ISMS Copilot
Prompt-Engineering

Dateien für Kontext und Analyse hochladen

Warum Dateien hochladen?

Die Compliance-Arbeit konzentriert sich auf Dokumente: bestehende Richtlinien, Audit-Berichte, Risikobewertungen, Anbieterverträge und Asset-Inventare. Diese in Textform zu beschreiben, verschwendet Zeit und führt zu Fehlern. Das direkte Hochladen von Dateien gibt dem ISMS Copilot präzisen Kontext für Gap-Analysen, Verbesserungsempfehlungen und Compliance-Mapping.

Die Dateianalyse verwandelt vage Fragen wie „Ist unsere Richtlinie gut genug?“ in spezifisches, umsetzbares Feedback: „Ihre Zugriffskontrollrichtlinie deckt SOC 2 CC6.1 und CC6.2 ab, aber es fehlen die CC6.3-Anforderungen für die Überwachung privilegierter Zugriffe. Fügen Sie Abschnitte hinzu für...“

Unterstützte Dateitypen und Limits

ISMS Copilot akzeptiert:

  • PDF – Richtlinien, Audit-Berichte, Zertifizierungen, Anbieterbewertungen

  • DOCX – Entwürfe für Richtlinien, Verfahren, Dokumentationsvorlagen

  • XLS/XLSX – Risikoregister, Asset-Inventare, Kontrollmatrizen, Evidenzprotokolle

Dateigröße: Bis zu 10 MB pro Datei

Länge: Dokumente bis zu 20+ Seiten werden effektiv verarbeitet; längere Dokumente müssen möglicherweise aufgeteilt werden

Upload-Speicherort: Anhängen von Dateien über das Büroklammer-Symbol im Eingabebereich für Abfragen

Hochgeladene Dateien werden mit denselben Datenschutzstandards wie Textabfragen verarbeitet: Ende-zu-Ende-Verschlüsselung, Speicherung in der EU (Frankfurt) und niemals für KI-Training verwendet. Vermeiden Sie jedoch das Hochladen von Dateien, die tatsächliche Passwörter, API-Schlüssel oder personenbezogene Daten (PII) enthalten, sofern dies nicht unbedingt erforderlich ist.

Gängige Szenarien für den Datei-Upload

1. Gap-Analyse

Laden Sie bestehende Richtlinien oder Dokumentationen zur Compliance-Bewertung hoch.

Beispielabfrage mit Upload: „Überprüfe diese Zugriffskontrollrichtlinie [PDF anhängen] im Hinblick auf die Anforderungen von SOC 2 CC6.1-6.3. Identifiziere fehlende Kontrollen, veraltete Formulierungen und Evidenzlücken für ein Type II Audit.“

Antwort von ISMS Copilot: Spezifische Abschnitte, die aktualisiert werden müssen, fehlende Kontrollen (z. B. Überwachung privilegierter Zugriffe für CC6.3), empfohlene Ergänzungen und Evidenzanforderungen.

Beispiel Audit-Bericht: „Analysiere die Ergebnisse unseres letzten ISO 27001 Überwachungsaudits [PDF anhängen]. Priorisiere die Behebung nach Schweregrad und erstelle einen Aktionsplan mit Zeitplänen.“

2. Verbesserung von Richtlinien

Optimieren Sie bestehende Dokumentation, um neuen Standards oder Frameworks zu entsprechen.

Beispielabfrage: „Aktualisiere diese Informationssicherheitsrichtlinie [DOCX anhängen] von den Anforderungen der ISO 27001:2013 auf 2022. Markiere Abschnitte, die überarbeitet werden müssen, und schlage neue Formulierungen für geänderte Kontrollen vor.“

Antwort von ISMS Copilot: Side-by-Side-Vergleich von alten vs. neuen Anforderungen, überarbeitete Richtlinienabschnitte, neue hinzuzufügende Kontrollen (z. B. A.5.7 Threat Intelligence, A.8.23 Web-Filtering).

3. Überprüfung der Risikobewertung

Validieren Sie Risikomethodik und -bewertung gegenüber den Framework-Anforderungen.

