister erstellen

"Erstelle eine vollständige Vorlage für ein Risikoregister gemäß den Anforderungen von ISO 27001:2022 Kapitel 6.1.2. Spalten: Risiko-ID, betroffenes Asset, Bedrohungsbeschreibung, ausgenutzte Schwachstelle, vorhandene Maßnahmen, Wahrscheinlichkeitswert (1-5 mit Begründung), Auswirkungswert (1-5 mit Begründung), Inhärentes Risiko (W×A), Behandlungsoption (Minderung/Vermeidung/Transfer/Akzeptanz), ausgewählte Maßnahmen (Annex A-Referenzen), Implementierungsstatus, Restrisikowert, Risikoeigentümer, Überprüfungsdatum und Genehmigungsstatus. Liefere 10 Beispielseinträge für eine Organisation der Branche [Ihre Branche]."

Grundlage für die Erklärung zur Anwendbarkeit (SoA) aufbauen

"Erstelle auf Basis unserer Risikobewertungsergebnisse einen Entwurf für die Erklärung zur Anwendbarkeit (SoA) nach ISO 27001:2022. Gib für jede der 93 Annex A-Maßnahmen an: Nummer und Name, Anwendbarkeit (Ja/Nein/Teilweise), Referenz auf spezifische Risiken, die die Auswahl rechtfertigen, Beschreibung unseres Implementierungsansatzes, Umsetzungsstatus (Implementiert/In Arbeit/Geplant) und identifizierte Lücken oder Begründung für einen Ausschluss. Organisiere dies nach den Annex A-Themen (Organisatorisch, Personell, Physisch, Technologisch)."

Prompts zur Validierung durch Stakeholder

Materialien für Review-Meetings vorbereiten

"Erstelle eine Präsentation für ein Review-Meeting zur Risikobewertung mit den Abteilungsleitern. Erstelle Folien für: Überblick über die ISO 27001-Risikobewertungsmethodik, Zusammenfassung der in ihrem Bereich identifizierten Risiken, vorgeschlagene Behandlungspläne mit Auswirkungen auf ihr Team, erforderliche Maßnahmen und Ressourcenzusagen der Abteilung, Budgetimplikationen und Kostenverteilung, Zeitplan und Meilensteine sowie Genehmigungsanforderungen. Plane eine 30-minütige Präsentation mit Zeit für Diskussionen ein."

Validierungsfragen generieren

"Erstelle eine Liste von Validierungsfragen für Abteilungsleiter zur Überprüfung der Risikobewertungen ihrer Bereiche. Ordne diese nach Themen: Vollständigkeit der Assets (Haben wir alle kritischen Assets erfasst?), Realismus der Bedrohungen (Sind diese Bedrohungen in unserer Umgebung realistisch?), Genauigkeit der Schwachstellen (Existieren diese Schwächen tatsächlich?), Folgenabschätzung (Sind die geschäftlichen Auswirkungen korrekt bewertet?), Umsetzbarkeit der Maßnahmen (Können wir diese Maßnahmen tatsächlich implementieren?), Verfügbarkeit von Ressourcen (Stehen Budget und Personal zur Verfügung?) und Angemessenheit des Zeitplans (Sind die Fristen einhaltbar?)."

Prompts für das laufende Risikomanagement

Trigger für Neubewertungen definieren

"Definiere spezifische Trigger, die eine Neubewertung der Informationssicherheitsrisiken gemäß ISO 27001:2022 Kapitel 6.1.3 erfordern würden. Berücksichtige: technologische Änderungen (neue Systeme, Cloud-Migrationen, Architektur-Updates), geschäftliche Änderungen (Expansion, neue Produkte, M&A), regulatorische Updates (neue Compliance-Anforderungen), Sicherheitsvorfälle (Verletzungen, Beinahe-Vorfälle, Kontrollversagen), Änderungen der Bedrohungslage (neue Angriffsvektoren), organisatorische Änderungen (Restrukturierung, Führungswechsel) und Änderungen der Maßnahmenwirksamkeit (Auditergebnisse, Testergebnisse). Gib für jeden Trigger an, wer die Neubewertung einleitet, welche Zeitvorgaben gelten und wie groß der Prüfungsumfang ist."

Quartalsweisen Risiko-Review-Prozess erstellen

"Entwirf einen quartalsweisen Prozess zur Risikoüberprüfung für ISO 27001, einschließlich: zu verfolgende Key Risk Indicators (Metriken), erforderliche Aktualisierungen des Risikoregisters, zu berücksichtigende Änderungen der Bedrohungslage, Validierung der Maßnahmenwirksamkeit, neue zu bewertende Risiken, Agenda für das Review-Meeting mit Zeitplanung, Berichtsvorlagen für das Management-Review, Kriterien für die Eskalation gestiegener Risiken und Dokumentationsanforderungen für den Audit-Trail."

