ISMS Copilot
Prompt-Engineering

Organisatorischen Kontext bereitstellen

Warum Kontext entscheidend ist

Generische Compliance-Ratschläge halten der praktischen Umsetzung selten stand. Ein Start-up mit 10 Mitarbeitern und ein Konzern mit 500 Mitarbeitern verfügen über völlig unterschiedliche Ressourcen, Risiken und Audit-Umfänge – selbst wenn sie dieselbe ISO 27001- oder SOC 2-Zertifizierung anstreben.

Der ISMS Copilot passt seine Empfehlungen an, wenn Sie organisatorischen Kontext bereitstellen. Dies verwandelt theoretische Kontrollen in praktische Schritte, die auf Ihre Branche, Ihren Technologie-Stack, Ihre Teamgröße und Ihren Reifegrad abgestimmt sind.

Wesentliche Kontextelemente

1. Unternehmensgröße und Struktur

Die Mitarbeiterzahl und die Organisationsstruktur beeinflussen die Komplexität der Kontrollen und die Ressourcenzuweisung.

Beispiel: "Wir sind ein 25-köpfiges Start-up mit einem 5-köpfigen Engineering-Team, ohne dediziertes Sicherheitspersonal und mit einem knappen Budget."

Warum es wichtig ist: Kleine Teams benötigen optimierte, automatisierte Kontrollen anstelle von Prozessen auf Unternehmensebene. ISMS Copilot empfiehlt SaaS-Tools gegenüber maßgeschneiderten Lösungen und kombinierte Rollen gegenüber spezialisierten Positionen.

2. Branche und regulatorisches Umfeld

Ihr Sektor bestimmt die geltenden Vorschriften und Risikoprioritäten.

Beispiele:

  • "Healthcare SaaS, das PHI unter HIPAA verarbeitet"

  • "Fintech, das Zahlungsdaten verarbeitet und PCI DSS sowie DSGVO unterliegt"

  • "B2B SaaS-Vertrieb an Unternehmenskunden, die SOC 2 verlangen"

Warum es wichtig ist: Im Gesundheitswesen hat die Vertraulichkeit von Patientendaten Priorität; Fintech betont die Integrität von Transaktionen; B2B SaaS konzentriert sich auf die Isolierung von Kundendaten. Kontrollen und Nachweise verschieben sich entsprechend.

3. Technologie-Stack

Listen Sie Ihre Kerninfrastruktur, Anwendungen und Sicherheitstools auf.

Beispiel: "Wir nutzen AWS (EC2, RDS, S3), GitHub für Code, Google Workspace für die Zusammenarbeit, Okta für SSO und Datadog für das Monitoring."

Warum es wichtig ist: Werkzeugspezifische Anleitungen sind generischen Empfehlungen überlegen. Anstelle von "Logging implementieren" erhalten Sie "Konfigurieren Sie AWS CloudTrail mit S3-Aufbewahrung und Datadog-Alerting für ISO 27001 A.8.15."

4. Aktueller Reifegrad und Ziele

Beschreiben Sie, wo Sie stehen und wohin Sie wollen.

Beispiele:

  • "Beginn der ISO 27001-Implementierung bei Null, Audit in 12 Monaten"

  • "Aufrechterhaltung von SOC 2 Typ II, drittes jährliches Audit in 6 Monaten"

  • "Erweiterung von ISO 27001 um SOC 2 für US-Kunden"

Warum es wichtig ist: Erstmalige Implementierungen benötigen grundlegende Kontrollen und schnelle Erfolge. Ausgereifte Programme erfordern Optimierung und Verfeinerung der Nachweise. Multi-Framework-Szenarien profitieren vom Mapping der Kontrollen, um Duplikate zu reduzieren.

5. Spezifische Herausforderungen oder Einschränkungen

Erwähnen Sie Einschränkungen, frühere Audit-Ergebnisse oder einzigartige Situationen.