Beispielabfrage: „Überprüfe dieses Risikoregister [XLSX anhängen] im Hinblick auf die Anforderungen von ISO 27001 A.5.7. Sind die Bedrohungsquellen umfassend? Ist unsere 1-5 Bewertung angemessen? Welche Risiken fehlen uns für eine Cloud-First-SaaS-Plattform?“

Antwort von ISMS Copilot: Bewertung der Methodik, Vorschlag zusätzlicher Bedrohungskategorien (z. B. Lieferkette, Insider-Bedrohungen), fehlende Asset-Risiko-Paarungen, Feedback zur Bewertungsskalierung.

4. Anbieterbewertung (Vendor Assessment)

Evaluieren Sie Zertifizierungen und Verträge von Drittanbietern auf Compliance.

Beispielabfrage: „Analysiere diesen SOC 2-Bericht des Anbieters [PDF anhängen] für unsere Risikobewertung von Drittanbietern. Deckt er die von uns genutzten Dienste ab (Datenspeicherung und -verarbeitung)? Gibt es relevante Ausnahmen oder Einschränkungen? Erfüllt er unsere Anforderungen für SOC 2 CC9.2?“

Antwort von ISMS Copilot: Abdeckung des Leistungsumfangs, bemerkenswerte Ausnahmen, Kontrolllücken, Empfehlungen für das Follow-up im Anbieterfragebogen.

5. Evidenz-Mapping

Verknüpfen Sie vorhandene Artefakte mit Audit-Anforderungen.

Beispielabfrage: „Ordne dieses Schulungsprotokoll zum Sicherheitsbewusstsein [XLSX anhängen] den Evidenzanforderungen von ISO 27001 A.6.3 zu. Welche zusätzlichen Nachweise benötigen wir für das Zertifizierungsaudit?“

Antwort von ISMS Copilot: Aktuelle Evidenzabdeckung, fehlende Elemente (z. B. Abschlussverfolgung, Testergebnisse, rollenspezifische Schulungen), empfohlene Protokollverbesserungen.

6. Überprüfung der Kontrollumsetzung

Validieren Sie technische Konfigurationen gegen Kontrollanforderungen.

Beispielabfrage: „Überprüfe diese Dokumentation der AWS CloudTrail-Konfiguration [PDF anhängen] im Hinblick auf die Anforderungen von ISO 27001 A.8.15 (Protokollierung und Überwachung). Ist die Aufbewahrungsfrist ausreichend? Sind kritische Ereignisse abgedeckt?“

Antwort von ISMS Copilot: Bewertung der Angemessenheit der Konfiguration, fehlende Protokollquellen (z. B. Anwendungsprotokolle, Datenbankzugriffe), Empfehlungen für Aufbewahrungsfristen, Lücken bei der Alarmierung.

7. Vorlagen-Evaluierung

Beurteilen Sie, ob Vorlagen den Framework-Standards entsprechen.

Beispielabfrage: „Bewerte diese Vorlage für die Reaktion auf Vorfälle [DOCX anhängen] im Hinblick auf die Compliance mit SOC 2 CC7.3-7.5. Enthält sie alle erforderlichen Elemente (Erkennung, Reaktion, Kommunikation, Überprüfung nach dem Vorfall)? Was fehlt?“

8. Vergleich mehrerer Dokumente

Analysieren Sie mehrere Dateien auf Konsistenz oder Abdeckung.

Beispielabfrage: „Vergleiche unsere Zugriffskontrollrichtlinie [DOCX anhängen] mit unserem tatsächlichen Protokoll der Zugriffsüberprüfungen [XLSX anhängen]. Befolgen wir unsere dokumentierten Verfahren? Wo weichen Praxis und Richtlinie voneinander ab?“

Hängen Sie Dateien zu Beginn von Konversationen an, um den Kontext für alle folgenden Abfragen festzulegen. ISMS Copilot merkt sich hochgeladene Dokumente innerhalb der Workspace-Konversation.

