ISMS Copilot
Prompt-Engineering

Spezifische Ausgabeformate anfordern

Warum das Format wichtig ist

Compliance-Arbeit erfordert spezifische Ergebnisse: Richtliniendokumente, Risikomatrizen, Kontrollzuordnungen, Audit-Checklisten, Nachweisprotokolle. Ohne Formatvorgaben gibt der ISMS Copilot standardmäßig Erklärungen in Textform aus – nützlich zum Lernen, weniger nützlich für die Implementierung.

Das Anfordern expliziter Formate erzeugt gebrauchsfertige Ergebnisse: Tabellen, die Sie in Tabellenkalkulationen einfügen können, Richtlinienabschnitte, die Sie in Vorlagen übernehmen können, Checklisten, die Sie für Audits ausdrucken können. Dies eliminiert Formatierungsaufwand und beschleunigt den Weg von der Anleitung zur Aktion.

Gängige Compliance-Formate

1. Tabellen und Matrizen

Ideal für Kontrollzuordnungen (Mappings), Gap-Analysen, Risikobewertungen und Asset-Inventare.

Beispielanfrage: „Erstelle eine Tabelle, die unsere HR-Prozesse den ISO 27001:2022 Anhang A.6 Kontrollen zuordnet, mit Spalten für Prozess, Kontrollnummer, Kontrollname, Ist-Zustand und Gap.“

Verwendung: In Tabellenkalkulationen für das Management-Review oder als Audit-Nachweis kopieren.

Beispiel Risikobewertung: „Generiere eine Risikomatrix für Bedrohungen der Cloud-Infrastruktur mit den Spalten: Asset, Bedrohung, Wahrscheinlichkeit (1-5), Auswirkung (1-5), Risiko-Score und Minderungskontrolle.“

Beispiel Kontrollmapping: „Erstelle eine Tabelle, die zeigt, welche SOC 2-Kontrollen sich mit ISO 27001:2022 überschneiden, mit den Spalten: SOC 2 Kriterium, ISO 27001 Kontrolle, Beschreibung, gemeinsame Richtlinie möglich (J/N).“

2. Checklisten

Perfekt für die Audit-Vorbereitung, Implementierungsverfolgung und Nachweiserfassung.

Beispielanfrage: „Generiere eine SOC 2 Type II Readiness-Checkliste mit Kategorien für Richtlinien, Zugriffskontrollen, Change Management, Monitoring und Vendor Management. Verwende ein Checkbox-Format und gib die Nachweisanforderungen für jedes Element an.“

Verwendung: Ausdrucken für Teambesprechungen, Verfolgung in Projektmanagement-Tools, Teilen mit Auditoren.

Beispiel Nachweis-Checkliste: „Erstelle eine Checkliste mit Nachweis-Elementen für ISO 27001 A.8.15 (Protokollierung und Überwachung), einschließlich Belegen für die Protokollaufbewahrung, Konfiguration von Monitoring-Alerts und Incident-Response-Protokollen.“

3. Richtlinien- und Verfahrensdokumente

Fordern Sie strukturierte Abschnitte für die formale Dokumentation an.

Beispielanfrage: „Entwirf eine Zugriffskontrollrichtlinie für ISO 27001 A.5.15-5.18 mit Abschnitten für Zweck, Geltungsbereich, Rollen und Verantwortlichkeiten, Zugriffsberechtigungsprozess, Überprüfungsverfahren, Kündigungsprozess und Referenzen. Verwende eine formale Sprache, die für die Genehmigung durch die Geschäftsführung geeignet ist.“

Verwendung: Mit unternehmensspezifischen Details anpassen, zur Genehmigung vorlegen, im Richtlinien-Repository veröffentlichen.

Beispiel Verfahrensanweisung: „Erstelle eine Schritt-für-Schritt-Verfahrensanweisung für die Reaktion auf Vorfälle gemäß SOC 2 CC7.3 mit nummerierten Schritten, Entscheidungspunkten, Eskalationskriterien und Vorlagen für die Kommunikation.“

4. Listen (Geordnet und Ungeordnet)

Nützlich für Implementierungsschritte, Kontrollanforderungen und Tool-Empfehlungen.