Beispiele:

  • "Vorheriger Auditor bemängelte schwache Passwortrichtlinien und fehlendes MFA"

  • "Remote-First-Team in 15 Ländern, kein physisches Büro"

  • "Legacy-Monolith wird auf Microservices auf Kubernetes migriert"

  • "Budgetbeschränkung: 10.000 $ insgesamt für Compliance-Tools"

Warum es wichtig ist: Einschränkungen prägen machbare Lösungen. Remote-First verändert die physischen Sicherheitskontrollen; Budgetbeschränkungen beeinflussen die Tool-Auswahl; Audit-Ergebnisse priorisieren die Behebung von Mängeln.

Kontext in Aktion: Vorher und Nachher

Beispiel 1: Zugangskontrollrichtlinie

❌ Ohne Kontext: "Erstelle eine Zugangskontrollrichtlinie für SOC 2"

Ergebnis: Generische Richtlinienvorlage, die erhebliche Anpassungen für Rollen, Tools und Prozesse erfordert.

✅ Mit Kontext: "Erstelle eine Zugangskontrollrichtlinie für SOC 2 CC6 für ein 50-Personen-SaaS-Unternehmen, das Okta SSO, GitHub, AWS und Salesforce nutzt. Beziehe vierteljährliche Zugangsüberprüfungen durch Manager und rollenbasierte Zugriffe für Engineering-, Vertriebs- und Support-Teams ein."

Ergebnis: Richtlinienentwurf mit benannten Tools, spezifischen Rollen, definierter Überprüfungshäufigkeit und audit-bereiten Verfahren.

Beispiel 2: Risikobewertung

❌ Ohne Kontext: "Wie führe ich eine Risikobewertung für ISO 27001 durch?"

Ergebnis: Allgemeiner Überblick über die Methodik ohne Asset-Spezifikationen oder Priorisierung.

✅ Mit Kontext: "Erstelle eine Risikobewertungsvorlage für ISO 27001 A.5.7 für ein Healthcare-SaaS mit 100.000 Patientendatensätzen in AWS RDS, das Stripe für Zahlungen und Intercom für den Support nutzt. Priorisiere HIPAA-relevante Bedrohungen."

Ergebnis: Vorlage zur Identifizierung kritischer Assets (Patientendatenbank, Zahlungsabwickler), relevanter Bedrohungen (Datenpanne, Ransomware) und gesundheitsspezifischer Kontrollen.

Beispiel 3: Implementierungs-Roadmap

❌ Ohne Kontext: "Gib mir einen SOC 2-Implementierungsplan"

Ergebnis: Übergeordnete Phasen ohne Zeitplan oder Ressourcenausrichtung.

✅ Mit Kontext: "Erstelle eine 9-monatige SOC 2 Typ I Implementierungs-Roadmap für ein 30-Personen-Start-up mit einem Teilzeit-Sicherheitsverantwortlichen, Ziel sind die Trust Services Criteria für Sicherheit und Verfügbarkeit. Wir nutzen Google Workspace, GitHub, AWS und haben grundlegendes MFA, aber keine formellen Richtlinien."

Ergebnis: Phasenplan mit schnellen Erfolgen (Formalisierung des bestehenden MFA), ressourcengerechten Meilensteinen und toolspezifischen Aufgaben, die auf den Zeitplan und die Teamkapazität abgestimmt sind.

Nutzen Sie benutzerdefinierte Anweisungen in Workspaces, um den Kontext einmal für alle Anfragen in einem Projekt festzulegen. So vermeiden Sie, dass Sie in jeder Nachricht "Wir sind ein 50-Personen-Healthcare-SaaS, das AWS nutzt..." wiederholen müssen.

Kontext mit Workspaces organisieren

Erstellen Sie für Kundenarbeiten oder Multi-Projekt-Szenarien separate Workspaces mit benutzerdefinierten Anweisungen, die Folgendes enthalten:

  • Kundenname und Branche

  • Unternehmensgröße und Struktur

  • Technologie-Stack

  • Frameworks und Audit-Zeitpläne

  • Spezifische Prioritäten oder Einschränkungen

Beispielanweisung:

"Kunde: Acme Corp, 120-Personen-Fintech, Sitz in der EU. Tech: Azure, GitHub, Salesforce, Okta. Implementierung von ISO 27001:2022 und Vorbereitung auf DSGVO-Audit. Priorität: schnelle Erfolge für die Zertifizierung in 6 Monaten, Schwerpunkt auf Datenresidenz und Verschlüsselung. Budget: 25.000 $ für Tooling."