Änderungsgetriebenen Neubewertungs-Workflow erstellen

"Entwirf einen Workflow zur Aktualisierung der ISO 27001-Risikobewertung, wenn [spezifische Änderung eintritt, z. B. 'Einführung einer neuen kundenorientierten Anwendung']. Berücksichtige: Prozess der Änderungsmitteilung und Genehmigung, wer die Risikobewertung durchführt (Rollen), welche spezifischen Assets und Risiken zu prüfen sind, Anforderungen an die Bedrohungs- und Schwachstellenanalyse, Risikobewertung und Behandlungsentscheidungen, notwendige Aktualisierungen des Risikoregisters und der SoA, Genehmigungsanforderungen sowie zu pflegende Dokumentation für den Audit-Nachweis."

Prompts zur Qualitätssicherung

Risikobewertung auf Vollständigkeit prüfen

"Überprüfe diese Risikobewertung anhand der Anforderungen von ISO 27001:2022 Kapitel 6.1.2. Prüfe: Sind alle relevanten Informations-Assets erfasst? Sind Bedrohungen und Schwachstellen umfassend und realistisch? Wird die Methodik zur Risikobewertung konsistent angewendet? Gibt es für alle hohen und kritischen Risiken Behandlungspläne? Ist die Auswahl der Maßnahmen durch spezifische Risiken begründet? Sind Entscheidungen zur Risikoakzeptanz ordnungsgemäß genehmigt? Sind Dokumentation und Nachweise für ein Audit ausreichend? Identifiziere Lücken, fehlende Elemente oder Bereiche, die gestärkt werden müssen."

Laden Sie Ihr fertiges Risikobewertungsdokument hoch, bevor Sie diesen Prompt verwenden, um eine umfassende Qualitätsprüfung vor der Einreichung zum Audit zu erhalten.

Konsistenz zwischen Bewertungen validieren

"Vergleiche diese beiden Risikobewertungen [für ähnliche Assets oder Szenarien] und prüfe sie auf Konsistenz bei: Wahrscheinlichkeitsbewertung (werden ähnliche Bedrohungen ähnlich bewertet?), Auswirkungsanalyse (werden ähnliche Folgen vergleichbar eingestuft?), Maßnahmenauswahl (werden gleichwertige Risiken mit ähnlichen Maßnahmen behandelt?), Entscheidungen zur Risikoakzeptanz (wird die Risikobereitschaft einheitlich angewendet?). Identifiziere Unstimmigkeiten, die vor dem Audit behoben werden sollten."

Tipps für die effektive Nutzung dieser Prompts

Auf vorherigen Antworten aufbauen: Wenn Sie eine KI-generierte Asset-Liste erhalten haben, stellen Sie Folgefragen wie "Füge 5 weitere Assets speziell für [Abteilung] hinzu" oder "Identifiziere zusätzliche Bedrohungen für [spezifische Technologie]", um die Ergebnisse zu verfeinern.

Begründung anfordern: Ergänzen Sie Prompts um "Zeige deine Begründung" oder "Erkläre deine Bewertung". Dadurch entsteht eine Dokumentation, wie Risikowerte ermittelt wurden – genau das, was Auditoren sehen wollen.

An Ihren Kontext anpassen: Beginnen Sie mit allgemeinen Prompts und verfeinern Sie diese dann mit Details zu Ihrer Branche, Größe, Technologie und Risikobereitschaft. Die KI lernt Ihren Kontext innerhalb eines Workspace-Gesprächs.

KI-Ergebnisse validieren: Überprüfen Sie KI-generierte Risikobewertungen immer mit Ihren internen Experten. Die KI liefert Rahmenbedingungen und Vorschläge – Sie liefern den geschäftlichen Kontext und treffen die endgültigen Entscheidungen.

Verwandte Prompt-Bibliotheken

Erweitern Sie Ihre ISO 27001-Implementierung mit diesen verwandten Prompt-Sammlungen:

Hilfe erhalten

Unterstützung bei Prompts zur Risikobewertung:

Bereit für die Risikobewertung? Öffnen Sie Ihren ISO 27001-Arbeitsbereich unter chat.ismscopilot.com und kopieren Sie Ihren ersten Prompt, um mit der Identifizierung von Informations-Assets zu beginnen.

War das hilfreich?