Beispielanfrage: „Liste die für ISO 27001 A.8.24 (Kryptographie) erforderlichen technischen Kontrollen in der Reihenfolge ihrer Priorität für eine SaaS-Plattform auf, mit kurzen Hinweisen zur Implementierung für jede Kontrolle.“

Beispiel Tool-Empfehlung: „Erstelle eine Aufzählung von SaaS-Tools für die Automatisierung der SOC 2 Compliance, die Zugriffsprüfungen, Log-Management und Vendor-Assessments abdecken, mit ungefähren Preisen.“

5. Workflows und Flussdiagramme (Textbasiert)

Beschreiben Sie Entscheidungsbäume und Prozessabläufe in strukturierter Form.

Beispielanfrage: „Beschreibe den Genehmigungsworkflow für das Change Management gemäß ISO 27001 A.8.32 in einem Schritt-für-Schritt-Format: Wer reicht ein, wer prüft, Genehmigungskriterien, Rollback-Trigger und Verifizierung nach der Implementierung.“

Verwendung: In visuelle Flussdiagramme umwandeln, in der Prozessdokumentation festhalten, Teammitglieder schulen.

6. Vorlagen

Fordern Sie Lückentext-Formate für wiederkehrende Aufgaben an.

Beispielanfrage: „Erstelle eine Vorlage für die Risikobewertung von Anbietern für SOC 2 CC9.2 mit Abschnitten für Anbieterinformationen, Datenverarbeitung, Sicherheitskontrollen, Compliance-Zertifizierungen, Bewertungsergebnis und Genehmigungsentscheidung. Füge Bewertungsskalen hinzu.“

Verwendung: Als wiederverwendbare Vorlage zur Bewertung jedes Anbieters speichern.

Beispiel Vorlage Risikobehandlung: „Generiere eine Vorlage für einen Risikobehandlungsplan gemäß ISO 27001 mit Feldern für Risiko-ID, Risikobeschreibung, Behandlungsoption (Akzeptieren/Mindern/Übertragen/Vermeiden), implementierte Kontrollen, Eigentümer, Fälligkeitsdatum und Verifizierungsmethode.“

7. Vergleichsformate

Gegenüberstellung für die Entscheidungsfindung.

Beispielanfrage: „Vergleiche AWS KMS, HashiCorp Vault und Google Cloud KMS für das kryptographische Schlüsselmanagement nach ISO 27001 A.8.24 in einer Tabelle mit Zeilen für Kosten, Integrationsaufwand, Schlüsselrotation, Audit-Logging und Compliance-Zertifizierungen.“

8. Nachweisprotokolle (Evidence Logs)

Strukturierte Dokumentation für Audit Trails.

Beispielanfrage: „Erstelle ein Format für ein Nachweisprotokoll für SOC 2 CC6.1 Zugriffsprüfungen mit Spalten: Prüfzeitraum, Name des Prüfers, geprüfte Systeme, geprüfte Benutzer, vorgenommene Zugriffsänderungen, Prüfdatum und Anmerkungen des Auditors.“

Nachdem Sie eine formatierte Ausgabe erhalten haben, können Sie Folgefragen stellen wie „Füge eine Spalte für den Zeitplan zur Behebung hinzu“ oder „Erweitere den Abschnitt 'Zweck' um regulatorische Treiber“, um das Ergebnis zu verfeinern, ohne von vorne zu beginnen.

Format-Spezifikationen

Markdown-Tabellen

ISMS Copilot kann Markdown-Tabellen erstellen, die Sie direkt in Dokumentationstools kopieren oder in andere Formate konvertieren können.

Beispielanfrage: „Erstelle eine Markdown-Tabelle, die ISO 27001:2013- mit 2022-Anhang-A-Kontrollen vergleicht, mit den Spalten: Alte Kontrolle, Neue Kontrolle, Art der Änderung (umbenannt/zusammengeführt/neu/entfernt).“

Nummerierte vs. Aufzählungslisten

Geben Sie Hierarchien für mehr Klarheit an:

  • Nummerierte Listen: Sequenzielle Schritte, prioritäre Punkte, Rangfolgen von Empfehlungen.

  • Aufzählungslisten: Nicht-sequenzielle Anforderungen, Feature-Listen, gleichrangige Punkte.