Alle Anfragen in diesem Workspace wenden diesen Kontext automatisch und ohne Wiederholung an.

Erfahren Sie mehr über Workspaces

Kontext für verschiedene Abfragetypen

Richtlinienerstellung

Angeben: Rollen, Tools, Überprüfungshäufigkeiten, Genehmigungsworkflows

Beispiel: "Entwirf eine Incident-Response-Richtlinie für ISO 27001 A.5.24. Rollen: Security Lead (Jane), CTO (Genehmigung), Engineering-Team (Reaktion). Tools: PagerDuty für das Alerting, Jira für das Tracking, Slack für die Kommunikation. Post-Incident-Reviews innerhalb von 48 Stunden."

Gap-Analyse

Angeben: Ist-Zustand, Ziel-Framework, bekannte Schwachstellen

Beispiel: "Analysiere unsere aktuelle Sicherheitslage im Hinblick auf SOC 2 CC6-CC8. Wir haben MFA über Okta, vierteljährliche Zugangsüberprüfungen, GitHub Branch Protection und AWS CloudTrail. Fehlend: formelle Änderungsmanagement-Dokumente, Lieferantenrisikobewertungen und DRP-Tests."

Vorbereitung von Nachweisen

Angeben: Audit-Umfang, Möglichkeiten zur Datenerfassung, Tools mit Protokollierung

Beispiel: "Welche Nachweise benötige ich für ISO 27001 A.8.15 (Protokollierung und Überwachung)? Wir haben AWS CloudTrail, Datadog APM und Okta-Systemprotokolle. Audit-Umfang: AWS-Produktionsumgebung und Unternehmens-SSO."

Anleitung zur Implementierung

Angeben: Team-Kompetenzen, Zeitplan, vorhandene Tools

Beispiel: "Wie implementiere ich Verschlüsselung im Ruhezustand für ISO 27001 A.8.24? Unser DevOps-Ingenieur hat AWS-Erfahrung, wir nutzen RDS PostgreSQL und S3 als Datenspeicher, und die Implementierung muss in 4 Wochen abgeschlossen sein."

Vermeiden Sie es, tatsächliche sensible Daten (Kundennamen, echte Passwörter, PII) in Abfragen aufzunehmen. Verwenden Sie Platzhalter wie "[Kundendatenbank]" oder "[Zahlungsabwickler]" und aktivieren Sie die PII-Reduzierung, wenn Sie Szenarien zur Datenverarbeitung besprechen.

Wann der Kontext aktualisiert werden sollte

Aktualisieren Sie den Kontext, wenn sich Ihre Organisation ändert:

  • Signifikantes Wachstum oder Reduzierung der Mitarbeiterzahl

  • Einführung neuer Technologien (z. B. Migration zu Kubernetes)

  • Regulatorische Änderungen (z. B. neue DSGVO-Anforderungen)

  • Ergebnisse nach dem Audit, die Maßnahmen erfordern

  • Wechsel von der Implementierungs- in die Wartungsphase

Aktualisieren Sie die benutzerdefinierten Workspace-Anweisungen, anstatt vergangene Abfragen zu bearbeiten.

Testen Ihres Kontexts

Überprüfen Sie vor dem Absenden einer Anfrage, ob Sie Folgendes angegeben haben:

  1. Unternehmensgröße und Teamstruktur

  2. Branche und relevante Vorschriften

  3. Wichtigste Technologien und Tools

  4. Aktueller Stand und Ziele

  5. Etwaige Einschränkungen oder Prioritäten

Wenn eine Kategorie auf Ihre Anfrage zutrifft, beziehen Sie sie mit ein.

Abfragen mit gutem Kontext führen bereits beim ersten Versuch zu audit-bereiten Ergebnissen. Generische Abfragen erfordern mehrere Verfeinerungsrunden, was das Nachrichten-Kontingent und Zeit verbraucht.

Nächste Schritte

Fügen Sie Ihrer nächsten Anfrage organisatorischen Kontext hinzu. Vergleichen Sie die Qualität und Spezifität der Antwort mit früheren generischen Versuchen.

Zurück zur Übersicht über Prompt Engineering

War das hilfreich?