ISMS Copilot
Prompt-Engineering

Iterieren und Verfeinern mit Multi-Turn-Konversationen

Die Macht des Konfigurations-Kontexts

Im Gegensatz zu einmaligen Abfragen bei generischen KI-Tools speichert ISMS Copilot den Konversationsverlauf innerhalb von Workspaces. Jede Folgefrage baut auf vorherigen Antworten auf, sodass Sie Richtlinien verfeinern, spezifische Kontrollen vertiefen oder Empfehlungen anpassen können, ohne den Kontext wiederholen zu müssen.

Dieser iterative Ansatz spiegelt die tatsächliche Arbeitsweise von Compliance-Experten wider: Man beginnt mit einem Überblick über das Framework, geht tief in prioritäre Kontrollen hinein, erstellt erste Entwürfe und verfeinert diese dann basierend auf organisatorischen Besonderheiten und Audit-Feedback.

Wie die Kontext-Persistenz funktioniert

Innerhalb einer Workspace-Konversation merkt sich ISMS Copilot:

  • Für den Workspace festgelegte benutzerdefinierte Anweisungen

  • Vorherige Abfragen und Antworten im aktuellen Thread

  • Zuvor erwähnte Frameworks, Kontrollen und organisatorische Details

  • In früheren Nachrichten erstellte Dokumente und Richtlinien

  • Von Ihnen spezifizierte Klarstellungen und Einschränkungen

Dies ermöglicht es Ihnen, auf „die Zugriffskontrollrichtlinie von vorhin“ zu verweisen oder „A.5.15 aus der vorherigen Antwort zu vertiefen“, ohne alles erneut erklären zu müssen.

Starten Sie neue Workspace-Konversationen für nicht zusammenhängende Projekte (andere Kunden, Frameworks oder Phasen), um Kontext-Konfusion zu vermeiden. Nutzen Sie dieselbe Konversation für die Iteration verbundener Aufgaben.

Gängige Iterationsmuster

1. Erkunden → Fokussieren → Implementieren

Beginnen Sie breit gefächert, grenzen Sie Details ein und erstellen Sie dann die Deliverables.

Beispiel-Konversation:

  1. Erkunden: „Was sind die wichtigsten SOC 2 CC7-Kontrollen für den Systembetrieb?“

  2. Fokussieren: „Vertiefe CC7.2 (Systemüberwachung) für eine SaaS-Plattform, die Datadog und PagerDuty nutzt.“

  3. Implementieren: „Entwirf ein Systemüberwachungsverfahren für CC7.2, einschließlich Alarm-Schwellenwerte, Eskalationspfade und Incident-Protokollierung.“

  4. Verfeinern: „Füge einen Abschnitt zum Management von Fehlalarmen hinzu und passe die Alarm-Schwellenwerte für ein 99,9 %iges Uptime-SLA an.“

Jeder Schritt vertieft das Thema vom Konzept über die Implementierung bis hin zu operativen Details.

2. Erstellen → Prüfen → Verbessern

Erstellen Sie einen ersten Output, identifizieren Sie Lücken und optimieren Sie diesen.

Beispiel-Konversation:

  1. Erstellen: „Erstelle eine Vorlage zur Risikobewertung für ISO 27001 A.5.7, die unsere AWS-Infrastruktur abdeckt.“

  2. Prüfen: „Berücksichtigt diese Vorlage Risiken bei Multi-Region-Deployments und Drittanbieter-Integrationen?“

  3. Verbessern: „Füge Abschnitte für Risiken bei regionenübergreifender Datenduplikation und Sicherheitsbewertungen für API-Integrationen hinzu.“

  4. Validieren: „Welche Nachweise erwarten Auditoren für diesen Risikobewertungsansatz?“

Iterative Verfeinerung liefert auditfähige Ergebnisse, ohne von vorne zu beginnen.

3. Vergleichen → Entscheiden → Anpassen

Bewerten Sie Optionen, wählen Sie einen Ansatz und passen Sie ihn an Ihr Unternehmen an.