Effektive Abfragen bei Datei-Uploads

Geben Sie an, was analysiert werden soll

Laden Sie die Datei nicht einfach hoch und sagen Sie „Überprüfe das“. Geben Sie eine Richtung vor:

  • ❌ „Was hältst du davon?“ [Richtlinie anhängen]

  • ✅ „Überprüfe diese Klassifizierungsrichtlinie im Hinblick auf die Anforderungen von ISO 27001 A.5.12. Prüfe auf Vollständigkeit, angemessene Sensitivitätsstufen und Handhabungsverfahren.“

Nennen Sie Ihr Framework und den Umfang

Dateien fehlt der inhärente Kontext darüber, welcher Standard gilt:

  • ❌ „Ist diese Richtlinie konform?“ [Zugriffskontrollrichtlinie anhängen]

  • ✅ „Bewerte diese Zugriffskontrollrichtlinie im Hinblick auf SOC 2 CC6.1-6.3 für unser bevorstehendes Type II Audit. Konzentriere dich auf Benutzerbereitstellung, Überprüfungen und privilegierte Zugriffe.“

Geben Sie das gewünschte Ausgabeformat an

Präzisieren Sie, was Sie als Antwort benötigen:

  • „Erstelle eine Gap-Übersichtstabelle mit den Spalten: Anforderung, Ist-Zustand, Gap (J/N), Empfehlung“

  • „Stelle eine markierte Version mit Inline-Vorschlägen für Bearbeitungen bereit“

  • „Liste die 5 wichtigsten Verbesserungen auf, priorisiert nach Audit-Risiko“

  • „Erstelle eine Compliance-Checkliste, die zeigt, welche Kontrollen adressiert sind vs. welche fehlen“

Geben Sie organisatorischen Kontext

Dateien verraten nichts über Ihre Unternehmensgröße, Ihren Tech-Stack oder Ihre Einschränkungen:

Beispiel: „Überprüfe diesen Business Continuity Plan [PDF anhängen] im Hinblick auf ISO 27001 A.5.29 für ein 60-Personen-SaaS-Unternehmen mit AWS-Infrastruktur und 99,9% Uptime SLA. Sind RTOs und RPOs angemessen? Ist unsere Backup-Strategie ausreichend?“

Analyse mehrerer Dateien

Laden Sie mehrere zusammengehörige Dateien für eine umfassende Überprüfung hoch:

Beispielabfrage: „Überprüfe diese drei Richtlinien [Anhang: InfoSec Policy.pdf, Access Control Policy.pdf, Incident Response Policy.pdf] auf Konsistenz und Vollständigkeit im Hinblick auf die Organisationskontrollen von ISO 27001:2022 Anhang A.5. Identifiziere Widersprüche, Lücken und Redundanzen.“

Beispiel für Querverweise: „Vergleiche unser dokumentiertes Änderungsmanagement-Verfahren [DOCX anhängen] mit den tatsächlichen Jira-Change-Logs [XLSX anhängen]. Befolgen wir unseren Prozess? Wo treten Abweichungen auf?“

Obwohl Sie mehrere Dateien pro Abfrage hochladen können, funktioniert die Analyse von 2-3 verwandten Dokumenten am besten. Mehr als das kann den Fokus verwässern – ziehen Sie bei großen Dokumentensätzen sequenzielle Abfragen in Betracht.

Best Practices für den Datei-Upload

Vor dem Hochladen

  1. Sensible Daten entfernen: Schwärzen Sie tatsächliche Kundennamen, Anmeldedaten oder PII, wenn diese für die Analyse nicht unbedingt erforderlich sind.

  2. Dateigröße prüfen: Stellen Sie sicher, dass sie unter 10 MB liegt; komprimieren oder teilen Sie große Dateien bei Bedarf.

  3. Klare Dateinamen verwenden: „Zugriffskontroll_Richtlinie_v2.pdf“ ist besser als „Dokument1.pdf“.

  4. Dateityp überprüfen: Konvertieren Sie nicht unterstützte Formate (z. B. .pages in .docx).

In Ihrer Abfrage

  1. Bezug auf den Upload nehmen: „Überprüfe das beigefügte Risikoregister...“ verdeutlicht, um welches Dokument es geht, falls mehrere Dateien in der Konversation vorhanden sind.