Beispiel: „Erstelle eine nummerierte Liste der Phasen der ISO 27001-Implementierung in chronologischer Reihenfolge, mit Unterpunkten als Aufzählung unter jeder Phase.“

Abschnittsüberschriften und Tiefe

Fordern Sie für lange Dokumente spezifische Überschriftenstrukturen an.

Beispielanfrage: „Entwirf eine Informationssicherheitsrichtlinie mit Hauptabschnitten (H2-Überschriften) für Zweck, Geltungsbereich, Richtlinienerklärungen, Rollen und Verfahren. Verwende unter Richtlinienerklärungen H3-Überschriften für Zugriffskontrolle, Datenschutz und Incident Response.“

Beispiele nach Anwendungsfall

Gap-Analyse

Anfrage: „Analysiere unsere aktuellen Sicherheitskontrollen im Vergleich zu SOC 2 CC6-CC8 im Tabellenformat mit den Spalten: Kontrolle, Anforderung, unser aktueller Status, Gap (Ja/Nein), Priorität (Hoch/Mittel/Niedrig), Aufwand zur Behebung (Stunden).“

Warum dieses Format: Führungskräfte benötigen eine prioritäre Ansicht; Umsetzer benötigen Aufwandsschätzungen; Auditoren müssen Gaps identifizieren können.

Audit-Vorbereitung

Anfrage: „Erstelle eine ISO 27001-Zertifizierungsaudit-Checkliste, organisiert nach Anhang-A-Domänen (A.5, A.6, A.7, A.8), mit Checkboxen für: Richtlinie vorhanden, Verfahren dokumentiert, Nachweise gesammelt und geprüft/verifiziert.“

Warum dieses Format: Verfolgung der Bereitschaft über 93 Kontrollen hinweg, Identifizierung von Schwachstellen, Delegierung von Aufgaben zur Nachweiserfassung.

Risikomanagement

Anfrage: „Generiere eine Risikoregister-Vorlage mit Spalten: Risiko-ID, Kategorie (Vertraulichkeit/Integrität/Verfügbarkeit), Bedrohungsquelle, betroffenes Asset, inhärenter Risiko-Score, vorhandene Kontrollen, Restrisiko-Score, Behandlungsentscheidung, Eigentümer. Füge Hinweise zur Bewertung hinzu (Skala 1-5 für Wahrscheinlichkeit und Auswirkung).“

Warum dieses Format: Standardisierte Risikobewertung, klare Verantwortlichkeiten, Audit Trail für Behandlungsentscheidungen.

Richtlinienentwicklung

Anfrage: „Entwirf eine Business-Continuity-Richtlinie für ISO 27001 A.5.29 mit diesen Abschnitten: 1) Zweck und Geltungsbereich, 2) Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) nach System-Tier, 3) Rollen (BC-Koordinator, Abteilungsleiter, IT), 4) Trigger für die Planaktivierung, 5) Testplan, 6) Prüf- und Aktualisierungsprozess. Verwende einen formalen Unternehmenston.“

Warum dieses Format: Strukturiert für die rechtliche/geschäftsführende Prüfung, enthält Entscheidungskriterien, definiert messbare Ziele.

Implementierungsplanung

Anfrage: „Erstelle einen Zeitplan im Stil eines Gantt-Diagramms als Tabelle für eine 6-monatige SOC 2-Implementierung mit den Spalten: Monat, Phase, Hauptaktivitäten, Deliverables, Eigentümer, Abhängigkeiten. Beginne mit dem Gap-Assessment in Monat 1 bis zum Readiness-Review in Monat 6.“

Warum dieses Format: Visualisierung von Abhängigkeiten, Zuweisung von Verantwortlichkeiten, Verfolgung von Meilensteinen für das Projektmanagement.

Tool-Evaluierung

Anfrage: „Vergleiche Plattformen für Security Awareness Training (KnowBe4, Proofpoint, SANS) im Tabellenformat für die Einhaltung von ISO 27001 A.6.3 mit Spalten für Inhaltsbibliothek, Phishing-Simulation, Compliance-Tracking, Kosten pro Benutzer und Integration mit Okta/Google.“

Warum dieses Format: Objektiver Vergleich für Beschaffungsentscheidungen, Abgleich mit spezifischen Kontrollanforderungen.