Beispiel-Konversation:

  1. Vergleichen: „Was sind die Vor- und Nachteile von rollenbasierter vs. attributbasierter Zugriffskontrolle für ISO 27001 A.5.15?“

  2. Entscheiden: „Wir nutzen RBAC. Welche Rollen sollten wir für ein 50-köpfiges SaaS-Unternehmen mit Engineering-, Sales- und Support-Teams definieren?“

  3. Anpassen: „Erstelle eine RBAC-Matrix, die diese Rollen Systemen zuordnet: AWS, GitHub, Salesforce, Zendesk und Admin-Tools.“

  4. Implementieren: „Erstelle ein Verfahren zur Zugriffsbereitstellung unter Verwendung dieses RBAC-Modells mit Genehmigungs-Workflows.“

Entscheidungen fließen in nachfolgende Schritte ein, ohne die Begründung zu wiederholen.

4. Kontrolle → Nachweis → Überprüfung

Implementieren Sie Kontrollen, identifizieren Sie Nachweisbedarf und planen Sie die Validierung.

Beispiel-Konversation:

  1. Kontrolle: „Wie implementiere ich ISO 27001 A.8.15 Logging für AWS CloudTrail und Applikations-Logs?“

  2. Nachweis: „Welche Nachweise belegen die Compliance mit A.8.15 gegenüber einem Auditor?“

  3. Überprüfung: „Erstelle eine Checkliste für die vierteljährliche Log-Prüfung, um die Effektivität von A.8.15 zu verifizieren und Nachweise zu sichern.“

  4. Dokumentieren: „Entwirf den Logging-Abschnitt unserer ISMS-Dokumentation mit Verweisen auf diese Kontrollen und Nachweise.“

End-to-End-Implementierung in einem einzigen Konversations-Thread.

Effektive Follow-up-Techniken

Bezugnahme auf vorherige Ergebnisse

Nutzen Sie Formulierungen, die den Konversationsspeicher nutzen:

  • „Vertiefe den dritten Punkt aus deiner letzten Antwort.“

  • „Wende die Risikomethodik, die wir gerade besprochen haben, auf die Datenbank-Verschlüsselung an.“

  • „Aktualisiere den Richtlinienentwurf, um diese Nachweisanforderungen aufzunehmen.“

  • „Füge die erwähnten Tools (Okta, AWS IAM) zur Zugriffskontrollmatrix hinzu.“

Inkrementeller Aufbau

Fügen Sie Komplexität schrittweise hinzu, anstatt alles auf einmal zu erledigen:

  1. „Erstelle ein grundlegendes Incident-Response-Verfahren für ISO 27001 A.5.24.“

  2. „Füge Vorlagen für die Kommunikation bei internen Eskalationen und Kundenbenachrichtigungen hinzu.“

  3. „Integriere die Alarmierung über PagerDuty und unseren Jira-Ticketing-Workflow.“

  4. „Erweitere den Abschnitt zur Nachbereitung von Vorfällen um Schritte zur Ursachenanalyse (Root-Cause-Analysis).“

Das Schichten von Details verhindert überladene erste Ergebnisse.

Verständnis testen

Überprüfen Sie die Ausrichtung, bevor Sie umfangreiche Texte generieren lassen:

  • „Bevor du die vollständige Richtlinie entwirfst, bestätige bitte: Soll sie sowohl Mitarbeiter als auch externe Auftragnehmer abdecken?“

  • „Entspricht dieser Ansatz sowohl ISO 27001 A.6.1 als auch unseren DSGVO-Verpflichtungen?“

  • „Reicht ein vierteljährlicher Prüfzyklus für SOC 2 CC6.1 aus, oder sollte er monatlich erfolgen?“

Frühe Kurskorrekturen ersparen Nacharbeit.

Alternativen anfordern

Erkunden Sie Optionen innerhalb der Konversation:

  • „Was wäre ein alternativer Ansatz für kleinere Teams mit begrenztem Budget?“

  • „Zeige mir eine vereinfachte Version für die Erstimplementierung und dann den vollständigen Enterprise-Ansatz.“

  • „Vergleiche manuelle vs. automatisierte Lösungen für diese Kontrolle.“

Der Konversationskontext wird zwischen verschiedenen Workspace-Konversationen zurückgesetzt. Erwarten Sie nicht, dass ISMS Copilot Details aus dem Workspace eines anderen Kunden oder einem anderen Thread im selben Workspace abruft.