  2. Den Zweck der Datei erklären: „Dies ist unsere aktuelle Richtlinie, die auf den Standard von 2022 aktualisiert werden muss.“

  3. Erwartungen setzen: „Konzentriere dich auf inhaltliche Lücken, nicht auf Formatierungsprobleme“ oder „Priorisiere Erkenntnisse mit hohem Risiko“.

Nach dem Upload

  1. Auf Basis der Ergebnisse iterieren: „Gehe näher auf die CC6.3-Lücke ein, die du identifiziert hast – welche spezifischen Kontrollen fehlen?“

  2. Überarbeitungen anfordern: „Schreibe den Abschnitt zur Zugriffsüberprüfung um, um diese Lücken zu schließen.“

  3. Zugehörige Inhalte generieren: „Erstelle eine Evidenz-Checkliste für die Kontrollen, die diese Richtlinie abdeckt.“

Fehlerbehebung bei Datei-Uploads

Upload schlägt fehl oder Zeitüberschreitung

  • Dateigröße prüfen (muss unter 10 MB sein)

  • Dateityp prüfen (nur PDF, DOCX, XLS/XLSX)

  • Versuchen Sie, große Dateien in Abschnitte aufzuteilen

  • Stabile Internetverbindung sicherstellen

Analyse übersieht wichtige Punkte

  • Geben Sie eine spezifischere Abfragerichtung vor („Konzentriere dich auf Abschnitt 3.2 bezüglich privilegierter Zugriffe“)

  • Hochladen einer qualitativ hochwertigeren Quelle (z. B. Original-DOCX statt gescanntem PDF)

  • Dokumente mit mehreren Themen in separate Uploads mit fokussierten Abfragen aufteilen

Antwort bezieht sich auf das falsche Framework

  • Geben Sie das Framework in der Abfrage explizit an: „Überprüfung nach ISO 27001:2022, nicht SOC 2“

  • Überprüfen Sie die benutzerdefinierten Workspace-Anweisungen auf widersprüchlichen Kontext

Dateiverarbeitung dauert zu lange

  • Große Dateien (15+ Seiten) können 30-60 Sekunden zur Verarbeitung benötigen

  • Komplexe Tabellenkalkulationen mit vielen Reitern können die Antwort verzögern

  • Gescannte PDFs (Bilder) werden langsamer verarbeitet als textbasierte PDFs

Datenschutz- und Sicherheitsüberlegungen

Die Dateiverarbeitung des ISMS Copilots hält sich an strenge Datenschutzstandards:

  • Verschlüsselung: Dateien sind während der Übertragung und im Ruhezustand verschlüsselt.

  • Datenresidenz: Speicherung in Rechenzentren in der EU (Frankfurt).

  • Kein KI-Training: Hochgeladene Inhalte werden niemals zum Trainieren von Modellen verwendet.

  • Zugriffskontrollen: Dateien sind nur innerhalb Ihres Workspaces sichtbar.

  • Aufbewahrung: Dateien werden für die Dauer der Konversation gespeichert; zum Entfernen Workspace löschen.

Wann die PII-Reduzierung zu nutzen ist: Aktivieren Sie den Schalter zur PII-Reduzierung, wenn Dateien Beispiele mit echten Namen, E-Mails oder Identifikatoren enthalten, die für die Analyse nicht wesentlich sind.

Für Dateien mit hochsensiblen Daten (M&A-Verträge, Vorstandsvergütung, tatsächliche Forensik von Vorfällen mit PII) sollten Sie in Erwägung ziehen, geschwärzte Versionen hochzuladen oder Platzhaltertext in Abfragen anstelle vollständiger Dokumente zu verwenden.

Kombination von Datei-Uploads mit anderen Techniken

Dateien + Benutzerdefinierte Anweisungen (Custom Instructions)

Legen Sie den Workspace-Kontext fest und laden Sie dann Dateien hoch – der Kontext wird automatisch angewendet:

Anweisung: „Finanzdienstleistungsunternehmen, 200 Mitarbeiter, Implementierung von ISO 27001:2022“

Upload + Abfrage: „Überprüfe die beigefügte Zugriffskontrollrichtlinie im Hinblick auf A.5.15-5.18“ (Branche/Größe muss nicht wiederholt werden).