Sehr komplexe Formate (mehrstufig verschachtelte Tabellen, fortgeschrittene Tabellenkalkulationsformeln) werden möglicherweise nicht perfekt gerendert. Fordern Sie einfachere Strukturen an und verfeinern Sie die Formatierung nach dem Export.

Kombination von Formaten

Viele Abfragen profitieren von mehreren Formaten in Folge.

Beispiel: „Für ISO 27001 A.8.15 Protokollierungsanforderungen: 1) Erstelle eine Tabelle mit Protokollquellen (Applikation, AWS CloudTrail, Okta) mit Aufbewahrungsfristen und Monitoring-Tools, 2) Erstelle eine Aufzählung von Protokollereignissen, die Alerts auslösen müssen, 3) Entwirf ein nummeriertes Verfahren für die Protokollprüfung und Incident-Eskalation.“

Ausgabe: Referenztabelle + Scan-Liste + Implementierungsverfahren in einer Antwort.

Formatierte Ausgaben verfeinern

Wenn das ursprüngliche Format nicht Ihren Anforderungen entspricht, iterieren Sie:

  • „Füge der Risikomatrix eine Spalte 'Status' zur Verfolgung des Behebungsfortschritts hinzu.“

  • „Wandle die Aufzählung in eine nummerierte Prioritätenliste um.“

  • „Erweitere die Richtlinienvorlage um einen Abschnitt 'Definitionen'.“

  • „Formatiere die Tabelle neu, um Kontrollen nach Implementierungsschwierigkeit statt alphabetisch zu gruppieren.“

Workspaces speichern den Kontext, sodass Verfeinerungen auf vorherigen Ausgaben aufbauen.

Wenn kein Format angegeben ist

Ohne Formatworgaben nutzt der ISMS Copilot standardmäßig:

  • Erklärende Absätze für „Wie“- und „Was“-Fragen.

  • Aufzählungslisten für Antworten mit mehreren Elementen.

  • Strukturierten Text für die Erstellung von Richtlinien/Verfahren.

Dies ist gut zum Lernen, erfordert aber eine manuelle Neuformatierung für Arbeitsergebnisse. Geben Sie für Implementierungsergebnisse immer das Format an.

Formatspezifische Abfragen reduzieren die Nachbearbeitungszeit um 70-80 %. Anstatt Absätze manuell in Tabellen zu kopieren, erhalten Sie sofort prüfungsreife Ergebnisse.

Export und Integration

Formatierte Ausgaben lassen sich gut integrieren in:

  • Tabellenkalkulationstools: Markdown-Tabellen lassen sich in Excel/Google Sheets einfügen.

  • Dokumentationsplattformen: Richtlinien lassen sich in Confluence, SharePoint oder Notion kopieren.

  • Projektmanagement: Checklisten lassen sich in Jira, Asana oder Monday.com importieren.

  • GRC-Plattformen: Risikoregister und Nachweisprotokolle lassen sich in Vanta, Drata oder Secureframe integrieren.

Geben Sie an, wenn die Ausgabe mit bestimmten Tools kompatibel sein muss (z. B. „in CSV-kompatiblem Format“ oder „als Markdown für Confluence“).

Formatklarheit prüfen

Prüfen Sie vor dem Absenden, ob Ihre Anfrage Folgendes spezifiziert:

  1. Ausgabetyp (Tabelle, Liste, Richtlinie, Checkliste, Vorlage).

  2. Struktur (Spalten/Zeilen, Abschnittsüberschriften, Nummerierungsschema).

  3. Inhalt pro Element (welche Informationen in jeder Spalte/jedem Abschnitt).

  4. Tonalität oder Stil, falls zutreffend (formale Sprache, technisches Verfahren, Management-Summary).

Nächste Schritte

Identifizieren Sie Ihr nächstes Compliance-Ergebnis und fordern Sie genau das Format an, das Sie benötigen. Beobachten Sie, wie formatierte Ausgaben den Weg von der KI-Antwort zum implementierten Ergebnis beschleunigen.

Zurück zur Übersicht Prompt Engineering

War das hilfreich?