Beispiele nach Szenario

Iteration bei der Richtlinienentwicklung

Turn 1: „Entwirf eine Zugriffskontrollrichtlinie für SOC 2 CC6, die Benutzerbereitstellung, Prüfungen und Kündigung abdeckt.“

Turn 2: „Füge einen Abschnitt zum Privileged Access Management für Admin-Rollen in AWS und GitHub hinzu.“

Turn 3: „Ergänze Notfallzugriffsverfahren für On-Call-Ingenieure mit Protokollierung nach dem Zugriff.“

Turn 4: „Ändere die Prüfhäufigkeit von vierteljährlich auf monatlich für privilegierte Konten und vierteljährlich für Standardbenutzer.“

Turn 5: „Füge Verweise auf unsere Okta-SSO-Konfiguration und rollenbasierte Gruppen hinzu.“

Ergebnis: Umfassende, maßgeschneiderte Richtlinie, die durch Verfeinerung entstanden ist.

Deep Dive Gap-Analyse

Turn 1: „Analysiere unseren aktuellen Sicherheitsstatus im Vergleich zu ISO 27001:2022 Anhang A.8 (technische Kontrollen).“

Turn 2: „Konzentriere dich auf die identifizierten Lücken in A.8.1 (Benutzer-Endgeräte) und A.8.15 (Logging).“

Turn 3: „Bezüglich der Lücke beim Endgerätemanagement: Welche Tools erfüllen A.8.1 für ein Remote-First-Team, das macOS und Windows nutzt?“

Turn 4: „Erstelle einen Implementierungsplan für Jamf (macOS) und Intune (Windows), der die Anforderungen von A.8.1 adressiert.“

Turn 5: „Welche Nachweise benötigen Auditoren, um die Compliance mit A.8.1 bei diesen Tools zu verifizieren?“

Ergebnis: Von der abstrakten Lücke über die Tool-Auswahl bis zum Implementierungsplan in einem Thread.

Multi-Framework-Abgleich

Turn 1: „Wir müssen sowohl ISO 27001 A.5.24 (Incident Management) als auch SOC 2 CC7.3-7.5 erfüllen. Wo gibt es Überschneidungen?“

Turn 2: „Erstelle einen einheitlichen Incident-Response-Plan, der beide Frameworks abdeckt.“

Turn 3: „Füge spezifische Abschnitte für die erwähnten einzigartigen SOC 2-Anforderungen hinzu (Verfügbarkeitsvorfälle und Kommunikationszeitpläne).“

Turn 4: „Erstelle eine Tabelle, die jeden Verfahrensschritt den relevanten ISO 27001- und SOC 2-Kontrollen zuordnet, um die Audit-Rückverfolgbarkeit zu gewährleisten.“

Ergebnis: Effizienter Einzelplan mit klarer Compliance-Zuordnung.

Fehlerbehebung bei der Implementierung

Turn 1: „Wie implementiere ich MFA für ISO 27001 A.5.17 mit Okta?“

Turn 2: „Wir haben Altsysteme, die kein SAML unterstützen. Wie gehen wir mit diesen um?“

Turn 3: „Schlage eine kompensierende Kontrolle für die Altsysteme vor, bis wir sie migrieren können.“

Turn 4: „Dokumentiere den Ansatz mit der kompensierenden Kontrolle für die Audit-Prüfung, einschließlich Zeitplan für die vollständige MFA-Migration.“

Ergebnis: Pragmatische Lösung unter Berücksichtigung technischer Einschränkungen.

Lange Konversationen verwalten

Wann weitermachen vs. neu starten

Setzen Sie die Konversation fort, wenn:

  • Sie auf vorherigen Ergebnissen aufbauen (Richtlinie verfeinern, Verfahren erweitern).

  • Zusammenhängende Kontrollen der Reihe nach bearbeitet werden (A.5.1 → A.5.2 → A.5.3).

  • Ein einzelnes Deliverable iterativ bearbeitet wird (Verfeinerung der Risikobewertung).

  • Die Implementierung einer bereits besprochenen Kontrolle optimiert werden soll.

Starten Sie eine neue Konversation, wenn:

  • Zu einem nicht zusammenhängenden Framework oder Bereich gewechselt wird (SOC 2 → DSGVO).

  • Eine andere Projektphase beginnt (Wechsel von Implementierung zu Audit-Vorbereitung).

  • Der Kontext zu komplex wird (mehr als 10 Interaktionen zu verschiedenen Themen).

  • Sie ein „unbeschriebenes Blatt“ ohne vorherige Annahmen benötigen.