Dateien + Personas

Wechseln Sie die Personas für verschiedene Analysewinkel:

  1. Auditor-Persona: „Überprüfe diese Richtlinie [Anhang] auf SOC 2-Audit-Bereitschaft – welche Evidenzlücken bestehen?“

  2. Implementierer-Persona: „Gib basierend auf dieser Richtlinie Schritt-für-Schritt-Implementierungsschritte für unser DevOps-Team an.“

Dateien + Iterative Verfeinerung

Einmal hochladen, durch Konversation verfeinern:

  1. Upload: Aktuelles Risikoregister anhängen

  2. Runde 1: „Überprüfe es im Hinblick auf ISO 27001 A.5.7 – was fehlt?“

  3. Runde 2: „Füge die fehlenden Cloud-Infrastruktur-Risiken hinzu, die du identifiziert hast.“

  4. Runde 3: „Aktualisiere die Risikobewertungen unter Verwendung der von dir vorgeschlagenen 5x5-Matrix.“

  5. Runde 4: „Generiere Risikobehandlungspläne für Risiken mit einer Bewertung von 15 oder höher.“

Beispiel-Workflows

Workflow 1: Modernisierung von Richtlinien

  1. Laden Sie eine veraltete Richtlinie hoch (Zugriffskontrollrichtlinie aus der Ära ISO 27001:2013).

  2. Abfrage: „Vergleiche diese Richtlinie mit den Anforderungen von ISO 27001:2022 A.5.15-5.18. Was hat sich geändert?“

  3. Follow-up: „Schreibe Abschnitt 4 (Zugriffsüberprüfungen) um, um die neuen A.5.18-Anforderungen zu erfüllen.“

  4. Follow-up: „Füge einen neuen Abschnitt 5 für privilegierte Zugriffe (A.5.17) mit unseren AWS- und GitHub-Admin-Rollen hinzu.“

  5. Abschluss: „Erstelle ein Genehmigungs-Memo für den CTO, das die Änderungen und Compliance-Vorteile erklärt.“

Workflow 2: Audit-Vorbereitung

  1. Laden Sie 3 Dateien hoch: Zugriffskontrollrichtlinie, Protokoll der Zugriffsüberprüfung (XLSX), Okta-Konfigurationsdokument.

  2. Abfrage: „Bewerte die SOC 2 CC6.1-Bereitschaft anhand dieser Dokumente. Welche Nachweise sind stark? Was fehlt?“

  3. Follow-up: „Erstelle einen Behebungsplan für die fehlenden Nachweise mit einem 60-Tage-Zeitplan.“

  4. Follow-up: „Entwirf ein aktualisiertes Verfahren zur Zugriffsüberprüfung unter Berücksichtigung deiner Empfehlungen.“

  5. Abschluss: „Erstelle ein Briefing-Dokument für den Auditor, das unsere CC6.1-Kontrollen und Nachweise zusammenfasst.“

Workflow 3: Risikobewertung von Anbietern

  1. Laden Sie den SOC 2-Bericht des Anbieters + den Anbietervertrag hoch.

  2. Abfrage: „Bewerte den SOC 2-Bericht dieses Anbieters im Hinblick auf unsere CC9.2-Anforderungen. Deckt er Datenverarbeitungsdienste ab, die für unseren Vertrag relevant sind?“

  3. Follow-up: „Welche Fragen sollten wir in einem Anbieterfragebogen stellen, um die von dir gefundenen Lücken zu schließen?“

  4. Follow-up: „Entwirf eine Zusammenfassung der Anbieter-Risikobewertung für unser Compliance-Komitee.“

Datei-Uploads sind am effektivsten, wenn sie mit spezifischen Abfragen und iterativer Verfeinerung kombiniert werden. Hochladen, analysieren, verbessern, verifizieren – alles in einer Workspace-Konversation.

Nächste Schritte

Identifizieren Sie eine bestehende Richtlinie, einen Bericht oder eine Bewertung, die überprüft werden muss. Laden Sie diese mit einer spezifischen Gap-Analyse- oder Verbesserungsabfrage hoch und erleben Sie, wie der Dateikontext die Compliance-Arbeit beschleunigt.

Zurück zur Übersicht Prompt Engineering

War das hilfreich?