Zusammenfassungen für mehr Klarheit

Fassen Sie in langen Konversationen regelmäßig zusammen:

Beispiel: „Um unsere bisherigen Entscheidungen zu bestätigen: Wir nutzen RBAC mit 5 Rollen (Admin, Entwickler, Sales, Support, Extern), vierteljährliche Zugriffsprüfungen außer monatlich für Admins, Okta SSO für alle Apps außer dem alten CRM, für das kompensierende Kontrollen gelten. Lass uns nun die formelle Richtlinie entwerfen.“

Dies stellt das gemeinsame Verständnis wieder her und verhindert Abweichungen.

Nutzen Sie das Dropdown-Menü für den Antwortstil (Concise/Normal/Detailed) strategisch: „Concise“ für schnelle Iterationen, „Detailed“ für Erstentwürfe, „Normal“ für die meisten Verfeinerungen.

Kombination von Iteration mit anderen Techniken

Iteration + benutzerdefinierte Anweisungen

Legen Sie Workspace-Anweisungen für einen konsistenten Kontext über alle Schritte hinweg fest:

Anweisung: „Healthcare SaaS, 80 Mitarbeiter, AWS-Infrastruktur, Implementierung von ISO 27001:2022 mit HIPAA-Abgleich, Audit in 8 Monaten.“

Abfolge: Jede Abfrage erbt diesen Kontext automatisch.

Iteration + Dateiuploads

Einmal hochladen, während der gesamten Konversation darauf beziehen:

  1. Upload: Aktuelle Zugriffskontrollrichtlinie beifügen (PDF).

  2. Turn 1: „Prüfe diese Richtlinie gegen SOC 2 CC6 und identifiziere Lücken.“

  3. Turn 2: „Schreibe den Abschnitt zur Zugriffsprüfung um, um die gefundenen Lücken zu schließen.“

  4. Turn 3: „Füge die erwähnten Nachweisanforderungen in einem neuen Anhang A hinzu.“

Iteration + Personas

Wechseln Sie die Persona mitten in der Konversation für verschiedene Perspektiven:

  1. Implementierer-Persona: „Gib mir eine Schritt-für-Schritt MFA-Implementierung für Okta.“

  2. Auditor-Persona: „Prüfe diesen Implementierungsplan – welche Nachweise werden fehlen?“

  3. Berater-Persona: „Wie rechtfertige ich die Implementierungskosten gegenüber unserem CFO?“

Mehrere Blickwinkel zum selben Thema in einem Thread.

Abnehmenden Nutzen erkennen

Beenden Sie die Iteration, wenn:

  • Sie nur noch Mikro-Anpassungen vornehmen, die die Audit-Readiness nicht verbessern.

  • Folgefragen den vorherigen Kontext nicht mehr genau berücksichtigen (Anzeichen für Kontext-Überlastung).

  • Sie die gleiche Frage mehrfach umformuliert stellen.

  • Antworten weniger nützlich oder generischer werden.

Speichern Sie an diesem Punkt die beste Version und gehen Sie zur Implementierung über oder starten Sie eine neue Konversation.

Iterative Arbeit speichern

Best Practices zur Sicherung von Ergebnissen:

  • Kopieren Sie finale Versionen nach jeder größeren Verfeinerung in Ihr Dokumentations-Repository.

  • Nutzen Sie die Konversation als Audit-Trail, um zu zeigen, wie sich die Richtlinie/das Verfahren entwickelt hat.

  • Exportieren Sie wichtige Antworten zur Abstimmung mit Stakeholdern vor weiteren Iterationen.

  • Benennen Sie Workspaces klar, um Konversationen später wiederzufinden („ISO 27001 - Zugriffskontrollen - Kunde ABC“).

In Multi-Turn-Konversationen zeigt sich die Spezialisierung von ISMS Copilot am deutlichsten. Generische KI-Tools verlieren nach 2-3 Schritten oft den Kontext oder die Präzision. ISMS Copilot behält das Compliance-spezifische Verständnis über ganze Implementierungsprojekte hinweg bei.

Nächste Schritte

Starten Sie eine Multi-Turn-Konversation für Ihre nächste Compliance-Aufgabe. Beginnen Sie mit einer allgemeinen Abfrage und nutzen Sie dann 3-5 Folgefragen, um das Ergebnis zu einem implementierungsreifen Deliverable zu verfeinern. Beobachten Sie, wie die Kontexterhaltung die Qualität beschleunigt.

Zurück zur Übersicht Prompt Engineering

War das hilfreich?